Cloud : avis de tempête juridique

le 17/10/2012, par Bertrand LEMAIRE, Cloud / Virtualisation, 1071 mots

L'avocate Isabelle Renard a réalisé une conférence sur les dangers juridiques du Cloud Computing. Suivre les bonnes pratiques permet d'éviter de nombreux ennuis.

Cloud : avis de tempête juridique

A force d'expliquer combien le cloud computing est flexible, économique, pratique, etc. on risquerait d'oublier les risques qui y sont associés. L'avocate Isabelle Renard (photo), du cabinet Racine, a entrepris de réaliser quelques rappels lors d'une conférence le 16 octobre 2012.

Suivre de bonnes pratiques permet certes d'éviter quelques ennuis mais ce qui serait souhaitable n'est pas toujours réaliste. L'adoption du Cloud Computing doit donc être associée à une réflexion sur les risques encourus, et ce dans tous les domaines.

Le risque fiscal, un risque souvent oublié

Parfois, certains « risques » sont fort éloignés de l'informatique. Ainsi, on peut citer le risque fiscal. Le recours au cloud computing se caractérise notamment par une structure des coûts qui est comptablement très différente d'une acquisition d'infrastructure.

Une infrastructure est un investissement, donc son coût va être réparti sur plusieurs exercices comptables selon un plan d'amortissement connu à l'avance et respectant une régularité légale. A l'inverse, le cloud computing, qui est un service, génère une charge pure enregistrée au fur et à mesure de la consommation. La répartition des charges fiscalement déductibles en est singulièrement impactée.

Or les déficits fiscaux ne sont plus reportables d'un exercice sur l'autre avec le même automatisme qu'auparavant. Des à-coups dans l'enregistrement de charges (avec une consommation irrégulière de cloud computing) dans une entreprise au résultat plus ou moins à l'équilibre peut donc générer des pertes fiscales non-reportables en entier d'un exercice sur l'autre et donc générer une perte fiscale nette irrécupérable.

Ce risque fiscal est probablement le plus exotique par rapport aux préoccupations standards des DSI. Mais il en existe d'autres, plus habituels pour eux.

La sécurité, encore et toujours...

Bien entendu, le premier des risques habituellement reconnus est celui de la sécurité. « Il est totalement inconscient de recourir à une messagerie dans le cloud simplement parce que c'est moins cher ou plus flexible alors même que des messages sensibles vont être échangés » a ainsi dénoncé Isabelle Renard.

Elle envisage même : « en cas de préjudice avéré, il est plausible que le ministère public se retourne contre les entreprises ayant ainsi mis des informations sensibles dans le cloud », cette action constituant une négligence caractérisée en matière de sécurité. L'avocate a ainsi rappelé que l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) estime que les services de cloud public ne sont généralement pas dotés d'un niveau de sécurité suffisant.

Le problème est d'autant plus réel que les principaux acteurs de messagerie SaaS sont américains, donc soumis au fameux Patriot Act comme l'a rappelé Isabelle Renard. Cette loi américaine à effet extra-territorial permet à l'administration américaine d'exiger la communication de toute information qu'elle souhaite (sous le prétexte de la lutte anti-terroriste) auprès de toute entreprise américaine.

L'hébergement des données dans un datacenter en Europe ne change rien si le datacenter appartient à une entreprise américaine : le datacenter sera autant soumis au Patriot Act que s'il avait été à Washington DC. Ajoutons que le propriétaire de la donnée transmise ne peut en aucun cas être notifié de cette transmission. Le Patriot Act interdit cette notification s'est indignée Isabelle Renard.

Et n'oublions pas que la Loi interdit souvent d'exporter des données (notamment nominatives) hors de l'Union Européenne. Or le cloud computing se moque bien souvent des frontières.

L'effet MegaUpload



L'effet MegaUpload


Si le recours à certains services en ligne peut paraître aisé, il faut s'assurer de pouvoir à tout moment, comme dans n'importe quelle externalisation, récupérer ses données. Le cas MegaUpload est symptomatique : des données tout à fait légales sont devenues inaccessibles suite à la fermeture brutale du service par décision de justice. Celle-ci ne s'est pas préoccupée de séparer le bon grain de l'ivraie.

Selon Isabelle Renard, un cas similaire peut très bien se reproduire avec d'autres services.

