Cloud Computing

| R é s e a u m o n d i a l d e s a v o c a t s s p é c i a l i s é s e n d r o i t d e s t e c h n o l o g i e s a v a n c é e s

http://www.linkedin.com/company/lexing

Au 21ème siècle, être assisté d’un avocat qui ne maîtrise pas les technologies avancées équivaut à se priver d’un savoir qui permet de limiter les risques et d’accroître les chances de succès.



1. Prolégomènes2. Définitions3. Cadre juridique4. Conclusions

PLAN DE L’EXPOSE :

PAGE 03

| S u i s s e | M e S é b a s ti e n F a n ti | [email protected]

cloud computing

mailto:[email protected]

• Le 29 février 2012 à 1h45 (GMT), la plate-forme de cloud services Windows Azure tombe sur 4 de ses 6 plaques mondiales pendant une durée oscillant entre 12h et 48h. Cette interruption de services a son origine dans un bogue logiciel générant une erreur de calcul de dates sur les années bissextiles ; à la décharge de Microsoft, Azure ouvert en 2010 n’a pas connu d’autre année bissextile que 2012. Cette panne a laissé sur le carreau plusieurs sites clés, dont la fameuse place de marché du gouvernement britannique, le Cloudstore.

• Le 7 mars 2012 vers 5h (GMT), le service Facebook tombe en panne plus de 3 heures sur les plaques Europe, Afrique et Moyen-Orient. Principale cause avancée, celle de la défaillance des serveurs DNS européens de Facebook entraînant l’inaccessibilité du site. Pointés du doigt, les Anonymous ont démenti être mêlés à cet incident. En tout état de cause, le communiqué officiel de Facebook ne laisse filtrer aucune explication. Rappelons-nous que Facebook avait déjà rencontré un problème de configuration BGP en août 2010. Source: solucom INSIGHT, 13.3.2012

PROLEGOMENES:

PAGE 04


cloud computing


PROLEGOMENES:

PAGE 05


cloud computing

Ces incidents ne sont pas isolés:

- Incidents de Google (trois en 2009, celui de 05/2010, puis de 02/2011 et de 09/2011),

- Incidents d’Amazon et de son service EC2 (12/2010, 04/2011, 08/2011), - Incidents du précurseur Salesforce.com (02/2008, 01/2009, 01/2010), etc.

Ils ne doivent pas occulter les avantages procurés:

• Service à la demande (élasticité et célérité);

• Accès ubiquitaire au réseau;

• Agrégation des ressources indépendamment du lieu de connexion;

• Paiement à la carte selon la consommation = réduction des coûts;

• Augmentation de la capacité de calcul; etc.


PROLEGOMENES:

PAGE 06


cloud computing

Le mandataire prendra toutes les mesures organisationnelles et techniques appropriées pour éviter tout traitement non autorisé des données personnelles en application de l’article 7 de la loi fédérale sur la protection des données. Le fichier constitué par les données clients fait l'objet d'une déclaration au Préposé fédéral à la protection des données et à la transparence (numéro de registre 201200002). Le mandant est toutefois informé du fait que le mandataire ne peut garantir que les données le concernant ne soient pas communiquées à l’étranger dans un pays ne bénéficiant pas d’une législation assurant un niveau de protection adéquat. Cela est notamment dû intrinsèquement à la communication par courriel, au stockage dans les nuages (cloud computing), ainsi qu’aux logiciels de bureautique les plus courants, étant précisé que le mandataire n’est lui-même régulièrement pas informé de cette communication transfrontière de données par les différents prestataires. Le mandant consent à cette communication transfrontière de données le concernant (art. 6 al. 2 let. b LPD). Si tel ne devait pas être le cas, il sollicite immédiatement du mandataire la prise de mesures de protection spécifiques et déclare formellement en assumer le coût supplémentaire.


DEFINITIONS :

PAGE 07


cloud computing

Définition du National Institute of Standards and Technology (NIST) :« Le Cloud Computing est un modèle pour permettre l’accès aisé et à la demande à un ensemble de ressources de calculs configurables qui peuvent être rapidement provisionnées et mises à disposition avec un effort d’administration ou des interactions avec le fournisseur de services minimes ».

Éléments techniques:

• Plusieurs serveurs distants interconnectés ;

• Bande passante réseau très importante (fluidité) ;

• Gestion des interfaces en mode Web ;

• Utilisation du navigateur Web.


