Les limites de l’informatique serverless

informatique serverlessEric Le Quellenec, Avocat, Directeur du département Informatique conseil de Lexing Alain Bensoussan Avocats, interviewé par IT Social sur l’ informatique serverless.

Contrairement à ce que l’on pourrait croire, il ne s’agit pas d’une architecture sans serveur mais de libérer totalement le développeur des contraintes liées aux serveurs, leur puissance, capacité et performance.

Pour l’entreprise cliente d’un tel service, l’intérêt est de pouvoir disposer d’une plateforme scalable sur laquelle pouvoir librement développer des outils métiers.

L’ informatique serverless est présentée comme l’avenir du cloud computing (1). Si elle présente des atouts indéniables (flexibilité, réduction des coûts, gestion déléguée), elle présente également des limites, en particulier en matière de confidentialité d’informations sensibles.

« Pour le Serverless, la gestion des flux transfrontières de données, donc de leur localisation est cruciale, car exclusivement sous la responsabilité du prestataire. Dans la mesure où le prestataire Serverless est seul décisionnaire des moyens alloués au traitement, il y aurait légitimement une réflexion à mener sur la qualification de responsable conjoint du traitement », explique Éric Le Quellenec.

Le Règlement général sur la protection des données (RGPD) implique en effet de retenir la juste qualification des intervenants au traitement, la sous-traitance n’étant pas systématiquement applicable.

Éric Le Quellenec interviewé par Philippe Richard, « Serverless : les pour et contre », IT Social.fr du 7 mai 2019.

Isabelle Pottier
Directeur Études et Publications

(1) Voir « Serverless computing, enjeux juridiques de l’avenir du cloud » du 8-2-2018.




Cloud : quelles nouvelles contraintes réglementaires ?

contraintes réglementaires pour le cloudEric Le Quellenec évoquera lors du salon Cloud Computing World Expo le nouveau cadre réglementaire du cloud à l’heure du RGPD et du Cloud Act.

Rencontre d’experts, conférences, keynotes, rendez-vous business… les 20 & 21 mars 2019 se tiendra à la Porte de Versailles la 10ème édition du salon Cloud Computing World Expo. L’objectif : cerner en deux jours tous les enjeux autour du cloud computing.

Grâce aux RdV Business, aux conférences, à l’espace démonstration de logiciels et au vaste hall d’exposition, Cloud Computing World Expo procure aux visiteurs un événement incontournable pour mieux cerner les enjeux, les offres de services et les logiciels cloud. Une occasion unique de comprendre plus facilement les enjeux de demain…

Cloud Computing World Expo : 10 ans

10 ans, 10 milliards d’euros : c’est le poids actuel du marché Français du cloud computing, au moment où le salon Cloud Computing World Expo fête sa première décennie.

Mieux, les services cloud connaissent une croissance annuelle de l’ordre de 23%. Ils sont tirés par les logiciels délivrés à la demande, les plateformes PaaS, les prestations d’infrastructures, mais aussi la mobilité, l’IoT, l’intelligence artificielle…

Cloud Computing : comment progressent les usages ?

Selon Denis Rémy, directeur du salon, près de 64% des organisations européennes utiliseraient déjà des services et technologies cloud, et elles seront plus de 90% à exploiter plusieurs clouds d’ici à la fin 2020. Les recettes des services cloud public et privé dépasseraient alors les 64 milliards de dollars en Europe en 2020 (source IDC, citée par Denis Rémy) : « Le multicloud, les technologies de conteneurs, les micro-services applicatifs et le chiffrement des données apparaissent parmi les tendances principales pour les mois à venir. En quête d’agilité, de performances et de résilience, l’entreprise est maintenant confrontée à la gouvernance des actifs IT, à la conformité réglementaire des données numériques, à la portabilité des charges applicatives ».

RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ?

© David Autin

Le mercredi 20 mars 2019, à 14h30, se déroulera une conférence sur le thème : « RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ? »

L’occasion d’évoquer le Cloud computing et la mise en conformité au RGPD ainsi que les incidences possibles du Cloud Act américain.

Avec la participation de :

A notre par ailleur que le jeudi 21 mars, Eric Le Quellenec particpera à une table ronde sur le thème : « Le ‘Cloud brokering’ en pratique : les avantages et les limites du modèle » Quelle réversibilité ? Faut-il prévoir un accompagnement ?

Participeront également à cette table ronde :

  • Gael Acke, DSI, Cerfrance Alliance
  • Stéphane Caron, manager Infrastructures, EDF
  • Jean-François Stricher, Chef de département Architecture et Solutions, Enedis

Table ronde animée par Philippe Roux, Animateur, Twin Sharks.

Informations pratiques

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Petit-déjeuner Débat : les grandes tendances du Cloud en 2019

tendances du CloudLe cabinet organise, le 10 avril 2019, un petit-déjeuner débat animé par Eric Le Quellenec, sur l’actualité du Cloud Computing.

Le Cloud Computing est incontournable pour l’informatique d’entreprise. Les tendances du Cloud, la localisation des données, leur confidentialité et sécurité, sont au cœur des préoccupations du DSI, du juriste comme de la direction générale.

Les grandes tendances du cloud : RGPD, directive NIS et Cloud Act,

Eric Le Quellenec, directeur du département informatique conseil, du cabinet Lexing Alain Bensoussan Avocats, s’attachera à traiter des enjeux du cloud computing en 2019, en particulier concernant les thématiques :

  • le multi-cloud : une tendance lourde ;
  • l’impact des directives NIS et secret des affaires ;
  • l’impact de la norme ISO 19086 : qualité de service et SLA;
  • la conformité du service cloud au RGPD, un an après ;
  • la signatures des avenants ou clauses de sous-traitance ;
  • les cas de responsabilité conjointe ;
  • la localisation des données, les flux transfrontières, le cas particulier du Brexit ;
  • les modalités et la conduite des audits RGPD ;
  • failles de sécurité, RGPD et cloud : retours d’expériences et sanctions CNIL ;
  • la réversibilité et la portabilité des données du cloud.

Cette présentation des tendances du Cloud sera suivie d’une session de questions-réponses avec les participants.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Cloud computing : les nouveaux enjeux juridiques

EDI 85 spécial Cloud computingFrédéric Forster évoque, dans sa dernière contribution au magazine EDI 85, les enjeux juridiques du cloud computing.

Le recours au cloud computing est désormais un incontournable qui, s’il présente des aspects pratiques indéniables, n’est pas sans poser de nouvelles problématiques juridiques, notamment sur le plan de la responsabilité.

Ce sont ces problématiques qu’évoque Frédéric Forster, directeur du pôle Télécoms du cabinet Alain Bensoussan Avocats Lexing, dans sa chronique pour le Magazine E.D.I. qui consacre dans son numéro de février un dossier entier au cloud computing, soulignant qu’« un certain nombre de nouveaux dispositifs juridiques (RGPD, Cloud Act…) viennent très directement impacter les conditions dans lesquelles s’inscrivent désormais les enjeux juridiques de la responsabilité, notamment contractuelle, des acteurs concernés ».

Cloud computing : nouveaux dispositifs juridiques, nouvelles responsabilités

Concernant les aspects liés à la responsabilité dans les contrats de cloud, la question qui est désormais posée est celle de « la répartition des rôles entre le prestataire de services de cloud, d’une part, et son client, d’autre part, telle que cette répartition est appréhendée par le Règlement général sur la protection des données personnelles (« RGPD »). »

Au-delà de ces aspects, le cloud pose également, selon Frédéric Forster, « de nouvelles questions quant à la capacité que devraient, ou pas, avoir les autorités judiciaires à se voir communiquer les informations hébergées par des entreprises auprès de prestataires de services de cloud dans le cadre de procédures ».

Les Etats-Unis d’Amérique ont réglé ce point, en adoptant, en avril 2018, le « Clarifying Lawful Overseas Use of Data act », encore appelé « Cloud Act », au titre duquel un prestataire hébergeant des données intéressant la justice américaine pour des infractions de droit commun est désormais contraint de les fournir sur réquisition, même si les données se trouvent physiquement hors des Etats-Unis d’Amérique et sous le contrôle d’une société n’étant pas de droit américain.

Cloud computing : vers un Cloud Act européen ?

Les instances européennes sont d’ailleurs en train de travailler sur un « Cloud Act européen » dont l’objectif serait « d’établir un cadre juridique pour l’instauration d’une souveraineté de l’Union Européenne sur « son » cloud, à l’instar de ce que les Etats-Unis ont réalisé ».

Et Frédéric Forster de conclure : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ».

F. Forster, Les nouveaux enjeux juridiques, EDI 85 spécial Cloud computing,
Magazine de février 2019, Dossier p. 44 et suivantes.




Les impacts de la norme ISO/IEC 19086 dans les contrats cloud

19086Développée conjointement par l’International Standard Organisation et l’International Electronical Commission, la norme ISO/IEC 19086 n’a pas de caractère obligatoire et ne permet pas la certification par un tiers habilité. Il serait plus approprié de parler d’un ensemble d’outils à la disposition des parties à un contrat cloud.

Les normes ISO 19086-1 à 4

La norme 19086 comprend en réalité quatre déclinaisons :

  • ISO/IEC 19086-1:2016 pose les bases sémantiques et conceptuelles pour établir une convention de services ;
  • ISO/IEC 19086-2:2018 est la dernière en date et elle pose les modèles de métriques sur la base des concepts standard du cloud ;
  • ISO/IEC 19086-3:2017 spécifie les exigences de conformité pour les niveaux de service établis dans 19086-1 ;
  • ISO/IEC 19086-4 n’est encore qu’à l’état de projet et va apporter des réponses sur la sécurité et le respect des données personnelles grâce aux niveaux de service.

