La propriété dans les nuages ou lorsque le droit se saisit du Cloud

La propriété dans les nuages ou lorsque le droit se saisit du Cloud Michèle BattistiCloud Gate. Galerie de Graig S. Flickr CC by-nc-nd ADBS – Paralipomènes - IABD Congrès I-Expo : 14 juin 2012

2 Pour maîtriser ses données dans le Cloud Se poser quelques questions ? Le Cloud 1. Une révolution ? 2. Quelles menaces ? 3. Quelles précautions ?

3 Illustr. La liberté guidant le peuple. Eugène Delacroix .Wikimédia Commons. 1. Une révolution ?

,Le Cloud incontournable et omniprésent 4 Amazon était pionnier Vers un web 4.0, un web de plus en plus intelligent lorsqu’il proposait en 2002 et sophistiqué s’appuyant sur le Cloud de louer des espaces de stockage sur ses serveurs, ceux-ci n’étant réellement / utilisés que pendant une Un recours au Cloud qui se généralise partie de l’année, liés à des Vu récemment pics de consommation • Amazon crée un service de Cloud d’écoute musical où Aujourd’hui tout le l’internaute est invité à stocker la musique qu’il a achetée • le cloud gaming, un « système de papillonnage vidéoludique » monde a entendu parler du Cloud Computing Du web 2.0 au web 4.0 en passant par le web 3.0 : où en sommes‐nous ? Mehdi Zemmama, Cap Gemini Consulting, 30 novembre 2010. Petite histoire du cloud computing, Thibaut de Jaegher, LUsine Nouvelle , n° 3283, 28 avril 2012 Head in the Cloud and Flow. Picto Synthesis. CC by-nc

Le Cloud incontournable et omniprésent5Avec les revues électroniques, Louer est tendanceaujourd’hui avec les livres électroniques,on a appris que l’on ne louait qu’un accès temporaire à desinformations et/ou à des oeuvresDepuis quelques années, en fonction de nos besoins, on peut louerdes espaces de stockage pour nos propres données ; on peutlouer diverses applications informatiques pour les traiter, voire des données … Nos ordinateurs tendent à se borner à « se brancher en mode terminal »Le support disparaît ? Oui, mais pas pour tout le monde I love Solidays. Damien Roué .Toutes ces données sont entreposées dans des serveurs Fotopeida. CC by-ncgigantesques, souvent localisés dans des pays lointains, En octobre 2009, l’infrastructure enet sont amenées à circuler périodiquement nuage d’Amazon représentait 40 000dans le monde, ce qui représente serveurs répartis dans plusieurs sitesune première source de problème juridique dans le monde

Le Cloud Une révolution technique ?6 Un nouveau moyen de consommer l’informatique Externaliser en fonction de ses besoins, des services informatiques qui nécessitent dimportantes capacités de calcul ou de stockage auprès de nimporte quel serveur disponible appartenant à un réseau de serveurs connectés à linternet Illustr. An exhaust cloud engulfs Launch Pad 39A Le Cloud : facilité d’usage, fourniture à la at NASA’s Kennedy Space Centre in Florida as space shuttle Endeavour l demande, prix calculé selon la consommation, … ift). NASA/Sandra Joseph and Kevin O’Connell. 2010. . Bénéficier d’économies d’échelle Public Domain Wikimédia Commons comme un banal branchement « tous ceux qui en ont tâté à un réseau électrique ne reviendront pas en arrière » Partager des ressources informatiques distribuées sur Le Cloud computing, évolution internet : le résultat d’une ou révolution ? Paralipomènes, 25/09/10 évolution de plusieurs techniques arrivées à maturité

Le Cloud Une révolution technique ?7 Un peu de jargon Du Cloud public … le plus naturel Mais aussi du Cloud privé (rien que pour soi) du Cloud hybride (privé/public) du Cloud communautaire (par « affinités ») Iaas Infrastructure as a service Paas Platform as a service Saas Software as a service 3 couches de services Des données qui voyagent Etang du Méjean. Photos de F. Moreno, SaaS, PaaS, IaaS, Cloud : définitions, François Daniel Giezendanner, SMS, SPIP, 10 mars 2010 constamment CC by-nc-nd autour du monde pour répondre à la nécessité de refroidir les serveurs

