Embed Size (px)
DESCRIPTION
Intervention lors du Congrès I-Expo, le 14 juin 2012d lors de la session consacrée à la propriété dans le numérique.
Citation preview
La propriétédans les nuages
ou lorsque le droit se saisit du Cloud
Congrès I-Expo
: 14 juin 2012Cloud Gate. Galerie de Graig
S. Flickr
CC by-nc-nd
Michèle BattistiADBS –
Paralipomènes
-
IABD
2
Le Cloud1. Une révolution ?2. Quelles menaces ? 3. Quelles précautions ?
Pour maîtriser ses données dans le Cloud
Se poser quelques questions ?
1. Une révolution ?
Illustr. La liberté
guidant le peuple. Eugène Delacroix.Wikimédia
Commons.
3
incontournable et omniprésent
Vers un web 4.0, un web de plus en plus intelligent et sophistiqué
s’appuyant sur le Cloud
Un recours au Cloud qui se généralise/
Vu récemment • Amazon
crée un service de Cloud d’écoute musical oùl’internaute est invité
à
stocker la musique qu’il a achetée• le cloud
gaming, un «
système de papillonnage vidéoludique
»
Du web 2.0 au web 4.0 en passant par le web 3.0
: où
en sommes‐nous
?Mehdi Zemmama, Cap Gemini Consulting, 30 novembre 2010.
Le Cloud,
Petite histoire du cloud
computing,
Thibaut de Jaegher, L'Usine Nouvelle
, n° 3283, 28 avril 2012
Amazon
était pionnier
lorsqu’il proposait en 2002 de louer des espaces de stockage sur ses serveurs, ceux-ci n’étant réellement utilisés que pendant une partie de l’année, liés à
des pics de consommation
Aujourd’hui tout le monde a entendu parler du Cloud Computing
Head in the
Cloud and
Flow. Picto
Synthesis. CC by-nc
4
5
Avec les revues électroniques, aujourd’hui avec les livres électroniques, on a appris que l’on ne louait qu’un accès temporaire à
des informations et/ou à
des oeuvres
Depuis quelques années, en fonction de nos besoins, on peut louer des espaces de stockage pour nos propres données
; on peut louer diverses applications informatiques pour les traiter, voire des données …
Nos ordinateurs tendent à
se borner à
«
se brancher en mode terminal
»
Le support disparaît ? Oui, mais pas pour tout le mondeToutes ces données sont entreposées dans des serveurs gigantesques, souvent localisés dans des pays lointains, et sont amenées à
circuler périodiquement dans le monde, ce qui représenteune première source de problème juridique
Louer est tendance
Le Cloud incontournable et omniprésent
En octobre 2009, l’infrastructure en nuage d’Amazon représentait 40 000 serveurs répartis dans plusieurs sites dans le monde
I love Solidays. Damien Roué
.Fotopeida. CC by-nc
6
Une révolution
technique ?
Le Cloud computing, évolution ou révolution
?
Paralipomènes, 25/09/10
Un nouveau moyen de consommer l’informatique Externaliser
en fonction de ses besoins, des services informatiques qui nécessitent d'importantes capacités de calcul ou de stockage auprès de n'importe quel serveur disponible appartenant à
un réseau de serveurs connectés à
l'internet
.
comme un banal branchement à
un réseau électrique
Partager des ressources informatiques distribuées sur internet : le résultat d’une évolution de plusieurs techniques arrivées à maturité
Le Cloud
Le Cloud : facilité
d’usage, fourniture à
la demande, prix calculé
selon la consommation, …Bénéficier d’économies d’échelle
Illustr. An exhaust
cloud
engulfs
Launch
Pad 39Aat
NASA’s
Kennedy Space
Centre
in Florida
as space
shuttle
Endeavour
lift). NASA/Sandra Joseph and
Kevin O’Connell. 2010. Public Domain
Wikimédia
Commons
«
tous ceux qui en ont tâténe reviendront pas en arrière
»
7
Le Cloud Une révolution
technique ?
