Serverless computing, enjeux juridiques de l’avenir du cloud

Le serverless computing présenté comme l’avenir du cloud computing pose des questions juridiques particulières.

Cette notion peut toutefois être déceptive. Elle ne repose pas sur une absence de serveurs. L’état de l’art ne le permet pas encore. En revanche, la promesse de ce nouveau service c’est de libérer totalement le développeur des contraintes liées aux serveurs, leur puissance, capacité et performance. Pour l’entreprise cliente d’un tel service, l’intérêt est de pouvoir disposer d’une plateforme scalable sur laquelle pouvoir librement développer des outils métiers.

Serverless computing : le cadre technique

Il n’existe pas de norme définissant le serverless computing. Techniquement, le serverless computing et encore moins de loi. Ce service rapproche plutôt d’une plateforme d’exécution en complément d’un espace d’hébergement dans le cloud. Comparé à un service de type Plateform as a Service (« PaaS »), le serverless computing permet directement de mettre en production l’application ou la fonctionnalité métier développée avec mise en production souple, rapide et sereine.

Les problématiques d’exécution et de montée en charge (« ramp up ») sont sous la responsabilité du prestataire serverless computing. Le management des serveurs et la gestion de leur capacité ne sont pas visibles du développeur utilisateur de la plateforme (1). On peut donc parler d’un service PaaS grandement amélioré.

Serverless computing : localisation des serveurs et protection des données personnelles

Le serverless computing ne fait pas exception aux exigences du RGPD incombant à tout responsable du traitement et du sous-traitant.

L’article 28 §3 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

• l’objet et la durée du traitement de données à caractère personnel ;
• la nature et la finalité de ce traitement ;
• les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement (2).

Pour le serverless computing, la gestion des flux transfrontières de données, donc de leur localisation est cruciale car exclusivement sous la responsabilité du prestataire.

Dans la mesure où le prestataire serverless computing est seul décisionnaire des moyens alloués au traitement, il y aurait légitimement une réflexion à mener sur la qualification de responsable conjoint du traitement (3).

Serverless computing : trois clauses clés

Trois clauses doivent être particulièrement traitées dans le contrat cloud de type serverless computing : les garanties, la collaboration et la clause prix.

Au titre des garanties, le contrat pour un tel service doit prévoir une garantie de scalabilité et d’évolutivité, des garanties de performance et disponibilité de la plateforme en lien avec des SLA et pénalités associées.

La collaboration avec le partenaire doit être encadrée par une comitologie adaptée dans le sens où si la scalabilité est le point fort des offres de ce type, il n’en demeure pas moins qu’une montée en charge fulgurante nécessite, en mode projet, un minimum d’anticipation.

Le modèle économique du serverless computing repose principalement sur le code exécuté. Si cette métrique peut paraître claire, il n’en demeure pas moins qu’elle peut, dans son application, donner lieu à diverses interprétations pouvant conduire à de mauvaises surprises. Une vision claire et en temps réel du consommé par un outil de supervision facilement accessible doit être contractuellement organisée avec la faculté pour le client de discuter de la facturation en comité dédié.

Eric Le Quellenec
Lexing Droit de l’informatique

(1) Article wikipedia « serverless computing »
(2) Contrat cloud : les impacts du RGPD sur la sous-traitance, Post du 30-1-2017
(3) Contrats cloud : les impacts du RGPD et la cotraitance, Post du 2-32017