DEFINITIONS :

PAGE 08


cloud computing

Modèles de déploiement:

- Clouds privés:a) Réseau interne à une seule entité ;b) Transformation du datacenter interne en un nuage grâce à des technologies

comme la virtualisation et l’automatisation ;

- Clouds communautaires: plusieurs organisations utilisent la même infrastructure;

- Clouds publics: infrastructure définie et gérée par le prestataire, hic: localisation; ex: Evernote

- Clouds hybrides: utilisation coinjointe d’un nuage public et privé.


DEFINITIONS :

PAGE 09


cloud computing

ApplicationsLogiciels

exécutablesSécurité et intégration

Bases de données

Serveurs

Virtualisation

Serveur hardware

hébergement

Réseau

SaasApplications

Logiciels exécutablesSécurité et intégration

Bases de données

Serveurs

Virtualisation

Serveur hardware

hébergement

Réseau

PaasApplications

Logiciels exécutablesSécurité et intégration

Bases de données

Serveurs

Virtualisation

Serveur hardware

hébergement

Réseau

Laas

Gér

é pa

r le

pr

esta

taire

Gér

é pa

r le

cl

ient

Géré par le

prestataireG

éré par le client

Géré par le

prestataire


DEFINITIONS : fournisseurs et clients

PAGE 010


cloud computing

HP, Cap Gemini, Amazon, Google, IB

M, SAP, Intel, Cisco, Oracle, Orange Business

Services, Red Hat, Osiatis, Gosis

SA, Microsoft, Salesforce, Outscale, Apple, Yahoo!, Foliocloud, Dell, Centix,

Quadria, OVH, LexisNexis, SFR, CA Technologies, Sony,

Magirus, Huawei, Wyse, Netapp …


CADRE JURIDIQUE :

PAGE 011


cloud computing

Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Perte de contrôle sur les données: principalement lorsque l’on a recours à des nuages publics; sous-traitance? protection adéquate? L’utilisateur du nuage ne peut plus dans ces conditions assumer totalement ou partiellement ses obligations en matière de protection des données, soit:

a) Garantir la sécurité des données;

b) Accorder un droit d’accès;

c) Corriger ou effacer des données

- Manque de séparation et d’isolation des données: les données d’utilisateurs n’ayant aucun lien entre eux sont traitées dans le même nuage et par le même système (architecture partagée). Cela génère le risque qu’une attaque contre un utilisateur affecte les autres (hacking, vol de données, déni de service…). Le compartimentage est essentiel.


CADRE JURIDIQUE :

PAGE 012


cloud computing


- Violation des normes légales et réglementaires: la dissémination des données peut engendrer des problèmes en matière de protection et de sécurité des données, mais également s’agissant du respect d’autres obligations légales telles que :

a) conservation des données et des preuves

b) Sauvegarde du secret, etc.

C’est l’entreprise ou l’autorité qui a recours à de tels services qui répond principalement des règles en matière de protection des données et non le prestataire qui enregistre et traite les données dans un cloud.

- Accès d’autorités étrangères aux données: les données sont souvent enregistrées ou traitées dans des pays qui ne leur assurent pas une protection suffisante. Les prestataires de services peuvent se voir ordonner par des autorités ou des tribunaux étrangers de donner accès à ces informations même si ces données ne sont pas traitées dans le pays en question, ex: patriot act, etc.


CADRE JURIDIQUE :

PAGE 013


cloud computing


- Dépendance : vis-à-vis du prestataire notamment en raison:• De la faible portabilité et de la faible interopérabilité des services en nuage

(rapatriement ou migration des données complexe et onéreuse);• Des clauses contractuelles souvent très favorables aux prestataires

(propriété intellectuelle, for et droit applicable, engagements limités):

Sécurité des informations personnellesMicrosoft s’engage à protéger la sécurité de vos informations. Nous mettons en place des techniques et des mesures organisationnelles en vue d'assurer la sécurité du Service. Ce dispositif comprend diverses technologies et procédures de sécurité destinées à vous aider à protéger vos informations contre tout accès, utilisation ou divulgation non autorisés. Par exemple, nous stockons vos informations personnelles sur des systèmes informatiques dont l'accès est limité et qui se trouvent dans des salles contrôlées.Certaines données personnelles peuvent avoir un caractère particulièrement confidentiel pour vous ou votre organisation, et partant exiger un niveau de sécurité que nous n'assurons pas. Il vous appartient, à vous ou à votre organisation, de déterminer si notre sécurité répond à vos besoins.Source : http://www.microsoft.com/online/legal/?langid=fr-fr&docid=1


http://www.microsoft.com/online/legal/?langid=fr-fr&docid=1

CADRE JURIDIQUE :

