Dans la ligne de l’ASP et du SaaS(1) le « cloud computing » est une nouvelle forme d’informatique à la demande. Elle suscite de plus en plus l’intérêt des entreprises qui souhaitent externaliser leurs applications, tout particulièrement pour leurs développements web qui exigent d’importantes capacités de calcul ou de stockage. En d’autres termes, le client « achète » de la puissance informatique, comme il le fait déjà pour l’électricité ou le gaz.
D’un point de vue opérationnel, les principaux avantages du cloud computing résident dans la simplicité et la rapidité de la mise en œuvre de la solution. Cela est dû au fait que l’infrastructure du fournisseur est totalement autonome et déconnectée de celle du client, permettant à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). Un autre avantage est celui de la souplesse puisque le cloud computing offre une grande flexibilité, permettant notamment de tester rapidement un prototype ou encore d’assurer un service informatique sur une période de courte durée et plus généralement d’augmenter les puissances de stockage et de calcul à la demande, en fonction du besoin. Enfin, le cloud computing favorise la mobilité des utilisateurs puisque l’accès aux données et aux applications peut se faire à partir de n’importe quel périphérique connecté. Autant d’avantages qui expliquent l’enthousiasme suscité par cette formule. Cependant, il ne faut pas occulter les risques d’un tel projet pour lesquels il existe des solutions juridiques qu’il faut savoir mettre en oeuvre.
Pouvez vous en premier lieu nous expliquer le modèle économique du cloud computing ?
La prestation du fournisseur de cloud computing consiste à fournir une plateforme capable d’accueillir ses applications à un prix qui n’est plus calculé sur l’infrastructure mais sur la consommation effective des ressources (logiciels et services). En effet, les règles de facturation se font en général en fonction de la demande (temps de processeur, espace de stockage, volume des données). Cette approche permet très logiquement d’optimiser les coûts par rapport aux systèmes conventionnels puisqu’on raisonne en coûts d’exploitation. Pour autant, il convient de rester vigilant sur les conditions de la licence qui varient de manière importante d’un fournisseur de cloud computing à l’autre. Certains éditeurs proposent une licence par serveur physique et non par machine virtuelle, laissant ainsi aux entreprises la faculté de déployer leurs applications sur autant de machines virtuelles que nécessaires. D’autres prévoient un paiement à l’utilisation ou à l’utilisateur, même s’ils autorisent le transfert de licence d’une machine virtuelle à l’autre ou encore l’installation des logiciels sur un nombre illimité de machines virtuelles. Dans ce contexte, il importe de bien définir contractuellement l’outil de mesure à prendre en compte pour calculer la consommation de chaque entreprise.
Le cloud computing est donc une forme d’outsourcing. Est-ce qu’il existe des risques juridiques spécifiques au cloud computing ?
Vous avez raison de souligner qu’il s’agit d’une forme d’ « outsourcing ». Les risques sont les mêmes avec pour particularité qu’ils ne sont pas de même importance selon qu’on parle d’outsourcing « classique » et de cloud computing. Prenons l’exemple du risque de discontinuité du service. Il s’agit d’une préoccupation majeure pour les entreprises et donc, une préoccupation de premier plan pour n’importe quel projet informatique. Or, ce risque est d’un point de vue opérationnel plus limité en matière de cloud computing. La mutualisation des serveurs offre une meilleure sécurité que dans un schéma classique d’hébergement. La dématérialisation des serveurs permet de passer dynamiquement sur une machine physique plus puissante ou de faciliter la transférabilité vers un autre prestataire ou la réversibilité en interne. De même, la mutualisation des plates-formes devrait a priori faciliter la montée en charge et la disponibilité et donc réduire le risque de discontinuité. Pour autant, il ne faut pas occulter le risque qui est bien réel, d’autant que les solutions juridiques sont très simples à définir. En effet, pour remédier aux risques d’interruption ou de dégradation, il suffit par exemple de prévoir la réplication sans délai sur plusieurs sites distants ou encore l’engagement de restauration des données dans des délais contractuels à définir.
