POINTS D’ATTENTION ET PRÉCAUTIONS À PRENDRE … - Casablanca... · architecture de cloud privé permettant de recevoir des clouds publics, mais cela peut se présenter sous la

wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 1

POINTS DrsquoATTENTION ET PREacuteCAUTIONS Agrave PRENDRE LORS DE LA NEacuteGOCIATION ET DE LA CONCLUSION DrsquoUN CONTRAT DE CLOUD

COMPUTING

SALON MED-IT CASABLANCA 13-15112012

Me Cathie-Rosalie JOLY

Avocat Associeacute Cabinet Ulys

Docteur en droit thegravese sur les paiements en ligne

Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)

Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III)

Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ

Formateur sur le Cloud Computing (formation Comundi)

cathierosaliejolyulysnet


Une prestation pas nouvelle mais augmenteacutee

La sous-traitance informatique un meacutecanisme connu infogeacuterance externalisationoutsourcing facilities management ASP hellip

Relegraveve des services consistant en la prise en charge de la gestion du systegraveme informatique drsquoune entiteacute avec ou sans deacutelocalisation dans le cadre drsquoune relation pluriannuelle

Qursquoajoute le Cloud Lrsquooffre est geacuteneacuteralement fortement orienteacutee service

Service agrave la demande puissance de stockage et de traitement variable

Peu de visibiliteacute sur les ressources et eacutequipements mis en œuvre pour assurer la prestation

Deacutelocalisation voire pluri-localisation de lrsquoheacutebergement et des traitements (serveurs laquo localiseacutes dans le monde entier raquo)

laquo Mode de traitement des donneacutees dun client dont lexploitation seffectue par linternet sous la forme de services fournis par un prestataire

QUrsquoEST-CE QUE LE CLOUD COMPUTING


Source httpwwwmicrosoftcomfranceentreprisesdecideur-itcloudcaracteristiques-du-cloudaspx




Source httpwwwcfo-newscomCloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492html



Deacutefinition proposeacutee par la CNIL

Consultation publique fin 2011

Deacutefinition en fonction des eacuteleacutements caracteacuteristiques du service

bull Simpliciteacute drsquoun service agrave la demande

bull Extrecircme flexibiliteacute

bull Accegraves leacuteger

bull Virtualisation des ressources

bull Paiement agrave lrsquousage


LES QUESTIONS JURIDIQUES

POSEacuteES PAR LE CLOUD COMPUTING

Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD

Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture


LES DIFFEacuteRENTS TYPES DE CLOUD

CLOUD PRIVE

infrastructure entiegraverement deacutedieacutee agrave un client

bullCloud priveacute interne geacutereacute par le client lui-mecircme

bullCloud priveacute externe geacutereacute par un tiers

bullCloud priveacute virtuel un environnement de Cloud Computing qui recouvre lrsquoinfrastructure de clouds internes et externes offrant agrave lrsquoentreprise un environnement transparent geacutereacute qui est seacutecuriseacute et sous le controcircle du service informatique

CLOUD PUBLIC

infrastructure partageacutee

bull Infrastructure accessible agrave un large public

bullAppartient agrave un fournisseur de cloud services

bullSolution la moins coucircteuse

CLOUD HYBRIDE

bull Infrastructure composeacutee de deux nuages ou plus meacutelangeant public et priveacute

bullClouds uniques lieacutes par une technologie normaliseacutee ou proprieacutetaire

bullLrsquoideacuteal opter pour une architecture de cloud priveacute permettant de recevoir des clouds publics mais cela peut se preacutesenter sous la forme de clouds localiseacutes chez un heacutebergeur mais deacutedieacutes agrave un client


Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing







Pas de reacuteglementation particuliegravere CLOUD

Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer

Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)

Regravegles sur les fuites de donneacutees

Commerce eacutelectronique

Protection des consommateurs

Obligations de conservation de documents comptables et fiscaux etc

Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc

QUELLE REacuteGLEMENTATION POUR LE CLOUD



Enquecircte CNIL fin 2011

Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique

Critegraveres de rattachement pour deacutetermination de la loi applicable

Quel encadrement des transferts de donneacutees

Quels risques speacutecifiques de seacutecuriteacute

Reacuteflexion au sein de la Commission europeacuteenne

Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable

Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU

Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe







Anticiper les difficulteacutes par lrsquoencadrement contractuel

Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service

Exposition au risque de piratage et de vol de donneacutees

Manque de maicirctrise des coucircts

Perte de gouvernance

Deacutependance technologique

Interopeacuterabiliteacute et respect des standards

Irresponsabiliteacute du prestataire

Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere

discreacutetionnaire

Evolutions du service sans information preacutealabledroit drsquoopposition du client

QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD


Deacutefinir les niveaux de services

Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)

Clauses de qualiteacute de service

Outils et proceacutedures de controcircle de la qualiteacute

COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE


PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD

Risque drsquoe-reacuteputation

Mai 2011 Piratage de SONY

Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )

Risque de perte de clientegravele

Risque de favoriser la concurrence

Etc



Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL

Les obligations du prestataire en matiegravere de protection des donneacutees

Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise

Politique de droit drsquoaccegraves


Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)

bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie

bull Transmissions seacutecuriseacutees cryptage des donneacutees

bull Seacutecurisation de lrsquoheacutebergement

Obligations du prestataire en cas drsquoincident




Circulation des donneacutees en Europe pas de conditions

Transfert hors UE

Vers un pays assurant un niveau de protection adeacutequat

(ex Canada Argentine)

Vers un pays non adeacutequat

(ex USA)



Notification des fuites de donneacutees

Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public

3 conditions (art 34 bis de la loi informatique et liberteacutes)

bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel

bull mis en œuvre par un fournisseur de services de communications eacutelectroniques

bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques

Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende



Seraient constitutifs dune violation

bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)

bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)

bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes

bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique

httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2


Loi applicable

bull Clause speacutecifique du contrat deacutesignant la loi applicable

bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)

Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile

Application des lois de police

Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)

QUELLE LOI APPLICABLE AU CONTRAT


deacutefinition de lrsquoobjet et de la dureacutee du contrat

les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)

selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique

Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation

ANTICIPER LA RUPTURE


New Technologies Privacy amp ICT

Intellectual Property

Cinema Media amp Entertainment

E-Payment E-Finance amp Internet Banking

Sport amp Gaming

Commercial Law

ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation

MERCI POUR VOTRE ATTENTION

DO

MA

INES

D

rsquoINTE

RV

ENTI

ON

Me JOLY Cathie-Rosalie

Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne


Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ

Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet



Une prestation pas nouvelle mais augmenteacutee

La sous-traitance informatique un meacutecanisme connu infogeacuterance externalisationoutsourcing facilities management ASP hellip

Relegraveve des services consistant en la prise en charge de la gestion du systegraveme informatique drsquoune entiteacute avec ou sans deacutelocalisation dans le cadre drsquoune relation pluriannuelle

Qursquoajoute le Cloud Lrsquooffre est geacuteneacuteralement fortement orienteacutee service

Service agrave la demande puissance de stockage et de traitement variable

Peu de visibiliteacute sur les ressources et eacutequipements mis en œuvre pour assurer la prestation

Deacutelocalisation voire pluri-localisation de lrsquoheacutebergement et des traitements (serveurs laquo localiseacutes dans le monde entier raquo)

laquo Mode de traitement des donneacutees dun client dont lexploitation seffectue par linternet sous la forme de services fournis par un prestataire

























CLOUD PRIVE





CLOUD PUBLIC





CLOUD HYBRIDE































































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON






























CLOUD PRIVE





CLOUD PUBLIC





CLOUD HYBRIDE































































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON



























CLOUD PRIVE





CLOUD PUBLIC





CLOUD HYBRIDE































































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON
























CLOUD PRIVE





CLOUD PUBLIC





CLOUD HYBRIDE































































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON














CLOUD PRIVE





CLOUD PUBLIC





CLOUD HYBRIDE































































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON









CLOUD PRIVE





CLOUD PUBLIC





CLOUD HYBRIDE































































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON


































































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON
































































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON



























































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON

















































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON






































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON

































Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON




















Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON














Etc

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON























Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON

















Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON










Transfert hors UE




(ex USA)



















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON

























Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON
















Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON








Loi applicable


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON


















Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON












Sport amp Gaming

Commercial Law



DO

MA

INES

D

rsquoINTE

RV

ENTI

ON







Documents

POINTS D’ATTENTION ET PRÉCAUTIONS À PRENDRE … - Casablanca... · architecture de cloud privé permettant de recevoir des clouds publics, mais cela peut se présenter sous la