Les impacts de la norme ISO/IEC 19086 dans les contrats cloud

19086Développée conjointement par l’International Standard Organisation et l’International Electronical Commission, la norme ISO/IEC 19086 n’a pas de caractère obligatoire et ne permet pas la certification par un tiers habilité. Il serait plus approprié de parler d’un ensemble d’outils à la disposition des parties à un contrat cloud.

Les normes ISO 19086-1 à 4

La norme 19086 comprend en réalité quatre déclinaisons :

  • ISO/IEC 19086-1:2016 pose les bases sémantiques et conceptuelles pour établir une convention de services ;
  • ISO/IEC 19086-2:2018 est la dernière en date et elle pose les modèles de métriques sur la base des concepts standard du cloud ;
  • ISO/IEC 19086-3:2017 spécifie les exigences de conformité pour les niveaux de service établis dans 19086-1 ;
  • ISO/IEC 19086-4 n’est encore qu’à l’état de projet et va apporter des réponses sur la sécurité et le respect des données personnelles grâce aux niveaux de service.

Si l’ensemble constitué de ces quatre volets n’est pas encore totalement achevé, il n’en demeure pas moins que les parties au contrat cloud peuvent déjà, en tout ou partie, les exploiter utilement.

Les points du contrat cloud impactés

En 2016, Microsoft a commandé au cabinet Forrester (1) une étude pour évaluer dans les contrats cloud les points absents ou mal traités dans les contrats cloud et auxquels la seule norme IECO/IEC19086 pouvait déjà apporter des réponses.

467 utilisateurs du cloud situés sur les cinq continents ont été sondés. Les écarts constatés entre le contrat et ladite norme ont porté, par ordre décroissant d’importance, sur :

  • la fiabilité du service ;
  • la performance du service ;
  • la sécurité ;
  • la supervision ;
  • la disponibilité ;
  • la protection des données personnelles ;
  • l’accessibilité ;
  • la titularité des données ;
  • le support ;
  • les rôles et responsabilités.

Tous ces sujets peuvent être couverts dans le corps du contrat cloud et dans les annexes dédiées. Microsoft a tiré de cette étude une « check list » qui peut être appliquée à tout projet cloud au titre des « due diligences » (2).

En conclusion, si tous les acteurs du cloud ne peuvent ou veulent se soumettre aux recommandations de la famille des normes ISO 19086, il n’en demeure pas moins qu’elles constituent un fort encouragement à standardiser les services du cloud et partant à sécuriser les utilisateurs. Avant même sa publication, le Syntec appelait déjà à leur intégration dans le référentiel incontournable du cloud (3). A sa lumière, les parties au contrat cloud disposent de nouveaux outils pour en préciser et clarifier les termes.

Eric Le Quellenec
Lexing Informatique conseil

(1) Infographie étude Forrester, juin 2016.
(2) Cloud services due diligence checklist.
(3) Note du Syntec sur le référentiel d’exigences à l’informatique en nuages, 2015.




Cloud computing et fintech, recommandations des autorités de tutelle

Cloud computing et fintech

Cloud computing et fintech : la sensibilité des données bancaires justifie que les autorités de tutelles s’y soient intéressées.

L’enjeu est d’abord celui de la sécurité et de la confidentialité des données bancaires, financières et assurantielles, cible privilégiée des pirates informatiques. Or, il n’existe pas de fintech sans cloud. C’est donc au plus haut niveau que la problématique a été envisagée.

L’Autorité de contrôle prudentiel et de résolution (ACPR) en juillet 2013 (1) a publié ses recommandations dans la foulée de celles de la Cnil en juin 2012 (2).

Beaucoup plus récemment, le 20 décembre 2017, l’Autorité bancaire européenne (ABE), après une large consultation, a émis son rapport final (3). Les recommandations qu’elle émet devant avoir un effet contraignant au 1er juillet 2018 pour les institutions qu’elle contrôle.

Cloud computing et fintech : recommandations de l’ACPR

L’ACPR retient trois principaux risques sur le cloud computing et fintech :

  • la confidentialité des données ;
  • la disponibilité des données, notamment en cas de réversibilité de sorte de se prémunir de ce qu’elle qualifie d’un « enfermement » ;
  • pouvoir disposer de la preuve de la correcte exécution des prestations du prestataire de cloud et le contrôle de ce dernier.

Pour l’ACPR, ces risques s’encadrent d’abord et avant tout par un contrat adapté avec des engagements « impératifs ». Ce contrat doit notamment prévoir :

  • la faculté pour le client mais aussi l’ACPR d’auditer les services fournis et contrôler les engagements souscrits ;
  • prévoir des engagements de service avec une garantie de continuité d’exploitation ;
  • les conditions de réversibilité des services ;
  • des engagements au titre de la sécurité des systèmes et, en particulier, le chiffrement lors du transport et du stockage des données.

