Logo Compta Online

Cloud computing : aspects juridiques

5 379 lectures
0 commentaire
Catégorie : Actualité des métiers du chiffre
5 379
0
Article écrit par (1001 articles)
Modifié le

Le cloud computing a posé de nombreuses questions en droit, notamment en ce qui concerne la protection des données personnelles.

En 2016, un règlement général sur la protection des données a vu le jour au sein de l'Union européenne.

 

Qu'est-ce que le cloud computing ? 

L'informatique en nuage ou Cloud computing, est le nom donné à une technique, un système qui permet d'accéder à des ressources, des infrastructures, des services, voire des logiciels de messagerie ou autre, à distance, via l'internet.

Sans rentrer dans les détails techniques et outre le fait qu'il peut être public ou privé, il existe trois principaux types de "Cloud computing" :

  • SaaS ou Software as a Service qui permet l'accès aux logiciels directement sur internet, sans acquisition de licences et sans installation sur les postes informatiques locaux ;
  • PaaS ou Plateform as a Service pour le développement d'applications ;
  • IaaS ou Infrastructure as a Service pour les capacités de traitement.

Le cloud computing permet ainsi d'accéder aux ressources souhaitées, capacités de stockage, logiciels, messagerie etc... sur simple demande et sans investissements, ce qui se traduit comptablement par des charges d'exploitation (alors que les investissements classiques entrent généralement dans la définition des immobilisations).

Devant le succès croissant de cette forme d'externalisation dont le but est avant tout de permettre de réduire les coûts, la CNIL a lancé en octobre dernier, une consultation auprès des professionnels.

En effet, le cloud computing n'est pas sans conséquences sur le plan juridique et pose divers problèmes, notamment en ce qui concerne la confidentialité, la protection des données personnelles ou la propriété intellectuelle mais pas seulement.

Car derrière cette grande facilité, qui permet de changer de service par simple souscription à des options supplémentaires, se cachent de véritables contrats d'adhésions qui peuvent réserver quelques surprises. Pourtant, les enjeux de ce type d'externalisation pour les entreprises contractantes devraient les pousser à davantage négocier ces contrats.

Le règlement général sur la protection des données vise à régler les problèmes liés à la protection des données personnelles.

 

Les enjeux du cloud computing

Le principal enjeux des contrats de prestations informatiques par le biais du cloud computing est le traitement des données personnelles. Le second enjeu réside dans les contrats d'adhésion, pas toujours bien maîtrisés par les signataires de ces contrats.

 

La maîtrise des données personnelles par le responsable du traitement

Le responsable du traitement, c'est le client du prestataire de services informatiques dans le cloud, seul garant sur le plan juridique, du respect de ses obligations légales et réglementaires.

En cas de transfert des données hors de l'Union européenne, le transfert ne peut se faire que dans des pays qui assurent un niveau de protection suffisant. Dans le cas contraire, le transfert des données personnelles nécessite, sauf exception, une autorisation expresse de la personne concernée.

 

Les dangers potentiels des contrats d'adhésion qui s'imposent à la partie la plus faible

Les contrats d'adhésion sont des contrats qui s'imposent à la partie la plus faible. Le choix des clauses est donc très restreint en la matière et il conviendra d'y apporter une attention toute particulière. Parmi les clauses que l'on peut rencontrer dans un contrat d'adhésion, on peut citer :

  • La loi applicable au contrat qui sera souvent celle d'un pays tiers et plus particulièrement celle d'un Etat des Etats-Unis ; 
  • Le fait que le prestataire de services également appelé cloud Provider s'exonère de toute responsabilité même en cas de négligence de sa part ;
  • Les clauses qui permettent au prestataire de modifier unilatéralement, à tout moment, le contrat, les services proposés, les prix ou encore la qualité du service alors qu'en droit français, ces modifications nécessitent l'accord des parties

Les clauses à négocier dans un contrat de cloud computing

En fonction des besoins de l'entreprise, de ses obligations en cas de stockage de données à caractère personnel et de ses impératifs en matière de sécurité, la négociation des clauses des contrats de fournitures de services dématérialisés sera particulièrement importante.

La confidentialité

Renforcer les clauses de confidentialité pourra s'avérer nécessaire, surtout lorsque l'entreprise cliente est tenue au secret. La clause de confidentialité pourra prévoir par exemple une durée plus longue que la durée du contrat, les personnes concernées (notamment les salariés et sous-traitants du prestataire).

La protection des données


En vertu de la loi dite informatique et libertés, le client, parce qu'il détermine la nature et les finalités du traitement informatique (même si le traitement lui-même est effectué par le Cloud Provider ou prestataire), reste seul tenu des obligations liées à la protection des données personnelles qu'il recueille.

C'est au client de recueillir les autorisations nécessaires au traitement des données personnelles et c'est à lui qu'incombe l'obligation de recueillir le consentement des personnes physiques concernées, notamment lorsque les données sont stockées ou transitent via des pays qui ne garantissent pas (ou de manière moindre) cette protection des données personnelles.

 

La qualité du service cloud


Un autre axe de négociation peut être la qualité du service proposé et les délais de réaction du fournisseur en cas de panne, d'incidents, notamment lorsque l'entreprise souhaite tout dématérialiser. Une telle clause devrait être assortie de sanctions (dommages et intérêts).

Les conséquences d'une résiliation : la réversibilité


Enfin, devront être envisagées, les conséquences de la rupture du contrat. La question de savoir si les données seront récupérées, de quelle manière (quelles seront les modalités techniques de cette récupération) est ici particulièrement importante.

 


Sandra Schmidt

Sandra Schmidt
Directrice de la rédaction sur Compta Online


Cloud computing : aspects juridiques