Qu`est-ce que le Cloud Computing - Med-IT

Report
SALON MED-IT CASABLANCA 13-15.11.2012
POINTS D’ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA
NÉGOCIATION ET DE LA CONCLUSION D’UN CONTRAT DE CLOUD
COMPUTING
Me Cathie-Rosalie JOLY
Avocat Associé Cabinet Ulys
Docteur en droit , thèse sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargée d’enseignement à l’Université Paul Cezanne (Aix Marseille III)
Responsable de l’Atelier Paiement et monnaie électronique de l’ADIJ
Formateur sur le Cloud Computing (formation Comundi)
[email protected]
www.ulys.net - www.droit-technologie.org - © ULYS 2012
1
QU’EST-CE QUE LE CLOUD COMPUTING ?
 Une prestation pas nouvelle mais augmentée
 La sous-traitance informatique, un mécanisme connu : infogérance,
externalisation/outsourcing, facilities management, ASP, …
 Relève des services consistant en la prise en charge de la gestion du système
informatique d’une entité, avec ou sans délocalisation, dans le cadre d’une relation
pluriannuelle
 Qu’ajoute le Cloud ? L’offre est généralement fortement orientée service :
 Service à la demande, puissance de stockage et de traitement variable
 Peu de visibilité sur les ressources et équipements mis en œuvre pour assurer
la prestation
 Délocalisation voire pluri-localisation de l’hébergement et des traitements
(serveurs « localisés dans le monde entier »)
 « Mode de traitement des données d'un client, dont l'exploitation s'effectue
www.ulys.net
- www.droit-technologie.org
- © ULYS
2
par l'internet, sous
la forme
de services fournis
par2012
un prestataire.
QU’EST-CE QUE LE CLOUD COMPUTING ?
Source : http://www.microsoft.com/france/entreprises/decideur-it/cloud/caracteristiques-du-cloud.aspx
www.ulys.net - www.droit-technologie.org - © ULYS 2012
3
QU’EST-CE QUE LE CLOUD COMPUTING ?
Source : http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-denouvelles-perspectives-d-ici-2012_a14492.html
www.ulys.net - www.droit-technologie.org - © ULYS 2012
4
QU’EST-CE QUE LE CLOUD COMPUTING ?
 Définition proposée par la CNIL
 Consultation publique fin 2011

•
•
•
•
•
Définition en fonction des éléments caractéristiques du service :
Simplicité d’un service à la demande
Extrême flexibilité
Accès léger
Virtualisation des ressources
Paiement à l’usage
www.ulys.net - www.droit-technologie.org - © ULYS 2012
5
LES QUESTIONS JURIDIQUES
POSÉES PAR LE CLOUD COMPUTING
 Les différents type de CLOUD
 Quelle réglementation pour le CLOUD ?
 Quelques points d’attention dans les contrats CLOUD




S’assurer d’un service de qualité
Garantir la protection des données
La loi applicable au contrat
Anticiper la rupture
www.ulys.net - www.droit-technologie.org - © ULYS 2012
6
LES DIFFÉRENTS TYPES DE CLOUD
CLOUD PRIVE
infrastructure entièrement
dédiée à un client
CLOUD PUBLIC
CLOUD HYBRIDE
infrastructure partagée
• Cloud privé interne : géré
par le client lui-même
• Infrastructure accessible à
un large public
• Cloud privé externe : géré
par un tiers
• Appartient à un fournisseur
de cloud services
• Cloud privé virtuel : un
environnement de Cloud
Computing qui recouvre
l’infrastructure de clouds
internes et externes, offrant
à l’entreprise un
environnement transparent,
géré, qui est sécurisé et
sous le contrôle du service
informatique
• Solution la moins coûteuse
• Infrastructure composée de
deux nuages ou plus
mélangeant public et privé
• Clouds uniques liés par une
technologie normalisée ou
propriétaire
• L’idéal : opter pour une
architecture de cloud privé
permettant de recevoir des
clouds publics, mais cela
peut se présenter sous la
forme de clouds localisés
chez un hébergeur mais
dédiés à un client
www.ulys.net - www.droit-technologie.org - © ULYS 2012
7
Source : http://revevol.fr/2010/07/19/analyse-des-dimensions-du-risque-lie-au-cloud-computing
www.ulys.net - www.droit-technologie.org - © ULYS 2012
8
LES QUESTIONS JURIDIQUES
POSÉES PAR LE CLOUD COMPUTING
 Les différents type de CLOUD
 Quelle réglementation pour le CLOUD ?
 Quelques points d’attention dans les contrats CLOUD