Cloud computing et fintech : recommandations de l’ABE

Toutes les recommandations de l’ACPR se retrouvent dans les travaux de l’ABE qui y ajoute :

  • la transparence du prestataire de cloud sur la localisation des données ;
  • la nécessité pour le prestataire de cloud computing et fintech de reporter les exigences contractuelles pesant sur lui vers ses propres sous-traitants en mode « back to back » (même chose pour les sous-traitants de rang ultérieur) ;
  • des plan de reprise et continuité d’activité mais aussi de réversibilité en fin de contrat.

Les exigences de l’ACPR et de l’ABE ne diffèrent pas fondamentalement des exigences de l’article 28 du Règlement général sur la protection des données (RGPD) (4). A ce titre, il y a convergence des exigences et il ne serait pas inopportun, pour une fintech, de mettre la gestion de toutes ses données dans le cloud (et pas uniquement celles à caractère personnel) au niveau de protection exigé par le RGPD.

Eric Le Quellenec
Lexing Informatique conseil

(1) Rapport ACP, « Risques associés au cloud computing », Analyse et synthèses n° 16, juillet 2017.
(2) Recommandations Cnil pour les entreprises qui envisagent de souscrire à des services de Cloud computing, Cnil, juin 2012.
(3) ABE Final report: Recommendations on outsourcing to cloud service providers, EBA/REC/2017/03, 20 December 2017.
(4) « Contrat cloud : les impacts du RGPD sur la sous-traitance »,  Post du 30 janvier 2017.




Emergence d’un cloud européen alliant croissance et sécurité

Emergence d’un cloud européen alliant croissance et sécuritéUn cloud mieux sécurisé et plus respectueux des droits des personnes physiques doit se construire au niveau européen.

L’utilisation croissante du cloud computing entraîne des conséquences positives sur l’économie des pays de l’Union européenne. Cette conclusion ressort de l’étude menée par la Commission européenne entre décembre 2014 et avril 2016 (1). Pour la Commission, les bienfaits économiques du libre hébergement des données au sein de l’Union européenne justifient une suppression des restrictions nationales quant à ces transferts.

L’absence de réglementation précise à ce sujet a donc conduit la Commission à promouvoir dans son étude le développement d’un cloud européen et la libre circulation des données en Europe.

Le cloud, relais de croissance

Le cloud computing « permet aux utilisateurs d’accéder à un ensemble de ressources informatiques (réseaux, serveurs, stockage, logiciels et services) évolutif, élastique, pouvant être partagé et hébergé à distance, leur évitant ainsi d’investir du capital dans leur propre infrastructure informatique ou leur permettant de mieux la partager » (2).

Relais de croissance pour les Etats membres

Si les entreprises européennes n’ont pas toutes été convaincues par le cloud computing, les fournisseurs de services d’informatique en nuage génèrent néanmoins selon la Commission européenne, « un bénéfice net annuel moyen de 2,8 milliards d’euros, en constante augmentation jusqu’à 2020 ».

L’exploitation croissante du cloud entraîne des recettes fiscales majeures pour les Etats membres mais également des conséquences positives sur l’environnement, notamment par la dématérialisation du stockage de données.

Aux termes de son étude, la Commission affirme que les bénéfices liés à la croissance du cloud devraient s’accroître jusqu’à 45 milliards d’euros d’ici à 2020 dans l’Union européenne.

Economie d’investissement pour les entreprises clients

Pour l’entreprise souhiatant recourir à un cloud, l’avantage résidera principalement dans les économies de dépenses d’exploitation liées à l’informatique et celle-ci disposera ainsi davantage de ressources pour d’autres investissements.

La flexibilité grandissante des offres cloud procure également aux entreprises clients un avantage non négligeable notamment lorsque celle-ci souhaite moduler son utilisation et l’adapter à ses besoins.

Si les petites entreprises ont moins été séduites par le l’hébergement en mode cloud, contrairement aux moyennes et grandes entreprises, la généralisation d’un cloud européen serait pour elles un facteur de croissance évident afin d’employer leurs ressources pour des dépenses opérationnelles autres qu’informatiques.

Relais de croissance pour les prestataires cloud

Selon le scénario prévisionnel de la Commission européenne, la libéralisation d’un cloud européen entraînerait la création de 303 000 nouvelles entreprises entre 2015 et 2020 en Europe.

Dans ces conditions, l’impact du cloud européen sur la création et l’emploi est indéniable, allant jusqu’à 2,5 millions de nouveaux emplois entre 2012 et 2015 dans le scénario le plus optimiste.

Si le cloud européen constitue inévitablement un moteur de croissance pour les différentes parties prenantes, certains freins juridiques existent en l’état actuel des réglementations.

Les freins juridiques à l’émergence d’un cloud européen

La directive 95/46/CE (3) énonce comme principe la libre circulation des données à caractère personnel dans l’Union européenne. Ce principe est repris par le règlement européen du 27 avril 2016 (4).

