Un autre regard sur la mondialisation et l'industrie

Président :
Bernard Carayon
(Ancien député UMP du Tarn)

Vice-Président :
Jean-Michel Boucheron
(Ancien député PS d'Ille et Vilaine)

Publications - Lettre Prometheus - Mai 2013

Le cloud computing, ou « informatique en nuage », est un mode d’externalisation de l’informatique ouvrant  l’accès, à des ressources  informatiques  (serveurs, stockage, réseaux, logiciels, application). Les  services  de  cloud   sont variés : les clouds  publics sont  partagés  et mutualisés  entre de nombreux  clients, les clouds privés, dédiés à un seul client.

Le marché du cloud est en pleine expansion. Ainsi, selon le cabinet IDC, les dépenses en cloud public devraient atteindre cette année, en France, près d’1,8 milliard d’euros. Soit une croissance attendue de plus de 38% par rapport à 2012.  Cette progression devrait d’ailleurs se confirmer dans les années à venir. Le même cabinet estime en effet que les dépenses sur le marché français devraient se hisser à 2,4 milliards d’euros en 2014, et dépasser les 3,1 milliards en 2015.

En 2011, la Commission Nationale de l’Informatique et des Libertés (CNIL) a engagé une consultation publique afin de définir l’environnement juridique dans lequel le cloud pouvait se développer. Cette consultation a souligné les incertitudes du recours au cloud.

L’évolution rapide de ces prestations dématérialisées et le recours quasi-systématique à la sous-traitance ont mis en évidence trois problèmes majeurs : la sécurisation technique des données, la transparence des opérations, le vide juridique pour les clients. La question de  la protection des  données, reste particulièrement sensible, car il n’y a pas de  contrôle  sur  les  données  à caractère  personnel et le partage des ressources via la sous-traitance reste opaque ; les  clients  ne  sont  pas  informés   des  différentes opérations de traitement  effectuées par  un  service  de  cloud, impliquant des risques  de voir les données divulguées et traitées à des fins illégitimes.En outre,  par nature, le cloud ne permet pas une localisation des données dans le réseau du fournisseur. Aussi, le client est rarement en mesure de savoir en temps réel où se trouvent ses données, où elles sont transférées et stockées et, plus délicat encore, de déterminer le droit applicable qui les régit.

Face à ce constat, la CNIL a émit plusieurs recommandations destinées à sensibiliser les entreprises et les pouvoirs publics aux enjeux du cloud :

identifier  clairement les  données  et  les  traitements qui  passeront  dans  le cloud,

définir  leurs  propres exigences  de sécurité technique et juridique,

conduire une analyse  de risques afin  d’identifier  les mesures  de  sécurité essentielles  pour  l’entreprise,

choisir  un prestataire  présentant des  garanties  suffisantes,

surveiller les évolutions dans  le temps.

Le cadre législatif apparait insuffisant, et doit être renforcé dans deux directions : le  renforcement des clauses  permettant l’information du client. Le   développement   du   cloud   computing  au cours des   dernières   années ne s’est pas accompagné d’une harmonisation normative en la matière.

La question de la réversibilité et de la transférabilité des données en fin de contrat est ainsi toujours posée, complexifiant à outrance le transfert des données en fin de contrat.  C’est pourquoi, le renforcement du cadre législatif devrait inclure des clauses précisant les droits et  obligations  du client  et du  prestataire, notamment en matière de confidentialité des données remises à la garde du prestataire.

Deuxième direction : instaurer des sanctions à l’encontre du prestataire, de la  violation  de  la  confidentialité   des  données, en cas d’utilisation abusive ou frauduleuse. Si la protection des données personnelles est déjà bien encadrée par la législation européenne, les sanctions applicables ne sont pas assez dissuasives.  A  cet égard, la proposition  de loi sur le secret des affaires, portée par Bernard Carayon et adoptée, à l’unanimité, par l’Assemblée nationale le 23 janvier 2012,  prévoit un renforcement de la protection des données « sensibles » de l’entreprise, et des sanctions à l’encontre des abus.