Cette initiative est particulièrement à mettre en exergue car cela signifie que les sujets informatiques entrent, enfin, dans les hautes sphères de la régulation juridique. En effet, ce n’est pas le premier article [3] qui déplore l’absence d’un cadre juridique concernant la sécurité informatique et a fortiori l’informatique.
En
parallèle, on peut supposer que cette intervention permette et permettra de
sensibiliser toute la communauté juridique aux problématiques soulevées par
l’intégration de l’informatique dans la société. Et souhaitons-le, qu’à plus
forte raison, une prise de conscience certaine et rapide des enjeux attenants soit
en cours.
Le
discours en lui-même s’articule autour de trois constats majeurs qui sont ici
simplement repris de façon synthétique. La clarté du discours de M. Sauvé
dispensant de rajouter des explications supplémentaires.
1er
constat : Le cloud
computing est un phénomène nouveau et fuyant, qui demeure encore insaisissable.
En effet, il
existe une multitude de définitions et de caractéristiques du cloud même si certains fondamentaux sont
incontournables : externalisation et hyper-capacité du stockage, disponibilité
mondiale et quasi-immédiate des ressources, accessibilité à tous et sur tout
type d’appareils, facturation à la demande mais aussi ignorance quant à la
localisation des données.
Ce phénomène
est d’autant plus insaisissable que ses apports sont ambivalents.
Certes, le cloud est une révolution technique et
économique mais il entraine également des « risques collatéraux » liés à l’appartenance
du cloud au réseau ouvert et public
d’Internet, tels la dépendance à la qualité du réseau et la possibilité de
cyber-attaques.
Le cloud ne paraît, pour l’utilisateur, qu’un
unique « nuage » dématérialisé mais derrière le virtuel, se dissimulent un
ensemble de matériels, de raccordements aux réseaux et de logiciels formant de
puissants systèmes, regroupés dans des data
center ou « usines numériques géantes »,
qui sont gérées par des entreprises fournisseuses telles que Google, Amazon ou
Microsoft par exemple.
Enfin et
surtout, le concept du cloud computing
a ceci de particulier qu’il ne fait pour le moment l’objet d’aucune
formalisation juridique. Sur le plan du droit, il demeure bel et bien virtuel.
2ème
constat : La protection des données voyageant dans le « nuage »
pose de singuliers problèmes juridiques.
Le principal
enjeu lié au développement du cloud concerne
la protection des données personnelles et, plus largement, des données de
toutes sortes, dès lors qu’elles sont stockées dans le « nuage ».
Les données
qui voyagent dans le cloud, y
séjournent ou en sortent, ne connaissent pas de frontière. Les questions du
droit applicable et de la juridiction compétente, qui sont classiques en cas de
conflit de lois n’en sont que plus complexes. Il s’agit des enjeux de l’extraterritorialité
du droit.
Le principe
de liberté contractuelle prime, puisque dans un contrat, c’est la loi des
parties qui prévaut. Celles-ci peuvent choisir la juridiction compétente et le
droit applicable qui régira en totalité ou en partie leurs rapports.
Toutefois,
la solution contractuelle qui est privilégiée n’est pas satisfaisante car le
contrat de cloud se résume par le
déséquilibre de la relation contractuelle entre le consommateur et le
prestataire du service cloud qui est
indéniablement en position de force..
On sait, en
particulier, que les contrats de cloud
sont, le plus souvent, des contrats d’adhésion « standard » proposés par les
prestataires, et donc rédigés à leur convenance, qui excluent d’emblée toute
possibilité pour le client de négocier les dispositions contractuelles.
Concernant
spécifiquement les données à caractère personnel, la loi « Informatique et
Libertés »[4] permet le transfert de données au sein de l’Union européenne,
après déclaration à l’autorité compétente de protection des données [5]. Elle pose en revanche un
principe d’interdiction de transfert des données hors de l’Union, sauf, après
autorisation, vers les pays présentant « un niveau de protection adéquat ».
