Les limites de l’informatique serverless

informatique serverlessEric Le Quellenec, Avocat, Directeur du département Informatique conseil de Lexing Alain Bensoussan Avocats, interviewé par IT Social sur l’ informatique serverless.

Contrairement à ce que l’on pourrait croire, il ne s’agit pas d’une architecture sans serveur mais de libérer totalement le développeur des contraintes liées aux serveurs, leur puissance, capacité et performance.

Pour l’entreprise cliente d’un tel service, l’intérêt est de pouvoir disposer d’une plateforme scalable sur laquelle pouvoir librement développer des outils métiers.

L’ informatique serverless est présentée comme l’avenir du cloud computing (1). Si elle présente des atouts indéniables (flexibilité, réduction des coûts, gestion déléguée), elle présente également des limites, en particulier en matière de confidentialité d’informations sensibles.

« Pour le Serverless, la gestion des flux transfrontières de données, donc de leur localisation est cruciale, car exclusivement sous la responsabilité du prestataire. Dans la mesure où le prestataire Serverless est seul décisionnaire des moyens alloués au traitement, il y aurait légitimement une réflexion à mener sur la qualification de responsable conjoint du traitement », explique Éric Le Quellenec.

Le Règlement général sur la protection des données (RGPD) implique en effet de retenir la juste qualification des intervenants au traitement, la sous-traitance n’étant pas systématiquement applicable.

Éric Le Quellenec interviewé par Philippe Richard, « Serverless : les pour et contre », IT Social.fr du 7 mai 2019.

Isabelle Pottier
Directeur Études et Publications

(1) Voir « Serverless computing, enjeux juridiques de l’avenir du cloud » du 8-2-2018.




Cloud : quelles nouvelles contraintes réglementaires ?

contraintes réglementaires pour le cloudEric Le Quellenec évoquera lors du salon Cloud Computing World Expo le nouveau cadre réglementaire du cloud à l’heure du RGPD et du Cloud Act.

Rencontre d’experts, conférences, keynotes, rendez-vous business… les 20 & 21 mars 2019 se tiendra à la Porte de Versailles la 10ème édition du salon Cloud Computing World Expo. L’objectif : cerner en deux jours tous les enjeux autour du cloud computing.

Grâce aux RdV Business, aux conférences, à l’espace démonstration de logiciels et au vaste hall d’exposition, Cloud Computing World Expo procure aux visiteurs un événement incontournable pour mieux cerner les enjeux, les offres de services et les logiciels cloud. Une occasion unique de comprendre plus facilement les enjeux de demain…

Cloud Computing World Expo : 10 ans

10 ans, 10 milliards d’euros : c’est le poids actuel du marché Français du cloud computing, au moment où le salon Cloud Computing World Expo fête sa première décennie.

Mieux, les services cloud connaissent une croissance annuelle de l’ordre de 23%. Ils sont tirés par les logiciels délivrés à la demande, les plateformes PaaS, les prestations d’infrastructures, mais aussi la mobilité, l’IoT, l’intelligence artificielle…

Cloud Computing : comment progressent les usages ?

Selon Denis Rémy, directeur du salon, près de 64% des organisations européennes utiliseraient déjà des services et technologies cloud, et elles seront plus de 90% à exploiter plusieurs clouds d’ici à la fin 2020. Les recettes des services cloud public et privé dépasseraient alors les 64 milliards de dollars en Europe en 2020 (source IDC, citée par Denis Rémy) : « Le multicloud, les technologies de conteneurs, les micro-services applicatifs et le chiffrement des données apparaissent parmi les tendances principales pour les mois à venir. En quête d’agilité, de performances et de résilience, l’entreprise est maintenant confrontée à la gouvernance des actifs IT, à la conformité réglementaire des données numériques, à la portabilité des charges applicatives ».

RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ?

© David Autin

Le mercredi 20 mars 2019, à 14h30, se déroulera une conférence sur le thème : « RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ? »

L’occasion d’évoquer le Cloud computing et la mise en conformité au RGPD ainsi que les incidences possibles du Cloud Act américain.

Avec la participation de :

A notre par ailleur que le jeudi 21 mars, Eric Le Quellenec particpera à une table ronde sur le thème : « Le ‘Cloud brokering’ en pratique : les avantages et les limites du modèle » Quelle réversibilité ? Faut-il prévoir un accompagnement ?