PAGE 014


cloud computing


- Dépendance : vis-à-vis du prestataire notamment en raison:• Des clauses contractuelles souvent très favorables aux prestataires


« mettre en œuvre toutes diligences commercialement raisonnables » - « des périodes d’indisponibilité programmées …que nous planifierons autant que possible pendant les heures de week-end »- « IBM NE GARANTIT PAS LE FONCTIONNEMENT ININTERROMPU OU SANS ERREUR DES SERVICES, DES COMPOSANTS DE SERVICE, DES LOGICIELS TIERS OU DU LOGICIEL D'ACTIVATION, NI QU'IBM POURRA EMPÊCHER LES PERTURBATIONS DES SERVICES PAR DES TIERS OU QU'ELLE CORRIGERA TOUS LES DÉFAUTS. » (source : Z125-8499-09_SmartCloud_Agreement_International_05Dec2011_(sign)_France FR.doc)

Préférer des niveaux de services garantissant 99.5 à 99.99 de bout en bout…


CADRE JURIDIQUE :

PAGE 015


cloud computing




« Vous n’êtes pas autorisé à accéder aux Services si Vous êtes Notre concurrent direct, sauf avec Notre consentement préalable. De plus, Vous n’êtes pas autorisé à accéder aux Services aux fins de suivre leur disponibilité, leurs performances ou leurs fonctionnalités, ni à toute autre fin comparative ou concurrentielle »Source : http://www.salesforce.com/fr/company/msa.jsp

Cela équivaut à une interdiction de benchmarker!Vos obligations es qualité de client:- Usage des services- Données et licéité du contenu- Paiement sinon suspension…


http://www.salesforce.com/fr/company/msa.jsp

http://www.salesforce.com/fr/company/msa.jsp

CADRE JURIDIQUE :

PAGE 016


cloud computing




Les obligations des fournisseurs sont souvent obscures:

• un “labyrinthe documentaire” ...et des formules comme :

• “We may change, discontinue, or depreciate…from time to time…”

• “(We) may make commercially reasonable changes from the Services from time

to time…”

Il s’agit d’obligations de moyens de type: “(We) use commercially reasonable efforts to make the purchased services available 24 hours a day…”.


CADRE JURIDIQUE :

PAGE 017


cloud computing


- Dépendance : • Limitation de responsabilité : IBM SmartCloud (France):

12.1 Cas dans lesquels la responsabilité d’IBM peut être engagée

Des circonstances peuvent survenir où, en raison d’une défaillance du fait d’IBM, le Client a droit à recouvrer des

dommages d’IBM. L'entière responsabilité d'IBM pour tous dommages et pertes pouvant apparaître comme une

conséquence de l'inexécution de ses obligations ou autres responsabilités d'IBM en vertu ou en relation avec le

présent Contrat ou pour toute autre cause liée au présent Contrat ; quelle que soit la cause , la forme ou l'objet

de l'action en responsabilité contractuelle ou quasi-délictuelle, IBM ne sera responsable qu'à concurrence des

seuls dommages et pertes réels et prouvés qui sont la conséquence immédiate et directe d'un manquement à

ses obligations ou d'une exécution fautive de celles-ci, tous faits générateurs confondus, dans la limite du plus

élevé des deux montants suivants : 500 000 euros, ou les charges (si récurrents, 3 mois s'appliquent) que vous

avez payées pour le service qui a causé les dommages.

La limite ci-dessus ne s'applique pas aux dommages corporels (incluant le décès) et dommages aux biens

mobiliers et immobiliers, pour lesquels IBM est légalement responsable.


CADRE JURIDIQUE :

PAGE 018


cloud computing


- Dépendance : • Limitation de responsabilité : IBM SmartCloud (France):

12.2 Cas dans lesquels la responsabilité d’IBM ne peut être engagée

La responsabilité d’IBM ne pourra être engagée en cas :

a. de perte de bénéfices, même si celle-ci est la conséquence immédiate de l’événement à l’origine des

dommages ;

b. de dommages indirects, même s’il était possible de les prévoir ou qu’IBM ait eu connaissance de leur possible

survenance ;

c. de perte ou de détérioration de Contenu, et

d. de perte d'activité commerciale, de revenu, de clientèle (y compris l’atteinte à la réputation et à l’image de

marque) ou d’économies escomptées «

• Absence de règlement alternatif des différends (médiation et arbitrage).


