Le cadre juridique des contrats cloud
description
Transcript of Le cadre juridique des contrats cloud
www.ulys.net - www.droit-technologie.org - © ULYS 2012 1
LE CADRE JURIDIQUE DES CONTRATS CLOUD
POINTS D’ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D’UN CONTRAT DE CLOUD
COMPUTING
SALON MED-IT CASABLANCA 13-15.11.2012
Me Cathie-Rosalie JOLYAvocat Associé Cabinet Ulys
Docteur en droit , thèse sur les paiements en ligne Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargée d’enseignement à l’Université Paul Cezanne (Aix Marseille III) Responsable de l’Atelier Paiement et monnaie électronique de l’ADIJ
Formateur sur le Cloud Computing (formation Comundi) [email protected]
www.ulys.net - www.droit-technologie.org - © ULYS 2012 2
Une prestation pas nouvelle mais augmentée
La sous-traitance informatique, un mécanisme connu : infogérance, externalisation/outsourcing, facilities management, ASP, …
Relève des services consistant en la prise en charge de la gestion du système informatique d’une entité, avec ou sans délocalisation, dans le cadre d’une relation pluriannuelle
Qu’ajoute le Cloud ? L’offre est généralement fortement orientée service :
Þ Service à la demande, puissance de stockage et de traitement variableÞ Peu de visibilité sur les ressources et équipements mis en œuvre pour assurer
la prestationÞ Délocalisation voire pluri-localisation de l’hébergement et des traitements
(serveurs « localisés dans le monde entier »)Þ « Mode de traitement des données d'un client, dont l'exploitation s'effectue
par l'internet, sous la forme de services fournis par un prestataire.
QU’EST-CE QUE LE CLOUD COMPUTING ?
www.ulys.net - www.droit-technologie.org - © ULYS 2012 3Source : http://www.microsoft.com/france/entreprises/decideur-it/cloud/caracteristiques-du-cloud.aspx
QU’EST-CE QUE LE CLOUD COMPUTING ?
www.ulys.net - www.droit-technologie.org - © ULYS 2012 4
QU’EST-CE QUE LE CLOUD COMPUTING ?
Source : http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492.html
www.ulys.net - www.droit-technologie.org - © ULYS 2012 5
QU’EST-CE QUE LE CLOUD COMPUTING ?
Définition proposée par la CNIL
Consultation publique fin 2011
Définition en fonction des éléments caractéristiques du service :• Simplicité d’un service à la demande• Extrême flexibilité• Accès léger• Virtualisation des ressources• Paiement à l’usage
www.ulys.net - www.droit-technologie.org - © ULYS 2012 6
LES QUESTIONS JURIDIQUES POSÉES PAR LE CLOUD COMPUTING
Les différents type de CLOUD Quelle réglementation pour le CLOUD ? Quelques points d’attention dans les contrats CLOUD
S’assurer d’un service de qualité Garantir la protection des données La loi applicable au contrat Anticiper la rupture
www.ulys.net - www.droit-technologie.org - © ULYS 2012 7
LES DIFFÉRENTS TYPES DE CLOUD
CLOUD PRIVE infrastructure entièrement
dédiée à un client
• Cloud privé interne : géré par le client lui-même
• Cloud privé externe : géré par un tiers
• Cloud privé virtuel : un environnement de Cloud Computing qui recouvre l’infrastructure de clouds internes et externes, offrant à l’entreprise un environnement transparent, géré, qui est sécurisé et sous le contrôle du service informatique
CLOUD PUBLICinfrastructure partagée
• Infrastructure accessible à un large public
• Appartient à un fournisseur de cloud services
• Solution la moins coûteuse
CLOUD HYBRIDE
• Infrastructure composée de deux nuages ou plus mélangeant public et privé
• Clouds uniques liés par une technologie normalisée ou propriétaire
• L’idéal : opter pour une architecture de cloud privé permettant de recevoir des clouds publics, mais cela peut se présenter sous la forme de clouds localisés chez un hébergeur mais dédiés à un client
www.ulys.net - www.droit-technologie.org - © ULYS 2012 8Source : http://revevol.fr/2010/07/19/analyse-des-dimensions-du-risque-lie-au-cloud-computing
www.ulys.net - www.droit-technologie.org - © ULYS 2012 9
LES QUESTIONS JURIDIQUES POSÉES PAR LE CLOUD COMPUTING
Les différents type de CLOUD Quelle réglementation pour le CLOUD ? Quelques points d’attention dans les contrats CLOUD
S’assurer d’un service de qualité Garantir la protection des données La loi applicable au contrat Anticiper la rupture
www.ulys.net - www.droit-technologie.org - © ULYS 2012 10
Pas de réglementation particulière CLOUD
Mais pas d’absence de réglementation : Différents textes trouvent à s’appliquer
Loi Informatique et Libertés, notamment conservation des données sensibles (banque, santé, etc.),
Règles sur les fuites de données, Commerce électronique, Protection des consommateurs, Obligations de conservation de documents comptables et fiscaux, etc. Obligations spécifiques de sécurité : secteur de la banque et de l’assurance, de la
santé, etc.