Participeront également à cette table ronde :

  • Gael Acke, DSI, Cerfrance Alliance
  • Stéphane Caron, manager Infrastructures, EDF
  • Jean-François Stricher, Chef de département Architecture et Solutions, Enedis

Table ronde animée par Philippe Roux, Animateur, Twin Sharks.

Informations pratiques

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Petit-déjeuner Débat : les grandes tendances du Cloud en 2019

tendances du CloudLe cabinet organise, le 10 avril 2019, un petit-déjeuner débat animé par Eric Le Quellenec, sur l’actualité du Cloud Computing.

Le Cloud Computing est incontournable pour l’informatique d’entreprise. Les tendances du Cloud, la localisation des données, leur confidentialité et sécurité, sont au cœur des préoccupations du DSI, du juriste comme de la direction générale.

Les grandes tendances du cloud : RGPD, directive NIS et Cloud Act,

Eric Le Quellenec, directeur du département informatique conseil, du cabinet Lexing Alain Bensoussan Avocats, s’attachera à traiter des enjeux du cloud computing en 2019, en particulier concernant les thématiques :

  • le multi-cloud : une tendance lourde ;
  • l’impact des directives NIS et secret des affaires ;
  • l’impact de la norme ISO 19086 : qualité de service et SLA;
  • la conformité du service cloud au RGPD, un an après ;
  • la signatures des avenants ou clauses de sous-traitance ;
  • les cas de responsabilité conjointe ;
  • la localisation des données, les flux transfrontières, le cas particulier du Brexit ;
  • les modalités et la conduite des audits RGPD ;
  • failles de sécurité, RGPD et cloud : retours d’expériences et sanctions CNIL ;
  • la réversibilité et la portabilité des données du cloud.

Cette présentation des tendances du Cloud sera suivie d’une session de questions-réponses avec les participants.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Cloud computing : les nouveaux enjeux juridiques

EDI 85 spécial Cloud computingFrédéric Forster évoque, dans sa dernière contribution au magazine EDI 85, les enjeux juridiques du cloud computing.

Le recours au cloud computing est désormais un incontournable qui, s’il présente des aspects pratiques indéniables, n’est pas sans poser de nouvelles problématiques juridiques, notamment sur le plan de la responsabilité.

Ce sont ces problématiques qu’évoque Frédéric Forster, directeur du pôle Télécoms du cabinet Alain Bensoussan Avocats Lexing, dans sa chronique pour le Magazine E.D.I. qui consacre dans son numéro de février un dossier entier au cloud computing, soulignant qu’« un certain nombre de nouveaux dispositifs juridiques (RGPD, Cloud Act…) viennent très directement impacter les conditions dans lesquelles s’inscrivent désormais les enjeux juridiques de la responsabilité, notamment contractuelle, des acteurs concernés ».

Cloud computing : nouveaux dispositifs juridiques, nouvelles responsabilités

Concernant les aspects liés à la responsabilité dans les contrats de cloud, la question qui est désormais posée est celle de « la répartition des rôles entre le prestataire de services de cloud, d’une part, et son client, d’autre part, telle que cette répartition est appréhendée par le Règlement général sur la protection des données personnelles (« RGPD »). »

Au-delà de ces aspects, le cloud pose également, selon Frédéric Forster, « de nouvelles questions quant à la capacité que devraient, ou pas, avoir les autorités judiciaires à se voir communiquer les informations hébergées par des entreprises auprès de prestataires de services de cloud dans le cadre de procédures ».

Les Etats-Unis d’Amérique ont réglé ce point, en adoptant, en avril 2018, le « Clarifying Lawful Overseas Use of Data act », encore appelé « Cloud Act », au titre duquel un prestataire hébergeant des données intéressant la justice américaine pour des infractions de droit commun est désormais contraint de les fournir sur réquisition, même si les données se trouvent physiquement hors des Etats-Unis d’Amérique et sous le contrôle d’une société n’étant pas de droit américain.

Cloud computing : vers un Cloud Act européen ?

Les instances européennes sont d’ailleurs en train de travailler sur un « Cloud Act européen » dont l’objectif serait « d’établir un cadre juridique pour l’instauration d’une souveraineté de l’Union Européenne sur « son » cloud, à l’instar de ce que les Etats-Unis ont réalisé ».

Et Frédéric Forster de conclure : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ».

F. Forster, Les nouveaux enjeux juridiques, EDI 85 spécial Cloud computing,
Magazine de février 2019, Dossier p. 44 et suivantes.