S’assurer d’un service de qualité
Garantir la protection des données
La loi applicable au contrat
Anticiper la rupture
www.ulys.net - www.droit-technologie.org - © ULYS 2012
9
QUELLE RÉGLEMENTATION POUR LE CLOUD ?
 Pas de réglementation particulière CLOUD
 Mais pas d’absence de réglementation : Différents textes trouvent à s’appliquer
 Loi Informatique et Libertés, notamment conservation des données sensibles
(banque, santé, etc.),
 Règles sur les fuites de données,
 Commerce électronique,
 Protection des consommateurs,
 Obligations de conservation de documents comptables et fiscaux, etc.
 Obligations spécifiques de sécurité : secteur de la banque et de l’assurance, de la
santé, etc.
www.ulys.net - www.droit-technologie.org - © ULYS 2012
10
QUELLE RÉGLEMENTATION POUR LE CLOUD ?
 Enquête CNIL fin 2011
 Prestataire de cloud présumé sous-traitant ? créer un régime spécifique ?
 Critères de rattachement pour détermination de la loi applicable ?
 Quel encadrement des transferts de données?
 Quels risques spécifiques de sécurité ?
 Réflexion au sein de la Commission européenne
 Observations européennes et réflexion pour élaborer un projet de lignes
directrices applicables aux contrats de cloud : Consultation publique de la
Commission courant 2011 : éventualité de modèles de documents contractuels
(CG, PAQ, etc.), questions de sécurité des données, de détermination de la
personne responsable
 Problème des sociétés US, même si données hébergées en Europe application
des règles du USA Patriot Act : Contradiction avec droit EU ?
 Réforme de la réglementation des données personnelles en Europe
www.ulys.net - www.droit-technologie.org - © ULYS 2012
11
LES QUESTIONS JURIDIQUES
POSÉES PAR LE CLOUD COMPUTING
 Les différents type de CLOUD
 Quelle réglementation pour le CLOUD ?
 Quelques points d’attention dans les contrats CLOUD




S’assurer d’un service de qualité
Garantir la protection des données
La loi applicable au contrat
Anticiper la rupture
www.ulys.net - www.droit-technologie.org - © ULYS 2012
12
QUELQUES POINTS D’ATTENTION DANS LES CONTRATS CLOUD
Anticiper les difficultés par l’encadrement contractuel
Des clauses à négocier autant que possible pour éviter :