QUELLE RÉGLEMENTATION POUR LE CLOUD ?
www.ulys.net - www.droit-technologie.org - © ULYS 2012 11
QUELLE RÉGLEMENTATION POUR LE CLOUD ? Enquête CNIL fin 2011
Prestataire de cloud présumé sous-traitant ? créer un régime spécifique ? Critères de rattachement pour détermination de la loi applicable ? Quel encadrement des transferts de données? Quels risques spécifiques de sécurité ?
Réflexion au sein de la Commission européenne
Observations européennes et réflexion pour élaborer un projet de lignes directrices applicables aux contrats de cloud : Consultation publique de la Commission courant 2011 : éventualité de modèles de documents contractuels (CG, PAQ, etc.), questions de sécurité des données, de détermination de la personne responsable
Problème des sociétés US, même si données hébergées en Europe application des règles du USA Patriot Act : Contradiction avec droit EU ?
Réforme de la réglementation des données personnelles en Europe
www.ulys.net - www.droit-technologie.org - © ULYS 2012 12
LES QUESTIONS JURIDIQUES POSÉES PAR LE CLOUD COMPUTING
Les différents type de CLOUD Quelle réglementation pour le CLOUD ? Quelques points d’attention dans les contrats CLOUD
S’assurer d’un service de qualité Garantir la protection des données La loi applicable au contrat Anticiper la rupture
www.ulys.net - www.droit-technologie.org - © ULYS 2012 13
Anticiper les difficultés par l’encadrement contractuel
Des clauses à négocier autant que possible pour éviter : Risques sur la continuité du service Exposition au risque de piratage et de vol de données Manque de maîtrise des coûts Perte de gouvernance Dépendance technologique Interopérabilité et respect des standards Irresponsabilité du prestataire
Contrat cloud = contrat d’adhésion ? Conditions générales mises en ligne et modifiables par le prestataire de manière
discrétionnaire Evolutions du service sans information préalable/droit d’opposition du client
QUELQUES POINTS D’ATTENTION DANS LES CONTRATS CLOUD
www.ulys.net - www.droit-technologie.org - © ULYS 2012 14
Définir les niveaux de servicesDélimitation des obligations du prestataire et/ou des
sous traitants (pb chaînes de contrat)Clauses de qualité de service, engagement sur la
continuité du service, Interopérabilité et respect des standards, disponibilité, performance, intégrité des données
Outils et procédures de contrôle de la qualité : Bilans périodiques de qualité (reddition de
comptes par le prestataire) Audit annuel Recours à un tiers vérificateur
COMMENT S’ASSURER D’UNE QUALITÉ DE SERVICE MAXIMALE ?
www.ulys.net - www.droit-technologie.org - © ULYS 2012 15
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
Risque d’e-réputationMai 2011 Piratage de SONY :
Online Entertainment : 24 millions de comptes ont été " visités ". 12 700 numéros de cartes de crédit non américaines issus d'une vieille base de données ont été raflés par les pirates. (http://lexpansion.lexpress.fr/high-tech/reseaux-pirates-quelle-facture-pour-sony_254765.html )
Risque de perte de clientèle
Risque de favoriser la concurrence
Etc,
www.ulys.net - www.droit-technologie.org - © ULYS 2012 16
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux données sensibles, les données à caractère personnel : Directive 95/46/CE, Loi Informatique et libertés, recommandations CNIL
Les obligations du prestataire en matière de protection des données : conservation et préservation des données
Intégrer le sous-traitant dans le périmètre de la sécurité de l’entreprise (plan de sécurité des systèmes d’information, plan de continuité d’activité, etc.)