Du Cloud public …
le plus naturel
Mais aussi
du Cloud privé
(rien que pour soi)du Cloud hybride (privé/public)du Cloud communautaire (par «
affinités
»)
Un peu de jargon
Iaas
Infrastructure as a servicePaas
Platform
as a serviceSaas
Software as a service
3 couches de services Des donnéesqui voyagent constamment autour du monde pour répondre à
la nécessité
de refroidir les serveurs
SaaS, PaaS, IaaS, Cloud
: définitions, François Daniel Giezendanner,
SMS, SPIP, 10 mars 2010
Etang du Méjean. Photos de F. Moreno, CC by-nc-nd
Une révolution
contractuelle?8
Un contrat qui ressemble fort à
une banale externalisation
des données ou contrat d’infogérance
Les données personnelles et la confidentialité
(la question la plus sensible) La sécurité
des données (où
se trouvent-elles ? et le souci de transparence)
La réversibilité
et l’interopérabilité
pour pouvoir se retirer du Cloud Les garanties
en cas de perte de données ( .. clashs informatiques de tous ordres)
La fixation du prix (critère déclenchant le paiement : mois ? nombre de personnes ? transaction ?) Le droit applicable en cas de litige (sans traité
international, une question
complexe), …
Le Cloud
Le Cloud computing, une révolutioncontractuelle
? Paralipomènes, 24/10/10
Contrat de CloudLes points clefs
9
Le Cloud Une révolution
contractuelle?
De l’outsourcing
classique
Le buzz autour du Cloud lui donne ne dimension psychologique particulière
La tentation de la personnalisation au risque de perdre les bénéfices (économiques) du Cloud et de rendre la réversibilité
et l’interopérabilité
délicate
Des données très mobiles. Comment le mettre en œuvre
un audit «
lorsque les
données sont au Pôle nord ?
»
Des contrats d’adhésion (petits comptes ou individus) Non négociables ; pas d’avenant mais un simple courriel d’acceptation quand un service est modifié
et une
durée volontairement courte au terme de laquelle «
on adhère ou on sort
»
Pour les entreprises, généralement ,des licences à
négocier
L’angle abordé
aujourd’hui
10
Le Cloud Une révolution
contractuelle?
Le Cloud un révélateur detravers du passéL’occasion de simplifier la rédaction de contrats d’outsourcing
qui contiennentdes «
SLA farfelues
»des plans d’assurance qualité
se traduisant par des «
pavés incompréhensibles
»
aux non juristes mais où
l’essentiel est absent
des plans de sécurité
avec des «
mesures alambiquées
»
qui ne seront jamais mises en œuvre, etc
…
PRAGMATISME Cloud : de l’informatique à
consommer
tendance vers une offre standardisée qui étonne et inquiète car il s’agit de données
mais serait l’approche la plus pertinente
PERSONNALISATIONarticuler Cloud public et Cloud privé
mais
perdre les bénéfices en termes de coûts, des souplesse et d’adaptabilité
Fin 2010 Donner une réponse rapide, un accompagnement avec un dialogue soutenu entre juristes et techniciens risque : confusion entre les aspect
s juridiques et techniques
un cadre contractuel non stabilisé, avec des clauses adaptables et réversibles, et des solutions hybrides donnant une large place au feed-back
Le client face aujourd’hui à
«
du pas très sec
»Des juristes très
en amont sur le
Cloud
Des juristes très
en amont sur le
Cloud
11
2. Quelles menaces ?
Windows to the sun. Jacob Ion.Fotocommunity. CC by-nc-nd
Quelles menaces ?
Qu’en est-il
de la sécurité
des données ? du cas, très sensible, des données personnelles ? de la réversibilité
?
Court-on plus de risques que dans une banale externalisation informatique dans un système non mutualisésur un serveur dédié
?
Approaching
Asperatus
Cloud. BJ Bumgarner
Flickr
By-nc-sa
Le Cloud12
13
La sécurité
des données
Disponibilité, intégrité, confidentialité
Sécurité
Illustr. Nuages
de vent. Solea
20. CC 2.0 by-nc-sa. Flickr
La disponibilité
Le Cloud démultiplie les supports physiques d’une même machine virtuelle
un problème …
et l’on change de machine
.
Un Cloud élastique une adaptation immédiate à
toute situation
une augmentation instantanée de la puissance d’une machine virtuelle, sans devoir l’arrêter, comme dans un hébergement informatique classique
Paradoxe ! Le Cloud donne des garanties très fortes
dans un Cloud ouvert aux 4 vents ?