Les impacts de la norme ISO/IEC 19086 dans les contrats cloud

19086Développée conjointement par l’International Standard Organisation et l’International Electronical Commission, la norme ISO/IEC 19086 n’a pas de caractère obligatoire et ne permet pas la certification par un tiers habilité. Il serait plus approprié de parler d’un ensemble d’outils à la disposition des parties à un contrat cloud.

Les normes ISO 19086-1 à 4

La norme 19086 comprend en réalité quatre déclinaisons :

  • ISO/IEC 19086-1:2016 pose les bases sémantiques et conceptuelles pour établir une convention de services ;
  • ISO/IEC 19086-2:2018 est la dernière en date et elle pose les modèles de métriques sur la base des concepts standard du cloud ;
  • ISO/IEC 19086-3:2017 spécifie les exigences de conformité pour les niveaux de service établis dans 19086-1 ;
  • ISO/IEC 19086-4 n’est encore qu’à l’état de projet et va apporter des réponses sur la sécurité et le respect des données personnelles grâce aux niveaux de service.

Si l’ensemble constitué de ces quatre volets n’est pas encore totalement achevé, il n’en demeure pas moins que les parties au contrat cloud peuvent déjà, en tout ou partie, les exploiter utilement.

Les points du contrat cloud impactés

En 2016, Microsoft a commandé au cabinet Forrester (1) une étude pour évaluer dans les contrats cloud les points absents ou mal traités dans les contrats cloud et auxquels la seule norme IECO/IEC19086 pouvait déjà apporter des réponses.

467 utilisateurs du cloud situés sur les cinq continents ont été sondés. Les écarts constatés entre le contrat et ladite norme ont porté, par ordre décroissant d’importance, sur :

  • la fiabilité du service ;
  • la performance du service ;
  • la sécurité ;
  • la supervision ;
  • la disponibilité ;
  • la protection des données personnelles ;
  • l’accessibilité ;
  • la titularité des données ;
  • le support ;
  • les rôles et responsabilités.

Tous ces sujets peuvent être couverts dans le corps du contrat cloud et dans les annexes dédiées. Microsoft a tiré de cette étude une « check list » qui peut être appliquée à tout projet cloud au titre des « due diligences » (2).

En conclusion, si tous les acteurs du cloud ne peuvent ou veulent se soumettre aux recommandations de la famille des normes ISO 19086, il n’en demeure pas moins qu’elles constituent un fort encouragement à standardiser les services du cloud et partant à sécuriser les utilisateurs. Avant même sa publication, le Syntec appelait déjà à leur intégration dans le référentiel incontournable du cloud (3). A sa lumière, les parties au contrat cloud disposent de nouveaux outils pour en préciser et clarifier les termes.

Eric Le Quellenec
Lexing Informatique conseil

(1) Infographie étude Forrester, juin 2016.
(2) Cloud services due diligence checklist.
(3) Note du Syntec sur le référentiel d’exigences à l’informatique en nuages, 2015.




Le Cloud Act, booster du cloud Computing souverain

Cloud ActL’adoption du Cloud Act fragilise le modèle d’intégrité et de sécurité des principaux fournisseurs de cloud public.

Tout est parti d’une enquête judiciaire américaine en matière de trafic de stupéfiants. Des données sur ce réseau de malfaiteurs aurait été localisées dans les serveurs de Microsoft en Irlande sur le compte Outlook d’un utilisateur. Refusant d’obtempérer à une réquisition des juges américains, la firme de Redmond s’est exposée aux critiques les plus vives mettant en cause jusqu’à son sens patriotique.

Alors qu’une décision de la Supreme Court était attendue sur la question, le Congrès américain s’est emparé de la question, adoptant le 23 mars 2018 un cavalier législatif inclus dans un texte à vocation principalement budgétaire, appelé le Clarifying Lawful Overseas Use of Data Act dont l’acronyme est Cloud Act (1).

Cloud Act : contenu du texte

Le Cloud Act signifie en français : loi de clarification du transfert légal de données Outre-mer. Cette loi vient réformer le Stored Communications Act de 1986 qui exigeait de fastidieuses demandes d’entraides judiciaires internationales, fondées sur des traités bilatéraux pour obtenir la communication de la moindre donnée hébergée en dehors du territoire américain.

Sur simple réquisition judiciaire, toute société de droit américain doit désormais fournir de telles informations, indépendamment de la localisation physique de l’information.

