La révolution numérique entamée ces dernières années a vu émerger de nouvelles offres de services parmi lesquelles le Cloud computing tend à occuper une place de choix.
Le cloud computing est un modèle d'accès à des stockages, des applications et des services. L'accès à ces ressources se fait grâce à Internet ou à l'intranet de l'entreprise. Le Cloud présente de nombreux avantages pour les entreprises qui décident d'y recourir en raison de la souplesse du système , d'un accès théorique à des ressources illimitées et de la réduction des coûts liée à l'externalisation de certains traitements.
La décision d’externaliser la totalité ou une partie des données et de leur traitement doit résulter d’un choix mûrement réfléchi de l’entreprise en raison des risques induits par ce choix. En effet, aux risques traditionnels liés à la sécurité des données dans l’entreprise, s’ajoutent les risques générés par l’intervention d’un prestataire extérieur, notamment en ce qui concerne la protection des données qui lui sont confiées. Ces risques existent quel que soit le type de Cloud choisi mais sont accentués par les spécificités de certains d’entre eux.
L’entreprise a le choix entre trois modèles principaux de Cloud : - Infrastructure as a Service (IaaS) : c’est le service de plus bas niveau. Le fournisseur de Cloud offre l’accès à un parc informatique virtualisé sur lequel le client peut installer un système d’exploitation et des applications. Il est ainsi dispensé de l’achat de matériel informatique ; - Platform as a Service (PaaS) : c’est le niveau de service au-dessus du précédent. L’infrastructure et le système d’exploitation sont fournis par le prestataire de Cloud et le client peut ajouter ses propres outils et des applications ; - Software as a Service (SaaS) : des applications sont mises à la disposition des clients, accessibles via Internet. Le client n’a plus à se préoccuper de la manière dont le service est fourni (c’est par exemple le cas du service Gmail).
Ces modèles de Cloud peuvent être déployés selon trois schémas qui sont fonction de leur degré de mutualisation : - Cloud privé : le service est dédié à un client ; - Cloud public : le service est partagé et mutualisé entre plusieurs clients, plus ou moins nombreux ; - Cloud hybride : le service est partiellement dans un cloud privé et un cloud public.
Le Cloud public entièrement externalisé, dont l’application la plus courante est la messagerie électronique, est constitué de services gratuits ou payants de stockage et d’applications Web généralement destinés au grand public. Ces services sont accessibles via le réseau Internet. Ce modèle de Cloud est celui qui génère le plus grand nombre de risques juridiques. Il repose en effet sur la disponibilité et l’accessibilité des données pour l’utilisateur. Ces données peuvent être stockées directement chez le fournisseur de Cloud ou chez l’un de ses sous-traitants. Les infrastructures de stockage peuvent également être situées dans plusieurs pays, empêchant alors l’utilisateur de géolocaliser ses données. L’éparpillement des sites de stockage soulève la question de la législation applicable en cas de litige, les données étant en principe soumises à la loi du pays d’hébergement (II). Comme tout système d’hébergement le Cloud computing doit respecter un certain niveau de sécurité mais celui-ci peut s’avérer insuffisant pour garantir l’intégrité ou la confidentialité des données (I).
