A quels risques, contractuels notamment, un internaute- qu’il soit un utilisateur lamba, un professionnel, une PME- s’expose-t-il en confiant certains pans de ses activités au cloud?

Question- et matière- complexe que nous n’avons pas l’ambition de traiter en profondeur. Nous nous contenterons de quelques remarques préliminaires. De quoi sensibiliser à l’ampleur de la jungle, ou les sables mouvants, qui se cachent dans ou derrière le cloud.

Philippe Laurent, avocat et chercheur au CRIDS (centre de recherche informatique et droit), donne quelques conseils- dont certains relèvent du pur bon sens.

“En termes purement techniques, le cloud recouvre bien des notions et scénarios. Il en va de même en matière juridique: il n’existe pas une loi unique sur le cloud”, prévient-il. “Toute loi visera donc un petit aspect spécifique. Au grand jamais, un législateur ne viendra avec une loi gérant tous les aspects du cloud: aspects contractuels, données, propriété intellectuelle… Le cloud touche à une multitude de branches juridiques, parfois très diverses, parfois presque antinomiques et contradictoires. Certaines lois sont harmonisées au niveau international ou européen. Par contre, d’autres sont spécifiques à chaque pays.”

Champ de mines?

S’abonner à un service IT dans le cloud (applicatif, espace de stockage, traitement…) est tellement simple qu’il s’agit- simplifions quelque peu- de sortir sa carte de crédit, de rentrer quelques données en-ligne et de cliquer pour marquer son accord. Tellement simple et rapide qu’on ne réfléchit pas toujours aux conséquences. Ou qu’on a résolument recours à ce moyen pour obtenir une solution qu’un département IT interne ou qu’un développeur externe mettrait des semaines, voire des mois, à développer ou fournir. C’est ainsi que des services cloud font leur apparition dans les entreprises, à l’insu de la direction, des responsables IT… Quid si le “proof of concept” perdure, gagne d’autres personnes et services de l’entreprise? Sans analyse d’opportunité préalable, sans possibilité d’intégration avec le reste?

Et quid de la responsabilité de l’entreprise en cas de problème, par exemple en cas de vol de données ou menace pour les ressources IT? La personne qui a sorti sa carte de crédit est-elle tenue responsable? La responsabilité de l’entreprise est-elle engagée?

Qui sera tenu responsable si une boîte mail perd toutes ses données? Qui sera responsable du fait de ne pas avoir pris de backup (ce qui n’est pas forcément possible, d’ailleurs, avec certains services)? L’employé? L’employeur?

A prendre ou à laisser

L’un des aspects majeurs auxquels accorder une attention toute particulière, dans le contexte du cloud, est la nature du contrat proposé (ou subi).

Quand on choisit un service cloud, on accepte les conditions générales de ce service.  Elles vont déterminer les relations entre les deux parties: comment utiliser le service, quelles sont les responsabilités du fournisseur, à quoi s’engage-t-il en termes de disponibilité de données… Et la nature de ces conditions varie énormément. Cela va des garanties minimales assurées par exemple par Dropbox, service gratuit (à la base), jusqu’à des contrats passés en B2B où les enjeux sont plus importants.

Le respect de la loi sur la protection des données à caractère personnel impose que l’on prenne certaines précautions. pour ne pas permettre l’envoi des données vers des pays qui n’assurent pas le même niveau de protection qu’en Europe. Et, parmi ces pays, il y a… les Etats-Unis et, dès lors, les prestataires de nationalité américaine.

“Une PME qui s’adresse à un gros fournisseur et paie 20, 50 ou 100 euros par mois pour un certain degré de service aura très peu possibilités de négocier. Le contrat ne lui donnera qu’un éventail limité de garanties. Plus la société et la demande sera grande, plus on devient un grand compte, plus la société a de marges de manoeuvre dans la négociation du contrat.”

Si une PME peut se donner davantage de marge de manoeuvre, pâr exemple concernant la localisation du serveur et/ou des données, elle devra fort probablement payer plus cher.

Cas d’espèce

Philippe Laurent évoque un exemple somme toute classique. Une multinationale (siège social aux Etats-Unis, filiales à travers le monde) décide de centraliser la gestion de son personnel et impose une solution dans le cloud de tel fournisseur qui prestera les services et traitera les données de toutes ses filiales dans le monde. Le prestataire décide du lieu d’hébergement (par exemple le Mexique) et du lieu de back-up (dans un autre pays).

Résultat: les données salariales des employés de la filiale belge de ce groupe international sont chez un sous-traitant d’origine américaine, dont les serveurs sont au Mexique et les sauvegardes en Inde, par exemple.

“On doit alors faire face à toute une série de questions et veiller à ce tout se passe dans le cadre de la loi, notamment les dispositions en matière de protection de données à caractère personnel. Certaines données touchant à la gestion des ressources humaines sont à caractère sensible, d’autres sont de nature médicale…

Cela inclut aussi potentiellement le numéro national, donnée sensible dont l’interdiction de traitement est la plus absolue. Il faut alors faire les déclarations et clearings appropriés, informer les employés, restreindre les flux au maximum, essayer de maintenir certaines données en Belgique… Cela inclut aussi la mise en place d’un système qui assure que, dans le pays de destination, les données soient protégées dans des conditions correspondant au cadre légal européen.