Le Cloud Act s’applique à toute «United States person» définie très largement comme étant pour les personnes morales, toute société de droit américain, filiale étrangère incluse.

Sans surprise la procédure impliquant Microsoft Ireland a été abandonnée pour être réengagée sous l’empire du nouveau texte, Microsoft ayant déjà annoncé publiquement que les données seraient transmises dans ce nouveau cadre (2).

Cloud act : la réaction européenne

La commissaire européenne au numérique a d’ores et déjà fait part de ses vives inquiétudes suite à l’adoption hâtive du Cloud Act (3).

Depuis 2001 déjà, avec le Patriot act, les craintes de « fuite » de données au profit de l’Etat américain pour cause de défense nationale avaient été confirmées par les affaires Snowden, PRISM ou Echelon. Désormais, c’est pour toute affaire pénale de droit commun que la transmission de données à la justice américaine peut être systématisée.

Le sous-traitant voire le responsable du traitement qui répondrait un peu rapidement à une injonction de la justice américaine engagerait nécessairement sa responsabilité alors que l’article 48 du Règlement général européen sur la protection des données personnelles (RGPD) prévoit clairement que «toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international (…)», lequel n’existe pas (encore).

La protection des données du citoyen européen impliquerait de ne pas confier ses données à une société de droit américain mais c’est aussi techniquement qu’économiquement déraisonnable.

Sous l’influence très forte du RPGD, les acteurs du cloud y compris américains se sont déjà organisés pour proposer des offres plus respectueuses des standards européens avec ouverture de serveurs en Europe.

Les acteurs revendiquant un cloud souverain européen se multiplient cependant (4). En particulier, sur des architectures publiques, des initiatives de certification, par exemple par l’Anssi avec SecNumCloud (anciennement Cloud Secure), vont en ce sens. La sécurisation du cloud passe aussi par l’implémentation de la directive Network and Information Security dite NIS (5) récemment transposée en droit français (6).

Du reste, et depuis plusieurs années déjà, dans une logique de «cloud strategy» bien comprise, de nombreux utilisateurs ont déjà implémenté un cloud public pour des données moins sensibles et un cloud privé pour des données plus sensibles : l’architecture de type cloud hybride tend donc à se développer.

Il en résulte peut-être une facture cloud plus importante mais c’est le prix d’une sécurité technique et juridique renforcée.

Eric Le Quellenec
Lexing Informatique conseil

(1) Les dispositions du Cloud Act (modifiant le Stored Communications Act (SCA) de 1986, codifié au chapitre 121, 1ère partie, titre 18 de l’US Code) ont été adoptées avec le Consolidated Appropriations Act (Division V : Cloud Act), le 23 mars 2018.
(2) Après le vote du Cloud Act, la Cour Suprême jette l’éponge face à Microsoft, Le Monde Informatique du 7-4-2018.
(3) Pourquoi le «Cloud Act» américain inquiète l’Union européenne, Le Soir du 27-3-2018.
(4) Cloud souverain et offre informatique : état des lieux, Post du 7-12-2015.
(5) Directive NIS, Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, JOUE L 194 du 19-7-2016, p. 1–30 .
(6) Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, JORF du 27-2-2018.




Cloud computing et conformité RGPD : surmonter les paradoxes

Cloud computing et conformité RGPDConfronter Cloud computing et conformité RGPD (Règlement général sur la protection des données) peut sembler paradoxal.

Tel était le thème du Petit-déjeuner débat du 11 avril 2018 animé par Eric Le Quellenec et Edouard Camoin, responsable de la sécurité des systèmes d’information (RSSI) de la société Outscale.

En effet, le RGPD impose de nouvelles règles contraignantes sur un territoire restreint quand le cloud computing a vocation à se développer à l’international avec un objectif de service toujours plus performant.

Cloud computing et conformité RGPD : de nombreuses obligations

Cloud computing et conformité RGPD

Le RGPD impose de nombreuses obligations notamment en matière de sous-traitance. Il est donc important, dans un premier temps, d’écarter la responsabilité conjointe car les prestataires du cloud n’en veulent pas.