Si l’ensemble constitué de ces quatre volets n’est pas encore totalement achevé, il n’en demeure pas moins que les parties au contrat cloud peuvent déjà, en tout ou partie, les exploiter utilement.

Les points du contrat cloud impactés

En 2016, Microsoft a commandé au cabinet Forrester (1) une étude pour évaluer dans les contrats cloud les points absents ou mal traités dans les contrats cloud et auxquels la seule norme IECO/IEC19086 pouvait déjà apporter des réponses.

467 utilisateurs du cloud situés sur les cinq continents ont été sondés. Les écarts constatés entre le contrat et ladite norme ont porté, par ordre décroissant d’importance, sur :

  • la fiabilité du service ;
  • la performance du service ;
  • la sécurité ;
  • la supervision ;
  • la disponibilité ;
  • la protection des données personnelles ;
  • l’accessibilité ;
  • la titularité des données ;
  • le support ;
  • les rôles et responsabilités.

Tous ces sujets peuvent être couverts dans le corps du contrat cloud et dans les annexes dédiées. Microsoft a tiré de cette étude une « check list » qui peut être appliquée à tout projet cloud au titre des « due diligences » (2).

En conclusion, si tous les acteurs du cloud ne peuvent ou veulent se soumettre aux recommandations de la famille des normes ISO 19086, il n’en demeure pas moins qu’elles constituent un fort encouragement à standardiser les services du cloud et partant à sécuriser les utilisateurs. Avant même sa publication, le Syntec appelait déjà à leur intégration dans le référentiel incontournable du cloud (3). A sa lumière, les parties au contrat cloud disposent de nouveaux outils pour en préciser et clarifier les termes.

Eric Le Quellenec
Lexing Informatique conseil

(1) Infographie étude Forrester, juin 2016.
(2) Cloud services due diligence checklist.
(3) Note du Syntec sur le référentiel d’exigences à l’informatique en nuages, 2015.




Le Cloud Act, booster du cloud Computing souverain

Cloud ActL’adoption du Cloud Act fragilise le modèle d’intégrité et de sécurité des principaux fournisseurs de cloud public.

Tout est parti d’une enquête judiciaire américaine en matière de trafic de stupéfiants. Des données sur ce réseau de malfaiteurs aurait été localisées dans les serveurs de Microsoft en Irlande sur le compte Outlook d’un utilisateur. Refusant d’obtempérer à une réquisition des juges américains, la firme de Redmond s’est exposée aux critiques les plus vives mettant en cause jusqu’à son sens patriotique.

Alors qu’une décision de la Supreme Court était attendue sur la question, le Congrès américain s’est emparé de la question, adoptant le 23 mars 2018 un cavalier législatif inclus dans un texte à vocation principalement budgétaire, appelé le Clarifying Lawful Overseas Use of Data Act dont l’acronyme est Cloud Act (1).

Cloud Act : contenu du texte

Le Cloud Act signifie en français : loi de clarification du transfert légal de données Outre-mer. Cette loi vient réformer le Stored Communications Act de 1986 qui exigeait de fastidieuses demandes d’entraides judiciaires internationales, fondées sur des traités bilatéraux pour obtenir la communication de la moindre donnée hébergée en dehors du territoire américain.

Sur simple réquisition judiciaire, toute société de droit américain doit désormais fournir de telles informations, indépendamment de la localisation physique de l’information.

Le Cloud Act s’applique à toute «United States person» définie très largement comme étant pour les personnes morales, toute société de droit américain, filiale étrangère incluse.

Sans surprise la procédure impliquant Microsoft Ireland a été abandonnée pour être réengagée sous l’empire du nouveau texte, Microsoft ayant déjà annoncé publiquement que les données seraient transmises dans ce nouveau cadre (2).

Cloud act : la réaction européenne

La commissaire européenne au numérique a d’ores et déjà fait part de ses vives inquiétudes suite à l’adoption hâtive du Cloud Act (3).

Depuis 2001 déjà, avec le Patriot act, les craintes de « fuite » de données au profit de l’Etat américain pour cause de défense nationale avaient été confirmées par les affaires Snowden, PRISM ou Echelon. Désormais, c’est pour toute affaire pénale de droit commun que la transmission de données à la justice américaine peut être systématisée.

Le sous-traitant voire le responsable du traitement qui répondrait un peu rapidement à une injonction de la justice américaine engagerait nécessairement sa responsabilité alors que l’article 48 du Règlement général européen sur la protection des données personnelles (RGPD) prévoit clairement que «toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international (…)», lequel n’existe pas (encore).

La protection des données du citoyen européen impliquerait de ne pas confier ses données à une société de droit américain mais c’est aussi techniquement qu’économiquement déraisonnable.

Sous l’influence très forte du RPGD, les acteurs du cloud y compris américains se sont déjà organisés pour proposer des offres plus respectueuses des standards européens avec ouverture de serveurs en Europe.

Les acteurs revendiquant un cloud souverain européen se multiplient cependant (4). En particulier, sur des architectures publiques, des initiatives de certification, par exemple par l’Anssi avec SecNumCloud (anciennement Cloud Secure), vont en ce sens. La sécurisation du cloud passe aussi par l’implémentation de la directive Network and Information Security dite NIS (5) récemment transposée en droit français (6).

Du reste, et depuis plusieurs années déjà, dans une logique de «cloud strategy» bien comprise, de nombreux utilisateurs ont déjà implémenté un cloud public pour des données moins sensibles et un cloud privé pour des données plus sensibles : l’architecture de type cloud hybride tend donc à se développer.

Il en résulte peut-être une facture cloud plus importante mais c’est le prix d’une sécurité technique et juridique renforcée.

Eric Le Quellenec
Lexing Informatique conseil

(1) Les dispositions du Cloud Act (modifiant le Stored Communications Act (SCA) de 1986, codifié au chapitre 121, 1ère partie, titre 18 de l’US Code) ont été adoptées avec le Consolidated Appropriations Act (Division V : Cloud Act), le 23 mars 2018.
(2) Après le vote du Cloud Act, la Cour Suprême jette l’éponge face à Microsoft, Le Monde Informatique du 7-4-2018.
(3) Pourquoi le «Cloud Act» américain inquiète l’Union européenne, Le Soir du 27-3-2018.
(4) Cloud souverain et offre informatique : état des lieux, Post du 7-12-2015.
(5) Directive NIS, Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, JOUE L 194 du 19-7-2016, p. 1–30 .
(6) Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, JORF du 27-2-2018.




Cloud computing et conformité RGPD : surmonter les paradoxes

Cloud computing et conformité RGPDConfronter Cloud computing et conformité RGPD (Règlement général sur la protection des données) peut sembler paradoxal.

Tel était le thème du Petit-déjeuner débat du 11 avril 2018 animé par Eric Le Quellenec et Edouard Camoin, responsable de la sécurité des systèmes d’information (RSSI) de la société Outscale.

En effet, le RGPD impose de nouvelles règles contraignantes sur un territoire restreint quand le cloud computing a vocation à se développer à l’international avec un objectif de service toujours plus performant.

Cloud computing et conformité RGPD : de nombreuses obligations

Cloud computing et conformité RGPD

Le RGPD impose de nombreuses obligations notamment en matière de sous-traitance. Il est donc important, dans un premier temps, d’écarter la responsabilité conjointe car les prestataires du cloud n’en veulent pas.

Concernant la clause de sous-traitance, celle-ci doit mentionner tous les points de l’article 28 du RGPD. Par ailleurs, il est nécessaire de mentionner :

  • la forme des instructions du client ;
  • l’arrêt des services par le sous-traitant pour une instruction illégale ;
  • la mention d’une obligation de moyen ou de résultat ;
  • le déplafonnement ou pas de la clause limitative de responsabilité ;
  • un droit de résiliation du contrat pour refus d’un sous-traitant ultérieur par le client ;
  • la mise en place d’un audit de manière indépendante et non pas automatique dès qu’une faille de sécurité apparaît ;
  • les délais pour la destruction des données à la fin du contrat.

Marché cloud US centré et RGPD

L’entrée en vigueur du RGPD n’empêche pas de continuer à travailler avec les Etats-Unis. Cependant, la Cnil conseille de ne contracter qu’avec les prestataires qui s’auto-déclarent conformes au Privacy Shield.

Affaire Microsoft Ireland

Dans le cadre d’un trafic de stupéfiants, la justice américaine a souhaité avoir accès à des données personnelles qui étaient stockées dans les serveurs de Microsoft Irland. Mircosoft Irland ayant refusé toute fourniture de données en l’absence de décision de justice américaine et d’exequatur en Irlande, les Etats-Unis ont voté une nouvelle loi : le Cloud Act (Clarifying Lawful Overseas Use of Data Act).

D’après ce Cloud Act, les Etats-Unis peuvent imposer à toute personne physique ou morale américaine ou rattachée aux Etats-Unis, d’après la définition de la « US Person » du Cloud Act, de divulguer des informations dans le cadre d’une décision judiciaire et ce même si cette personne est localisée en dehors des Etats-Unis.

Cloud computing et conformité RGPD

Le cloud souverain, une solution

Amazon étant le leader sur le marché du cloud, Outscale est une alternative qui propose une des infrastructures « multisouverains » (comprendre par régions) configurables sur mesure.

Concernant le transfert de données européennes aux Etats-Unis, sans revenir sur le Cloud Act, les contraintes sont nombreuses et les garanties faibles alors que concernant la conformité au Privacy Shield, il faut savoir que toute entreprise américaine peut être déclarée conforme si elle en paye le prix.

