BUSINESS ROOM POINTS DE VUE, VÉCUS ET EXPERTISE TÉLECOM ET CLOUD

Partager l'article

Cloud : quelles responsabilités juridiques pour le DSI et l'entreprise ?

Devenu incontournable, le cloud computing s'accompagne de nouveaux schémas de responsabilité juridique. Les explications et conseils de Maîtres Wéry et Breteau, avocats aux barreaux de Paris et de Bruxelles (cabinet Ulys).


Où se situent les responsabilités dans la prestation de cloud ? 

La responsabilité est fonction du rôle de chacun : d'une part, le client fournisseur de données et demandeur de services ; d'autre part, le ou les prestataires de cloud. Les responsabilités sont principalement déterminées par la réglementation relative aux données personnelles, d'une part, et par les règles sur la sécurité informatique, d'autre part. À la réglementation s'ajoute une importante couche contractuelle, notamment pour définir le niveau de service attendu. Enfin, on a parfois des textes très spécifiques pour certains types de données (les factures électroniques, par exemple).

Le client est en principe responsable des données qu'il fournit au prestataire, tant à l'égard de ses propres clients et utilisateurs qu'à l'égard des pouvoirs publics en présence de données réglementées (comme des données personnelles ou relatives à certains secteurs tels que banque ou santé).

Le ou les prestataires de cloud voient leur responsabilité définie à raison de la nature et de l'importance des traitements effectués. Les prestations fournies, et les responsabilités associées, varient fortement selon que l'on est dans une offre axée traitement, stockage, bande passante ..., répondant à un besoin standard ou particulier, portée par un prestataire unique ou par plusieurs, etc. Le prestataire de cloud peut endosser une responsabilité sur la sécurité, l'intégrité, la confidentialité des données, et les risques de fuites de données, par exemple. 

Quelles sont les règles majeures de la protection des données personnelles ?

En France, la matière est régie par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (la loi Informatique et Libertés), qui est conforme au texte européen. On peut en dégager quatre règles d'or pour le cloud :

- Le responsable d'un fichier est celui qui « détermine ses finalités et moyens » ;
- Le responsable d'un fichier est celui qui doit assurer sa sécurité et sa conformité légale ;
- Une personne ne peut en principe voir ses données traitées sans son consentement ou son information préalable ;
- Les données personnelles ne peuvent circuler hors de l'Union européenne ou d'Etats réputés à même niveau de protection, sans encadrer fortement leurs conditions de sécurité et d'utilisation.

Quel est le rôle du DSI dans la structuration d'un projet de cloud pour son entreprise ?

Le DSI a un rôle majeur à la fois dans la définition des besoins de services du client, et dans la sécurisation du projet. Par exemple :
- Définir le besoin de l'entreprise permet de mieux encadrer la prestation demandée : large capacité de traitement (big data), services spécifiques et ciblés, etc. ?
- Quelles sont les mesures à prendre pour la sécurisation des données : mesures techniques, plans de sécurité, politiques d'accréditation, etc. ?
- Quel est le périmètre et quelles sont les conditions de la réversibilité ?

Le rôle du DSI est amené à prendre de l'importance à mesure que la législation évolue et que le cadre juridique s'étoffe sur les questions techniques.

Quelles évolutions se dessinent, notamment sur ces questions techniques ?

L'évolution du cadre juridique est le reflet de l'importance que prennent les nouveaux services comme le cloud dans une société connectée.

En matière de protection des données personnelles, il est prévu au niveau européen de mettre en œuvre un texte unique, applicable dans l'ensemble de l'Union européenne - contrairement au système actuel dans lequel chaque pays a élaboré sa propre loi sur la base d'une directive. La commission européenne a publié un projet de règlement en janvier 2012, pour une adoption d'ici un an, un an et demi.

Le projet prévoit en particulier que les traitements de données verraient leur régime adapté à leur degré de sensibilité, selon une approche fondée sur le risque. Par ailleurs, selon la règle dite d'« accountability », les responsables de traitements devraient documenter les mesures techniques et organisationnelles prises pour gérer les données et mettre en place une traçabilité.

Autant d'évolutions qui renforceront à la fois le besoin de disposer de prestations fiables, et d'autre part, le besoin de disposer en interne de compétences à même de mettre en place une organisation conforme aux prescriptions légales.

cloud computing, hebergement, datacenter

Partager l'article