Les risques juridiques du Cloud Computing

le 03/09/2010 par Clement Rongier
Tags: Évènements, Stratégie

Le Cloud Computing permet aux entreprises d’utiliser des « applications en location » (les SaaS s’exécutant sur le Cloud, souvent facturé mensuellement en fonction du nombre d’utilisateurs) et de disposer de « run à la consommation » (PaaS, IaaS, … destiné aux DSI et aux éditeurs qui disposent ainsi de ressources techniques en fonction de leurs besoins). L’une des craintes des DSI et des entreprises lorsqu’on aborde le Cloud Computing réside dans la sécurité au sens large des applications et des données. Dans cet article, on pensera à Google, Amazon ou Microsoft comme fournisseurs de solution de Cloud Computing (PaaS, IaaS ou SaaS). On admettra que ces grands acteurs du Cloud ont chacun une grande expérience de ces problématiques et sont souvent au moins aussi compétents que bon nombre de DSI pour les gérer [1].

Dès lors, un nouveau risque auquel l’entreprise doit faire face en choisissant des solutions sur le Cloud n’est pas technique mais juridique. C’est en partant de ce constat et des nombreuses questions qui en découlent qu’OCTO a interviewé Maitre Benjamin May, Associé chez ARAMIS, pour qu’il nous éclaire sur ces risques.

Définir le droit applicable et la juridiction compétente…. Un vrai challenge loin de la technique

Dans le cas où le droit français s’applique, le prestataire de Cloud Computing à qui le client confie ses données se trouve « gardien de la chose » (Statut définit dans le Code civil, article 1384). Celui-ci est alors tenu de conserver la chose (par exemple, les données) sans perte, vol ou détérioration et est obligé à restituer celle-ci à la demande du client. On ne s’attachera pas ici à détailler l’ensemble des points clés d’un contrat de service informatique (périmètre du service, continuité du service, SLA, …) [2] mais aux risques juridiques « nouveaux » liés au Cloud Computing, découlant principalement de l’une de ses caractéristiques : l’abstraction sur la localisation des données (quel serveur, quel datacenter, et surtout quel pays ?) [3]. La première difficulté est donc de déterminer le droit s’appliquant aux données et applications sur le Cloud.

En général, le droit applicable et la juridiction compétente dans le cadre de la relation client/fournisseur sont prévus par le contrat [4]. Le choix de ce droit applicable et de la juridiction se fait habituellement soit au lieu d’exécution de celui-ci, soit au lieu de domiciliation d’une des parties [5]. Bien souvent, le client aime évoluer dans son droit naturel, tandis que le prestataire préfère un contrat standard. C’est donc la plupart du temps ce contrat standard qui nous est proposé.

Il est possible de faire face à cette clause comme au reste d’un contrat démesurément à l’avantage du fournisseur dans deux cas principaux : Soit vous êtes suffisamment puissant pour négocier le contrat avec le prestataire, soit vous pouvez être déclaré « consommateur » au sens du droit de la consommation (et utiliser ce levier d’action lors d’une négociation). En effet, dans une relation client/fournisseur, si le contrat cloud est étranger à l’activité professionnelle du client [6], il peut-être qualifié de « consommateur » ou « non-professionnel » (cette dernière notion étant aussi valable pour une personne morale). Il est alors possible de faire annuler certaines clauses abusives. En particulier, selon la jurisprudence de la Cour de Justice de l’Union Européenne [7], la clause qui impose à un consommateur ou non-professionnel de se défendre devant un tribunal hors de son pays peut-être abusive.

Quelle que soit la juridiction retenue, un litige avec le fournisseur peut entrainer une décision judiciaire qu’il faut faire exécuter dans un autre pays. Dans ce cas (et dans d’autres), se pose la question de l’exequatur [8].  Dans l’Union Européenne (UE), le jugement dans un Etat membre acquiert force exécutoire dans un autre Etat membre dès lors que certaines formalités sont accomplies. Hors de l’UE, le pays procédera à l’exequatur et homologuera la décision juridique sous réserve que celle-ci soit conforme à son droit. Cela peut parfois être complexe comme l’illustre l’affaire Yahoo en 2000 : Yahoo Inc. attaqué en France pour avoir hébergé une vente aux enchères d’objets du IIIème Reich a été condamné par le Tribunal de Grande Instance de Paris, mais l’exequatur n’a pas été validée aux Etats-Unis en raison de sa non conformité au premier amendement garantissant la liberté d’expression [9].

En somme, rien n’empêche une partie (au hasard américaine puisque les principaux acteurs du cloud sont américains) de remettre en cause un jugement au regard de sa propre loi.

Une fois le droit applicable et la juridiction compétente définis dans le cadre de la relation client/fournisseur, le régime applicable aux données mises sur le Cloud reste encore à déterminer.

Droit spécifique applicable à la donnée

En France, où s’appliquent le droit français et le droit communautaire, il existe des réglementations particulières pour certaines données, à la fois sectorielles (données médicales, données bancaires, …) et transverses (données personnelles, ..).

Exemple de réglementation sectorielle : Les données bancaires qui sont protégées en France par le secret bancaire [10]. Le stockage et le traitement de celles-ci aux Etats-Unis posent donc problème puisqu’il peut y avoir conflit de loi entre le secret bancaire français et le Patriot Act [11] (loi anti-terroriste votée par le Congrès des États-Unis et signée par George W. Bush le 26 octobre 2001 qui dispose - entre autres - que les agences de renseignement et de maintien de l’ordre peuvent récupérer des données personnelles dans le cas de suspicion de terrorisme ou d’espionnage).