Le Cloud14
Sécurité
Risques lorsque le prestataire a potentiellement accès à
nos espaces de stockage, ou lorsque les accès du prestataire sont «
compromis »
L’intégrité
et la confidentialité Une perte de maîtriseUn matériel que l’on ne peut plus contrôler, des logiciels imposés qui empêchent certaines mesures de sécurité
des masters mal sécurisés, voire compromis car présentant des portes dérobées
Se fier à
un faux sentiment de sécurité
donné
par le marketing du prestataire
Risques techniquesPartage des ressources de la machine physique pour plusieurs machines virtuelles liées entre elles par un hyperviseur : une communication accidentelle entre machines virtuelles
en raison de problèmes liés à
l’isolation du stockage, de la mémoire, des processeurs ou encore du réseau.
Un type de faille rare et des attaques complexes
Risques liés à
l’interface de gestion des services (manière dont on gère ses comptes dans le Cloud). Des failles dans les outils d’authentification qui se traduisent par la suppression de serveurs ou de services, des vols de données ou des transferts de services
Aucune garantie sur l’effacement des données (en fonctionnement normal ou en fin de contrat) sur tous les supports existants
Plus risqué, plus complexe
dans un Cloud ouvert aux 4 vents ?
Le Cloud15
La fuite de données se constate a posteriori
L’alerte ne s’applique qu’à
des données ou à
des faits
préalablement définis
Des outils de sécurisation rarement déployés, par ignorance ou en raison de leurs coûts
Un travail dans l’urgence qui s’avère être la raison majeure des problèmes de sécurité
rencontrés
Certifications invalides ou impossiblesLe prestataire doit autoriser un audit de certification sur ses équipementsMAISComment organiser un test d’intrusion en raison du principe de territorialité pour les huissiers et des difficultés liées à
l’intégrité d’une copie d’une mise en ligne sur internet
Que se passe-t-il si, pour établir un constat les autres machines virtuelles
de clients sont arrêtées ?
Si, lors de son constat, l’huissier « prend tout » ? ’
Sécuritédans un Cloud ouvert aux 4 vents ?
Le Cloud16
17
Les données personnelles
Données personnelles 18
La question la plus sensible Des données qui circulent et qu’on peine à
localiser Une question essentielle à
régler
Qui est responsable du traitement ?
Une chaîne de responsabilité
entre le responsable du traitement
qui dispose des moyens du traitement
et en définit la finalité son sous‐traitant avec qui il signe un contrat
Un prestataire qui dispose de marges de manœuvresGoogle, par exemple, impose à des petites entreprises des conditions
non négociables, sans se percevoir comme responsable d’un traitement
Un faisceau d’indices pour déterminer le degré
de responsabilité
de
chaque acteur à
partir de plusieurs critères :
• le niveau des instructions données • le niveau de contrôle de l’exécution des prestations• la transparence • l’expertise
Le Cloud
19
la loi «
Informatique et Libertés
»
ne s’applique qu’aux responsables du traitement résidant sur le territoire français ou lorsque le traitement est effectué
sur le sol français.
Données personnelles
Les données circulant, divers droits sont susceptibles de s’appliquer dans les territoires qui émaillent leur pérégrination dans le monde
Des faisceaux d’indices pour déterminer si le responsable des moyens de traitement
entend
viser un public français
Un lien suffisant, substantiel ou significatif entre le service proposé
et le client
pour définir que l’on s’adresse à
un public
français et que la loi applicable sera françaiseLandscape –Photo. This photo
is licensed under a CC by-nc-nd
License.
Le Cloud
20
Transfert de donnéeshors de l’Union européenne
Il sont interdits sauf si le niveaude protection est jugé
adéquat
Autorisés s’ils sont encadrés par des clauses contractuelles type reconnues par la Commission européenne
-
dans le cadre du Safe Harbor qui lie la Commission européenne et la Federal
Trade
Commmision
aux États-Unis
- des Binding Corporate Rules (BCR), codes de bonne conduite définis au sein d’une entreprise
-
dans les quelques cas exceptionnels mentionnés dans la loi «Informatique et Libertés
»
Les clauses contractuelles qui conduisent à
créer une «
toile
»
d’araignée
»
de contrats, ne donnent aucune sécurité.
