Les données personnelles : un défi pour le Cloud et pour les entreprises
Paralipomènes - Michèle Battisti, 20/02/2012
Voilà sans doute le point le plus épineux à régler et une question à la pointe de l’actualité puisqu’une révision du cadre juridique européen de la protection des données personnelles est en cours. C’est aussi une question qui tend à monopoliser le débat sur le Cloud alors que celui-ci donne lieu à bien d’autres interrogations.
Le point, le 14 février 2012, lors d’une réunion des ateliers « données personnelles et « Cloud Computing » de l’ADIJ, présenté – il est important de le souligner – sous l’angle des entreprises et non sous celui des consommateurs.
Et si le Cloud n’était, tout compte fait, qu’un révélateur d’anciennes lacunes !
Le Cloud lui-même n’est qu’un avatar de l’industrie informatique, une simple évolution, si ce n’est que de banales questions liées à l’externalisation de services informatiques se présentent à une échelle inédite, élargissant le cercle des personnes concernées au sein d’une entreprise, mais aussi à l’ensemble des internautes.
Sans reprendre toute la question des définitions, rappelons que le Cloud, ce sont des solutions informatiques à la demande, soit des avantages économiques pour les entreprises. La flexibilité, tant en termes de services que de coûts, tel est l’apport vraiment nouveau de ce service. Et, puisque l’offre Cloud serait mature, la question n’est pas de savoir si l’on va entrer dans le Cloud, mais de fixer le moment où on le fera.
Une immaturité contractuelle
Le cadre juridique est pourtant connu (commerce électronique, protection du consommateur, …) et les clauses contractuelles n’ont rien d’inédit. Or, bien qu’en matière de Cloud les juristes aient été impliqués très en amont dans l’élaboration des contrats, et en relation étroite avec les directions des systèmes d’information (DSI), on ne dispose toujours pas de contrat-type. Bien au contraire ! Avec des offres packagées ou des chaînes de contrats de plusieurs prestataires, les entreprises clientes, qui ne pas tous conscientes, par ailleurs, « qu’elles sont dans le Cloud », ne se posent pas toujours les « bonnes » questions, et se trouvent souvent face à des situations contractuelles complexes.
Le Cloud présente-t-il des risques particuliers ?
N’avait-on pas souligné lors du 7e et dernier atelier consacré au Cloud Computing que les assurances s’imposaient en raison de l’ampleur des risques à appréhender ? Mais ce jour-là, déjà, on s’était posé la question de savoir qui, de l’entreprise, du prestataire de Cloud ou du client de l’entreprise, devait prendre en charge cette responsabilité.
Le Cloud privé : une solution de repli ?
Le Cloud privé donne-t-il plus de garanties que le Cloud public, mais au risque de se priver des avantages économiques du Cloud ? Ou encore le Cloud hybride, lorsque le Cloud n’est utilisé que pour certains services ? Voire le Cloud communautaire, service nouveau, permettant à des organisations qui travaillent dans le même secteur (ex : secteur bancaire) de partager un Cloud, ce qui serait moins risqué ? Dans les faits, tous ces clouds ne seraient que des étapes transitoires, avant la généralisation du Cloud public. N’avait-on pas fait l’analogie avec la fourniture d’électricité pour donner une image de ce qu’est le Cloud ?
Le Cloud, « cristallisation des peurs »
L’externalisation des données par une entreprise n’a rien de nouveau et Google offrirait des moyens de protection plus sûrs que « l’hébergeur du coin ». Si les craintes face au Cloud sont souvent irrationnelles, il serait hasardeux toutefois d’éluder tout risque. Il ne convient pas d’abandonner tout contrôle mais de bien définir les paramètres à retenir [1]. On tend alors à avoir des exigences supérieures à celles que l’on avait auparavant, à vouloir éliminer tout risque et à s’orienter vers une obligation de résultat.
Le temps du juriste et le temps informatique : des temps différents
Il convient de gérer l’écart entre l’urgence et la facilité à bénéficier d’applications offertes par le Cloud et le temps du juriste. Etre en règle avec la loi Informatique et Libertés, suppose un temps de latence en amont. Pour que la protection des données personnelles ne soit pas un obstacle, il est nécessaire d’anticiper les démarches à accomplir.
Glissement du champ des anticipations
Il ne s’agit plus de savoir anticiper ses besoins en ressources informatiques ; avec le Cloud elles sont désormais disponibles à tout moment et en tout lieu. S’il faut anticiper, c’est dans le domaine juridique. Il convient, en effet, d’anticiper pour ne pas accepter un contrat d’adhésion dans l’urgence, en ayant, au préalable, trié les dossiers pour distinguer ceux qui pourront entrer dans le Cloud et ceux pour lesquels d’autres formes de stockage doivent être envisagées, et en ayant documenté les procédures adoptées pour assurer la sécurité des données, une obligation souvent négligée dans le passé par les entreprises.
Tels sont les points que nous retiendrons dans une première partie.
Consulter la deuxième partie du compte rendu (à venir)
[1] Une bonne analyse des risques peut démonter que certaines données sont si confidentielles que même leur dématérialisation ne peut pas être envisagée. On consultera aussi avec profit La maîtrise des risques de l’infogérance (pdf), document publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).