Dans une optique de renforcement de la libre circulation des données dans l’Union européenne, la Commission européenne a prôné sa volonté de supprimer toutes les restrictions qui existent relativement à la localisation des données au sein de l’Union européenne. A ce titre, par une consultation ouverte depuis le 10 janvier 2017 et jusqu’au 26 avril 2017 (5), elle a pour mission de fixer le programme politique européen et figer la réglementation applicable à la localisation des données.

La Commission estime que les restrictions nationales à cette liberté devront être justifiées par le Traité et être nécessaires et proportionnées à la réalisation d’un objectif d’intérêt général, tel que la sécurité publique. Cette approche est d’ailleurs en cohérence avec le RGPD (8).
En l’état actuel du cadre légal, plusieurs freins à la localisation des données dans l’Union européenne peuvent être recensés.

Dans le domaine de la santé, le Code de la santé publique (6) impose un système de certification de l’hébergeur susceptible d’accueillir les données à caractère personnel, qualifiées de sensibles.

Concernant le domaine de la défense et de la sécurité publique, certaines données sensibles ne peuvent pas être hébergées à l’extérieur du territoire national. Cette exigence ressort de la politique de sécurité des systèmes d’informations de l’Etat du 17 juillet 2014 (7). Si les restrictions sont ici justifiées par un impératif de sécurité publique et notamment la fuite des données sensibles, celles-ci sont pour autant des freins à l’émergence d’un cloud européen.
Par ailleurs, une note d’information du 5 avril 2016 (9) des pouvoirs publics français interdit également le transfert des données des collectivités territoriales, qualifiées de « trésors nationaux », vers un « cloud non souverain ». Outre l’apparente non-conformité de cette instruction avec le principe de libre circulation précité, celle-ci semble créer une sorte de « préférence nationale » contraire aux enjeux actuels du marché unique.

Du point de vue des entreprises clients, certains freins existent également relativement aux questions de sécurisation des données. En effet, selon la loi Informatique et libertés en vigueur, il pèse sur le responsable du traitement une obligation de sécurité et de confidentialité quant aux traitements des données. Ainsi, le recours à un prestataire de type cloud peut sembler complexe et susciter des inquiétudes en termes de responsabilité dans la mesure où les sanctions pénales peuvent s’avérer très lourdes.

En tout état de cause, la Commission européenne souhaite une suppression globale des restrictions sur l’emplacement des données afin de faire prévaloir les bienfaits d’un futur cloud européen pour l’économie européenne, les fournisseurs de cloud et les entreprises utilisatrices.

Eric Le Quellenec
Arthur Benchetrit
Lexing Droit Informatique

(1) Rapport d’étude du 12-2014 au 4-2016, « Measuring the economic impact of cloud computing in Europe »
(2) Définition donnée par la Commission européenne à travers son étude
(3) Directive 95/46/CE du 24-10-1995
(4) Règl. (UE) 2016/679 du 27-4-2016
(5) Communication du 10-1-2017, « Communication on Building a European Data Economy »
(6) CSP, art. L1111-8 al. 1
(7) Politique de sécurité des systèmes d’information de l’Etat, 17-7-2014
(8) Post du 30-1-2017
(9) Instruction ministérielle du 5-4-2016




Cloud Computing et protection des données

Cloud Computing backgroundLe CIGREF (Club Informatique de Grandes Entreprises Françaises), l’IFACI (Institut Français de l’Audit et du Contrôle Internes) et l’AFAI (Association Française de l’Audit et du Conseil Informatiques) ont publié un guide sur le Cloud Computing et la protection des données à caractère personnel (1).

La démarche des trois associations professionnelles vise à faciliter le dialogue entre les directions métiers et la DSI en expliquant la réalité des offres Cloud et leurs limites en matière de protection des données.

Parmi les recommandations contractuelles relatives à la protection des données, notamment l’intégrité et la confidentialité, les trois associations professionnelles rappellent que dans le cadre d’un service Cloud qui héberge des données à caractère personnel, géré par des opérateurs offshore (hors Union européenne), il est nécessaire de s’assurer que l’on est en conformité avec les règlements relatifs aux transferts internationaux de données (déclaration de transferts internationaux, Binding corporate rules ou clauses contractuelles européennes).

Parallèlement, le CIGREF a publié un rapport issue de son groupe de travail sur le Cloud computing dans le SI de l’entreprise (2). Dans ce rapport, il redéfinit les fondamentaux du Cloud computing en fonction de la compréhension et de sa mise en œuvre par les entreprises (et non à partir des offres du marché).

Deux précieux outils pour la maîtrise complète de la solution cloud.

Isabelle Pottier
Lexing, Droit informatique

(1) Guide pratique CIGREF, IFACI et AFAI, « Cloud computing et protection des données », Mars 2013, disponible sur les sites respectifs des 3 associations.
(2) Rapport CIGREF, « Fondamentaux du Cloud computing : le point de vue des grandes entreprises », Mars 2013, téléchargeable sur le site de l’association.