On n’est jamais certain qu’un contrat soit signé
pour chaque transfert, et elles deviennent très vite obsolètes
LeSafe Harbor n’offre de garantie qu’aux grosses entreprises,
Les BCR
ne créent de zones de sécurité
qu’au sein d’un groupe
ou lorsque ils sont adoptés par toutes les entreprises sous-traitantes
Des exceptions inadaptées : La CNIL en
fait une interprétation restrictive ; elles ne concernent que des transferts ponctuels d’un petit nombre de données
Données personnelles
Des instruments inadaptés
Le Cloud
Données personnelles
Prochainement
Un Règlement européen relatif à
la protection des
personnes physiques à
l'égard du traitement
des données à
caractère personnel et à
la libre circulation
de ces données. Projet diffusé
le 25 janvier 2012
t
L’Europe et les données personnelles au prisme du Cloud, Paralipomènes, 24 février 2012
Les défis à
relever- la qualification juridique du prestataire de Cloud- l’encadrement des transferts de données personnelles hors de l’Union européenne
Le Cloud
21
21
La réversibilité
22
23
revenir à
une situation ou une
organisation intérieure .
Sortir non pour revenir mais pour aller ailleurs Favoriser le passage d’un prestataire à un autre
Obliger un prestataire à
s’entendre avec un autre prestataire,
Même, voire surtout, s’il s’agit d’un concurrent
Sortir du cloud
ou de la réversibilité
et de l’interopérabilité
Paralipomènes , mars 2011
Réversibilité
En sortir
Éviter une situation de blocagesans possibilité
de
retour ; éviter d’être lié
à
un
prestataire unique
Le Cloud
24
En sortir
Un préalable : l’interopérabilité«
capacité
que possède un produit ou un système dont les interfaces sont intégralement connues à
fonctionner avec d’autres produits ou systèmes existants ou futurs
(Wikipédia)
Cloud computing
: une norme ISO en préparation, L’Usine nouvelle, mars 2012
Unicode Yi
Syllables. asvensson
on Flickr; CC by-,c
Des normes pour favoriser l’interopérabilité ? Rappel : une norme est une assurance sur les moyens mis en œuvre pour garantir la sécurité
et non sur un résultat
Normes : des gardes fous comme les contrats-types ? Pour régler la question ou pour la compliquer ?
Le Cloud
25
3. Quelles précautions ?NX0864
: Caution Large Waves. Andy Farrington
CC by-sa
26
Et sécurité
Cloud over
a mountain
public domain
image picture
in galleryMountain
is
in public domain.
Une assurance ? Elle ne règle que les conséquences des problèmes rencontrés
Des clauses ad hoc dans le contratLe client peut exiger une transparence sur les tiers, mais doit s’assurer de la fiabilité
du service proposépar le prestataire
Dans un contrat B2B : exiger de connaître les composantes du service que l’on achète, pour répondre à
une obligation de sécurité
des données personnelles où
des assurances fortes doivent être données
Les prestataires peuvent se faire certifier Ce n’est pas toujours jugé
suffisant et des preuves surla manière d’assurer la sécurité
des données doivent Être également exigées par le client
Se focaliser sur ce qui est important ou risqué
Un client souvent plus exigeant pour autrui
que pour lui-même
Le Cloud
Et réversibilité27
Rain clouds seen from Märket. Taivasalla. CC by-nc-sa
Une clause de réversibilité accompagnée d’un plan de réversibilité
détaillé
dans ses annexes
A noter Les difficultés varient selon l’endroit du cloud
(Paas, Iaas, Saas) où
l’on se trouve plus grandes dans le cadre du Paas, celui des plateformes de développement étant le marché
permettant de contrôler plus facilement le client, moindres dans le cadre du Saas, celui des logiciels
Être vigilant sur les outils, les normes et les standards utilisés par le fournisseur permettant d’assurer l’interopérabilité, et contrôler les processus mis en œuvre par celui-ci pour garantir à
tout moment la réversibilité
Difficulté
à
définir les techniques et leur coût, notamment parce qu’il est difficile d’anticiper les évolutions techniques et économiques rapides qui agitent ce marché
émergent pour les entreprises (contexte BtoB)
Le Cloud
Ouvrir le nuagePour garder la maîtrise de son système d’information (*)
Cloud computing + Open Source
Caractéristiques-
Ouverture du code et des formats utilisés-
Reproductibilité
des services offerts
-
Interopérabilité
entre les données et les applications
-
Transparence des contrats de service et du prestataire …
L’Open Cloud
Vidéo Solution de gestion de l’information en Saas
et Cloud.Vidéo sur le site de l’ADBS
L’Open Cloud : garder la maîtrisede son système d’information, Documentaliste-Sciences de l’information, 2/2012
Le Cloud28
SAVOIR PLUS
Un défi29
Le Cloud, un avatar de l’industrie informatique, une simple évolution
Mais de banales questions liées à
l’externalisation de
services informatiques qui se présentent à
une échelle
inédite, élargissant le cercle des personnes concernées au sein d’une entreprise, mais aussi à
l’ensemble des
internautes.Une chaîne contractuelle complexe
Pour les juristes, un travail en amont pour construireDes
contrats type, aider les opérationnels à
répondre
aux questions des clients, les aider à
se poser
les «
bonnes »
questions
Et un couple contrat/assurance : une chaîne de l’assurabilité
Démystifier les aspects juridiques du CloudComputing, Paralipomènes, 4 novembre 2012
Le Cloud, souvent révélateur
d’anciennes lacunes !