Risques sur la continuité du service
Exposition au risque de piratage et de vol de données
Manque de maîtrise des coûts
Perte de gouvernance
Dépendance technologique
Interopérabilité et respect des standards
Irresponsabilité du prestataire
Contrat cloud = contrat d’adhésion ?
 Conditions générales mises en ligne et modifiables par le prestataire de manière
discrétionnaire
 Evolutions du service sans information préalable/droit d’opposition du client
www.ulys.net - www.droit-technologie.org - © ULYS 2012
13
COMMENT S’ASSURER D’UNE QUALITÉ DE SERVICE
MAXIMALE ?
 Définir les niveaux de services
 Délimitation des obligations du prestataire et/ou des
sous traitants (pb chaînes de contrat)
 Clauses de qualité de service, engagement sur la
continuité du service, Interopérabilité et respect des
standards, disponibilité, performance, intégrité des
données
 Outils et procédures de contrôle de la qualité :
 Bilans périodiques de qualité (reddition de
comptes par le prestataire)
 Audit annuel
 Recours à un tiers vérificateur
www.ulys.net - www.droit-technologie.org - © ULYS 2012
14
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
Risque d’e-réputation
Mai 2011 Piratage de SONY :
Online Entertainment : 24 millions de comptes ont été " visités ". 12 700
numéros de cartes de crédit non américaines issus d'une vieille base de
données ont été raflés par les pirates. (http://lexpansion.lexpress.fr/hightech/reseaux-pirates-quelle-facture-pour-sony_254765.html )
 Risque de perte de clientèle
Risque de favoriser la concurrence
Etc,
www.ulys.net - www.droit-technologie.org - © ULYS 2012
15
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
 Les normes applicables relatives aux données sensibles, les
données à caractère personnel : Directive 95/46/CE, Loi
Informatique et libertés, recommandations CNIL
 Les obligations du prestataire en matière de protection des
données : conservation et préservation des données
 Intégrer le sous-traitant dans le périmètre de la sécurité de
l’entreprise (plan de sécurité des systèmes d’information,
plan de continuité d’activité, etc.)
 Politique de droit d’accès : Personnes habilitées,
information accessible, dispositifs d’accès (identifiant+mot
de passe), conservation des traces, surveillance et blocage
des accès
www.ulys.net - www.droit-technologie.org - © ULYS 2012
16
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
 Sécuriser les accès :
Niveaux de sécurité différents selon les
informations (données bancaires, etc.)
• Dispositifs d’accès plus élaborés : certificat
électronique sur clé USB, carte, voire
biométrie
• Transmissions sécurisées : cryptage des
données
• Sécurisation de l’hébergement
 Obligations du prestataire en cas d’incident :
Alerte, rapport incidents
www.ulys.net - www.droit-technologie.org - © ULYS 2012
17
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
 Circulation des données en Europe : pas de conditions
 Transfert hors UE :
 Vers un pays assurant un niveau de protection adéquat (ex. Canada, Argentine) : pas
de condition supplémentaire
 Vers un pays non adéquat (ex. USA) : interdiction, sauf si :
 Autorisation de la personne concernée ou
 Exception art. 69 (sauvegarde vie, ordre public, action en justice..) ou
 Signature des clauses contractuelles types de la Commission européenne ou
 Participation du sous-traitant à un système de protection des données (Safe
Harbour) ou
 Adoption de règles internes d’entreprise imposées au sous-traitant (« binding
corporate rules » ou BCR)
www.ulys.net - www.droit-technologie.org - © ULYS 2012
18
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
 Notification des fuites de données
Aujourd’hui applicable aux fournisseurs au public de services de communications
électroniques sur les réseaux de communications électroniques ouverts au public.
3 conditions (art. 34 bis de la loi informatique et libertés) :
• Il faut qu'il y ait un traitement de données à caractère personnel ;
• mis en œuvre par un fournisseur de services de communications électroniques ;
• dans le cadre de son activité de fourniture de services de communications
électroniques
Article 226-17-1 du code pénal: Non notification => cinq ans d'emprisonnement et de
300 000 € d'amende.
www.ulys.net - www.droit-technologie.org - © ULYS 2012
19
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
 Seraient constitutifs d'une violation :
• Une intrusion dans la base de données de gestion clientèle
d'un fournisseur d'accès internet (FAI) ;
• Une faille dans la boutique en ligne d'un opérateur mobile
permettant de récupérer les numéros de cartes de crédits
des clients ayant commandé un nouveau téléphone
associé à un forfait (car ce sont les données clients
collectées en tant qu'opérateur) ;
http://www.cnil.fr/lacnil/actualite/article/article/la-notificationdes-violations-de-donnees-a-caracterepersonnel/?tx_ttnews%5BbackPid%5D=2&
cHash=aa91fbb3043b82345928f38efeeb7
da2
• Un email confidentiel destiné à un client d'un FAI, diffusé
par erreur à d'autres personnes ;
• La perte d'un contrat papier d'un nouveau client par un
agent commercial d'un opérateur mobile dans une
www.ulys.net - www.droit-technologie.org - © ULYS 2012
boutique.
20
QUELLE LOI APPLICABLE AU CONTRAT
 Loi applicable
• Clause spécifique du contrat désignant la loi applicable
• A défaut, application du Règlement n° 593/2008 du 17 juin
2008 dit Rome 1 : « le contrat de prestation de services est régi
par la loi du pays dans lequel le prestataire de services a sa
résidence habituelle » (art. 4, b)
 Juridiction compétente : Règlement (CE) n°44/2001: Juridiction
compétente = celle de l’Etat membre dans lequel le
demandeur a son domicile
 Application des lois de police
Loi I&L : Responsable de traitement résidant en France ou
résidant hors UE et qui a recours à des moyens de traitement
situés en France (art. 5 Loi I&L)
www.ulys.net - www.droit-technologie.org - © ULYS 2012
21
ANTICIPER LA RUPTURE
 définition de l’objet et de la durée du contrat,
 les clauses de reprise des données, réversibilité
(processus, évènements déclencheurs, coût,
délai…)
 selon le niveau de criticité des données :
Effacement, Restitution des supports de
stockage , Destruction physique
 Prévoir les garanties : définir les cas où la
responsabilité est engagée, le cas de la
résiliation
www.ulys.net - www.droit-technologie.org - © ULYS 2012
22
SALON MED-IT CASABLANCA 13-15.11.2012
MERCI POUR VOTRE ATTENTION
DOMAINES
D’INTERVENTION
ULYS, un Cabinet d’avocats moderne et humain au service de l’innovation !
Me JOLY Cathie-Rosalie
New Technologies, Privacy & ICT
Avocat Associé Cabinet Ulys
Intellectual Property
Docteur en droit , thèse sur les paiements en ligne
Cinema, Media & Entertainment
Avocat au barreau de Paris
Avocat
communautaire
au
barreau
de Bruxelles (Liste E)
E-Payment, E-Finance & Internet Banking
Chargée d’enseignement à l’Université Paul Cezanne (Aix Marseille III)
Sport & Gaming
Responsable de l’Atelier Paiement et monnaie électronique de l’ADIJ
Formateur sur le Cloud Computing (formation Comundi)
Commercial Law
[email protected]
www.ulys.net - www.droit-technologie.org - © ULYS 2012
23

similar documents