Écrit par Guillaume Seligmann - Les Echos du 13/7/2011
Le lien
Le
cloud computing, l'informatique en
nuage, est notre nouvel horizon technologique, comme l'ont été avant lui la vapeur, l'électricité et l'électronique. Cette technologie nouvelle inaugure, pour le particulier comme pour l'entreprise, la possibilité d'utiliser des outils informatiques sous la forme de services (sans avoir à investir dans une infrastructure), et d'accéder à la demande à des capacités de traitement et de stockage de l'information quasi illimitées.
Mais cette révolution technologique exige en retour la maîtrise des risques liés à son adoption, en termes de sécurité et confidentialité des traitements et des données, mais aussi en termes de dépendance de l'utilisateur vis-à-vis des opérateurs de tels services. La relation entre le client et le prestataire de services de
cloud computing est, de fait, très asymétrique : à l'un, le risque d'être coupé de son outil informatique, le risque de perdre des données précieuses pour son activité, de voir des tiers y avoir accès sans autorisation, de ne pouvoir les récupérer à loisir ; à l'autre, le pouvoir de celui qui offre ses services à des milliers (des millions) d'utilisateurs, le contrôle quasi exclusif des éléments de preuve, la limitation contractuelle de sa responsabilité. En théorie, la négociation du contrat doit compenser ces failles par des garanties conventionnelles. En pratique, la question ne se pose guère pour les consommateurs et les PME, qui en sont le plus souvent réduits à accepter sans aucune négociation (et parfois sans le lire) le contrat proposé par le prestataire.
Dans tous les cas, les délais et les coûts d'une approche judiciaire en cas de problème rendent presque illusoire de se fonder sur la seule force du contrat. Dès lors, soumettre les contrats de
cloud computing à la seule liberté contractuelle des parties - autre manière d'appeler la raison du plus fort dans une relation aussi asymétrique -constitue une hypothèque sur le développement de cette technologie.
C'est pourquoi la liberté contractuelle en matière de
cloud computing - dont la préservation est évidemment essentielle en termes commerciaux comme en termes d'innovation -doit être encadrée par un ensemble normatif adapté, dont les traits essentiels pourraient être les suivants :
1. Obligation de transparence.
L'utilisateur du service doit être en mesure de connaître, dès le stade de l'offre, les engagements du prestataire en matière de disponibilité, de sécurité, de confidentialité et d'intégrité des données et traitements qui lui sont confiés.
2. Obligation de signaler les incidents affectant la disponibilité des systèmes ou l'intégrité des données de l'utilisateur.
Ce dernier doit pouvoir identifier les données et opérations affectées, de manière à prendre les mesures qui s'imposent.
3. Obligation de restitution des données.
L'utilisateur doit avoir la garantie de pouvoir récupérer ses données à tout moment et dans un format ouvert (interopérable).
4. Obligation de contrôle par un tiers.
Les obligations légales auxquelles l'utilisateur est lui-même soumis mais aussi la confiance de tiers dans les traitements opérés dans le nuage exigent le contrôle, par un tiers indépendant, des conditions de fourniture du service.
5. Compétence du juge de l'utilisateur.
La faculté pour l'utilisateur de services de
cloud computing de porter le litige devant son juge national et la faculté pour ce juge d'ordonner des mesures efficaces sont requis pour rééquilibrer la relation contractuelle.
Idéalement, cet ensemble normatif devrait être mis en place à l'échelle européenne. Il recevrait de ce seul fait une force incitative globale, ne serait-ce qu'en raison de la masse critique des acteurs (et notamment des grands utilisateurs) installés en Europe. L'exemple de la législation sur la protection des données personnelles, qui conduit nombre de pays du monde à aligner progressivement leur législation sur celles des pays européens, est à cet égard éloquent.
Ce n'est qu'au prix du caractère contraignant de l'ensemble normatif que nous appelons de nos vœux, et - puisqu'il n'est pas de droit sans juge -de la possibilité d'un recours effectif de l'utilisateur devant sa juridiction naturelle (locale), que le
cloud computing tiendra toutes ses promesses.