Cloud computing : les conseils de la CNIL pour les entreprises qui utilisent ces nouveaux services
RSS CNIL - , 25/06/2012
L'expression " informatique en nuage " ou " Cloud computing " désigne le déport vers " le nuage Internet "* de données et d'applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s'apparente à la location de ressources informatiques avec une facturation en fonction de la consommation.
La gamme d'offres correspondantes a connu un fort développement ces quatre dernières années, notamment au travers du stockage et de l'édition en ligne de documents ou même des réseaux sociaux par exemple.
De nombreuses offres de services de Cloud computing sont désormais disponibles sur le marché, que ce soit pour l'hébergement d'infrastructures (IaaS – Infrastructure as a Service), la fourniture de plateformes de développement (PaaS – Platform as a Service) ou celle de logiciels en ligne (SaaS – Software as a Service). Ces offres sont proposées dans des Clouds publics (service partagé et mutualisé entre de nombreux clients), privés (Cloud dédié à un client) ou hybrides (combinaison des modèles public et privé).
Une nécessaire clarification du cadre juridique
Le Cloud computing représente pour les entreprises une évolution majeure de leurs services informatiques et propose de nombreux avantages, notamment celui de mutualiser les coûts d'hébergement et d'opérations.
Les questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données sont particulièrement délicates dans le cadre du Cloud computing. Les entreprises souhaitant recourir à ces services ont donc besoin d'une clarification des responsabilités y afférant qui leur est applicable.
La standardisation des offres et le recours par les prestataires de Cloud à des contrats d'adhésion pour formaliser leurs relations contractuelles avec leurs clients laissent peu de marge de négociation à ces derniers. De plus, il apparaît que les prestataires fournissent généralement peu d'informations à leurs clients quant aux mesures techniques et organisationnelles mises en œuvre permettant de garantir la sécurité et la confidentialité des données traitées pour le compte des clients. Cette insuffisance de transparence de la part des prestataires fait défaut aux clients, puisqu'ils ne disposent pas de toutes les informations nécessaires leur permettant de remplir leurs obligations en tant que responsables de traitement.
Sur la base des 49 réponses à sa consultation publique, la CNIL précise aujourd'hui son analyse du cadre juridique du Cloud computing, Elle accompagne les entreprises qui souhaitent avoir recours à des prestations de Cloud et notamment les PME, en leur proposant des recommandations pratiques. Elle met aussi à leur disposition des modèles de clauses contractuelles qui peuvent être insérés dans les contrats de services de Cloud computing.
* Bien avant qu'apparaisse l'expression " Cloud Computing ", les architectes réseau schématisaient Internet par un nuage. En anglais, le terme " the Cloud " était couramment utilisé pour désigner Internet.