Your SlideShare is downloading. ×
conference_droit-cloudcomputing_2012
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

conference_droit-cloudcomputing_2012

140
views

Published on

Il s'agissait de présenter les différents enjeux juridiques susceptibles de survenir par l'utilisation de services de cloud computing.

Il s'agissait de présenter les différents enjeux juridiques susceptibles de survenir par l'utilisation de services de cloud computing.

Published in: Education

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
140
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. cloud + droit vincentgautrais professeur titulaire faculté de droit crdp université de Montréal chaire en droit de la sécurité et des affaires électroniques www.gautrais.com
  • 2. juridiquement dangereux ?
  • 3. conclusion « n’ayez pas peur ! » jean-paul 2
  • 4. 2 points d’intro définition wikileaks
  • 5. 0.1 - définition est-ce si nouveau ? buzz ASP outsourcing
  • 6. bien ou pas?
  • 7. “an emerging architecture by which data and applications reside in cyber space, allowing users to access them through any web connected device.” (John B. Horrigan) (2008)
  • 8. “Cloud computing refers to a variety of technologies that transfer the responsibility for a computing activity (such as storage or processing) from a local computer to a network of remote computers over the Internet. The remote computers are generally operated by a thirdparty cloud service provider.” James Kosa (2010)
  • 9. « This computing trend isfuelling a mass migration of information, once stored on the hard drives of personal computers, to remote servers in a domaincontrolledby online service providers. » (Nied – 2011)
  • 10. logiciel plateforme Saas infrastructure Paas Iaas 3 modèles
  • 11. 0.2 – wikileaks • perspective politique • perspective constitutionnelle • perspective en gestiondocumentaire • perspective juridique
  • 12. 0.2.1 – perspective politique
  • 13. 0.2.1 – perspective politique efficacitéredoutable et étranged’interpol … pour une infraction de ‘viol par surprise’
  • 14. 0.2.1 – perspective politique “Yep. For years people have extolled cloud computing as the way of the future. The lesson of the last week is simple: be careful what you wish for.” John Naughton(2010)
  • 15. 0.2.2 – perspective constitutionnelle balance entre sécurité nationale liberté d'information
  • 16. 0.2.3 – perspective de gestiondocumentaire “situveuxtuer ton chien, tudisqu’il a la rage”
  • 17. 2008 Chatsworth train collision StefanaBroadbent
  • 18. 0.2.3 – perspective de gestiondocumentaire pourquoi 1 to 3 millions de personnesavaientaccèsà de l’informationaussi sensible ????
  • 19. 0.2.3 – perspective de gestiondocumentaire efficacité / accès sécurité
  • 20. 0.2.4 – perspective juridique
  • 21. 0.2.4 – perspective juridique responsabilité? contrat ?
  • 22. contrat
  • 23. ovh responsabilité
  • 24. 6 grandes préoccupations gestion propriété document aire droit internati -onal vie privée contrat respons abilité
  • 25. 1. gestion documentaire propriété droit international vie privée gestion document aire contrat responsa bilité
  • 26. relatif silence de la loi … (ou presque)
  • 27. ex.1 Loiconcernant le cadre juridique des technologies de l’information(Quebec) (2001) 34. Lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication. La documentation expliquant le mode de transmission convenu, incluant les moyens pris pour assurer la confidentialité du document transmis, doit être disponible pour production en preuve, le cas échéant.
  • 28. pause publicitaire www.lccjti.ca
  • 29. ex.2 Personal Information Protection and Electronic Documents Act, S.C. 2000, c. 5 4.7 Principle 7 — Safeguards Personal information shall be protected by security safeguards appropriate to the sensitivity of the information. 4.7.3 The methods of protection should include (a) physical measures, for example, locked filing cabinets and restricted access to offices; (b) organizational measures, for example, security clearances and limiting access on a “need-to-know” basis; and (c) technological measures, for example, the use of passwords and encryption. 4.7.4 Organizations shall make their employees aware of the importance of maintaining the confidentiality of personal information.