Il faut dès lors passer des contrats entre les différentes sociétés du groupe et avec le sous-traitant pour qu’il s’engage à traiter les données dans le respect de certains principes. Le nombre de contrats à signer entre toutes les parties prenantes peut être très élevé et contraignant. En cas de problème avec les données des employés, la responsabilité du traitement échoit à l’employeur qui a pris la responsabilité d’envoyer les données ailleurs. Il devra se défendre en disant qu’il a pris toutes les précautions imposées par la loi…”

Quel profil client?

Face à la multitude de scénarios de prestations (IaaS, PaaS, SaaS, cloud privé ou public…), Philippe Laurent conseille de déterminer “à chaque moment, quel est le profil attribué au client. Est-on un utilisateur final ou est-on un maillon dans une chaîne contractuelle? Il faut calculer les risques, faire son marché en étant conscient des risques et en les compensant éventuellement par d’autres mesures.”

Une start-up ou un petit éditeur logiciel risque rapidement, selon lui, de se retrouver entre le marteau et l’enclume. “Il lui faut un hébergement, une infrastructure aisément accessible, “élastique”, pour pouvoir déployer ses logiciels. Elle installe donc sa solution chez un prestataire tel OVH ou Amazon. D’autre part, il lui faut vendre ses services à des clients, qui souvent, pour garantir sa viabilité et sa stabilité, seront des grands comptes qui ont leurs propres exigences en termes d’accessibilité et de SLA. La start-up, par contre, a peu de poids face aux hébergeurs et dépend du service classique proposé. Elle n’est qu’un petit compte qui paie peu. Et le service sera valable aussi longtemps qu’il n’y aura pas de couac…”

Son conseil: ne pas s’engager à plus que ce que l’on peut offrir.

“Cette PME prend sur elle un certain risque. Est-il assumé, calculé?.”

Et conseil donné aux utilisateurs finaux: “informez-vous sur tout, remontez jusqu’à l’hébergeur pour voir ce que, lui, a garanti à la start-up et calculer ainsi vos propres risques.”

Problème: les échelons et paliers intermédiaires sont parfois nombreux. Et l’écheveau difficile à démêler. “Les web services ont tendance à se croiser, à se recroiser, à échanger des informations. Il faut faire très attention à toutes ces conditions contractuelles qui se cumulent, parfois se contredisent, s’auto-limitent… Cela veut dire aussi que le client final doit disposer des compétences nécessaires pour gérer ce genre de situation.”

Sans recours

Petit exemple, malheureusement vécu, qui donne froid dans le dos, cité par Philippe Laurent: une société avait passé contrat avec un prestataire local pour une application dans le cloud. L’infrastructure était gérée chez un hébergeur tiers. Un jour, le client final voit son accès s’interrompre et s’adresse à son prestataire local qui lui-même s’informe auprès de l’hébergeur. Ce dernier avait eu un “petit” souci: plantage système lors de la mise à jour du système d’exploitation. Un plantage qui avait provoqué une perte de données. Et c’est à ce moment là que cet hébergeur s’est “aperçu” que ses propres procédures de sauvegarde n’étaient plus effectuées depuis deux ans!

Mais il se dédouane de tout dédommagement en invoquant ses conditions générales de garantie, plafonnée à certain niveau. Le développeur de l’application se retourne alors vers son assurance qui lui oppose le fait que, dans le contrat passé, il n’était nulle part fait mention que l’hébergement n’était pas effectué sur l’infrastructure du développeur! Résultat: le client final a perdu ses données, a plus que probablement de gros soucis vis-à-vis de sa clientèle. La petite PME qui a développé l’application se voit refuser tout dédommagement par l’assurance. Et l’hébergeur, qui est le responsable de ce gros cafouillage, s’en tire à très bon compte parce que son contrat vis-à-vis du développeur plafonne sa responsabilité!

Plafonnement de responsabilité

“Par définition un service “tout public”, qui s’adresse plus ou moins à tout le monde va immanquablement essayer de limiter sa responsabilité au maximum. Le prestataire la limitera jusqu’au niveau où il a intérêt à remplir son obligation de service.

Philippe Laurent: “La loi actuelle est un champ de mines. Il faut bien connaître son secteur, les lois qui s’y appliquent, quelles données doivent rester en interne…”

Typiquement, à six mois ou un an de service. Si on paie un hébergeur 100 euros par mois, cela ne fait jamais qu’un maximum de 1.200 euros. Par contre, si on est dans un scénario où un client paie son abonnement au service 10.000 euros par an, pour des prestations supérieurs, et que le prestataire à une dizaine ou quinzaine de clients, le ratio est tout de suite très différent…”

Il ne faut pas pour autant se priver des potentiels qu’offre le cloud, au risque de se faire distancer par des concurrents plus agiles. Mais il faut aussi savoir à quelle sauce on risque d’être mangé si, demain, Dropbox par exemple ne preste plus le service, prévient Philippe Laurent. Il ne faut jamais perdre de vue les conditions générales.