Aux États-Unis, les mécanismes de Safe Harbor sont reconnus par la Commission européenne comme
équivalents au « niveau de protection adéquat ». Mais, l’intérêt du système Safe Harbor s’érode du fait de lois américaines
de lutte contre le terrorisme telles le Patriot
Act qui dispose que les agences de
renseignement peuvent accéder à toute donnée personnelle hébergée par un
prestataire américain en cas de suspicion de terrorisme ou d’espionnage.
3ème
constat : Le cloud pose en définitive la question de l’intervention
publique et du rôle de l’État.
Premièrement, l’État doit être, avant tout, un régulateur. Cette régulation est bel et bien présente
concernant la protection des données à caractère personnel grâce au dispositif
étatique établi par la loi « Informatique et Libertés » .
Toutefois, la réflexion est actuellement, en discussion au niveau européen avec
le projet de règlement européen sur la protection des données personnelles [6] et donc transférée à
plusieurs acteurs étatiques.
En second
lieu, l’État doit agir également comme un acteur économique, ce qu’il commence
à faire avec les initiatives de cloud
nationaux Numergy et Cloudwatt [7].
Enfin, il
est tout à fait envisageable que l’État se laisse séduire par l’efficacité et
la rapidité du système de cloud
d’autant plus pour des raisons de
rationalisation de coûts. L’enjeu sera donc de créer un cloud gouvernemental sécurisé pour les citoyens et l’Etat lui même.
En
conclusion, le discours de M. Sauvé a le grand mérite de faire une claire
synthèse des problèmes juridiques qui entourent le phénomène du cloud computing. Les seuls regrets sont
que ce discours ne soit pas intervenu plus tôt et surtout qu’il n’aille pas plus
loin par des promesses de prise en compte du phénomène dans le droit positif
Ainsi, arrêtons
d’avoir la tête dans les nuages et réagissons sur l’intégration du cloud dans la sphère juridique. Certes,
il n’est pas conseillé de légiférer sur tous les phénomènes actuels mais l’apparition
du cloud computing n’est pas récente [8] et
surtout fait partie des bouleversements technologiques actuels. Il est donc
probablement grand temps d’enclencher la révolution juridique 2.0 !
[1] Intervention de
M. Jean-Marc Sauvé vice-président du Conseil d’État, lors du colloque de la
Société de législation comparée, au Conseil d'État, le vendredi 11 octobre
2013 : http://www.conseil-etat.fr/media/document/DISCOURS%20ET%20INTERVENTIONS/cloud_computing_11_octobre_2013_181013.pdf
[2] Selon la CNIL, l'expression " informatique
en nuage " ou " cloud
computing " désigne le déport vers " le nuage Internet " (bien avant qu'apparaisse
l'expression " cloud computing ", les architectes
réseau schématisaient Internet par un nuage. En anglais, le terme " the
cloud " était couramment utilisé pour désigner Internet) de
données et d'applications qui auparavant étaient situées sur les serveurs et
ordinateurs des sociétés, des organisations ou des particuliers. Le modèle
économique associé s'apparente à la location de ressources informatiques avec
une facturation en fonction de la consommation.
[5] En France, il s’agit bien sûr de
la CNIL.
[6] Proposition 2012/0011 du 25
janvier 2012 de règlement européen et du Conseil relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation des données.
[7] Les projets Numergy et Cloudwatt sont
respectivement menés avec les opérateurs français SFR et Bull pour le premier, Orange et Thalès
pour le second, et pour lequel l’Etat a investi plusieurs millions d’euros via
le projet Andromède.
[8] La CNIL avait lancé une
consultation publique relative au cloud
computing fin 2011 afin de définir et délimiter le
phénomène et avait publié la synthèse en juin 2012 : http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Synthese_des_reponses_a_la_consultation_publique_sur_le_Cloud_et_analyse_de_la_CNIL.pdf
Aucun commentaire:
Enregistrer un commentaire