Concernant la clause de sous-traitance, celle-ci doit mentionner tous les points de l’article 28 du RGPD. Par ailleurs, il est nécessaire de mentionner :

  • la forme des instructions du client ;
  • l’arrêt des services par le sous-traitant pour une instruction illégale ;
  • la mention d’une obligation de moyen ou de résultat ;
  • le déplafonnement ou pas de la clause limitative de responsabilité ;
  • un droit de résiliation du contrat pour refus d’un sous-traitant ultérieur par le client ;
  • la mise en place d’un audit de manière indépendante et non pas automatique dès qu’une faille de sécurité apparaît ;
  • les délais pour la destruction des données à la fin du contrat.

Marché cloud US centré et RGPD

L’entrée en vigueur du RGPD n’empêche pas de continuer à travailler avec les Etats-Unis. Cependant, la Cnil conseille de ne contracter qu’avec les prestataires qui s’auto-déclarent conformes au Privacy Shield.

Affaire Microsoft Ireland

Dans le cadre d’un trafic de stupéfiants, la justice américaine a souhaité avoir accès à des données personnelles qui étaient stockées dans les serveurs de Microsoft Irland. Mircosoft Irland ayant refusé toute fourniture de données en l’absence de décision de justice américaine et d’exequatur en Irlande, les Etats-Unis ont voté une nouvelle loi : le Cloud Act (Clarifying Lawful Overseas Use of Data Act).

D’après ce Cloud Act, les Etats-Unis peuvent imposer à toute personne physique ou morale américaine ou rattachée aux Etats-Unis, d’après la définition de la « US Person » du Cloud Act, de divulguer des informations dans le cadre d’une décision judiciaire et ce même si cette personne est localisée en dehors des Etats-Unis.

Cloud computing et conformité RGPD

Le cloud souverain, une solution

Amazon étant le leader sur le marché du cloud, Outscale est une alternative qui propose une des infrastructures « multisouverains » (comprendre par régions) configurables sur mesure.

Concernant le transfert de données européennes aux Etats-Unis, sans revenir sur le Cloud Act, les contraintes sont nombreuses et les garanties faibles alors que concernant la conformité au Privacy Shield, il faut savoir que toute entreprise américaine peut être déclarée conforme si elle en paye le prix.

Eric Le Quellenec
Aurélie Alcaraz
Lexing Informatique conseil




Cloud computing world expo 2018 : réversible et souverain

Cloud computing world expo 2018Les 20 et 21 mars, Eric Le Quellenec et Daniel Korabelnikov sont intervenus lors du Cloud computing world expo 2018.

Ces interventions, sous forme de tables rondes, ont permis d’échanger, avec des sociétés, du secteur privé comme du secteur public, clientes récurrentes des fournisseurs de cloud computing, des bonnes pratiques dans le cloud computing sur les sujets suivants :

  • la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs ;
  • les clouds « souverains » de 2e génération s’affichent publiquement.

Cloud computing world expo 2018 : la réversibilité des contrats cloud

La table ronde de ce Cloud computing world expo 2018, concernant la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs posait les questions suivantes : Le changement de ‘sourcing’ n’est pas un scénario théorique. Que faut-il exiger des ‘providers’ ? Peut-on pratiquer le multi-sourcing sur le Cloud ? Comment s’organiser ? Quelles sont les clauses importantes ?

Monsieur Pierre Mangin, animateur de cette table ronde au Coud computing world expo 2018, était accompagné de Monsieur Jean-Marie Simonin (clouds automation Team Leader, Radio France), Monsieur Carlo Uzan (DSI transition, Infortive), Cyril Bartolo, (Directeur des applications, Groupe Lagardère) et Daniel Korabelnikov (avocat, Lexing Alain Bensoussan Avocats).

Ces échanges centrés sur les bonnes pratiques et les retours d’expérience n’ont pour autant pas occulté l’état des forces en négociation contractuelle entre les différents acteurs d’un projet cloud.

Les bonnes pratiques doivent être méthodologiquement intégrées par les clients pour user des bons leviers de négociation notamment avant la conclusion du contrat et éviter surtout d’être « captif ». Le mot d’ordre pour le client étant d’être autonome et de sortir du contrat le plus facilement possible, sans coût ou impossibilité technique (mise en œuvre de la portabilité des données par exemple).

Une clause de benchmark, sous condition de résiliation ou de réévaluation du prix du contrat, est une bonne pratique permettant de renégocier son contrat cloud tous les trois-quatre ans et d’analyser l’état économique et technique du marché.