Il faut pouvoir se passer des services cloud, respecter sa stratégie et s’y tenir. Mieux vaut ne confier au cloud que les données non vitales mais dont on a besoin à divers endroits ou à divers moments et effectuer une copie sur son propre serveur. Il faut aussi éviter de se laisser gagner par une confiance excessive et finir par tout y mettre, sans s’en tenir aux bonnes pratiques établies au départ…”

En effet, la mauvaise surprise arrive parfois par la petite porte… “Il est arrivé à certaines personnes de se voir refuser tout accès à tous leurs comptes Google pour avoir violé à une ou deux reprises les conditions générales de Google, pour un service déterminé. Après un premier avertissement, elles se sont retrouvées inexorablement “black-listées”. Pour tous les services! Or, aujourd’hui, nombre d’activités d’un individu ou d’une société peuvent être dépendantes de ces outils: Gmail, web analytics, apps…!

Si, par mégarde, vous violez un jour les droits d’auteur de quelqu’un sur Google+, vous risquez de tout perdre… Ce sera la croix et la bannière pour récupérer vos photos, vos mails, vos documents… Et comme vous ne serez qu’un numéro, puisque vous ne payez pas ou très peu, vous n’aurez certainement pas la priorité. Vous aurez beau hurler, cela n’aura pas beaucoup d’effet.”

A chacun ses responsabilités

L’une des choses dont une société, grande ou petite, doit se méfier, c’est de ce qu’on appelle les “clouds sous-marins” ou secrets. C’est-à-dire les services cloud auxquels les employés ont recours sans l’autorisation de leur hiérarchie ou du département informatique. Quelle sera alors la responsabilité de l’employé en cas de pépin? Est-il automatiquement couverts malgré tout par son employeur? Ce dernier peut-il invoquer des circonstances atténuantes pour lui-même?

“Le cloud, c’est externaliser des ressources IT”, rappelle Philippe Laurent. “Comment peut-on dès lors considérer qu’un employé prenne la décision d’externaliser certains processus ou certaines données? Il commet une faute grave, parce qu’il n’a pas apprécié le caractère sensible ou l’importance de ces données. En interne, il faut un travail de supervision. Il faut développer des bonnes pratiques et veiller à ce qu’elles soient connues et respectées à tous les niveaux.

Mais au-delà de cette faute grave, on se retrouve dans une impasse juridique de taille parce que cet individu n’est pas censé passer un contrat avec un fournisseur. Si la société fait valoir qu’elle n’a pas autorisé l’externalisation, elle indique en quelque sorte que ces données ou applications se retrouvent dans le cloud sans raison. Quid si l’hébergeur décide de les effacer si elles ne sont pas payées? L’entreprise risque de devoir avaliser les faits, validant alors un acte illégal ou irresponsable de son employé.”

Dans la sphère privée, chaque usager est responsable de ses données et, dès lors, du traitement que certains pourraient en faire d’une manière qui ne serait pas en adéquation avec la loi.

Philippe Laurent (CRIDS): “Le risque le plus important du cloud computing, c’est de négliger les risques.”

Un exemple: un patient place ses données médicales personnelles dans Dropbox ou chez Google. Ce dernier, en vertu de ses pratiques en matière d’exploitation la plus efficace possible de ses datacenters, peut très bien, à un moment donné, envoyer ces données dans un datacenter extra-européen. Voilà donc des données médicales, sensées rester en Belgique, quitter le territoire et se retouver potentiellement dans des pays où la protection des données est nettement moins rigoureuse que chez nous.

Google, Dropbox ou un quelconque autre prestataire ne sera en rien responsable du traitement qui en serait fait. “Il n’est que l’“outil” du traitement”, souligne Philippe Laurent. Cette responsabilité reste celle de chaque individu. Il doit donc assumer le risque qu’il prend.

Si cet “individu” est un professionnel de la santé, le fait de copnfier inconsidérément des données médicales, par définition sensibles, à un acteur tiers qui risque de “délocaliser” les données relève potentiellement de la faute grave.

Cas de conscience… ou de logique

Dans l’esprit de certaines sociétés qui ont recours à des solutions dans le cloud, procéder à une sauvegarde des données ou préserver certains potentiels en interne, apparaît comme comme superflu.

Il est vrai que certains backups prennent du temps. Il est vrai aussi que cela suppose que les entreprises investissent dans un service supplémentaire ou conservent chez elles une certaine infrastructure pour effectuer ces sauvegardes. Ce serait, dans certains cas, comme n’utiliser le cloud que comme infrastructure de redondance. “On perd alors l’attrait premier du cloud qui est de minimiser l’infrastructure sur site.”

“Mais dans le même temps il faut avoir sérieusement confiance en quelqu’un pour lui confier sa société… Vu l’importance qu’a pris l’informatique, on pourrait se retrouver du jour au lendemain sans rien, sans documents, sans ses données de contact avec la clientèle.”

Question de bon dosage, de curseur à placer au bon endroit: “il s’agit de préserver un certain degré d’autonomie mais sans exagérer; sinon cela ne vaut plus la peine.