  • 30. la gestion documentaire est différente de celle du papier fonctions documentaires opérations
  • 31. sécurité des documents papier = coffre-fort solutions physiques
  • 32. solution des documentstechnos = documentation solutions administratives
  • 33. ex: preuve des documents technos 1 – document lui -même 2– documentation
  • 34. ex: transfert selon 2841 CCQ ≠ copie ≠ transfert
  • 35. 1.1 fonctions documentaires – Confidentialité – Integrité – Disponibilité
  • 36. exemples de documents • document de l’avocatdans le cadre de la relation avec son client – confidentiel – intégrité – disponibilité • document d’un Inc. dans le cadre d’une relation avec un consommateur – confidentiel – intégrité – disponibilité
  • 37. exemples de solutions • solution techniques sontdisponibles (tellesque le chiffrement) (pas le point le + important) – toujoursunebalance entre confortvssécurité – toujoursunebalance entre $$$$$ vssécurité • • • • documentation estsouventnécessaire normespeuventêtreutilisées (tellesque ISO) ressourceshumaines + education etc.
  • 38. 1.2 opérations documentaires transfert garde destruction conservation transmission
  • 39. simple hébergement (ISP) 22. Le prestataire de services qui agit à titre d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci. Cependant, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les documents conservés servent à la réalisation d'une activité à caractère illicite ou s'il a connaissance de circonstances qui la rendent apparente et qu'il n'agit pas promptement pour rendre l'accès aux documents impossible ou pour autrement empêcher la poursuite de cette activité.
  • 40. garde 26. Quiconque confie un document technologique à un prestataire de services pour qu'il en assure la garde est, au préalable, tenu d'informer le prestataire quant à la protection que requiert le document en ce qui a trait à la confidentialité de l'information et quant aux personnes qui sont habilitées à en prendre connaissance. Le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l'intégrité et, le cas échéant, en protéger la confidentialité et en interdire l'accès à toute personne qui n'est pas habilitée à en prendre connaissance. Il doit de même assurer le respect de toute autre obligation prévue par la loi relativement à la conservation du document.
  • 41. processus de sécurité
  • 42. processus de sécurité • categorisation de l’information QUOI • ApprochepluridisciplinaireCOMMENT • Identification de la personne responsable du processusQUI • lieu des serveurs OÙ • processus ‘work in progress’
  • 43. ex. 1
  • 44. ex. 2
  • 45. 2. contrat gestion propriété document aire droit internati -onal vie privée contrat respons abilité
  • 46. principales différences • prestataires free (impossible to négocier) • prestataires $$$ (très difficile de négocier)
  • 47. principales questions contractuelles • • • • • qui est responsable? quel est le droit applicable? quel est le niveau de sécurité? qui est le propriétaire des données / logiciels? comment le client utilise les services de cloud? • où sont les données? • comment se résilie le contrat? • etc.
  • 48. général • free • 7 pages • Several documents by reference (as privacypolicy, copyright, complaint, etc.) • contract may be changed by Amazon with no specific notice • $$$$ / free • 23 pages • several documents by reference (as privacy policy) • contract may be changed by Amazon with no specific notice
  • 49. responsabilité
  • 50. droit applicable • state of California (art. 19) • state of Washington (art. 14)
  • 51. sécurité You agreethat Google has no responsibility or liability for the deletion or failure to store any Content and other communications maintained or transmitted by Google services. no mention 7.2. Security. Westrive to keepYour Content secure, but cannotguaranteethatwewillbe successfulatdoingso, given the nature of the Internet. Accordingly, without limitation to Section 4.3 above and Section 11.5 below, youacknowledgethatyo ubear sole responsibility for adequatesecurity, protection and backup of Your Content and Applications. Westrongly encourage you ...