Le Cloud Une révolution contractuelle?8 Contrat de Cloud Les points clefs  Les données personnelles et la confidentialité (la question la plus sensible)  La sécurité des données (où se trouvent-elles ? et le souci de transparence)  La réversibilité et l’interopérabilité pour pouvoir se retirer du Cloud  Les garanties en cas de perte de données ( .. clashs informatiques de tous ordres)  La fixation du prix (critère déclenchant le paiement : mois ? nombre de personnes ? transaction ?)  Le droit applicable en cas de litige (sans traité international, une question complexe), … Un contrat qui ressemble fort à une banale externalisation des données ou contrat d’infogérance Le Cloud computing, une révolution contractuelle ? Paralipomènes, 24/10/10

Le Cloud Une révolution contractuelle?9 De l’outsourcing classique Le buzz autour du Cloud lui donne ne dimension psychologique particulière La tentation de la personnalisation au risque de perdre les bénéfices (économiques) du Cloud et de rendre la réversibilité et l’interopérabilité délicate Des données très mobiles. Comment le mettre en œuvre un audit « lorsque les données sont au Pôle nord ? » Des contrats d’adhésion (petits comptes ou individus) Non négociables ; pas d’avenant mais un simple courriel d’acceptation quand un service est modifié et une durée volontairement courte au terme de laquelle « on adhère ou on sort » Pour les entreprises, généralement , des licences à négocier L’angle abordé aujourd’hui

Le Cloud Une révolution contractuelle?10 PRAGMATISME Le Cloud un révélateur de Cloud : de l’informatique à consommer tendance vers une offre standardisée travers du passé qui étonne et inquiète car il s’agit de données L’occasion de simplifier la rédaction de mais serait l’approche la plus pertinente contrats d’outsourcing qui contiennent des « SLA farfelues » PERSONNALISATION des plans d’assurance qualité se traduisant articuler Cloud public et Cloud privé mais par des « pavés incompréhensibles » aux non perdre les bénéfices en termes de coûts, des juristes mais où l’essentiel est absent souplesse et d’adaptabilité  des plans de sécurité avec des « mesures alambiquées » qui ne seront jamais mises en œuvre, etc … Le client face aujourd’hui à « du pas très sec » Des juristes très Fin 2010 Donner une réponse rapide, un accompagnement avec un dialogue en amont sur le soutenu entre juristes et techniciens risque : confusion entre les aspects Cloud juridiques et techniques un cadre contractuel non stabilisé, avec des clauses adaptables et réversibles, et des solutions hybrides donnant une large place au feed-back

11 Windows to the sun. Jacob Ion. Fotocommunity. CC by-nc-nd 2. Quelles menaces ?

Le Cloud Quelles menaces ?12 Court-on plus de risques que dans une banale externalisation informatique dans un système non mutualisé sur un serveur dédié ? Qu’en est-il Approaching Asperatus Cloud. BJ Bumgarner Flickr By-nc-sa  de la sécurité des données ?  du cas, très sensible, des données personnelles ?  de la réversibilité ?

13 La sécurité des données Disponibilité, intégrité, confidentialité

Le Cloud Sécurité14 dans un Cloud ouvert aux 4 vents ? La disponibilité Le Cloud démultiplie les supports physiques d’une même machine virtuelle un problème … et l’on change de machine . Un Cloud élastique Illustr. Nuages de vent. Solea 20. CC 2.0 by-nc-sa. Flickr une adaptation immédiate à toute situation une augmentation instantanée de la puissance d’une machine virtuelle, sans Paradoxe ! devoir l’arrêter, comme dans un Le Cloud donne des hébergement informatique classique garanties très fortes