Les questions d’un point de vue juridique, de la prévision contractuelle d’un plan de réversibilité à mettre à jour pendant l’exécution du contrat (en termes de tâches et de livrables attendus par le prestataire pour délimiter contractuellement le périmètre technique de la réversibilité), du planning de réversibilité et de son coût, doivent nécessairement se poser dès lors que l’on soulève les bonnes pratiques de la réversibilité dans le cloud.

La réversibilité doit faire l’objet d’une recette précise, sur la base d’un procès-verbal.

Il ne faut pas omettre un des nouveaux leviers de négociation des contrats cloud, au titre du RGPD, qui porte sur l’obligation du fournisseur Cloud de supprimer les données qu’il héberge à l’issue du contrat.

Cloud computing world expo 2018 : les opportunités du cloud souverain

Eric Le Quellenec (avocat, Lexing Alain Bensoussan Avocats) intervenait quant à lui à une table ronde portant sur les enjeux du cloud souverain et plus précisément sur les problématiques de localisation de la donnée et autres exigences du RGPD et de la directive NIS. À ses côtés Alain Merle, Directeur du programme de Transformation des Centres Informatiques, DINSIC et Christophe Boitiaux, Directeur marketing, T-SYSTEMS France apportaient leur témoignage côté client d’une part, prestataire dans l’Union européenne d’autre part.

L’intérêt d’un cloud souverain se renforce dans un contexte international instable et marqué par l’exacerbation de la compétition économique, donc d’un risque d’espionnage industriel renforcé.

Si les menaces liées au Patriot Act sont connues mais restent limitées, ce sont surtout les conséquences d’une éventuelle nouvelle loi américaine intitulée « cloud act » qui ont occupé les débats. « Cloud » signifie ici « clarifying lawful overseas use of data« . Ce texte d’opportunité autoriserait la justice américaine à obtenir des principaux acteurs du cloud toutes données peu importe leur localisation même hors des Etats-Unis d’Amérique dès lors qu’elles concernent une affaire jugée dans ce pays.

Eric Le Quellenec a rappelé les enjeux des transferts internationaux de données hors de l’Union européenne et les faiblesses du système de l’EU-US Privacy Shield venu en remplacement du Safe Harbour.

Il a ensuite conclu sur les futures certifications et codes de conduite sous-traitants prévues par le RGPD et qui devraient renforcer l’émergence d’un cloud souverain européen.

Alain Bensoussan Avocats
Lexing Département conseil informatique

Programme des conférences.




Cloud et conformité au RGPD : êtes-vous prêt à J-45 ?

Cloud et conformité au RGPDCloud et conformité au RGPD : êtes-vous prêt à J-45  ? C’était le thème du petit-déjeuner débat du 11 avril 2018 animé par Eric Le Quellenec et Edouard Camoin (Outscale).

Cloud et conformité au RGPD : la localisation des données

Depuis 10 ans, le Cloud Computing s’impose peu à peu comme une solution incontournable pour l’informatique d’entreprise. La localisation des données, leur confidentialité et sécurité n’est plus au cœur des préoccupations du DSI seulement mais aussi du juriste comme de la direction générale, en raison de l’application du RGPD au 25 mai 2018 et des sanctions très importantes encourues.

Le recours à des services de cloud ne peut se faire sans garantie quant à la localisation géographique effective des données et sans s’assurer des conditions légales posées par le règlement européen, en particulier pour les transferts de données en dehors de l’Union européenne.

Cloud et conformité au RGPD : une préoccupation conjointe

Le règlement européen pose un principe de responsabilité partagée avec les sous-traitants, hébergeurs et partenaires cloud. Ce faisant il change quelque peu la donne en matière de responsabilité. La sécurité des données doit donc être construite conjointement dans l’optique de réduire les risques tant du donneur d’ordre que des prestataires.

Dans une première partie, Eric Le Quellenec, directeur du département informatique conseil, s’est attaché à traiter de l’impact du Règlement européen sur les données personnelles pour les contrats cloud, en particulier sur :

  • les relations de sous-traitance et la négociation des clauses pertinentes associées ;
  • les modalités et la conduite des audits RGPD ;
  • la localisation des flux transfrontières et de la localisation des données ;
  • la réversibilité et la portabilité des données du Cloud.

Dans une seconde partie de ce petit déjeuner, Edouard Camoin, Responsable de la Sécurité des Systèmes d’Information de la société Outscale a présenté sa solution cloud 100 % française où comment le cloud souverain peut être une réponse pertinente aux exigences du RPGD.