Politique de droit d’accès : Personnes habilitées, information accessible, dispositifs d’accès (identifiant+mot de passe), conservation des traces, surveillance et blocage des accès
www.ulys.net - www.droit-technologie.org - © ULYS 2012 17
Sécuriser les accès : Niveaux de sécurité différents selon les informations (données bancaires, etc.)• Dispositifs d’accès plus élaborés : certificat
électronique sur clé USB, carte, voire biométrie
• Transmissions sécurisées : cryptage des données
• Sécurisation de l’hébergement
Obligations du prestataire en cas d’incident : Alerte, rapport incidents
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
www.ulys.net - www.droit-technologie.org - © ULYS 2012 18
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD Circulation des données en Europe : pas de conditions
Transfert hors UE :
Vers un pays assurant un niveau de protection adéquat (ex. Canada, Argentine) : pas de condition supplémentaire
Vers un pays non adéquat (ex. USA) : interdiction, sauf si : Autorisation de la personne concernée ou Exception art. 69 (sauvegarde vie, ordre public, action en justice..) ou Signature des clauses contractuelles types de la Commission européenne ou Participation du sous-traitant à un système de protection des données (Safe
Harbour) ou Adoption de règles internes d’entreprise imposées au sous-traitant (« binding
corporate rules » ou BCR)
www.ulys.net - www.droit-technologie.org - © ULYS 2012 19
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD
Notification des fuites de données
Aujourd’hui applicable aux fournisseurs au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public.
3 conditions (art. 34 bis de la loi informatique et libertés) :• Il faut qu'il y ait un traitement de données à caractère personnel ;• mis en œuvre par un fournisseur de services de communications électroniques ;• dans le cadre de son activité de fourniture de services de communications
électroniques
Article 226-17-1 du code pénal: Non notification => cinq ans d'emprisonnement et de 300 000 € d'amende.
www.ulys.net - www.droit-technologie.org - © ULYS 2012 20
PROTECTION DES DONNÉES DE L’ENTREPRISE DANS LE CLOUD Seraient constitutifs d'une violation :
• Une intrusion dans la base de données de gestion clientèle d'un fournisseur d'accès internet (FAI) ;
• Une faille dans la boutique en ligne d'un opérateur mobile permettant de récupérer les numéros de cartes de crédits des clients ayant commandé un nouveau téléphone associé à un forfait (car ce sont les données clients collectées en tant qu'opérateur) ;
• Un email confidentiel destiné à un client d'un FAI, diffusé par erreur à d'autres personnes ;
• La perte d'un contrat papier d'un nouveau client par un agent commercial d'un opérateur mobile dans une boutique.
http://www.cnil.fr/la-cnil/actualite/article/article/la-notification-des-violations-de-donnees-a-caractere-personnel/?tx_ttnews%5BbackPid%5D=2&cHash=aa91fbb3043b82345928f38efeeb7da2
www.ulys.net - www.droit-technologie.org - © ULYS 2012 21
Loi applicable• Clause spécifique du contrat désignant la loi applicable• A défaut, application du Règlement n° 593/2008 du 17 juin 2008
dit Rome 1 : « le contrat de prestation de services est régi par la loi du pays dans lequel le prestataire de services a sa résidence habituelle » (art. 4, b)
Juridiction compétente : Règlement (CE) n°44/2001: Juridiction compétente = celle de l’Etat membre dans lequel le demandeur a son domicile
Application des lois de police Loi I&L : Responsable de traitement résidant en France ou résidant hors UE et qui a recours à des moyens de traitement situés en France (art. 5 Loi I&L)
QUELLE LOI APPLICABLE AU CONTRAT
www.ulys.net - www.droit-technologie.org - © ULYS 2012 22
définition de l’objet et de la durée du contrat,
les clauses de reprise des données, réversibilité (processus, évènements déclencheurs, coût, délai…)
selon le niveau de criticité des données : Effacement, Restitution des supports de stockage , Destruction physique
Prévoir les garanties : définir les cas où la
responsabilité est engagée, le cas de la résiliation
ANTICIPER LA RUPTURE
www.ulys.net - www.droit-technologie.org - © ULYS 2012 23
New Technologies, Privacy & ICTIntellectual PropertyCinema, Media & EntertainmentE-Payment, E-Finance & Internet BankingSport & GamingCommercial Law
ULYS BELGIQUE
224 avenue de la Couronne
1050 Bruxelles
Tel :+ 32 (0)2 340 88 10
Fax :+ 32 (0)2 345 35 80
ULYS FRANCE
33 rue Galilée
75116 Paris
Tel :+ 33 (0)1 40 70 90 11
Fax :+ 33 (0)1 40 70 01 38
ULYS, un Cabinet d’avocats moderne et humain au service de l’innovation !
MERCI POUR VOTRE ATTENTION
DOM
AIN
ES
D’IN
TERV
ENTI
ON
Me JOLY Cathie-Rosalie Avocat Associé Cabinet Ulys
Docteur en droit , thèse sur les paiements en ligneAvocat au barreau de Paris
Avocat communautaire au barreau de Bruxelles (Liste E)Chargée d’enseignement à l’Université Paul Cezanne (Aix Marseille III)
Responsable de l’Atelier Paiement et monnaie électronique de l’ADIJFormateur sur le Cloud Computing (formation Comundi)
SALON MED-IT CASABLANCA 13-15.11.2012