Le Cloud Sécurité15 dans un Cloud ouvert aux 4 vents ? L’intégrité et la confidentialité Une perte de maîtrise Risques lorsque le prestataire a potentiellement accès à nos Un matériel que l’on ne peut plus espaces de stockage, ou lorsque les accès du prestataire sont contrôler, des logiciels imposés qui « compromis » empêchent certaines mesures de sécurité des masters mal sécurisés, voire Risques techniques compromis car présentant des portes Partage des ressources de la machine physique pour plusieurs dérobées machines virtuelles liées entre elles par un hyperviseur : une communication accidentelle entre machines virtuelles en raison Se fier à un faux sentiment de de problèmes liés à l’isolation du stockage, de la mémoire, sécurité donné par le marketing du des processeurs ou encore du réseau. prestataire Un type de faille rare et des attaques complexes Aucune garantie sur l’effacement des données Risques liés à l’interface de gestion des services (en fonctionnement normal ou en (manière dont on gère ses comptes dans le Cloud). Des failles fin de contrat) sur tous les supports dans les outils d’authentification qui se traduisent par la existants suppression de serveurs ou de services, des vols de données ou des transferts de services Plus risqué, plus complexe

Le Cloud Sécurité16 dans un Cloud ouvert aux 4 vents ? Certifications invalides ou impossibles Le prestataire doit autoriser un audit de certification sur ses équipements MAIS Comment organiser un test d’intrusion en raison du principe de territorialité pour les huissiers et des difficultés liées à l’intégrité d’une copie d’une mise en ligne sur internet Que se passe-t-il si, pour établir un constat les autres machines virtuelles de clients sont arrêtées ? Si, lors de son constat, l’huissier « prend tout » ? ’ La fuite de données se constate a posteriori L’alerte ne s’applique qu’à des données ou à des faits préalablement définis Des outils de sécurisation rarement déployés, par ignorance ou en raison de leurs coûts Un travail dans l’urgence qui s’avère être la raison majeure des problèmes de sécurité rencontrés

17 Les données personnelles

Le Cloud Données personnelles18 La question la plus sensible Des données qui circulent Une question essentielle à régler et qu’on peine à localiser Qui est responsable du traitement ? Une chaîne de responsabilité entre  le responsable du traitement qui dispose des moyens du traitement et en définit la finalité  son sous‐traitant avec qui il signe un contrat Un prestataire qui dispose de marges de manœuvres Google, par exemple, impose à des petites entreprises des conditions non négociables, sans se percevoir comme responsable d’un traitement Un faisceau d’indices pour déterminer le degré de responsabilité de chaque acteur à partir de plusieurs critères : • le niveau des instructions données • le niveau de contrôle de l’exécution des prestations • la transparence • l’expertise

Le Cloud Données personnelles19 la loi « Informatique et Libertés » ne s’applique qu’aux responsables du traitement résidant sur le territoire français ou lorsque le traitement est effectué sur le sol français. Les données circulant, divers droits sont susceptibles de s’appliquer dans les territoires qui émaillent leur pérégrination dans le monde Des faisceaux d’indices pour déterminer si le responsable des moyens de traitement entend viser un public français Un lien suffisant, substantiel ou significatif entre le service proposé et le client pour définir que l’on s’adresse à un public français et que la loi applicable sera française Landscape –Photo. This photo is licensed under a CC by-nc-nd License.

Le Cloud Données personnelles20Transfert de données Des instruments inadaptéshors de l’Union européenne Les clauses contractuelles qui conduisent àIl sont interdits sauf si le niveau créer une « toile » d’araignée » dede protection est jugé adéquat contrats, ne donnent aucune sécurité. On n’est jamais certain qu’un contrat soitAutorisés s’ils sont encadrés par des clauses signé pour chaque transfert, et ellescontractuelles type reconnues par la Commission deviennent très vite obsolèteseuropéenne- dans le cadre du Safe Harbor qui lie la LeSafe Harbor n’offre de garantie qu’aux grossesCommission européenne et la Federal Trade entreprises,Commmision aux États-Unis Les BCR ne créent de zones de sécurité qu’au- des Binding Corporate Rules (BCR), codes de sein d’un groupe ou lorsque ils sont adoptés parbonne conduite définis au sein d’une entreprise toutes les entreprises sous-traitantes Des exceptions inadaptées : La CNIL en fait une- dans les quelques cas exceptionnels interprétation restrictive ; elles ne concernent quementionnés dans la loi «Informatique et Libertés » des transferts ponctuels d’un petit nombre de données