Le petit-déjeuner débat s’est déroulé dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Le RGPD et la localisation des données en Europe

RGPD et la localisation des donnéesLe RGPD et la localisation des données dans l’UE est le prochain thème du petit-déjeuner débat organisé par le cabinet le 15 mars 2018.

RGPD : J-90 jours

Le Règlement européen sur la protection des données (RGPD), dont les dispositions seront directement applicables dans les Etats membres de l’Union européenne (UE) le 25 mai 2018, s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens.

RGPD : un champ d’application extrêmement large

Le périmètre du RGPD est donc particulièrement large puisqu’il couvre les entreprises et organisations qui utilisent ou stockent des informations personnelles des citoyens européens et de personnes physiques dans l’Union européenne ou de sociétés opérant au sein de celle-ci.

C’est donc la quasi-totalité des entreprises traitant des données personnelles de citoyens européens qui est concernée par le Règlement, soit la plupart des organisations partout dans le monde.

Le RGPD et la localisation des données : un enjeu stratégique

A l’heure où, globalisation des échanges oblige, le nombre de transferts de données hors de France et de l’Union européenne ne cesse de croître, il est indispensable pour les entreprises de maîtriser la localisation exacte de leurs données.

Choisir le lieu d’hébergement et de stockage de ses données et garantir que celles-ci sont stockées sur le territoire de l’UE est devenu dans le cadre du RGPD une véritable exigence pour la stratégie de gestion des risques de toute entreprise.
Le choix d’un Cloud souverain

Cela passera, notamment, par le choix d’un Cloud souverain pour garantir le stockage et le traitement des données sur le territoire français.

Autant de questions qui seront abordées dans le cadre de ce petit-déjeuner débat qui se déroulera le 15 mars 2018 de 9H à 11H au cabinet Lexing Alain Bensoussan Avocats intitulé «

RGPD et la localisation des données en Europe auquel participeront :

  • Alain Bensoussan, avocat à la Cour, Lexing Alain Bensoussan Avocats
  • Laurent Seror, fondateur & CEO, Outscale
  • Elie Cohen, directeur-général, Consort

 Inscription en ligne : lien




Cloud computing et fintech, recommandations des autorités de tutelle

Cloud computing et fintech

Cloud computing et fintech : la sensibilité des données bancaires justifie que les autorités de tutelles s’y soient intéressées.

L’enjeu est d’abord celui de la sécurité et de la confidentialité des données bancaires, financières et assurantielles, cible privilégiée des pirates informatiques. Or, il n’existe pas de fintech sans cloud. C’est donc au plus haut niveau que la problématique a été envisagée.

L’Autorité de contrôle prudentiel et de résolution (ACPR) en juillet 2013 (1) a publié ses recommandations dans la foulée de celles de la Cnil en juin 2012 (2).

Beaucoup plus récemment, le 20 décembre 2017, l’Autorité bancaire européenne (ABE), après une large consultation, a émis son rapport final (3). Les recommandations qu’elle émet devant avoir un effet contraignant au 1er juillet 2018 pour les institutions qu’elle contrôle.

Cloud computing et fintech : recommandations de l’ACPR

L’ACPR retient trois principaux risques sur le cloud computing et fintech :

  • la confidentialité des données ;
  • la disponibilité des données, notamment en cas de réversibilité de sorte de se prémunir de ce qu’elle qualifie d’un « enfermement » ;
  • pouvoir disposer de la preuve de la correcte exécution des prestations du prestataire de cloud et le contrôle de ce dernier.

Pour l’ACPR, ces risques s’encadrent d’abord et avant tout par un contrat adapté avec des engagements « impératifs ». Ce contrat doit notamment prévoir :

  • la faculté pour le client mais aussi l’ACPR d’auditer les services fournis et contrôler les engagements souscrits ;
  • prévoir des engagements de service avec une garantie de continuité d’exploitation ;
  • les conditions de réversibilité des services ;
  • des engagements au titre de la sécurité des systèmes et, en particulier, le chiffrement lors du transport et du stockage des données.

Cloud computing et fintech : recommandations de l’ABE

Toutes les recommandations de l’ACPR se retrouvent dans les travaux de l’ABE qui y ajoute :

  • la transparence du prestataire de cloud sur la localisation des données ;
  • la nécessité pour le prestataire de cloud computing et fintech de reporter les exigences contractuelles pesant sur lui vers ses propres sous-traitants en mode « back to back » (même chose pour les sous-traitants de rang ultérieur) ;
  • des plan de reprise et continuité d’activité mais aussi de réversibilité en fin de contrat.