Eric Le Quellenec
Aurélie Alcaraz
Lexing Informatique conseil




Cloud computing world expo 2018 : réversible et souverain

Cloud computing world expo 2018Les 20 et 21 mars, Eric Le Quellenec et Daniel Korabelnikov sont intervenus lors du Cloud computing world expo 2018.

Ces interventions, sous forme de tables rondes, ont permis d’échanger, avec des sociétés, du secteur privé comme du secteur public, clientes récurrentes des fournisseurs de cloud computing, des bonnes pratiques dans le cloud computing sur les sujets suivants :

  • la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs ;
  • les clouds « souverains » de 2e génération s’affichent publiquement.

Cloud computing world expo 2018 : la réversibilité des contrats cloud

La table ronde de ce Cloud computing world expo 2018, concernant la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs posait les questions suivantes : Le changement de ‘sourcing’ n’est pas un scénario théorique. Que faut-il exiger des ‘providers’ ? Peut-on pratiquer le multi-sourcing sur le Cloud ? Comment s’organiser ? Quelles sont les clauses importantes ?

Monsieur Pierre Mangin, animateur de cette table ronde au Coud computing world expo 2018, était accompagné de Monsieur Jean-Marie Simonin (clouds automation Team Leader, Radio France), Monsieur Carlo Uzan (DSI transition, Infortive), Cyril Bartolo, (Directeur des applications, Groupe Lagardère) et Daniel Korabelnikov (avocat, Lexing Alain Bensoussan Avocats).

Ces échanges centrés sur les bonnes pratiques et les retours d’expérience n’ont pour autant pas occulté l’état des forces en négociation contractuelle entre les différents acteurs d’un projet cloud.

Les bonnes pratiques doivent être méthodologiquement intégrées par les clients pour user des bons leviers de négociation notamment avant la conclusion du contrat et éviter surtout d’être « captif ». Le mot d’ordre pour le client étant d’être autonome et de sortir du contrat le plus facilement possible, sans coût ou impossibilité technique (mise en œuvre de la portabilité des données par exemple).

Une clause de benchmark, sous condition de résiliation ou de réévaluation du prix du contrat, est une bonne pratique permettant de renégocier son contrat cloud tous les trois-quatre ans et d’analyser l’état économique et technique du marché.

Les questions d’un point de vue juridique, de la prévision contractuelle d’un plan de réversibilité à mettre à jour pendant l’exécution du contrat (en termes de tâches et de livrables attendus par le prestataire pour délimiter contractuellement le périmètre technique de la réversibilité), du planning de réversibilité et de son coût, doivent nécessairement se poser dès lors que l’on soulève les bonnes pratiques de la réversibilité dans le cloud.

La réversibilité doit faire l’objet d’une recette précise, sur la base d’un procès-verbal.

Il ne faut pas omettre un des nouveaux leviers de négociation des contrats cloud, au titre du RGPD, qui porte sur l’obligation du fournisseur Cloud de supprimer les données qu’il héberge à l’issue du contrat.

Cloud computing world expo 2018 : les opportunités du cloud souverain

Eric Le Quellenec (avocat, Lexing Alain Bensoussan Avocats) intervenait quant à lui à une table ronde portant sur les enjeux du cloud souverain et plus précisément sur les problématiques de localisation de la donnée et autres exigences du RGPD et de la directive NIS. À ses côtés Alain Merle, Directeur du programme de Transformation des Centres Informatiques, DINSIC et Christophe Boitiaux, Directeur marketing, T-SYSTEMS France apportaient leur témoignage côté client d’une part, prestataire dans l’Union européenne d’autre part.

L’intérêt d’un cloud souverain se renforce dans un contexte international instable et marqué par l’exacerbation de la compétition économique, donc d’un risque d’espionnage industriel renforcé.

Si les menaces liées au Patriot Act sont connues mais restent limitées, ce sont surtout les conséquences d’une éventuelle nouvelle loi américaine intitulée « cloud act » qui ont occupé les débats. « Cloud » signifie ici « clarifying lawful overseas use of data« . Ce texte d’opportunité autoriserait la justice américaine à obtenir des principaux acteurs du cloud toutes données peu importe leur localisation même hors des Etats-Unis d’Amérique dès lors qu’elles concernent une affaire jugée dans ce pays.

Eric Le Quellenec a rappelé les enjeux des transferts internationaux de données hors de l’Union européenne et les faiblesses du système de l’EU-US Privacy Shield venu en remplacement du Safe Harbour.

Il a ensuite conclu sur les futures certifications et codes de conduite sous-traitants prévues par le RGPD et qui devraient renforcer l’émergence d’un cloud souverain européen.

Alain Bensoussan Avocats
Lexing Département conseil informatique

Programme des conférences.




Cloud et conformité au RGPD : êtes-vous prêt à J-45 ?

Cloud et conformité au RGPDCloud et conformité au RGPD : êtes-vous prêt à J-45  ? C’était le thème du petit-déjeuner débat du 11 avril 2018 animé par Eric Le Quellenec et Edouard Camoin (Outscale).

Cloud et conformité au RGPD : la localisation des données

Depuis 10 ans, le Cloud Computing s’impose peu à peu comme une solution incontournable pour l’informatique d’entreprise. La localisation des données, leur confidentialité et sécurité n’est plus au cœur des préoccupations du DSI seulement mais aussi du juriste comme de la direction générale, en raison de l’application du RGPD au 25 mai 2018 et des sanctions très importantes encourues.

Le recours à des services de cloud ne peut se faire sans garantie quant à la localisation géographique effective des données et sans s’assurer des conditions légales posées par le règlement européen, en particulier pour les transferts de données en dehors de l’Union européenne.

Cloud et conformité au RGPD : une préoccupation conjointe

Le règlement européen pose un principe de responsabilité partagée avec les sous-traitants, hébergeurs et partenaires cloud. Ce faisant il change quelque peu la donne en matière de responsabilité. La sécurité des données doit donc être construite conjointement dans l’optique de réduire les risques tant du donneur d’ordre que des prestataires.

Dans une première partie, Eric Le Quellenec, directeur du département informatique conseil, s’est attaché à traiter de l’impact du Règlement européen sur les données personnelles pour les contrats cloud, en particulier sur :

  • les relations de sous-traitance et la négociation des clauses pertinentes associées ;
  • les modalités et la conduite des audits RGPD ;
  • la localisation des flux transfrontières et de la localisation des données ;
  • la réversibilité et la portabilité des données du Cloud.

Dans une seconde partie de ce petit déjeuner, Edouard Camoin, Responsable de la Sécurité des Systèmes d’Information de la société Outscale a présenté sa solution cloud 100 % française où comment le cloud souverain peut être une réponse pertinente aux exigences du RPGD.

Le petit-déjeuner débat s’est déroulé dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Le RGPD et la localisation des données en Europe

RGPD et la localisation des donnéesLe RGPD et la localisation des données dans l’UE est le prochain thème du petit-déjeuner débat organisé par le cabinet le 15 mars 2018.

RGPD : J-90 jours

Le Règlement européen sur la protection des données (RGPD), dont les dispositions seront directement applicables dans les Etats membres de l’Union européenne (UE) le 25 mai 2018, s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens.

RGPD : un champ d’application extrêmement large

Le périmètre du RGPD est donc particulièrement large puisqu’il couvre les entreprises et organisations qui utilisent ou stockent des informations personnelles des citoyens européens et de personnes physiques dans l’Union européenne ou de sociétés opérant au sein de celle-ci.

C’est donc la quasi-totalité des entreprises traitant des données personnelles de citoyens européens qui est concernée par le Règlement, soit la plupart des organisations partout dans le monde.

Le RGPD et la localisation des données : un enjeu stratégique

A l’heure où, globalisation des échanges oblige, le nombre de transferts de données hors de France et de l’Union européenne ne cesse de croître, il est indispensable pour les entreprises de maîtriser la localisation exacte de leurs données.

Choisir le lieu d’hébergement et de stockage de ses données et garantir que celles-ci sont stockées sur le territoire de l’UE est devenu dans le cadre du RGPD une véritable exigence pour la stratégie de gestion des risques de toute entreprise.
Le choix d’un Cloud souverain

Cela passera, notamment, par le choix d’un Cloud souverain pour garantir le stockage et le traitement des données sur le territoire français.

Autant de questions qui seront abordées dans le cadre de ce petit-déjeuner débat qui se déroulera le 15 mars 2018 de 9H à 11H au cabinet Lexing Alain Bensoussan Avocats intitulé «

RGPD et la localisation des données en Europe auquel participeront :

  • Alain Bensoussan, avocat à la Cour, Lexing Alain Bensoussan Avocats
  • Laurent Seror, fondateur & CEO, Outscale
  • Elie Cohen, directeur-général, Consort

 Inscription en ligne : lien




Cloud computing et fintech, recommandations des autorités de tutelle

Cloud computing et fintech

Cloud computing et fintech : la sensibilité des données bancaires justifie que les autorités de tutelles s’y soient intéressées.

L’enjeu est d’abord celui de la sécurité et de la confidentialité des données bancaires, financières et assurantielles, cible privilégiée des pirates informatiques. Or, il n’existe pas de fintech sans cloud. C’est donc au plus haut niveau que la problématique a été envisagée.

L’Autorité de contrôle prudentiel et de résolution (ACPR) en juillet 2013 (1) a publié ses recommandations dans la foulée de celles de la Cnil en juin 2012 (2).