Le Cloud Données personnelles21 Prochainement Un Règlement européen relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données. Projet diffusé le 25 janvier 2012 21 Les défis à relever t - la qualification juridique du prestataire de Cloud - l’encadrement des transferts de données personnelles hors de l’Union européenne L’Europe et les données personnelles au prisme du Cloud, Paralipomènes, 24 février 2012

22 La réversibilité

Le Cloud En sortir23 Réversibilité revenir à une situation ou une organisation intérieure . Éviter une situation de blocage sans possibilité de retour ; éviter d’être lié à un prestataire unique Sortir non pour revenir mais pour aller ailleurs Favoriser le passage d’un prestataire à un autre Obliger un prestataire à s’entendre avec un autre prestataire, Même, voire surtout, s’il s’agit d’un concurrent Sortir du cloud ou de la réversibilité et de l’interopérabilité Paralipomènes , mars 2011

Le Cloud En sortir24 Un préalable : l’interopérabilité « capacité que possède un produit ou un système dont les interfaces sont intégralement connues à fonctionner avec d’autres produits ou systèmes existants ou futurs (Wikipédia) Des normes pour favoriser l’interopérabilité ? Rappel : une norme est une assurance sur les moyens Unicode Yi Syllables. asvensson on Flickr; CC by-,c mis en œuvre pour garantir la sécurité et non sur un résultat Normes : des gardes fous comme les contrats-types ? Cloud computing : une norme ISO en préparation, Pour régler la question ou pour la compliquer ? L’Usine nouvelle, mars 2012

25 NX0864 : Caution Large Waves. Andy Farrington CC by-sa 3. Quelles précautions ?

Le Cloud Et sécurité26 Une assurance ? Elle ne règle que les conséquences des problèmes rencontrés Des clauses ad hoc dans le contrat Le client peut exiger une transparence sur les tiers, mais doit s’assurer de la fiabilité du service proposé par le prestataire Dans un contrat B2B : exiger de connaître les composantes du service que l’on achète, pour répondre à une obligation de sécurité des données personnelles où des assurances fortes Cloud over a mountain public domain image picture in gallery doivent être données Mountain is in public domain. Les prestataires peuvent se faire certifier Un client souvent plus exigeant Ce n’est pas toujours jugé suffisant et des preuves sur pour autrui la manière d’assurer la sécurité des données doivent que pour lui-même Être également exigées par le client Se focaliser sur ce qui est important ou risqué

Le Cloud Et réversibilité27 Une clause de réversibilité accompagnée d’un plan de réversibilité détaillé dans ses annexes A noter Les difficultés varient selon l’endroit du cloud (Paas, Iaas, Saas) où l’on se trouve plus grandes dans le cadre du Paas, celui des plateformes de développement étant le marché Rain clouds seen from Märket. Taivasalla. CC by-nc-sa permettant de contrôler plus facilement le client, moindres dans le cadre du Saas, celui des logiciels Être vigilant sur les outils, les normes et les standards utilisés par le fournisseur permettant d’assurer l’interopérabilité, et contrôler les processus mis en œuvre par celui-ci pour garantir à tout moment la réversibilité Difficulté à définir les techniques et leur coût, notamment parce qu’il est difficile d’anticiper les évolutions techniques et économiques rapides qui agitent ce marché émergent pour les entreprises (contexte BtoB)

Le Cloud L’Open Cloud28 Ouvrir le nuage Pour garder la maîtrise de SAVOIR PLUS son système d’information (*) Cloud computing + Open Source Caractéristiques - Ouverture du code et des formats utilisés Vidéo Solution de gestion de - Reproductibilité des services offerts l’information en Saas et Cloud. - Interopérabilité entre les données et les applications Vidéo sur le site de l’ADBS - Transparence des contrats de service et du prestataire … L’Open Cloud : garder la maîtrise de son système d’information, Documentaliste-Sciences de l’information, 2/2012

