LE STOCKAGE ET LA PROTECTION DES DONNÉES À L’HEURE DU CLOUD COMPUTING

Publié par le dans , | Consulté 1 039 Fois

Le cloud computing ou encore « Informatique dans les nuages » constitue une nouvelle forme de stockage et d’accès aux données par l’intermédiaire d’internet. Selon Honor Mahony, le cloud computing est aussi considérable que « les PC l’étaient pour les années 1970 : un saut technologique et social qui changera le mode de fonctionnement des business, la façon dont sont organisées les villes, celle dont les gens effectuent leur travail, et ce que les citoyens attendent de leurs services en ligne ». La protection des données et en particulier la protection des données personnelles est au centre des débats avec le règlement n° 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Si le cloud computing présente de nombreux avantages tels que « l’élasticité et le paiement à l’utilisation », il apparait nécessaire, malgré l’ordonnance du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, de maîtriser les clauses même du contrat de Cloud computing afin de garantir la protection des donnés.

Le stockage et l’accès des données : les différents types et services de Cloud computing

Le Cloud computing permet « un accès à des ressources informatiques sur demande via le réseau. » Son accès peut être gratuit ou sur abonnement. Dans le cadre d’un abonnement c’est la consommation qui est déterminante du prix du Cloud.

Si l’industrie du Cloud connait un développement considérable, le stockage des données n’est pas présenté de la même manière selon types de Cloud. Le Cloud privé est une structure qui est détenue et exploitée par le client qu’il dessert même si le cloud est hébergé par un prestataire. Le cloud public est une structure plus accessible gérée par un fournisseur tiers. Ce dernier met à disposition « des ressources informations » partagées par différents utilisateurs qui sont accessibles au plus grand nombre via internet. Les principaux fournisseurs de Cloud public sont notamment Amazon Web Services et Microsoft Azure. Enfin, il existe un intermédiaire entre ces deux structures à savoir le Cloud Hybride.

Les services de cloud computing sont au nombre de trois et chacun propose des offres différentes en fonction des besoins des clients. En effet, le contrat de Cloud computing de type Saas, (Software as a Service), permet d’utiliser des logiciels qui se trouvent sur des serveurs externes. Le service de type PaaS (Platforme as a Service), est plus évolué que le précédent puisqu’il permet de « développer, de gérer et de se servir d’applications en ligne sans avoir à se soucier de la création et de la maintenance des infrastructures normalement nécessaires à ce type de développement. ». Enfin, le contrat de Cloud computing de type IaaS (Infrastructure as a Service) propose des services « de base » comme le stockage.

Si les besoins des clients semblent être pris en compte, cette diversité des services conduit à de nombreuses interrogations sur la protection des données par les fournisseurs de service. En effet, la protection des données peut être abordée de manière différente selon le type de service choisi et la solution semble dès lors se trouver dans les clauses mêmes du contrat de Cloud computing.

La protection de données : le contenu du contrat de Cloud Computing

Le contrat de Cloud computing peut être associé, dans certains cas, à un contrat d’adhésion, contrat « dont les conditions générales, soustraites à la négociation, sont déterminées à l’avance par l’une des parties ». Le contrat d’adhésion repose sur trois critères : l’existence de conditions générales, leur détermination à l’avance par l’une des parties, la soustraction des conditions générales à la négociation. Par l’Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, a étendu la protection contre les clauses abusives au contrat d’adhésion, dans le but d’atténuer au mieux les potentiels déséquilibres. De plus, selon le nouvel article 1190 du Code civil : « dans le doute, le contrat de gré à gré s’interprète contre le créancier et en faveur du débiteur, et le contrat d’adhésion contre celui qui l’a proposé. » Ainsi, la partie qui adhère au contrat ne semble plus être en situation de faiblesse. Toutefois,  il convient de remarquer que « les contrats de Cloud computing ne sont pas reconnus comme des contrats d’adhésion par la loi ou encore par la jurisprudence ». Ainsi, afin de garantir la protection des données et d’atténuer au mieux les déséquilibres potentiels certaines clauses nécessitent une attention particulière.

Les clauses relatives à la sécurité des données sont les premières clauses qui doivent être étudiées, il s’agit notamment des stipulations qui concernent le lieu de stockage physique des données. En effet, tous les pays n’ont pas la même législation concernant « l’accès par les forces de l’ordre aux données» et des clauses relatives à la loi applicable aux données doivent être prévues afin que le client évalue l’étendue des risques. Par ailleurs, le marché du Cloud est dominé par Microsoft ou encore Amazon, ces opérateurs ayant deux points communs : leur siège social se trouve aux Etats Unis et il est indiqué dans le contrat « la loi d’un de ses États comme applicable au contrat de Cloud computing ». Ainsi, le recours au Cloud computing conduit dans certain cas à respecter le cadre établi par les opérateurs et notamment américains.