Les exigences de l’ACPR et de l’ABE ne diffèrent pas fondamentalement des exigences de l’article 28 du Règlement général sur la protection des données (RGPD) (4). A ce titre, il y a convergence des exigences et il ne serait pas inopportun, pour une fintech, de mettre la gestion de toutes ses données dans le cloud (et pas uniquement celles à caractère personnel) au niveau de protection exigé par le RGPD.

Eric Le Quellenec
Lexing Informatique conseil

(1) Rapport ACP, « Risques associés au cloud computing », Analyse et synthèses n° 16, juillet 2017.
(2) Recommandations Cnil pour les entreprises qui envisagent de souscrire à des services de Cloud computing, Cnil, juin 2012.
(3) ABE Final report: Recommendations on outsourcing to cloud service providers, EBA/REC/2017/03, 20 December 2017.
(4) « Contrat cloud : les impacts du RGPD sur la sous-traitance »,  Post du 30 janvier 2017.




Serverless computing, enjeux juridiques de l’avenir du cloud

Serverless ComputingLe serverless computing présenté comme l’avenir du cloud computing pose des questions juridiques particulières.

Cette notion peut toutefois être déceptive. Elle ne repose pas sur une absence de serveurs. L’état de l’art ne le permet pas encore. En revanche, la promesse de ce nouveau service c’est de libérer totalement le développeur des contraintes liées aux serveurs, leur puissance, capacité et performance. Pour l’entreprise cliente d’un tel service, l’intérêt est de pouvoir disposer d’une plateforme scalable sur laquelle pouvoir librement développer des outils métiers.

Serverless computing : le cadre technique

Il n’existe pas de norme définissant le serverless computing. Techniquement, le serverless computing et encore moins de loi. Ce service rapproche plutôt d’une plateforme d’exécution en complément d’un espace d’hébergement dans le cloud. Comparé à un service de type Plateform as a Service (« PaaS »), le serverless computing permet directement de mettre en production l’application ou la fonctionnalité métier développée avec mise en production souple, rapide et sereine.

Les problématiques d’exécution et de montée en charge (« ramp up ») sont sous la responsabilité du prestataire serverless computing. Le management des serveurs et la gestion de leur capacité ne sont pas visibles du développeur utilisateur de la plateforme (1). On peut donc parler d’un service PaaS grandement amélioré.

Serverless computing : localisation des serveurs et protection des données personnelles

Le serverless computing ne fait pas exception aux exigences du RGPD incombant à tout responsable du traitement et du sous-traitant.

L’article 28 §3 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement (2).

Pour le serverless computing, la gestion des flux transfrontières de données, donc de leur localisation est cruciale car exclusivement sous la responsabilité du prestataire.

Dans la mesure où le prestataire serverless computing est seul décisionnaire des moyens alloués au traitement, il y aurait légitimement une réflexion à mener sur la qualification de responsable conjoint du traitement (3).

Serverless computing : trois clauses clés

Trois clauses doivent être particulièrement traitées dans le contrat cloud de type serverless computing : les garanties, la collaboration et la clause prix.

Au titre des garanties, le contrat pour un tel service doit prévoir une garantie de scalabilité et d’évolutivité, des garanties de performance et disponibilité de la plateforme en lien avec des SLA et pénalités associées.

La collaboration avec le partenaire doit être encadrée par une comitologie adaptée dans le sens où si la scalabilité est le point fort des offres de ce type, il n’en demeure pas moins qu’une montée en charge fulgurante nécessite, en mode projet, un minimum d’anticipation.

Le modèle économique du serverless computing repose principalement sur le code exécuté. Si cette métrique peut paraître claire, il n’en demeure pas moins qu’elle peut, dans son application, donner lieu à diverses interprétations pouvant conduire à de mauvaises surprises. Une vision claire et en temps réel du consommé par un outil de supervision facilement accessible doit être contractuellement organisée avec la faculté pour le client de discuter de la facturation en comité dédié.

Eric Le Quellenec
Lexing Droit de l’informatique

(1) Article wikipedia « serverless computing »
(2) Contrat cloud : les impacts du RGPD sur la sous-traitance, Post du 30-1-2017
(3) Contrats cloud : les impacts du RGPD et la cotraitance, Post du 2-32017