Beaucoup plus récemment, le 20 décembre 2017, l’Autorité bancaire européenne (ABE), après une large consultation, a émis son rapport final (3). Les recommandations qu’elle émet devant avoir un effet contraignant au 1er juillet 2018 pour les institutions qu’elle contrôle.

Cloud computing et fintech : recommandations de l’ACPR

L’ACPR retient trois principaux risques sur le cloud computing et fintech :

  • la confidentialité des données ;
  • la disponibilité des données, notamment en cas de réversibilité de sorte de se prémunir de ce qu’elle qualifie d’un « enfermement » ;
  • pouvoir disposer de la preuve de la correcte exécution des prestations du prestataire de cloud et le contrôle de ce dernier.

Pour l’ACPR, ces risques s’encadrent d’abord et avant tout par un contrat adapté avec des engagements « impératifs ». Ce contrat doit notamment prévoir :

  • la faculté pour le client mais aussi l’ACPR d’auditer les services fournis et contrôler les engagements souscrits ;
  • prévoir des engagements de service avec une garantie de continuité d’exploitation ;
  • les conditions de réversibilité des services ;
  • des engagements au titre de la sécurité des systèmes et, en particulier, le chiffrement lors du transport et du stockage des données.

Cloud computing et fintech : recommandations de l’ABE

Toutes les recommandations de l’ACPR se retrouvent dans les travaux de l’ABE qui y ajoute :

  • la transparence du prestataire de cloud sur la localisation des données ;
  • la nécessité pour le prestataire de cloud computing et fintech de reporter les exigences contractuelles pesant sur lui vers ses propres sous-traitants en mode « back to back » (même chose pour les sous-traitants de rang ultérieur) ;
  • des plan de reprise et continuité d’activité mais aussi de réversibilité en fin de contrat.

Les exigences de l’ACPR et de l’ABE ne diffèrent pas fondamentalement des exigences de l’article 28 du Règlement général sur la protection des données (RGPD) (4). A ce titre, il y a convergence des exigences et il ne serait pas inopportun, pour une fintech, de mettre la gestion de toutes ses données dans le cloud (et pas uniquement celles à caractère personnel) au niveau de protection exigé par le RGPD.

Eric Le Quellenec
Lexing Informatique conseil

(1) Rapport ACP, « Risques associés au cloud computing », Analyse et synthèses n° 16, juillet 2017.
(2) Recommandations Cnil pour les entreprises qui envisagent de souscrire à des services de Cloud computing, Cnil, juin 2012.
(3) ABE Final report: Recommendations on outsourcing to cloud service providers, EBA/REC/2017/03, 20 December 2017.
(4) « Contrat cloud : les impacts du RGPD sur la sous-traitance »,  Post du 30 janvier 2017.




Serverless computing, enjeux juridiques de l’avenir du cloud

Serverless ComputingLe serverless computing présenté comme l’avenir du cloud computing pose des questions juridiques particulières.

Cette notion peut toutefois être déceptive. Elle ne repose pas sur une absence de serveurs. L’état de l’art ne le permet pas encore. En revanche, la promesse de ce nouveau service c’est de libérer totalement le développeur des contraintes liées aux serveurs, leur puissance, capacité et performance. Pour l’entreprise cliente d’un tel service, l’intérêt est de pouvoir disposer d’une plateforme scalable sur laquelle pouvoir librement développer des outils métiers.

Serverless computing : le cadre technique

Il n’existe pas de norme définissant le serverless computing. Techniquement, le serverless computing et encore moins de loi. Ce service rapproche plutôt d’une plateforme d’exécution en complément d’un espace d’hébergement dans le cloud. Comparé à un service de type Plateform as a Service (« PaaS »), le serverless computing permet directement de mettre en production l’application ou la fonctionnalité métier développée avec mise en production souple, rapide et sereine.

Les problématiques d’exécution et de montée en charge (« ramp up ») sont sous la responsabilité du prestataire serverless computing. Le management des serveurs et la gestion de leur capacité ne sont pas visibles du développeur utilisateur de la plateforme (1). On peut donc parler d’un service PaaS grandement amélioré.

Serverless computing : localisation des serveurs et protection des données personnelles

Le serverless computing ne fait pas exception aux exigences du RGPD incombant à tout responsable du traitement et du sous-traitant.

L’article 28 §3 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement (2).

Pour le serverless computing, la gestion des flux transfrontières de données, donc de leur localisation est cruciale car exclusivement sous la responsabilité du prestataire.

Dans la mesure où le prestataire serverless computing est seul décisionnaire des moyens alloués au traitement, il y aurait légitimement une réflexion à mener sur la qualification de responsable conjoint du traitement (3).

Serverless computing : trois clauses clés

Trois clauses doivent être particulièrement traitées dans le contrat cloud de type serverless computing : les garanties, la collaboration et la clause prix.

Au titre des garanties, le contrat pour un tel service doit prévoir une garantie de scalabilité et d’évolutivité, des garanties de performance et disponibilité de la plateforme en lien avec des SLA et pénalités associées.

La collaboration avec le partenaire doit être encadrée par une comitologie adaptée dans le sens où si la scalabilité est le point fort des offres de ce type, il n’en demeure pas moins qu’une montée en charge fulgurante nécessite, en mode projet, un minimum d’anticipation.

Le modèle économique du serverless computing repose principalement sur le code exécuté. Si cette métrique peut paraître claire, il n’en demeure pas moins qu’elle peut, dans son application, donner lieu à diverses interprétations pouvant conduire à de mauvaises surprises. Une vision claire et en temps réel du consommé par un outil de supervision facilement accessible doit être contractuellement organisée avec la faculté pour le client de discuter de la facturation en comité dédié.

Eric Le Quellenec
Lexing Droit de l’informatique

(1) Article wikipedia « serverless computing »
(2) Contrat cloud : les impacts du RGPD sur la sous-traitance, Post du 30-1-2017
(3) Contrats cloud : les impacts du RGPD et la cotraitance, Post du 2-32017




RGPD : droits et obligations du sous-traitant de rang 2

sous-traitant de rang 2Le RGPD envisage de manière claire les droits et obligations du sous-traitant de rang 2 avec des enjeux contractuels forts.

Les architectures techniques dans le cloud sont complexes et font régulièrement intervenir des sous-traitants (« data processor » en anglais) à plusieurs niveaux. Lorsque des données personnelles sont traitées dans le cloud, le RGPD (1) pose une exigence de transparence forte.

Sous-traitant de rang 2 : information – acceptation

L’article 28, §2 et 4 du RGPD traitent directement du sous-traitant de rang 2.

Le responsable du traitement (« data controller ») doit obtenir l’autorisation écrite préalable lorsque son sous-traitant entend confier tout ou partie de la mission qui lui est confiée à un sous-traitant de rang 2.

Même après acceptation formelle, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par le sous-traitant de rang 2 de ses obligations. Ces obligations sont transposables aux sous-traitants de rang supérieur (du troisième rang et au-delà).

Le contrat entre sous-traitants

Le contrat entre sous-traitants doit a minima transposer les obligations du contrat prises vis-à-vis du responsable du traitement. En pratique, cette transposition est souvent qualifiée de contrat « back to back ».

Il est donc nécessaire de retrouver les prescriptions de l’article 28, §3 du RGPD, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la sous-traitance pourront notamment se présenter comme suit :

  • un article « déclarations » dans lequel le sous-traitant de rang 2 est informé de la finalité du traitement fixée par le responsable du traitement, lequel est réalisé à partir des moyens fournis par les prestataires cloud ;
  • l’article « instructions » précise comment les directives sont transmises d’un prestataire à l’autre et les modalités selon lesquelles ils doivent les prendre en compte ;
  • l’article « sécurité » présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique déployée par les prestataires cloud outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
  • la coopération entre sous-traitants doit être prévue pour que la personne concernée par le traitement (« data subject ») puisse exercer ses droits ;
  • l’article « confidentialité » ne doit pas concerner seulement les propres salariés du prestataire mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par le prestataire cloud dans l’exécution de ses obligations ;
  • des articles sur l’obligation d’information (et pas seulement en cas d’intrusion) et les modalités d’audit sont également nécessaires au regard de l’article 28 du DPO ;
  • la localisation des données dans ou hors de l’Union européenne impliquera dans ce dernier cas, si le pays concerné n’est pas considéré comme ayant un niveau de protection adéquat (voir pour les Etats-Unis le Bouclier de protection des données EU-Etats-Unis (2)), alors il convient de conclure des clauses contractuelles types (3) ;
  • des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Le contrat entre le sous-traitant de rang 2 et de rang 3, par exemple, devra également répondre à ces prescriptions.

Sous-traitants de rang 2 et allègement du contrat

Pour que le contrat du sous-traitant de rang 2 ne devienne pas illisible, il est envisageable de renvoyer les obligations du RGPD rappelées plus haut dans une annexe dédiée.

Mais, en réalité, la seule solution efficace pour simplifier le contrat est d’obtenir une certification.

En effet, le sous-traitant de rang 2, comme celui de rang 1, pourra être certifié. Sans préjudice des dispositions du contrat, l’article 28 du RGPD permet au sous-traitant d’adhérer à un code de conduite visé à l’article 40 ou à un mécanisme de certification (article 42) pour démontrer qu’il possède les garanties suffisantes (article 28, §5). Les clauses du contrat correspondant n’auront ainsi pas à être autant détaillées, du moins tant que la certification reste applicable à chacun des sous-traitants.

Eric Le Quellenec
Lexing, Département informatique conseil

(1) Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
(2) C. Avîgnon, « La décision d’adéquation pour l’EU-US Privacy Shield », Alain-Bensoussan.com 13-7-2016.
(3) C. Torres, « Les BCR sous-traitants, un instrument d’encadrement des flux », Alain-Bensoussan.com 7-12-2016.




