Denis Lemaire est étudiant dans le cadre du cours DRT 6929-O.

Après le web 2.0 qui a fait et fait encore couler beaucoup d’encre, la nouvelle chimère juridique pourrait bien être le ‘cloud computing’ - l’informatique dans les nuages. Une technologie dont on parle beaucoup mais dont on sait peu de ses enjeux et de ses risques. Le concept, né au début des années 2000, est pourtant un outil usuel de la vie courante, les mails en sont l’exemple probant. Dés lors, pourquoi fait-il peur ? Ne serait-ce pas simplement un phénomène de mode ? 10 ans après son émergence, faisons le point sur le concept.

Avant tout, qu’est ce que le Cloud Computing ? En bref, le concept consiste à confier le traitement de ses données à un tiers qui les traites alors dans le ‘nuage’. Le nuage est quant à lui un ensemble de serveurs répartis sur un ensemble de zones géographiques. Les messageries sont un très bon exemple d’application dans le nuage ; le client confie à un service de messagerie le soin de traiter ses mails. Le service permet ainsi au client de retrouver ses courriers électroniques où qu’ils soient dans le monde. C’est d’ailleurs l’argument de vente privilégié des fournisseurs de ce genre de services ; ne plus avoir à porter son disque dur d’un ordinateur à un autre, tout est dans le nuage, il suffit de s’y connecter. On comprendra donc rapidement que sans un accès internet ; pas de service ! Et là on regrettera d’avoir tout exporté dans le nuage. Les géants des technologies de l’information y voient d’ailleurs l’avenir des systèmes d’exploitation - on citera les avant-gardistes comme JoliCloud et Google Chrome OS. Outre le besoin crucial de connectivité, qu’est ce qui fait donc peur dans le cloud ?

McKenna révèle, dans un récent article, que 75 pourcents des dirigeants d’entreprises sont réticents à l’adoption d’une telle technologie pour des questions de confidentialité et de sécurité. C’est donc la question du piratage et de la cybercriminalité qui fait peur. Ce qui pose problème c’est également le manque de connaissance des experts en sécurité des entreprises ; 73 pourcents d’entres-eux « affirment ne pas bien comprendre les enjeux de sécurité entourant l’infonuagique » (McKenna). Pourtant, dans le même article, le vice-président de Nexio affirme lui-même que les principaux hébergeurs de données (Google, Amazone) sont plus sécurisés que la plus part des entreprises. Et outre ces géants, les entreprises spécialisées en la matière possèdent des centre de données dont la sécurité est irréprochable ; intervention 24 heures sur 24, 7 jours sur 7, back-up multiples, systèmes de cluster fail-over, pare-feux multiples, … Une sécurité bien plus avancée que celle de l’ordinateur de monsieur tout le monde ou que la plus part des PME.

La perte de confidentialité, qui est l’un des problématiques évoquées, s’applique plus particulièrement aux services destinée au grand public. Google Mail s’octroie par exemple un droit de regard sur les mails pour proposer une publicité ciblée – le prix de la gratuité. A l’opposé, les services professionnels payant sont beaucoup moins intrusif avec une place importante au cryptage des données stockées, évitant ainsi toute indiscrétion. Néanmoins, la confidentialité reste un enjeu important et en pratique pas si facilement garantie.

Ces garanties peuvent se matérialiser dans les normes juridiques protégeant le traitement des données ; le contrat (que l’on verra par après), les lois sur la vie privée, les lois sur les droits d’auteurs, et lois sur la concurrence. On notera que la Loi sur les Renseignements Personnels dans le secteur privé du Québec ne s’applique pas forcément ; il n’y a pas de ‘collecte’ à proprement parler. Si l’aspect juridique est là pour nous protéger, il est aussi source de faille ; la plupart des serveurs des gros acteurs du Cloud Computing sont en effet situés sur le territoire des USA (Google Inc, Amazone, Microsoft,…). Ces serveurs sont donc susceptibles d’être consultés par le gouvernement au nom du Patriot Act. Que faire pour se prémunir de ce Patriot Act ? On peut sélectionner des entreprises qui n’ont pas de serveur sur le territoire des USA – une tâche rendue ardue par la spécificité du nuage. On peut également crypter les données qui n’ont pas besoin d’être traitée par le service de Cloud. Pour le reste, il faut faire la part des choses entre les bénéfices du Cloud Computing et le risque amené par le Patriot Act. Une bonne pratique reste de sélectionner les données que l’on est prêt à placer (et à divulguer) dans ces services.

Outre la confidentialité, comment assurer sa sécurité sur un service professionnel ? Le contrat est l’instrument de protection le plus important. La forme du contrat ne doit pas être nécessairement spécifique, les services de Cloud Computing étant grandement assimilables à de l’outsourcing et donc protégeable comme tel. Les points cruciaux sont le Service Level Agreement pour assurer des performances et des disponibilités du service raisonnables. On sera tout aussi minutieux sur la confidentialité et sur la procédure de clôture et de réversibilité du contrat. Et on négociera également du prestataire qu’il reste à jour sur le plan technique et sur le plan sécuritaire en se basant, par exemple, sur des études de benchmarking. Les autres clauses devront être adaptées au type de prestation fournie. Pour du stockage de données, on exigera par exemple des accès restreints à celles-ci et on sera attentif au droit d’auteur.

Que peut-on retenir de la problématique du Cloud ? Il s’agit d’un concept apportant des avantages intéressants tels que la disponibilité en toute heure de ses données. L’approche comporte également ses risques, principalement pour le client lambda qui dispose de moins de moyen de défense. Mais faut-il vraiment parlé d’une problématique du Cloud ? Le concept n’est-il pas simplement une approche marketing dérivée de l’outsourcing comme l’affirme certain spécialiste ? Régler les problèmes de l’outsourcing ne revient-il pas à régler les problèmes du Cloud ?