  • 52. propriété • Google’srights – Software – Marks – Advertisement information • Yourrights – Non-exclusive right and license to use the object code of itssofware – Data • Amazon properties: – – – – Software Marks Platform feedback • customerproperties – License – Data – Some applications
  • 53. permission 2 – APPROPRIATE CONDUCT You understandthat all information, data, text, software, music, s ound, photographs, graphics, video, messa ges or othermaterials ("Content") are the sole responsibility of the personfromwhichsuch Content originated. Google reserves the right, but shall have no obligation, to prescreen, flag, filter, refuse, modify or move any Content available via Google services. You understandthat by using Google services youmaybeexposed to Content thatis offensive, indecent or objectionable, and thatyou use Google services atyourownrisk. For some services, Google providestools to filter out adultsexual content, includingourSafeSearchpreferenc e settings … 4.1 Permitted uses generally 4.2 Restricted uses generally
  • 54. data location • no information in contract but… • no information in contract but… • … for sure there are some server farms in US • … for sure there are some server farms in US
  • 55. PATRIOT Act • Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (2001) – enhance American authorities control ability – lack of transparency about the law application
  • 56. some providers offerinsurancethat data are not store outside a specific place ex.: lawyer obligation (as British Columbia in Canada) Seehttp://www.lawsociety.bc.ca/publications_forms/rules/rules_part03.html#3-68
  • 57. et + largement en Europe 25(1). The Member States shallprovidethat the transfer to a third country of personal data which are undergoingprocessing or are intended for processingaftertransfermaytake place only if, withoutprejudice to compliancewith the national provisions adoptedpursuant to the other provisions of this Directive, the third country in question ensures an adequatelevel of protection. European directive (1995)
  • 58. résiliation ou may discontinue your use of Google services atany time. You agreethat Google mayatany time and for anyreason, including a period of accountinactivity, terminateyo uraccess to Google services, terminate the Terms, or suspend or terminateyouraccount. In the event of termination, youraccountwillb edisabled and youmay not begrantedaccess to Google • Immediatly(for Amazon) in some cases (hacking, inappropriate content, etc.) • 5 or 15 days (after a notice) (for Amazon) in other cases (as payment problem)
  • 59. 3. responsabilité gestion propriété document aire droit internati -onal vie privée contrat respons abilité
  • 60. bruceschneier pas de responsabilité sécurité = pas de
  • 61. 2 sortes de prestataires 1 – simple hébergeur 2– garde
  • 62. responsabilité • ISP (Internet Services Provider) (Hosting services) • Definition. • General exemption Regime 62
  • 63. ex. • affaires eBay – avril 2008en France = Hermes v. eBay (lire Manara ) • pas un éditeur • pas un hébergeur • au milieu = responsabilité de l’hébergeur renforcée – 2000 in USA = Hendrickson c. eBay • VERO (VerifiedRightsOwner) application • pas de responsabilité 63
  • 64. Tyffany c. eBay, (2008) (US) 64
  • 65. responsabilité • custody services 65
  • 66. dans quelle catégorie se situent les prestataires de services cloud? • difficileà dire… • important de lire le contrat • $$$ ougratuitestassurément un critère • dans les 2 cas, évaluer la diligence du prestataire de services cloud
  • 67. 4.prp gestion propriété document aire droit internati -onal vie privée contrat respons abilité
  • 68. « Democracymeansthat if the doorbell rings in the earlyhours, itislikely to be the milkman. » vie privée = attentes Winston Churchill
  • 69. difficile de vraiment savoir … … entre fantasme et peurréelle
  • 70. vie privée peut être vu comme une question de contrôle du prestataire de l’utilisateur lui-même lui-même des institutions publiques
  • 71. R. vPatrick, [2009] 1 S.C.R. 579