Exemple de réglementation transverse : Dans le cadre de la loi Informatique et Libertés (qui s’applique à toutes les données personnelles, notamment aux données des salariés), conserver les données personnelles dans l’UE ne suppose qu’une déclaration à la CNIL, alors que sortir ces données de l’UE oblige à demander une approbation à la CNIL. Pour être plus précis, lorsque vous collectez et traitez des données, vous êtes « Data controller » ou « responsable du traitement ». Vous êtes alors soumis à de nombreuses obligations légales vis-à-vis de la CNIL et de la personne (ex : « informer de la collecte et de sa finalité, … »). Ces données peuvent être transférées à condition que le pays en question assure un niveau de confidentialité adéquat. Ce niveau de confidentialité adéquat n’est pas reconnu (entre autre) pour les Etats-Unis. Cependant, ces derniers ont mis en place les Safe Harbor, solution non législative d’autoréglementation [12]. Ces dispositifs ont été reconnus par la Commission européenne comme ayant un niveau de confidentialité adéquat. Malheureusement, le nombre d’entreprises américaines adhérant aux Safe Harbor reste très limité. En tout état de cause, un transfert de données personnelles vers les Etats Unis, lorsqu’on est « responsable du traitement », est soumis à l’approbation de la CNIL, et non plus à une simple déclaration. Si l’on ne se conforme pas à cette obligation, les risques sont civils et pénaux. On notera toutefois que de nombreuses entreprises ne sont pas en conformité sur ce point [13].

Au-delà des problématiques d’architecture classiques, le Cloud Computing et sa propriété d’abstraction sur la localisation, impose un nouvel et réel enjeu juridique : le recours à des juristes est indispensable et doit être complété par un chantier pour la DSI : Maitriser la donnée, connaitre la criticité de celle-ci et les réglementations qui y sont liées.

La plupart des acteurs du Cloud Computing étant américains, l’adoption du Cloud par les entreprises est réelle aux Etats Unis mais plus complexe en Europe [14]. Certains de ces acteurs, comme Amazon, offrent des garanties sur l’emplacement physique des données (Etats Unis ou Europe). Cela simplifie les aspects juridiques mais laisse la place à des hébergeurs classiques.

Dans nos métiers des SI, vient souvent s’ajouter à la technique un besoin de compréhension métier. Avec le Cloud Computing une difficulté supplémentaire apparait clairement avec l’aspect juridique. Cependant, le Cloud Computing possède des vertus (mutualisation de l’infrastructure, facilité et agilité d’intégration de progiciel en mode SaaS, …) qui méritent d’aller au-delà de ce frein juridique.


  1. [1] Si ce n’est plus d’ailleurs, on citera par exemple la certification SAS70 type II pour Amazon Web Services, Google Apps, Postiny ou Salesforce.com, les fichiers fragmentés et stockés sur de multiples serveurs pour google apps, … on notera par ailleurs que dans un système SaaS un utilisateur interne mal intentionné affrontera les mêmes barrières de sécurité qu’un « pirate ».
  2. [2] On pourra lire sur ce sujet la présentation faite par Maitre Benjamin May à la conférence IDC en février 2010.
  3. [3] Extrait du contrat google apps édition premier : « Les informations recueillies par Google seront stockées et traitées aux États-Unis ou dans tout autre pays dans lequel Google ou ses mandataires sont installés ».
  4. [4] Extrait des conditions d’utilisation google : Droit applicable et tribunaux compétents. Les Conditions générales ainsi que les relations qui vous lient à Google seront régies par les lois de l'État de Californie, sans considération de ses dispositions relatives aux conflits de lois. Vous et Google vous engagez à vous soumettre à la juridiction personnelle et exclusive des cours du comté de Santa Clara en Californie.
  5. [5] Le règlement n°593/2008 du 17 juin 2008 prévoit une liberté de choix pour les parties. A défaut de choix, le contrat de prestation de services est régi par la loi du pays sans lequel le prestataire de services a sa résidence habituelle (sauf contrat de consommation).
  6. [6] Exemple : Fleuriste utilisant Google Apps. Evidemment une DSI ne pourra vraisemblablement pas être déclarée « consommateur » au sens du droit de la consommation.
  7. [7] Exemple : Arrêts du 27 juin 2009 n°240/98 et du 4 juin 2009 n°243/08.
  8. [8] Procédure visant à donner dans un État, force exécutoire à un jugement rendu à l'étranger.
  9. [9] Décision de la court de Californie
  10. [10] Article L. 511-33 du Code monétaire et financier
  11. [11] USA PATRIOT Act, on remarque toutefois que dans cette loi, le FBI et aux autres agences de renseignement et de maintien de l'ordre ne peuvent intervenir que pour récupérer des données personnelles (numéro de téléphone, de compte, donc certainement pas des secrets industriels) uniquement dans les cas de suspicion de terrorisme ou d’espionnage.
  12. [12] Yves Poullet - Les Safe Harbor Principles - Une protection adéquate?
  13. [13] Que Choisir - Accès aux données, Une majorité de hors-la-loi
  14. [14] Charles Babcock – Cloud Computing Differences Between U.S. And Europe