L’affaire Prism et ses émules (Bullrun, Xkeystore) ont remis en question la sécurité du cloud computing, cette nouvelle technologie permettant de stocker ses données en ligne. Méfiantes, les entreprises deviennent plus regardantes sur les dispositifs de protection offerts par les hébergeurs. Petit point sur les recours possibles en France, où les prestataires sont plus réglementés qu’à l’étranger.
La NSA, l’agence nationale de sécurité américaine et plusieurs agences de renseignement ont pratiqué depuis 2007 la collecte de données confidentielles à l’échelle mondiale, et ce au nez et à la barbe des entreprises pour lesquelles l’information a une valeur stratégique. Ces affaires ont fait souffler un nouveau vent de méfiance parmi les dirigeants alors qu’il avait fallu un certain temps pour faire accepter le cloud computing.
Le scandale Prism peut favoriser la résistance au changement. Cela risque, à court terme, de pénaliser l’ensemble de la profession », déplore Philippe Tavernier, le président de Numergy. Aujourd’hui, les entreprises s’organisent et cherchent, outre les moyens techniques garantissant la protection de leurs données, les recours juridiques possibles afin de faire face à un éventuel conflit avec les hébergeurs.
Dans le cas du cloud computing, les données en question sont en effet physiquement « hébergées » dans ce qu’on appelle des data centers ou centres de données. En les externalisant, les entreprises doivent renoncer à une part de leur souveraineté et compte de fait sur leurs prestataires pour garantir un hébergement totalement hermétique.
Les opérateurs de « cloud » à la française ont une carte à jouer dans cette affaire, car elles se positionnent depuis le début sur une offre transparente et sûre. Mais dans un contexte d’anxiété aussi prononcé, les entreprises ne vont pas se contenter de la promesse de dispositifs techniques de protection (via notamment le cryptage des données). Elles se soucient aussi de ce qu’a prévu la loi. Là encore, les prestataires implantés en France ont un avantage sur ceux implantés à l’étranger.
En France, « les hébergeurs ont des obligations en matière de protection des données personnelles notamment une obligation d’identification, de conservation des données de connexion et d’intervention en cas de signalement d’un contenu illicite, de stockage des données transmises et de sécurité des données », explique Xavier Pican, Associé IP/IT du cabinet d’avocats d’affaires Lefèvre Pelletier et Associés interrogé par Completel, 3e opérateur national de télécommunications B2B offrant des services de Cloud Computing sur mesure à ses clients.
Les hébergeurs peuvent être poursuivis su le plan civil, pénal et contractuel. Sur le plan civil, leur responsabilité est engagée dans le cas où, dans la connaissance du caractère illicite des contenus hébergés, ils auraient tardé pour les retirer. Le législateur condamne pénalement un hébergeur s’il n’a pas pris toutes les mesures nécessaires à la préservation de la sécurité des informations et à leur non-communication à un tiers. Enfin, une entreprise peut attaquer un hébergeur s’il ne respecte pas les clauses d’intégrité, de sécurité et de confidentialité que les entreprises doivent veiller à faire figurer au départ sur le contrat.
Les data-centers implantés à l’étranger demandent la mise en place de dispositifs particulièrement contraignants que les prestataires de cloud ne sont pas tous prêts à mettre en place. Si une entreprise choisit malgré tout de faire héberger ses données dans un pays n’assurant pas le niveau de protection requis, c’est à ses risques et périls. Non seulement l’intégrité et la confidentialité de ses données ne sont pas garanties, mais encore, elle ne pourra attenter aucun recours contre l’hébergeur.
Il convient donc d’être particulièrement vigilant au moment de choisir son hébergeur, mais aussi lors de la rédaction du contrat qui doit contenir tous les dispositifs nécessaires à la sécurité et l’intégrité des données. La moindre négligence peut coûter cher.