Le Cloud Un défi passionnant Un défi29 Le Cloud, un avatar de l’industrie informatique, une simple évolution Mais de banales questions liées à l’externalisation de services informatiques qui se présentent à une échelle inédite, élargissant le cercle des personnes concernées au sein d’une entreprise, mais aussi à l’ensemble des internautes. Une chaîne contractuelle complexe Le Cloud, souvent révélateur Pour les juristes, un travail en amont pour construire Des contrats type, aider les opérationnels à répondre d’anciennes aux questions des clients, les aider à se poser lacunes ! les « bonnes » questions Et un couple contrat/assurance : une chaîne de l’assurabilité llustr. An exhaust cloud engulfs Launch Pad 39A at NASA’s Kennedy Space Centre in Florida as space shuttle Endeavour lift). NASA/Sandra Joseph and Kevin O’Connell. 2010. Démystifier les aspects juridiques du Cloud Public Domain Wikimédia Commons Computing, Paralipomènes, 4 novembre 2012

Le Cloud Un défi passionnant30 Le temps du juriste et le temps informatique des temps différents Glissement du champ des anticipations Non anticiper ses besoins en ressources informatiques avec le Cloud elles sont disponibles à tout moment et en tout lieu Low Key running hourglas Mais anticiper dans le domaine juridique o by Tijs Zwinkels112. Flickr CC by-sa pour ne pas devoir accepter un contrat d’adhésion dans l’urgence

Le Cloud Un défi passionnantUn travail en amont« Faire le ménage » dans ses donnéesDéfinir les données réellement sensibles et celles quidoivent rester en France pour répondre à desobligations légales;Les données qui pourront entrer dans le Cloud et cellespour lesquelles d’autres formes de stockage doiventêtre envisagéesDocumenter les procédures adoptées pourassurer la sécurité des données, Illu str. Banksy street art, Chalk farm.une obligation souvent négligée par les entreprises Scottroberts.CC by-nc-nd. Flickr Découvrir Mener une réflexion sur ce dont Risque : Frilosité et ne pas l’entreprise a besoin et les risques réellement encourus bénéficier des avantages du Cloud

32 Remerciements aux animateurs d’un atelier de l’ADIJ consacré au Cloud Cmputing • Mme Helle Jul-Hansen, VP et Assistant General Counsel VMWare EMEA • Me Béatrice Delmas-Linel, avocate au Barreau de Paris, associée du cabinet de Gaulle Fleurance et associés • M. David Feldman, dirigeant du cabinet de conseil DFConsulting Blog de l’Atelier Cloud Computing Un atelier pour :  cerner le concept de cloud computing,  évaluer l’impact contractuel de cette pratique,  mettre l’accent sur les données personnelles, la sécurité, la réversibilité et l’interopérabilité ainsi que sur les assurances,  présenter l’évolution de la question en novembre 2011 depuis la première réunion, en septembre 2010  reprendre la question des données personnelles, après la diffusion, le 25 janvier 2012, d’un projet de règlement européen sur les données personnelles (1) (2) Liens vers les comptes rendus sur le blog Paralipomènes.

33 Autres sources consultées Cloud computing et contrats informatiques : du nouveau ou du bruit ? Jean-Michel Pasotti, Entreprise, Internet & Droits de la personne, 23 janvier 2011 Les aspects juridiques du Cloud Computing (ppt) , Alexandre Nappey, Slideshare, 23 novembre 2011 Les points clés des contrats de Cloud Computing, Benjamin Jacob, Legavox, 19 janvier 2011 Le cloud computing : pour y voir plus clair dans la nébulosité juridique , Cabinet Feral-Shuhl / Sainte-Marie, Archimag, juillet-août 2010 Le Cloud computing, un mode dexploitation risqué? Des réponses contractuelles, Actualités du droit de l’information (ADI), septembre 2009

34 Des questions ? FLE.Poser une question. Marion Chareau. CC 2.0 by‐nc‐nd.Flickr

http://paralipomenes.net	892
http://scinfolex.wordpress.com	651
http://www.scoop.it	119
http://www.paralipomenes.net	113
http://www.cil.cnrs.fr	36
http://www.revue-reseau-tic.net	36
http://www.a-brest.net	24
http://127.0.0.1	4
http://www.digimind-evolution.com	2
http://131.253.14.250	1
http://messagerie-11.sfr.fr	1
http://numerique.corse.fr	1
http://digimind-evolution.com	1
http://www.viadeo.com	1
http://a-brest.net	1

La propriété dans les nuages ou lorsque le droit se saisit du Cloud

by Michèle Battisti

Accessibility

Upload Details

Usage Rights

15 Embeds 1,883

Statistics