Cloud Computing et droit : retour sur une année d’actualité

Cloud Computing et droit : retour sur une année d'actualitéCloud Computing et droit : une année d’actualité avec Eric Le Quellenec et 3 collaborateurs du département Informatique conseil d’Alain Bensoussan Avocats Lexing®, Arthur Benchetrit, Daniel Korabelnikov.

La Revue Lamy Droit de l’Immatériel sort une étude très riche qui passe au crible l’ensemble des dispositions qui ont impactées les contrats de coud computing durant l’année qui s’est écoulée, de la réforme du droit des contrats, à la normalisation en passant par le règlement européen sur la protection des données personnelles.

Le contrat cloud est susceptible d’entrer dans le cercle très fermé des contrats nommés pour les prestations de cloud computing concernant des données personnelles, sous l’effet du règlement européen sur la protection des données personnelles (1).

Par ailleurs, les normes internationales, européennes ou nationales s’imposent peu à peu pour donner un référentiel commun aux offres cloud ; la multiplicité de ces normes et leur prise en compte très partielle par les principaux acteurs conduisant paradoxalement à un repli « souverainiste », ce dont la Commission européenne s’est déjà inquiété. Au vu de ces éléments, il est inutile de souligner le grand intérêt de la présente étude.

Revue Lamy Droit de l’Immatériel, Nº 138 – 1er juin 2017.

(1) Voir notre Post du 2-3-2017.




Cloud computing : Comment bien acheter des services Cloud ?

Cloud computing : Comment bien acheter des services Cloud ?Le cabinet a organisé, le 17 mai 2017, un petit-déjeuner débat intitulé « Comment bien acheter des services Cloud ? », animé par Eric Le Quellenec et Guillaume Plouin, auteur – cogérant de domofit.com.

Depuis 10 ans, le Cloud Computing s’impose peu à peu comme une solution incontournable pour l’informatique d’entreprise. Et on constate aujourd’hui que tous grands comptes utilisent au moins une solution Cloud, parfois plusieurs.

Après des années d’innovation continue, le marché du Cloud semble arriver à maturité : une poignée d’acteurs sortent du lot, avec des plateformes qui proposent un très large panel de services cloud. Il est indispensable aujourd’hui de bien prendre en main ces outils et comprendre les pièges propres à l’externalisation des données avant de signer un contrat Cloud.

L’adoption du Cloud est accélérée par la transformation digitale et les entreprises doivent satisfaire le besoin d’agilité des utilisateurs, tout en respectant les prérogatives régaliennes de la direction informatique et de la direction de la sécurité. Un compromis satisfaisant doit donc être trouvé entre liberté des utilisateurs et contrôle.

Dans la première partie de ce petit-déjeuner, Guillaume Plouin a présenté l’état du marché, la prise en main du Cloud Computing, puis a proposé des pistes organisationnelles pour accompagner le déploiement du Cloud en bonne intelligence entre les utilisateurs, une DSI “facilitatrice” et le RSSI.

Guillaume Plouin est auteur de “Cloud Computing, sécurité, gouvernance du SI hybride et panorama du marché” (4e édition) chez Dunod. Il conseille et forme les acteurs de l’entreprise au Cloud Computing. Il utilise aussi ces outils au quotidien, dans le cadre de sa plateforme de calcul énergétique, domofit.com.

Dans une seconde partie, Eric Le Quellenec, directeur du département Informatique conseil, s’est attaché à traiter :

  • de l’impact du Règlement européen de protection des données personnelles sur les contrats cloud, formidable levier de négociation pour tout contrat cloud ;
  • de la question du cloud souverain et de la localisation des données ;
  • du traitement des données personnelles dans le Cloud, après la disparition du Safe Harbor et depuis l’entrée en vigueur du EU-US privacy shield ;
  • de la réversibilité et de la portabilité des données du Cloud, depuis la loi pour une République numérique.

A l’occasion de ce petit-déjeuner débat, une synthèse de ces principales problématiques a été présentée, afin de négocier au mieux de vos intérêts un contrat cloud.

Le petit-déjeuner débat a eut lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Coffre-fort numérique et cloud computing : quel contrat ?

Coffre-fort numérique et cloud computing : quel contrat ?

Le coffre-fort numérique ne peut se passer du cloud, des exigences particulières doivent figurer au contrat.

Le coffre-fort numérique ou électronique a fait son entrée dans le droit français par la loi pour une République numérique. L’article 87 de cette loi codifiée à l’article L137 du Code des postes et communications électroniques (« CPCE ») (1 et 2) pose des exigences très précises que le contrat cloud correspondant doit mettre en œuvre.

Coffre-fort numérique, exigences du CPCE et contrat

Une grande partie des exigences du CPCE à l’article précité sont communes à celles visées à l’article 28§3 du RGPD (3 et 4). Cependant, le CPCE va plus loin sur les exigences suivantes qui doivent directement se traduire dans le contrat. On a ainsi :

  • l’exigence de traçabilité et de gestion des logs dans le service de coffre-fort numérique qui doit se traduire par un article « convention de preuve » dans le corps du contrat et des annexes techniques et sécurité physiques et logiques conformes ;
  • un accès exclusif pour l’utilisateur et les tiers désignés : outre les annexes précitées, ce sont les clauses de confidentialité et de sous-traitance qui doivent être présentes ;
  • un droit à la récupération des documents et des données : c’est la clause réversibilité du contrat qui doit détailler concrètement comment ces obligations s’appliquent.

Ces obligations générales pourront être déclinées et précisées selon les usages : conservation du contrat de travail et bulletins de paie ou encore de documents de nature administrative.

Coffre-fort numérique, exigences normatives, label et contrat

L’article L137 du CPCE prévoit que le coffre-fort numérique peut bénéficier d’une certification facultative, selon les modalités d’un décret en Conseil d’Etat à intervenir.

Pour l’heure, le coffre-fort numérique peut déjà bénéficier d’un label délivré par la Cnil (5) ou d’une certification à la norme NF Z 42-020 (6). Contractuellement, ces labels ou certifications sont un marqueur clés de conformité et de qualité des prestations attendues. Il est conseillé de prévoir au contrat qu’ils sont un élément substantiel ayant déterminé les parties à contracter. En cas de perte de labellisation ou certification, il convient de stipuler au contrat que le client pourra alors résilier le contrat de plein droit. Si c’est simplement le label ou la certification qui change de nom ou disparaît, quelle qu’en soit la raison, il est alors prudent de prévoir que le prestataire maintiendra le même niveau de qualité de prestation et s’engagera, le cas échéant, à obtenir le label ou le certificat nouvellement applicable.

Eric Le Quellenec
Lexing Droit Informatique

(1) Loi 2016-1321 du 7-10-2016
(2) Post du 21-11-2016
(3) Règlement 2016/679 du 2-4-2016
(4) Post du 30-1-2017
(5) Ce label Cnil repose sur un référentiel adopté le 23-1-2014
(6) Norme NF Z 42-020




Eric Le Quellenec présent au Salon Cloud Computing World Expo

Eric Le Quellenec présent au Salon Cloud Computing World ExpoLe directeur de notre département Informatique Conseil participera à deux tables rondes sur le Cloud Computing et la Big Data.

Des Datacenters au Cloud, de l’IoT au Big Data, la transformation digitale des entreprises et organisations prend aujourd’hui, on le sait, des formes multiples mais aussi complémentaires et synergétiques. Ces complémentarités s’exprimeront pleinement dans le cadre de l’édition 2017 du salon Cloud Computing World Expo qui se tiendra les 22 & 23 mars 2017 à la Porte de Versailles.

7.500 personnes sont attendues à l’occasion de cette manifestation sous-titrée « L’adoption du Cloud et le dynamisme des Datacenters », réunissant 150 exposants, des dizaines de conférences et ateliers, un focus Security, un espace Start-Up…

Eric Le Quellenec, directeur du département Informatique Conseil du cabinet Alain Bensoussan Avocats Lexing, interviendra à cette occasion dans le cadre de deux tables rondes orientées autour de la sécurité et du traitement des données personnelles, le mercredi 22 mars à 11h30 et le jeudi 23 mars à 14h00.

22 mars 2017 : 11h30 – 12h20 Confidentialité des données sur le Cloud : quelle sécurité pour les data sensibles ?

Après l’invalidation, par l’Union européenne, de l’accord ‘Safe harbour’ signé avec les Etats-Unis, la réglementation européenne se fonde sur de nouvelles bases, dont la GDPR (General data protection regulation), relayées par la Cnil. Quelles sont les conséquences ? Que répondent les Clouds publics ?

23 mars 2017 : 14h00- 14h50 Cloud et Big Data : les bonnes options à retenir…

Le Cloud permet d’accueillir le traitement de très gros volumes de fichiers avec la flexibilité utile. Comment les rendre compatibles ? Comment peut-on exécuter de l‘analytics sur des infras Cloud, notamment sur des plateformes virtualisées ? Faut-il des infrastructures séparées ?

Dates & Horaires du salon :

22/03/2017, de 09:00 à 18:00
23/03/2017, de 09:00 à 17:30

Lieu : Paris Expo, Porte de Versailles, Hall 5.2

Site internet : http://www.cloudcomputing-world.com

Eric Bonnet
Directeur du Département Communication juridique




Contrats cloud : les impacts du RGPD et la cotraitance

Contrats cloud : les impacts du RGPD et la cotraitance

Le règlement général de protection des données personnelles précise la notion de cotraitance, pertinente pour le cloud.