Le risque de l'infobésité

Les services de cloud computing ont également axé leur marketing sur la facilité à accroître les capacités informatiques, notamment de stockage. Et, de fait, les utilisateurs n'hésitent plus à stocker des données sans veiller à effacer des données anciennes.

Outre le coût marginal que cette infobésité provoque (le stockage est tout de même facturé), il peut y avoir des données à effacement obligatoire au bout d'un certain temps qui ne sont plus effectivement effacées, notamment en lien avec les autorisations de la CNIL souvent sévères en matière de limitation des délais de conservation.

De même, l'infobésité peut être dangereuse pour l'entreprise subissant un contrôle des autorités. Il pourrait en effet traîner quelques informations pouvant intéresser le fisc ou une autorité de contrôle quelconque. Si le droit de garder le silence est effectif en garde à vue, un espace de stockage l'ignore et parle à la moindre requête, au grand regret des avocats de la défense.

Pour les acteurs publics, des risques en plus

Les acteurs devant acheter selon les règles des marchés publics (administrations, collectivités, établissements publics...) affrontent un risque juridique supplémentaire. En effet, la Loi exige une remise en concurrence régulière alors que la réversibilité d'un cloud computing mal géré est loin d'être assurée. Et la mise en place d'un cloud privé ou communautaire se heurte à des difficultés sur la nature du contrat.

La négociation impossible



La négociation impossible


Isabelle Renard a également pointé une grande différence entre les externalisations classiques et le cloud computing : « le cloud computing relève de contrats d'adhésions, c'est à dire que l'on ne peut que signer en l'état, sans négociation. » Cela n'est pas liée à une mauvaise volonté ou un rapport de force entre le fournisseur et le client mais est lié intrinsèquement à la nature de « service industriel » du cloud computing.

Or des clauses assez standards des contrats d'externalisation sont généralement absentes des contrats de cloud computing : mesure des niveaux de service, engagements de niveaux de service avec pénalités, capacité d'audit...

Et même si le contrat pouvait être négocié, un litige pourrait s'engluer rapidement. « On se demande parfois si un contrat n'est pas fait pour être violé » dénonce Isabelle Renard. Ainsi, les contrats sont signés avec des entreprises étrangères, avec des clauses de compétence attribuant un litige à un tribunal lointain, rendant toute procédure judiciaire illusoire.
Malgré tout, il reste parfois possible de négocier des clauses non-techniques, notamment celles autour de la responsabilité civile ou de la compétence territoriale des tribunaux.

« Les arrêts Chronopost ou Faurecia/Oracle ont cependant validé les clauses limitatives de responsabilité incluses dans les contrats des fournisseurs informatiques » rappelle Isabelle Renard.

Le marché du SDN pour datacenters va croître de 65% cette année

Poussé par les commutateurs 10G et 25G, les ADC et les appliances de sécurité réseau, le SDN pour datacenters prend ses marques.  Cisco, Dell, Juniper viennent juste de rejoindre le consortium 25G Ethernet, aut...

le 20/10/2014, par Jim Duffy, IDGNS, adaptation Didier Barathon, 570 mots

Dell précise sa stratégie NFV en proposant des starters kit

Dell est aussi sur le marché des opérateurs et travaille depuis plusieurs mois à leur virtualisation à travers une offre NFV. Le constructeur se focalise sur la partie infrastructure de cette virtualisation. Le...

le 17/10/2014, par Didier Barathon, 363 mots

OVH marie OpenStack avec Nuage, le SDN d'Alcatel-Lucent

Pour son offre Dedicated Cloud destinée aux PME, OVH recherchait une solution SDN à la fois puissante et facile d'usage. Son choix s'est porté sur Nuage, en particulier du fait de son interface particulièrement...

le 16/10/2014, par Jean Pierre Soulès, 480 mots

Dernier dossier

Le software-defined security (SDS) convient aux environnements virtualisés

Avec le SDS (software-defined security), la détection d'intrusion, la segmentation du réseau, les contrôles d'accès sont automatisés et contrôlés par le logiciel. Le SDS convient plus particulièrement aux environnements informatiques dépendants du cloud computing et des infrastructures virtualisées. Il prend en compte chaque nouveauté dans l'enviro...

Dernier entretien

Dan Pitt

directeur exécutif de l'ONF, Open Networking Foundation

« Nous nous sentons la responsabilité de conduire l'ensemble du mouvement SDN »