Par ailleurs, les clauses de responsabilité sont elles aussi essentielles et nécessitent une attention particulière. Il doit être effectivement précisé dans le contrat, la responsabilité de chacun des acteurs à savoir du celle du fournisseur ou encore celle du sous-traitant. Il convient de vérifier que ces acteurs ne se sont pas exonérés de toute responsabilité en cas d’utilisation « illicite des informations  stockées ».

Enfin, les clauses « permettant de garantir la disponibilité des données » doivent elles également être étudiées. Il s’agit ici de toutes les clauses relatives à la restitution des données, dites de «réversibilité», mais aussi à la duplication des données. Le client doit s’assurer qu’à la fin du contrat ses données lui soient restituées dans leur intégralité et dans un délai déterminé.

Ainsi, la conclusion d’un contrat de Cloud n’est pas sans conséquences et il est essentiel de prendre en compte les enjeux qui en découlent et le règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) s’inscrit dans ce cadre-là.

L’impact du règlement 2016/679 sur le contrat de Cloud computing

Après quatre années de négociations le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) a été publié au Journal Officiel de l’Union européenne du 4 mai 2016. De par sa nature, ce texte ne doit pas faire l’objet d’une transposition, il sera appliqué dès le 28 mai 2018 (Article 99 du règlement). Le contrôle par chacun des données personnelles est l’objectif ce règlement. Par ce règlement les obligations des fournisseurs Cloud computing ont été renforcées. En effet, l’article 32 du règlement prévoit une « sécurité du traitement » avec notamment « une obligation de mettre en œuvre des mesures techniques et organisationnelles afférentes à la sécurité, l’assistance au client en matière de sécurité des données ». Par ailleurs, l’article 24 du règlement prévoit un certain nombre d’obligation qui découle du concept de « l’accountability ». En effet, le RGPD, contrairement aux anciens textes relatifs à la protection des données personnelles, repose sur la confiance accordée au responsable de traitement et il impose notamment au responsable du traitement de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire ». Outre les stipulations propres aux responsables de traitement, le règlement prévoit également des obligations propres au client. En effet, ce dernier ne pourra pas s’exonérer de toute responsabilité et il devra en outre étudier l’ensemble des clauses prévues dans le contrat.

Si le règlement européen semble être une solution pour pallier certains risques liés à la conclusion d’un contrat de Cloud computing, le règlement ne constitue pas la solution ultime. La lecture et l’interprétation des clauses du contrat restent les meilleures solutions pour lutter contre les risques.

SOURCES :

DORNBIERER C., « ‘’L’appropriation’’ du contenu numérique par le contrat », mémoire Master Droit Propriété intellectuelle et nouvelles technologies, Université Paul Cézanne – Aix Marseille III, 2017.

ACPR., « Les risques associés au Cloud computing », Analyse et synthèse, n°16, juill. 2013

ROLLAND Y., « Quelle différence entre le Cloud privé et le Cloud public », computerland.fr, consulté le 17 octobre 2017 <http://www.computerland.fr/difference-cloud-prive-public/ >

CARISSIMO G., « Le Cloud computing conforté aux problématiques de protection des données personnelles », juristedunumérique.fr, mis en ligne le 14 février 2016, consulté le 16 octobre 2017 < http://www.juristesdunumerique.fr/2016/02/14/cloud-computing-et-donnees-personnelles/>

ALIX P et PERFETTI G., « Les contrats de cloud computing : les clauses importantes du point de vue des clients », legavox.fr, mis en ligne le 24 novembre 2012, consulté le 20 octobre 2017 <https://www.legavox.fr/blog/virtualegis/contrats-cloud-computing-clauses-importantes-10101.htm>

GRATIOLET F., « Le Cloud et le faux sentiment d’être propriétaire des données », blogatipic-avocat.com, mis en ligne le 4 mars 2015, consulté le 20 octobre 2017,< http://blogatipic-avocat.com/le-cloud-et-le-faux-sentiment-detre-proprietaire-des-donnees-cloud-and-the-false-sense-of-data-ownership/ >

CARDON D., CASILLI A. A., Qu’est-ce que le digital labor ?, Ina, coll. Études et controverses, Bry-sur-Marne, 2015, p. 13.