La notion de responsables conjoints du traitement était esquissée dans la directive 95/46/CE du 24 octobre 1995 (1) sur la protection des données personnelles. Le règlement (« RGPD ») (2) comporte des dispositions beaucoup plus précises, applicables à compter du 25 mai 2018. L’application de ces dispositions pour les services dans le cloud paraît tout indiquée dans plus d’hypothèses que l’on ne pourrait le penser de prime abord.

Cotraitance et cloud-computing : un cas de figure possible

Alors que, classiquement, le prestataire dans le cloud est qualifié de sous-traitant (« data processor »), son client, exploitant les données à caractère personnel est qualifié de responsable du traitement (« data controller »). Le cloud computing vient rebattre les cartes.

Déjà en 2012, dans ses Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing (3), la Cnil envisageait un régime de cotraitance (responsabilité conjointe), partant du constat que le prestataire du cloud fixe par lui-même les moyens nécessaires au traitement envisagé de données personnelles (4).

Pour les services de type SaaS, incluant des fonctionnalités métiers, c’est même, d’une certaine manière la finalité du traitement qui serait partagée. Ce dernier point est particulièrement sensible, car, en pratique, certaines sociétés du Cloud prétendent en apparence ne fournir qu’un service d’hébergement managé (de type IaaS), et se réservent pourtant dans les conditions d’utilisation de leurs services le droit d’accéder aux données et effectuer leur propre traitement.

Sous l’empire du RGPD, l’analyse de la Cnil ne s’appliquera que d’autant mieux qu’il est prévu, à l’article 26 du règlement, une définition claire de la notion de responsable conjoint du traitement. Ledit article précise que ces « responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement » et en particulier :

  • le point de contact pour la personne physique concernée par le traitement ;
  • la communication des informations visées aux articles 13 et 14 du RGPD.

C’est par contrat que ces exigences de transparence doivent se concrétiser (article 26§2).

Cotraitance et contrat : les principales dispositions

L’accord visé dans le RGPD doit refléter dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées (« data subjects »).
Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la cotraitance pourront notamment se présenter comme suit :

  • un article « finalité » fixant la ou les finalités du traitement partagées totalement ou partiellement entre les parties ;
  • l’article « moyens » précise les mesures techniques et organisationnelles pour effectuer le ou les traitements conformément au règlement avec maintien en conditions opérationnelles (« accountability »), ainsi que le partage, le cas échéant, des responsabilités techniques à ce titre ;
  • l’article « sécurité » : présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique convenue des parties, outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
  • l’article « point de contact » et « information de la personne concernée » va préciser qui, vis-à-vis de cette personne, va effectivement lui répondre et s’assurer du respect effectif de ses droits ;
  • les conditions d’intervention d’un sous-traitant au sous-traitant doivent aussi être prévues au contrat ;
  • l’article « confidentialité » ne doit pas concerner seulement les propres salariés de chacun des responsables conjoints du traitement mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par l’une ou l’autre des parties ;
  • la localisation des données et les responsabilités respectives en découlant, en cas de traitement transfrontières ;
  • le partage des risques et de la responsabilité entre les responsables conjoints, étant précisé que vis-à-vis de la personne concernée la responsabilité de chacun des responsables conjoints est solidaire (art. 26§3 du règlement) ;
  • des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Au-delà de l’hypothèse du cloud computing, la notion de cotraitance (responsabilité conjointe) au sens du RGPD peut également être pertinente pour les échanges de données entre sociétés d’un même groupe ou appartenant à un même réseau de distribution.

Eric Le Quellenec
Lexing Droit Informatique

(1) Directive 95/46/CE du 24-10-1995, art. 2 d)
(2) Règlement 2016/679 du 27-4-2016
(3) Cnil, Recommandations, page 6
(4) Post du 23-7-2013




Emergence d’un cloud européen alliant croissance et sécurité

Emergence d’un cloud européen alliant croissance et sécuritéUn cloud mieux sécurisé et plus respectueux des droits des personnes physiques doit se construire au niveau européen.

L’utilisation croissante du cloud computing entraîne des conséquences positives sur l’économie des pays de l’Union européenne. Cette conclusion ressort de l’étude menée par la Commission européenne entre décembre 2014 et avril 2016 (1). Pour la Commission, les bienfaits économiques du libre hébergement des données au sein de l’Union européenne justifient une suppression des restrictions nationales quant à ces transferts.

L’absence de réglementation précise à ce sujet a donc conduit la Commission à promouvoir dans son étude le développement d’un cloud européen et la libre circulation des données en Europe.

Le cloud, relais de croissance

Le cloud computing « permet aux utilisateurs d’accéder à un ensemble de ressources informatiques (réseaux, serveurs, stockage, logiciels et services) évolutif, élastique, pouvant être partagé et hébergé à distance, leur évitant ainsi d’investir du capital dans leur propre infrastructure informatique ou leur permettant de mieux la partager » (2).

Relais de croissance pour les Etats membres

Si les entreprises européennes n’ont pas toutes été convaincues par le cloud computing, les fournisseurs de services d’informatique en nuage génèrent néanmoins selon la Commission européenne, « un bénéfice net annuel moyen de 2,8 milliards d’euros, en constante augmentation jusqu’à 2020 ».

L’exploitation croissante du cloud entraîne des recettes fiscales majeures pour les Etats membres mais également des conséquences positives sur l’environnement, notamment par la dématérialisation du stockage de données.

Aux termes de son étude, la Commission affirme que les bénéfices liés à la croissance du cloud devraient s’accroître jusqu’à 45 milliards d’euros d’ici à 2020 dans l’Union européenne.

Economie d’investissement pour les entreprises clients

Pour l’entreprise souhiatant recourir à un cloud, l’avantage résidera principalement dans les économies de dépenses d’exploitation liées à l’informatique et celle-ci disposera ainsi davantage de ressources pour d’autres investissements.

La flexibilité grandissante des offres cloud procure également aux entreprises clients un avantage non négligeable notamment lorsque celle-ci souhaite moduler son utilisation et l’adapter à ses besoins.

Si les petites entreprises ont moins été séduites par le l’hébergement en mode cloud, contrairement aux moyennes et grandes entreprises, la généralisation d’un cloud européen serait pour elles un facteur de croissance évident afin d’employer leurs ressources pour des dépenses opérationnelles autres qu’informatiques.

Relais de croissance pour les prestataires cloud

Selon le scénario prévisionnel de la Commission européenne, la libéralisation d’un cloud européen entraînerait la création de 303 000 nouvelles entreprises entre 2015 et 2020 en Europe.

Dans ces conditions, l’impact du cloud européen sur la création et l’emploi est indéniable, allant jusqu’à 2,5 millions de nouveaux emplois entre 2012 et 2015 dans le scénario le plus optimiste.

Si le cloud européen constitue inévitablement un moteur de croissance pour les différentes parties prenantes, certains freins juridiques existent en l’état actuel des réglementations.

Les freins juridiques à l’émergence d’un cloud européen

La directive 95/46/CE (3) énonce comme principe la libre circulation des données à caractère personnel dans l’Union européenne. Ce principe est repris par le règlement européen du 27 avril 2016 (4).

Dans une optique de renforcement de la libre circulation des données dans l’Union européenne, la Commission européenne a prôné sa volonté de supprimer toutes les restrictions qui existent relativement à la localisation des données au sein de l’Union européenne. A ce titre, par une consultation ouverte depuis le 10 janvier 2017 et jusqu’au 26 avril 2017 (5), elle a pour mission de fixer le programme politique européen et figer la réglementation applicable à la localisation des données.

La Commission estime que les restrictions nationales à cette liberté devront être justifiées par le Traité et être nécessaires et proportionnées à la réalisation d’un objectif d’intérêt général, tel que la sécurité publique. Cette approche est d’ailleurs en cohérence avec le RGPD (8).
En l’état actuel du cadre légal, plusieurs freins à la localisation des données dans l’Union européenne peuvent être recensés.

Dans le domaine de la santé, le Code de la santé publique (6) impose un système de certification de l’hébergeur susceptible d’accueillir les données à caractère personnel, qualifiées de sensibles.

Concernant le domaine de la défense et de la sécurité publique, certaines données sensibles ne peuvent pas être hébergées à l’extérieur du territoire national. Cette exigence ressort de la politique de sécurité des systèmes d’informations de l’Etat du 17 juillet 2014 (7). Si les restrictions sont ici justifiées par un impératif de sécurité publique et notamment la fuite des données sensibles, celles-ci sont pour autant des freins à l’émergence d’un cloud européen.
Par ailleurs, une note d’information du 5 avril 2016 (9) des pouvoirs publics français interdit également le transfert des données des collectivités territoriales, qualifiées de « trésors nationaux », vers un « cloud non souverain ». Outre l’apparente non-conformité de cette instruction avec le principe de libre circulation précité, celle-ci semble créer une sorte de « préférence nationale » contraire aux enjeux actuels du marché unique.

Du point de vue des entreprises clients, certains freins existent également relativement aux questions de sécurisation des données. En effet, selon la loi Informatique et libertés en vigueur, il pèse sur le responsable du traitement une obligation de sécurité et de confidentialité quant aux traitements des données. Ainsi, le recours à un prestataire de type cloud peut sembler complexe et susciter des inquiétudes en termes de responsabilité dans la mesure où les sanctions pénales peuvent s’avérer très lourdes.

En tout état de cause, la Commission européenne souhaite une suppression globale des restrictions sur l’emplacement des données afin de faire prévaloir les bienfaits d’un futur cloud européen pour l’économie européenne, les fournisseurs de cloud et les entreprises utilisatrices.

