• Entrepreneuriat,

Les enjeux juridiques du Cloud computing

Publié le 9 mars 2015 Mis à jour le 4 avril 2015

La révolution numérique entamée ces dernières années a vu émerger de nouvelles offres de services parmi lesquelles le Cloud computing tend à occuper une place de choix. Le cloud computing est un modèle d'accès à des stockages, des applications et des services. L'accès à ces ressources se fait grâce à Internet ou à l'intranet de l'entreprise. Le Cloud présente de nombreux avantages pour les entreprises qui décident d'y recourir en raison de la souplesse du système , d'un accès théorique à des ressources illimitées et de la réduction des coûts liée à l'externalisation de certains traitements.

La décision d’externaliser la totalité ou une partie des données et de leur traitement
doit résulter d’un choix mûrement réfléchi de l’entreprise en raison des risques induits par ce choix. En effet, aux risques traditionnels liés à la sécurité des données dans l’entreprise, s’ajoutent les risques générés par l’intervention d’un prestataire extérieur, notamment en ce qui concerne la protection des données qui lui sont confiées. Ces risques existent quel que soit le type de Cloud choisi mais sont accentués par les spécificités de certains d’entre eux.

L’entreprise a le choix entre trois modèles principaux de Cloud :
- Infrastructure as a Service (IaaS) : c’est le service de plus bas niveau. Le fournisseur
de Cloud offre l’accès à un parc informatique virtualisé sur lequel le client
peut installer un système d’exploitation et des applications. Il est ainsi dispensé
de l’achat de matériel informatique ;
- Platform as a Service (PaaS) : c’est le niveau de service au-dessus du précédent.
L’infrastructure et le système d’exploitation sont fournis par le prestataire de
Cloud et le client peut ajouter ses propres outils et des applications ;
- Software as a Service (SaaS) : des applications sont mises à la disposition des
clients, accessibles via Internet. Le client n’a plus à se préoccuper de la manière
dont le service est fourni (c’est par exemple le cas du service Gmail).

Ces modèles de Cloud peuvent être déployés selon trois schémas qui sont fonction
de leur degré de mutualisation :
- Cloud privé : le service est dédié à un client ;
- Cloud public : le service est partagé et mutualisé entre plusieurs clients, plus ou
moins nombreux ;
- Cloud hybride : le service est partiellement dans un cloud privé et un cloud public.

Le Cloud public entièrement externalisé, dont l’application la plus courante est la
messagerie électronique, est constitué de services gratuits ou payants de stockage
et d’applications Web généralement destinés au grand public. Ces services sont accessibles via le réseau Internet. Ce modèle de Cloud est celui qui génère le plus grand nombre de risques juridiques. Il repose en effet sur la disponibilité et l’accessibilité des données pour l’utilisateur. Ces données peuvent être stockées directement chez le fournisseur de Cloud ou chez l’un de ses sous-traitants.  Les infrastructures de stockage peuvent également être situées dans plusieurs pays, empêchant alors l’utilisateur de géolocaliser ses données. L’éparpillement des sites de stockage soulève la question de la législation applicable en cas de litige, les données étant en principe soumises à la loi du pays d’hébergement (II).
Comme tout système d’hébergement le Cloud computing doit respecter un certain
niveau de sécurité mais celui-ci peut s’avérer insuffisant pour garantir l’intégrité
ou la confidentialité des données (I).

Mis à jour le 04 avril 2015