Le Cloud Un défi passionnant
llustr. An exhaust
cloud
engulfs
Launch
Pad 39A at
NASA’s
Kennedy Space
Centrein Florida
as space
shuttle
Endeavour
lift). NASA/Sandra Joseph and
Kevin O’Connell. 2010. Public Domain
Wikimédia
Commons
Le temps du
juriste
et le temps informatiquedes temps différents
Glissement
du
champ des anticipations
Non anticiper
ses
besoins
en ressources informatiques
avec le Cloud elles
sont
disponibles
à
tout moment et en tout lieu
Mais
anticiper
dans
le domaine
juridiquepour ne
pas devoir accepter un contrat
d’adhésion
dans
l’urgence
Low Key running hourglaso by Tijs
Zwinkels112. Flickr
CC by-sa
Le Cloud Un défi passionnant30
Illu
str. Banksy
street
art, Chalk
farm. Scottroberts.CC
by-nc-nd. Flickr
Découvrir
Le Cloud Un défi passionnant
Un travail en amont
«
Faire le ménage »
dans ses donnéesDéfinir les données réellement sensibles et celles qui doivent rester en France pour répondre à
des obligations légales; Les données qui pourront entrer dans le Cloud et celles pour lesquelles d’autres formes de stockage doivent être envisagées
Documenter les procédures
adoptées
pour assurer
la sécurité
des données,
une
obligation souvent
négligée
par les entreprises
Mener une réflexion sur ce dont l’entreprise a besoin et les risques
réellement encourus
Risque : Frilosité
et ne pasbénéficier des avantages
du Cloud
32
Remerciements
aux animateurs d’un atelier de l’ADIJ
consacré
au Cloud Cmputing
• Mme Helle Jul-Hansen, VP et Assistant General
Counsel
VMWare
EMEA
•
Me Béatrice Delmas-Linel, avocate au Barreau de Paris, associée du cabinet de Gaulle
Fleurance et associés• M. David Feldman,
dirigeant du cabinet de conseil
DFConsulting
Un atelier pour : cerner
le concept de cloud
computing, évaluer l’impact contractuel
de cette pratique,
mettre l’accent sur les données personnelles,
la sécurité, la réversibilité
et l’interopérabilité
ainsi que sur les assurances,
présenter
l’évolution de la question en novembre 2011 depuis la première réunion, en septembre 2010
reprendre la question des données personnelles, après la diffusion, le 25 janvier 2012, d’un projet de règlement européen sur les données personnelles (1) (2)
Liens vers les comptes rendus sur le blog
Paralipomènes.
Blog
de l’Atelier Cloud Computing
33
Cloud computing
et contrats informatiques : du nouveau ou du bruit ?
Jean-Michel Pasotti, Entreprise, Internet & Droits de la personne, 23 janvier 2011
Les aspects juridiques du Cloud Computing
(ppt)
, Alexandre Nappey, Slideshare, 23 novembre 2011
Les points clés des contrats de Cloud Computing, Benjamin Jacob, Legavox, 19 janvier 2011
Le cloud
computing
: pour y voir plus clair dans la nébulosité
juridique
, Cabinet Feral-Shuhl
/ Sainte-Marie, Archimag, juillet-août
2010
Le Cloud computing, un mode d'exploitation risqué?
Des réponses contractuelles, Actualités du droit de l’information (ADI), septembre 2009
Autres sources consultées
34Des questions ?
FLE.Poser
une question. Marion Chareau.
CC 2.0 by‐nc‐nd.Flickr