Eric Le Quellenec
Arthur Benchetrit
Lexing Droit Informatique

(1) Rapport d’étude du 12-2014 au 4-2016, « Measuring the economic impact of cloud computing in Europe »
(2) Définition donnée par la Commission européenne à travers son étude
(3) Directive 95/46/CE du 24-10-1995
(4) Règl. (UE) 2016/679 du 27-4-2016
(5) Communication du 10-1-2017, « Communication on Building a European Data Economy »
(6) CSP, art. L1111-8 al. 1
(7) Politique de sécurité des systèmes d’information de l’Etat, 17-7-2014
(8) Post du 30-1-2017
(9) Instruction ministérielle du 5-4-2016




Contrat cloud : les impacts du RGPD sur la sous-traitance

Contrat cloud : les impacts du RGPD sur la sous-traitanceLe Règlement général de protection des données personnelles précise les dispositions du contrat de sous-traitance.

La notion de sous-traitance (« data processing » en anglais) n’est pas modifiée par le nouveau texte européen. Ce qui change c’est la nature des obligations qui doivent se traduire par des engagements fermes dans le contrat cloud.

Sous-traitance et contrat : les dispositions du RGPD

Le sous-traitant (« data processor ») est celui qui traite des données à caractère personnel pour le compte de la personne, de la structure ou de l’organisme responsable du traitement (« data controller »).

Déjà présente dans la directive 95/46/CE du 24 octobre 1995, la définition de la sous-traitance a été reprise au point 8 de l’article 4 du Règlement. Avec le nouveau texte (1), de nouvelles obligations ont été mises à la charge de la sous-traitance. Elles visent à responsabiliser un peu plus cette catégorie d’acteurs, qui se trouve généralement chargée de manipuler de nombreuses données pour le compte du responsable du traitement.

L’article 28 §3 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.
Application au contrat cloud

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la sous-traitance pourront notamment se présenter comme suit :

  • un article « déclarations » du responsable du traitement envers son sous-traitant mentionne toutes les informations utiles sur la finalité du traitement de données à caractère personnel réalisé à partir des moyens fournis par le prestataire cloud ;
  • l’article « instructions » précise comment le client formule ses directives au prestataire et les modalités selon lesquelles il doit les prendre en compte ;
  • l’article « sécurité » : présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique déployée par le prestataire cloud outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
  • la coopération du sous-traitant doit être prévue pour que la personne concernée par le traitement (« data subject ») puisse exercer ses droits ;
  • les conditions d’intervention d’un sous-traitant au sous-traitant doivent aussi être prévues au contrat ;
  • l’article « confidentialité » ne doit pas concerner seulement les propres salariés du prestataire mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par le prestataire cloud dans l’exécution de ses obligations ;
  • des articles sur l’obligation d’information du prestataire (et pas seulement en cas d’intrusion) et les modalités d’audit sont également nécessaires au regard de l’article 28 commenté ;
  • la localisation des données dans ou hors Union européenne impliquera dans ce dernier cas, si le pays concerné n’est pas considéré comme ayant un niveau de protection adéquat (voir pour les Etats-Unis le dispositif du Eu-Us privacy shield (2)), alors il convient de conclure des clauses contractuelles types (3) ;
  • des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Sans préjudice des dispositions du contrat, l’article 28 du Règlement permet au sous-traitant d’adhérer à un code de conduite visé à l’article 40 ou à un mécanisme de certification (article 42) pour démontrer qu’il possède les garanties suffisantes (article 28§5).

Malgré de telles dispositions contractuelles ou certification, il arrivera, comme cela est déjà le cas fréquemment actuellement, que le prestataire cloud gère de manière quasi-autonome les données qui lui sont confiées. Au sens du RGPD, si la qualification de responsable du traitement peut difficilement être attribuée au prestataire, une responsabilité conjointe (« joint-controller ») au sens de l’article 26 du Règlement pourra être retenue. Plutôt que de laisser une autorité de contrôle effectuer une telle requalification de sous-traitance en responsabilité conjointe de traitement, les parties peuvent être inspirées de retenir par elles-mêmes cette qualification en concluant un contrat correspondant mieux au réel partage de responsabilités.

Eric Le Quellenec
Lexing Droit Informatique

(1) Règlement 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
(2) Céline Avignon, Post du 13-7-2016.
(3) Lexing Alain Bensoussan Avocats, Post du 7-12-2016.




Cloud Expo Europe, les grandes tendances pour 2017

Cloud Expo Europe, les grandes tendances pour 2017

A l’occasion du Cloud Expo Europe, la sécurité, l’IoT et le cloud hybride sont au cœur des tendances pour 2017.

Le Cloud Expo Europe est l’occasion pour tous les professionnels du cloud de tenir salon et présenter au public les dernières innovations. Si, depuis toujours, la protection des données, la confidentialité et la sécurité sont au cœur des préoccupations des utilisateurs du cloud, les réponses des acteurs du cloud évoluent en même temps que les solutions techniques elles-mêmes.

IoT et cloud

L’internet Web 3.0 ou « internet of Things » (IoT) resterait au stade du simple « machine to machine » (M2M) sans les développements importants que lui offre le cloud computing. Le Cloud Expo Europe consacre, sans surprise, une majorité des interventions sur le lien entre le cloud et l’IoT, ce qui confirme la tendance de fond. Au cœur des problématiques traitées, on relève celle de la scabilité des services web face à l’afflux massif de données et aux enjeux de volumétrie du big data. La problématique corollaire est aussi celle des données à caractère personnel, à l’approche de l’entrée en vigueur du règlement européen sur la protection des données (1).

La sécurité joue un rôle central sur les objets connectés en eux-mêmes, comme sur les infrastructures cloud associées (2).

La sécurité dans le cloud

Le Cloud Expo Europe est l’occasion pour les professionnels du droit de faire la démonstration de l’état de l’art en matière de sécurité dans le cloud computing. Un outil se systématise, le plan d’assurance sécurité comprenant un volet plan de reprise d’activité.

La transformation numérique engagée dans de nombreuses entreprises ou administrations a accentué la dépendance de nombreuses activités aux infrastructures informatiques mises en place.

En toute logique, moins un utilisateur a d’emprise sur ses données et système, plus un incident peut s’avérer fatal si le prestataire n’est pas digne de confiance.

La première réponse, apportée par les prestataires du cloud, consiste, par contrat, à s’engager à fournir des systèmes présentant de hauts niveaux de sécurité pour prévenir ce type de défaillance. Certains prestataires vont jusqu’à être certifié (norme ISO 27001 et dérivées) pour pouvoir afficher encore plus clairement le respect de procédures de sécurité.

Mais la prévention ne suffit pas toujours et c’est là qu’un plan de reprise d’activité doit aussi démontrer le niveau d’engagement du prestataire en répondant, par anticipation aux questions les plus sensibles afin de limiter l’impact d’une suspension ou dégradation majeure du service et y remédier dans les meilleurs délais (dump en local, back-up à distance, solutions de contournement, notamment).

La tendance majeure pour 2017 se dégageant du programme du Cloud Expo Europe est de mettre à la portée de tous la formalisation d’un plan de reprise d’activités et non plus des seuls gros utilisateurs.

Le cloud hybride

Proposant une solution intéressante entre cloud public et cloud privé, la définition technique de ce que peut être le cloud hybride peut encore prêter à discussion (3).

Dans un contexte mondialisé, mais aussi pour faire face à une situation de crise économique chronique avec des contraintes budgétaires fortes, la DSI doit pouvoir offrir aux métiers plus d’agilité dans le développement de leurs projets. Une autre grande tendance du Cloud Expo Europe pour l’année à venir est ainsi de mettre en avant la force du cloud hybride. En unifiant les usages des clouds publics et privés, le cloud hybride permet de fédérer les nouveaux outils. Le cloud hybride résultat de cette unification offre beaucoup plus d’opportunités pour les DSI que chacun séparément.

Nota : Eric Le Quellenec interviendra au Cloud Expo Europe (4) les 29 et 30 novembre 2016 Porte de Versailles, programme à suivre.

Eric Le Quellenec
Lexing Droit Informatique

(1) Alain Bensoussan, Post du 21-4-2016.
(2) Eric Le Quelllenec, Post du 1-6-2016.
(3) Eric Le Quelllenec, Post du 21-4-2016.
(4) Site internet de Cloud Expo Europe.




Deux projets de normes ISO pour la transparence du cloud

Deux projets de normes ISO pour la transparence du cloudDeux projets de normes ISO doivent permettre de renforcer la transparence des offres du cloud computing.

La nouvelle réglementation introduit pour toute l’Union européenne de nouveaux standards qui renforcent la protection des données personnelles (1). Alors que la sécurité et la confidentialité des données est déjà un enjeu majeur pour le cloud computing, deux projets de normes ISO doivent permettre de relever le défi de la « compliance » ou conformité.

Norme ISO 29134 (2) sur les études d’impact et les données personnelles dans le cloud : le nouveau règlement européen contribue à l’adoption de projets de normes ISO

L’analyse d’impact est la grande innovation de l’article 35 règlement (3). Le responsable de traitement, ici le client du service cloud, doit effectuer une analyse de l’impact des opérations de traitement envisagées sur la protection des données personnelles lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Le projet de nouvelle norme vise à établir une méthodologie pour la mise en œuvre des « privacy impact assessment » ou PII. Cette norme devrait permettre de fixer la trame de ces études d’impact afin de réduire les divergences d’approche et en améliorer la qualité.

