Centre de ressources

Accueil Centre de ressources Sécurité des données : 5 points à vérifier avant de signer son contrat de Cloud Computing

Sécurité des données : 5 points à vérifier avant de signer son contrat de Cloud Computing

Le  Cloud computing est un service qui doit s’accompagner de garanties. Ces dernières doivent être clairement exprimées dans le contrat qui lie l’entreprise ou l’organisme public à son prestataire. La sécurité des données étant essentielle, certaines clauses de ce contrat sont incontournables pour une relation saine et durable.

Le contrat de Cloud computing qui encadre un client et son prestataire décrit leurs droits et obligations. Il peut s’agir d’un document unique ou d’un ensemble de documents qui constituent un tout (conditions générales, conditions particulières, CGV, CGU, SLA …) . Quelle que soit sa forme, le contrat doit absolument inclure ces 5 points clés :

 

Localisation des données

L’emplacement géographique du ou des datacenters hébergeant les données détermine la loi applicable à ces dernières. Cette information n’est pas spécifiée par tous les prestataires et les données circulent parfois de manière confidentielle d’un datacenter à l’autre, d’un pays à l’autre, pour des raisons d’optimisation des ressources. La localisation des données est pourtant cruciale pour le client. Certaines données ne doivent pas circuler en-dehors du pays du client et ce dernier sera pénalement responsable si cette règle est enfreinte, notamment dans le cas de données à caractère personnel (numer.gy/zjqFQ), de données de santé  (numer.gy/12tPyb), de factures électroniques (numer.gy/pmbS3) ou encore d’ archives publiques (http://www.archivesdefrance.culture.gouv.fr/gerer/gestion-externalisee-des-archives/).

 

Loi et Juridiction

Il est de pratique courante que le prestataire soumette par contrat les litiges à leur droit et juridiction nationales. Dans le cas d’un prestataire  américain pour une société française, cette pratique peut s’avérer problématique pour obtenir une décision en cas de faute (perte de données, coupure du service, etc.). Le client devra alors passer par des rouages beaucoup plus complexes que ceux présents sur notre sol français (comme des frais de procédure et d’avocat plus élevés, l’emploi de la langue anglaise et une loi étrangère appliquée au contrat). C’est aussi donner potentiellement accès à ses données à une autorité étrangère,  sans pouvoir le prévenir ou contester, en particulier sur un marché dominé par les acteurs américains (révélations Snowden).

 

Niveaux de service fourni par le prestataire de Cloud Computing

Dès lors que le Cloud computing est un service en ligne, il importe de garantir le délai de mise en  service (temps maximum) ou sa disponibilité sur le mois (pourcentage minimum), c’est-à-dire un accord de niveau de service (SLA). Plus encore, le non-respect des niveaux garantis par contrat doit ouvrir droit à des pénalités, généralement sous forme de compensation financière ou d’avoir. Il est également important de connaître la part de responsabilité assumée par le prestataire en cas de faute et de vérifier s’il est couvert par une assurance civile professionnelle.

 

Réversibilité et accès aux données

Se prémunir en cas de rupture éventuelle du contrat, c’est poser la question de la réversibilité du service ou autrement dit, la restitution des données stockées chez le prestataire Cloud. Ceci implique de pouvoir télécharger les données et applicatifs qui auraient été mis sur le Cloud, à tout moment et en toute simplicité, sans frais supplémentaires. La restitution dans un format standard est également un facteur à prendre en compte.

 

Sécurité des données

Le Cloud computing permet d’accéder à un niveau de sécurité que seules de grandes entreprises pouvaient auparavant se permettre comme : la mise en place d’une politique de sécurité validée par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), un Security  Operation  Center (SOC), le chiffrement, pare-feu, cloisonnement des environnements et redondance. Certaines démarches de certification apportent des garantie supplémentaires en terme de sécurité (ISO 9001 et 27001, PCI-DSS, RGS, hébergeur de données de santé, CSA Star).

Par ailleurs, l’ordre d’importance de ces 5 points clés variera selon le service utilisé (IaaS, PaaS, SaaS) et sa finalité (espace de stockage, environnement de développement, outil de facturation).

Par exemple :

  • l’utilisation du Cloud  computing pour de l’archivage ne demandera pas un niveau de disponibilité aussi élevé que pour une messagerie ;
  • le stockage de données statistiques n’exigera pas la même attention sur leur localisation que des données de santé.  

 

Ces réponses que doit apporter le prestataire Cloud favoriseront une meilleure lisibilité et sécurité juridique du contrat. Il s’agit d’une volonté de la Commission européenne qui a initié des groupes de travail (numer.gy/DI6Hu) sur le sujet. Numergy participe activement à cette démarche.

 

 

Guillaume

Guillaume Jahan
Directeur Juridique

Après avoir exercé comme avocat en nouvelles technologies au sein des cabinets Bensoussan, Bird&Bird et Salans, il a rejoint fin 2012 le "producteur d'énergie numérique" français et ses services de Cloud Computing à destination des entreprises et du secteurs public.

Suivez moi sur LinkedIn