CADRE JURIDIQUE :

PAGE 019


cloud computing

Voici une grille d’analyse des problématiques à résoudre:


- S’assurer que les données sont stockées et traitées exclusivement en Suisse par des sociétés ayant leur siège en Suisse;

- Négocier les contrats avec le fournisseur de services en vue de rétablir le déséquilibre entre les parties;

- Porter attention à des points essentiels:For, droit applicable, confidentialité, localisation des données, niveaux de service, pénalités et responsabilités et réversibilité (tests).

- Tester régulièrement les services;- Négocier la fin des rapports contractuels (PV de restitution et certificat de

suppression);- Conclure une assurance de perte d’exploitation;- Solliciter du Préposé compétent un contrôle de conformité;- Établir une charte interne…

CONCLUSIONS ET CONSEILS:

PAGE 020


cloud computing


| R é s e a u m o n d i a l d e s a v o c a t s s p é c i a l i s é s e n d r o i t d e s t e c h n o l o g i e s a v a n c é e s

AllemagneBuse Heberer Fromm RechtsanwälteBernd Reinmüller, Tim Caesar et Stephan MenzemerNeue Mainzer Strasse 2860311 Frankfurt Am MainT. 0049 699 71 09 71 00F. 0049 699 71 09 72 [email protected]

BelgiqueelegisJean-François [email protected]://lexing.elegis.be

LiègePlace des Nations-Unies, 74020 LiègeT. 0032 43 42 30 50F. 0032 70 22 52 22

BruxellesBoulevard de la Woluwe, 601200 BruxellesT. 0032 22 40 15 20F. 0032 70 22 52 22

CanadaLanglois, Kronström, DesjardinsRichard Ramsay et Jean-François De Ricojean-francois.derico@lkd.cawww.langloiskronstromdesjardins.com

Montréal1002, rue Sherbrooke Ouest, 28e étageH3A3L6 MontréalT. 0015 148 42 95 12F. 0015 148 45 65 73

Québec801, Grande Allée Ouest, Bureau 300G1S1C1 QuébecT. 0014 186 50 70 00F. 0014 186 50 70 75

EspagneAlliant Abogados Asociados SLPMarc GallardoGran Via Corts Catalanes 70208010 BarceloneT. 0034 93 265 58 42 F. 0034 93 265 52 [email protected]

Etats-unisIT Law GroupFrançoise Gilbert555 Bryant Street #603Palo Alto, CA 94301T. 0016 508 04 12 35F. 0016 507 35 18 [email protected]

FranceAlain Bensoussan, Isabelle Tellieret Frédéric Fortsterwww.alain-bensoussan.com

Paris29, rue du Colonel Pierre AviaF75508 Paris cedex 15T. 0033 141 33 35 35F. 0033 141 33 35 [email protected]

Grenoble7, place Firmin GautierF38000 GrenobleT. 0033 476 70 09 95F. 0033 476 70 09 [email protected]

IsraëlLivnat, Mayer & CoRusselle D. MayerJérusalem Technology Park, Building 9, 4th FloorP.O. Box 48193 Malcha91481 Jérusalem T. 0097 226 79 95 33F. 0097 226 79 95 [email protected]

ItalieStudio Legale ZalloneRaffaele Zallone31 Via Dell’Annunciata20121 MilanoT. 0039 229 01 35 83F. 0039 229 01 03 [email protected]

MarocBassamat & AssociéeFassi-Fihri Bassamat30 rue Mohamed Ben Brahim Al Mourrakouchi20000 CasablancaT. 00212 522 26 68 03F. 00212 522 26 68 [email protected]

MexiqueLanglet, Carpio y AsociadosEnrique OchoaTorre Axis Santa FeProlongación Paseo de la Reforma # 61, PB-B1Col. Paseo de las Lomas01330 Mxico, D.F.T. 0052 55 25 91 10 70F. 0052 55 25 91 10 [email protected]

NorvègeFøyen Advøkatfirma DAArve FøyenPostboks 7086 St. Olavs pl.0130 OsloT. 0047 21 93 10 00F. 0047 21 93 10 [email protected]

Royaume-UniPreiskel & Co LLPDanny Preiskel5 Fleet PlaceLondon EC4M 7RDT. 0044 20 7332 5640 F. 0044 20 7332 [email protected]

SuisseSébastien Fanti Avocat & Notaire8B rue de Pré-Fleuri, CP 4971951 SionT. 0041 27 322 15 15F. 0041 27 322 15 [email protected]

Cloud Computing

Documents

Transcript of Cloud Computing