Ces solutions contractuelles sont-elles différentes de celles que vous proposeriez pour un contrat d’outsourcing classique ?
Dans les grandes lignes, non. La garantie de continuité passe par un dispositif de même type pour tous les contrats informatiques : un encadrement renforcé en périodes de bascule (du service existant à la nouvelle solution mais également en cas de réversibilité ou de transférabilité) et, en phase d’exploitation, des niveaux de service, sanctionnés par des malus ou des pénalités, avec bien entendu une définition précise des indicateurs de qualité. Cela inclut bien sûr la définition des conditions d’intervention du fournisseur en déroulant précisément les étapes : appel, délai de réponse, délai d’intervention et délai de remise en ordre de marche opérationnel…. Ces garanties peuvent bien sûr varier selon la criticité des applicatifs ou des horaires ouvrables de l’entreprise. A titre complémentaire, il est utile de s’assurer que les dysfonctionnements donneront lieu à des diagnostics documentés (cause du dysfonctionnement tout particulièrement). Cependant, comme nous sommes sur un concept innovant, la question de la pérennité de la solution et du prestataire est à traiter en parallèle car c’est également un risque de discontinuité. Sur ce point, la meilleure protection réside dans l’organisation contractuelle des modalités de réversibilité et de transférabilité, et plus particulièrement sur les facteurs déclencheurs.
Qu’en est-il de la sécurité et de la confidentialité des données ?
Sur ce terrain, il convient d’évaluer le niveau de criticité des données concernées. Curieusement, alors que la mutualisation des serveurs offre, comme je vous l’indiquais précédemment, une meilleure sécurité sur un plan opérationnel, pour la continuité du service, elle constitue, avec la délocalisation des serveurs, un facteur d’aggravation du risque de violation de la confidentialité. Il convient donc a minima de prévoir que le fournisseur de cloud computing accepte de se soumettre aux procédures d’audit externe, voir de produire les certifications de sécurité nécessaires ou exigées dans certains secteurs.
Il convient cependant d’être particulièrement vigilant en présence de données à caractère personnel. Elles sont, comme vous le savez, encadrées par la loi informatique et libertés. Or, leur traitement, dans un environnement virtuel où la localisation des serveurs n’est pas nécessairement connue, peut conduire à des infractions engageant la responsabilité de l’entreprise. En effet, le transfert des données à caractère personnel en dehors des frontières de l’Union européenne, est soumis à certaines formalités et à un contrôle sévère de la Commission nationale informatique et libertés (Cnil). Il conviendrait donc, dans ce cas, d’exiger que les serveurs soient exclusivement localisés au sein de l’Union européenne et de prévoir les moyens de contrôle de cette obligation.
Compte tenu de ce qui précède, faut-il déconseiller le recours au Cloud computing ?
Bien sûr que non. En revanche, il est sans doute préférable pour l’instant de limiter cette utilisation aux applications les moins sensibles de l’entreprise, en particulier en présence de données à caractère personnel, pour les raisons précédemment exposées. Mais je donnerai le même conseil pour une opération d’outsourcing classique à destination de certains pays.
Par ailleurs, il faut vérifier, pour certains métiers, les exigences de la loi et, sans être catégorique, il me semble que dans certains cas, le cloud computing ne permet pas de répondre à ces contraintes. Prenons le cas des hébergeurs de données de santé qui sont tenus à des obligations de sécurité précises qui sont définies, notamment par le Code de la santé publique, ou encore les établissements de crédit qui sont assujettis à des garanties spécifiques de sécurité. Il convient donc de vérifier que les obligations légales spécifiques peuvent être respectées dans l’environnement du cloud computing et, dans l’affirmative, de veiller à leur bonne exécution par le fournisseur de cloud computing. Voici encore un élément à bien encadrer contractuellement.
(1) Software as a service