Norme ISO 29151 (4) pour mieux responsabiliser les acteurs du cloud computing : les projets de normes ISO dans le cloud couvrent l’intégralité du cycle de vie de la donnée

Ce projet de norme vient directement en complément de la norme 27018 (5) qui a constitué une avancée majeure portée par plusieurs grands acteurs du cloud pour la transparence sur la localisation des données personnelles et la manière dont elles sont traitées. L’apport du projet de nouvelle norme est, dans le cadre d’études d’impact, de couvrir l’ensemble du traitement réalisé dans le cloud. De la collecte jusqu’à la destruction des données, l’ensemble du cycle de vie des données est concerné. L’objectif est de mieux responsabiliser les acteurs intermédiaires, sous-traitants et autres prestataires de service pour améliorer la confiance dans le cloud.

Dans tous les cas, après leur adoption et publication, la mise en œuvre de ces deux projets de normes ISO ne saurait suffire pour pouvoir se déclarer conforme à la réglementation sur les données personnelles. Il s’agit simplement de normes rassemblant des bonnes pratiques permettant d’atteindre cet objectif de conformité. C’est déjà beaucoup mais cela ne dispense pas non plus de prévoir des engagements fermes par contrat, notamment au moyen d’annexes circonstanciées.

Eric Le Quellenec
Avocat, Directeur de département Informatique conseil
Lexing Pôle Informatique conseil

(1) Règlement (UE) 2016/679 du 27-4-2016.
(2) Projet de norme ISO 29134.
(3) Post du 13-6-2016.
(4) Projet de norme ISO 29151.
(5) Post du 26-1-2015.




Cloud brokerage : statut, contrat et responsabilité

Cloud brokerage : statut, contrat et responsabilité

Le Cloud brokerage est une offre innovante proposée pour diversifier les services métiers des systèmes informatiques.

Le Cloud brokerage est une offre innovante proposée pour diversifier les services métiers des systèmes informatiques. Elle propose le meilleur service du Cloud, assure une assistance dans le choix de solutions et leur mise en œuvre. Techniquement, le Cloud brokerage permet à l’utilisateur par le biais d’une plateforme d’intermédiation d’accéder à divers services cloud proposés par le Cloud broker. Selon l’institut d’étude et de conseil Gartner, le Cloud broker sélectionne des services, les compile, les met à disposition sur une plateforme unique et cherche à personnaliser le service afin de s’adapter au besoin du client (1).

Au regard des nombreuses missions dont le Cloud broker est investi se pose la question de son régime juridique et de la contractualisation des prestations de Cloud broker.

Cloud brokerage : courtage, agent ou assistant à maîtrise d’ouvrage ?

La mission principale du Cloud broker est de rechercher les services cloud les plus adaptés aux besoins de ses clients. Une analyse rapide le qualifierait donc de courtier. En effet, juridiquement celui-ci met en relation deux personnes qui désirent contracter pour leur permettre de passer un acte. Le courtier n’est pas mandataire de son client. Il assure uniquement la mise en relation.

En supplément de cette mission, le Cloud broker compile les services, les met à disposition sur une plateforme unique et cherche à personnaliser le service afin de s’adapter au besoin du client. Ces missions dépassent celles encadrées par le régime du courtage. Le Cloud broker doit avoir un mandat pour contracter directement avec les fournisseurs de la part du client utilisateur final. Ses missions vont parfois même jusqu’à garantir au client le fonctionnement du service d’un tiers. Elles semblent se rapprocher tantôt de celles de l’assistant à maîtrise d’ouvrage du client utilisateur, tantôt de celles de l’agent commercial du prestataire de service du fait qu’il est chargé de façon permanente, de négocier et, éventuellement de conclure des contrats au nom et pour le compte d’un client (2).

La juxtaposition des différentes missions des Cloud brokers complexifie l’analyse du régime juridique applicable. C’est donc un régime distributif, en fonction des nombreuses missions du Cloud broker, qui s’appliquent. Toute la difficulté est de pouvoir traduire les nombreuses facettes du Cloud brokerage dans un seul et même contrat.

Le contrat de Cloud brokerage

Le contrat de Cloud brokerage est un contrat de prestation de service global qui doit prendre en compte de nombreuses prestations. Il faudra tenir compte notamment des points juridiques suivants :

  • périmètre de chaque mission du Cloud broker doit être précisément établi ;
  • architecture contractuelle doit être claire ;
  • périmètre, devant être global pour les prestations fournies par le Cloud broker notamment pour l’accès à la plateforme unique ;
  • contrat, devant renvoyer au contrat de fourniture de service des prestataires tiers fournissant les services sélectionnés par le Cloud broker.
Responsabilité

Dans ce cadre, le Cloud broker doit prendre la responsabilité de la plateforme unique. Si une faille de sécurité est identifiée il est alors malaisé de déterminer si celle-ci est due à l’infrastructure du Cloud broker ou celle du prestataire tiers ou même celle en interne du client.

Dans ce cas, comme dans d’autre ou l’une des parties pourrait engager sa responsabilité, la matrice de responsabilité permettant de répartir la responsabilité selon les tâches et livrables est un outil utiles.

L’entreprise fournissant le service de Cloud brokerage devra par ailleurs toujours conserver les preuves techniques qui lui permettent de démontrer que ce n’est pas la plateforme unique d’accès aux services qui fait l’objet d’un dysfonctionnement. En effet, à défaut, une expertise technique mobiliserait toutes les parties impliquées.

Enfin, dans la perspective de l’entrée en vigueur de la loi pour une République numérique, comme pour toute plateforme, le Cloud broker devra déclarer, ses liens avec les prestataires qu’il peut représenter ou favoriser, ce afin de garantir la loyauté et la transparence de son intervention. Ces obligations peuvent être utilement rappelées au contrat.

Eric Le Quellenec
Daniel Korabelnikov
Lexing Droit Informatique

(1) La définition en version originale anglaise disponible sur le site internet de l’entreprise de Conseil Gartner est la suivante : « Cloud services brokerage (CSB) is an IT role and business model in which a company or other entity adds value to one or more (public or private) cloud services on behalf of one or more consumers of that service via three primary roles including aggregation, integration and customization brokerage. A CSB enabler provides technology to implement CSB, and a CSB provider offers combined technology, people and methodologies to implement and manage CSB-related projects ».
(2) C. com, art. L.134-1.




PCI DSS et cloud computing : la conformité par le contrat

PCI DSS et cloud computing : la conformité par le contratLe contrat PCI DSS et cloud computing doit reporter les exigences de la norme sur le prestataire de services cloud.

Rendue obligatoire pour l’hébergement et le traitement des données des principales cartes de paiement, la norme PCI DSS (1) implique notamment pour le commerçant de :

  • remplir un questionnaire d’auto-évaluation annuel ;
  • effectuer un scan de vulnérabilité (en cas de commerce en ligne) ;
  • lorsque plus de 6 millions de transactions sont effectuées, faire faire un audit de sécurité sur site.
La certification PCI DSS

Elle est obtenue auprès d’un auditeur lui-même accrédité par PCI Security Standards Council (2). Le commerçant qui ne respecterait pas ces règles peut se voir appliquer des pénalités par l’émetteur des cartes de crédit.

Ces conséquences étant particulièrement graves, le commerçant qui souscrit à une offre dans le cloud doit s’assurer que l’infrastructure et les éventuels logiciels concernés soient eux-mêmes compatibles.

Pour une activité de vente en ligne, il ne serait pas aberrant que le contrat PCI DSS et cloud computing précise que la certification PCI DSS est une condition déterminante du consentement sans laquelle le cybercommerçant n’aurait pas signé. En cas de non-respect, c’est la résolution de ce contrat PCI DSS et cloud computing qui pourrait être demandée.

Le contrat PCI DSS

Dans le contrat, cette problématique PCI DSS et cloud computing doit être traitée par une clause de garantie dont le périmètre pourra varier comme suit :

  • en SaaS, le prestataire cloud devra garantir une certification « end to end » ;
  • en PaaS, le prestataire ne pourra garantir le périmètre de certification, à l’exclusion de la couche applicative créée seule par son client et sans son assistance ;
  • en IaaS, à l’instar d’un simple hébergeur, le prestataire ne pourra garantir cette certification que sur l’infrastructure mise à disposition.
L’audit de sécurité

Dans tous les cas, le cybercommerçant doit exiger de son prestataire cloud une totale collaboration pour que toutes les informations soient disponibles pour l’auditeur certificateur. Le contrat PCI DSS et cloud computing comportera des dispositions particulières à ce titre.

Une clause d’audit de sécurité doit être incluse pour faciliter la mise en œuvre, que ce soit des audits à distance (tests de pénétration en particulier) ou les éventuels audits sur site dans le cadre de la certification.

Dispositions informatique et libertés

Enfin le contrat PCI DSS et cloud computing ne pourra faire l’économie de dispositions particulières Informatique et libertés (3). A cet effet, il conviendra de se reporter aux recommandations de la Cnil sur le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance (4).

Eric Le Quellenec
Lexing Droit Informatique

(1) L’organisme responsable du développement, de la gestion, de l’éducation et de la sensibilisation aux normes de sécurité PCI est dénommé PCI Security Standards Council : contrat de licence PCI Security Standards Council, LLC.
(2) Les informations utiles concernant le PCI Security Standards Council.
(3) Délibération Cnil n° 2013-358 du 14-11-2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de viens ou de fourniture de services à distance et abrogeant la délibération n° 03-034 du 19-6-2003.
(4) Voir : Céline Avignon, « Nouvelles recommandations de la Cnil relative aux cartes de paiement », AlainBensoussan.com, 23-12-2013.