  • 72. R. v. Patrick, 2009 SCC 17 [62] Nevertheless, until the garbage is placed at or within reach of the lot line, the householder retains an element of control over its disposition and cannot be said to have unequivocally abandoned it, particularly if it is placed on a porch or in a garage or within the immediate vicinity of the dwelling where the principles set out in the メperimetercases such as Kokesch, Grant and Wiley apply. [63] (…) However, when the garbage is placed at the lot line for collection, I believe the householder has sufficiently abandoned his interest and control to eliminate any objectively reasonable privacy interest. 73
  • 73. cloudcomputing est attentes + élevées du web 2.0 attentes assez bases
  • 74. Brisindi et STM (Réseau des autobus), 2010 QCCLP 4158
  • 75. satisfait contrôle peut être par consentement limité
  • 76. d’un côté… consentement= meilleurmoyen d’informerl’usager
  • 77. … de l’autre… consentement= est le meilleurmoyend’utiliser les informationspersonnelles
  • 78. ex: facebook 79
  • 79. ex: facebook 80
  • 80. Quelles sont les attentes du client de services de cloud?
  • 81. privacy pour êtrehonnête… pour êtrehonnête… je ne sais pas! je ne sais pas!
  • 82. contrôlerl’infoestuneillusion
  • 83. obligation d'information 26. Quiconque confie un document technologique à un prestataire de services pour qu'il en assure la garde est, au préalable, tenu d'informer le prestataire quant à la protection que requiert le document en ce qui a trait à la confidentialité de l'information et quant aux personnes qui sont habilitées à en prendre connaissance. Le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l'intégrité et, le cas échéant, en protéger la confidentialité et en interdire l'accès à toute personne qui n'est pas habilitée à en prendre connaissance. Il doit de même assurer le respect de toute autre obligation prévue par la loi relativement à la conservation du document. (garde au Qc)
  • 84. catégorisation de l’information une question de gestion de risques
  • 85. catégorisation de l’information une question de documentation
  • 86. 5. droit international gestion propriété document aire droit internati -onal contrat vie privée respons abilité
  • 87. première étape • lire le contrat – toujours présent – toujours la loi du prestataire (moins cher) – toujours la cour prestataire (moins cher) – arbitrage peut être une bonne solution
  • 88. seconde étape • siriendans le contrat … • chercherensuite le droit applicable • 3112 CCQ et le lien de connexité le plus étroit.
  • 89. troisième étape Êtes vous vraiment sûr de vouloir aller en cour ?
  • 90. 6. propriété propriété droit internati -onal vie privée gestion document aire contrat respons abilité
  • 91. • assez simple pour la plupart des situations – – – – client client prestataire prestataire = propriétaire des données = droit d’usage logiciels (licence) = propriétaire des logiciels = gardien (ou hébergeur) des données mais …
  • 92. propriété des données peut être compromise • faillitedu prestataire • compatibilité des données (difficileàmigrer) – ex: facebook • licence non-exclusive du propriétaire des données au prestataire – ex: facebook – ex: google
  • 93. 11.1 You retain copyright and anyotherrightsyoualreadyhold in Content whichyousubmit, post or display on or through, the Services. By submitting, posting or displaying the content yougive Google a perpetual, irrevocable, worldwide, royaltyfree, and non-exclusivelicenseto reproduce, adapt, modify, translate, publish, publiclyperform, pu blicly display and distributeany Content whichyousubmit, post or display on or through, the Services. This licenseis for the sole purpose of enabling Google to display, distribute and promote the Services and mayberevoked for certain Services as defined in the AdditionalTerms of those Services.
  • 94. certaines données peuvent être créées par le prestataire • métadonnées ou data miningproduites par le prestataires sur les activités du client – peut être confidentiel (si PI - prp) – peut être agrégé
  • 95. conclusion • pas sinouveau • lire le contrat • rédiger des documentation pour montrer la diligence (peutallerjusqu’à des audits) • identifier la personneen charge des donnéesmises en cloud • comprendreque le cloud est un processusworkin-progress • etc.
  • 96. cloud + droit vincentgautrais professeur titulaire faculté de droit crdp université de Montréal chaire en droit de la sécurité et des affaires électroniques www.gautrais.com

×