Le Cloud est non seulement une prestation de service mais aussi une fourniture matérielle.
Malgré le marketing qui a baptisé le cloud (auparavant parfois dénommé ASP dans sa partie SaaS cf Que signifient IaaS, PaaS, Saas, XaaS du cloud ?) , les techniques et services du cloud ne sont pas nouveaux et dépendent au niveau légal en grande partie du droit des contrats, de directives communautaires et de la loi Informatique et Libertés.
Que le prestataire gère directement l’hébergement et le service ou passe par des sous-traitants, le schéma « légal » de responsabilité reste classique.
Au niveau légal, le prestataire doit donc tout d’abord respecter la loi Informatique et Libertés et la LCEN (Loi pour la confiance dans l’économie numérique) en ce qui concerne les traitements des données à caractère personnel et selon la manière dont sont stockées, gardées, hébergées les données.
Dans le cas le plus simple, le prestataire est une société uniquement de droit français et l’hébergement, les serveurs, les personnels sont en France.
Dans ce cas, tout est donc garanti pour le client sauf en cas de force majeure.
Souvent ce cas de force majeure est invoqué à tort car la loi exige pour qu’il y ait Force Majeure, que le fait ayant tout cassé soit imprévisible et irrésistible. les 2 conditions sont nécessaires. Il en résulte qu’une coupure de courant n’est pas un cas de Force Majeure.
Le problème principal de la responsabilité juridique et de la loi en matière de Cloud, c’est que dans l’immense majorité des cas, on se trouve dans un système où personne (surtout pas le client) ne sait vraiment qui est le prestataire, où est l’hébergement, où sont les serveurs, et qui en répond.
Tout le monde connait à présent plus ou moins le problème à cause des données volées sur iCloud (Qui sont les stars dont les selfies et photos intimes ont été volées et exposées sur Uchan ?) mais personne ne sait, parmi les clients d’Apple où sont stockées les données « personnelles » confiées à Apple.
Les grosses sociétés utilisent parfois la nébuleuse des hébergement pour échapper à la loi ou la contrer et quelques cas révèlent la difficulté à attacher « Cloud » et « loi ».
Ainsi en est-il du cas « Microsoft », qui face à une demande de policiers fédéraux américains à propos d’une boîte mail, a opposé le fait que les données que ces derniers voulaient voir étaient stockées en Irlande.
A ceci, un juge américain a répondu que le Stored Communication Act forçait l’entreprise, en l’occurrence Microsoft, à s’exécuter.(cf http://www.documentcloud.org/documents/1149373-in-re-matter-of-warrant.html).
Le Stored Communication Act permet aux autorités l’accès à ce qu’elles cherchent sans nécessairement le consentement du propriétaire de la chose et il n’inclut aucune notion de territoire.
Le Stored Communication Act est semblable dans son esprit à l’article 2276 du Code Civil français qui énonce « qu’en fait de meubles, possession vaut titre ». Mais le problème est qu’en matière de communications électronique, on n’est pas dans la « chose » (le « meuble »), le matériel.
Malgré toute la puissance de Microsoft et l’argument de poids concernant l’aspect territorial, Microsoft a perdu cette affaire une première fois et ensuite en appel, avec alors un jugement qui énonça que l’important n’était pas la localisation des données mais QUI pouvait les contrôler.
Cet aspect des choses est essentiel en ce qui concerne la loi régissant le Cloud : se déroule une bataille vitale entre différentes façons de voir le droit, le rôle exact de la territorialité et la domination acceptée ou pas de la loi américaine sur le reste du monde vu que la plupart des fournisseurs de solutions de Cloud sont à la base américains.
Si l’on a affaire à un premier prestataire français, qui sous-traite derrière à une grosse société américaine ou autre, le respect de la loi Informatique et Libertés sur le transfert des données privées s’impose.
Le transfert des données en dehors du territoire français ou européen est permis dans le cadre de 3 autres « lois »: le « Safe Harbor » (transfert de ‘l UE vers les USA), les « Binding Corporate Rules (règle spéciale pour les multinationales dont certains sites sont en dehors de l’ Union Européenne) , l’article 69 de la loi « Informatique et libertés » .
A ce sujet, l’article 69 de la loi « Informatique et Libertés » énonce que le responsable d’un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l’article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’une des conditions suivantes :
1° A la sauvegarde de la vie de cette personne ;
2° A la sauvegarde de l’intérêt public ;
3° Au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
4° A la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
5° A l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
6° A la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.
Il peut également être fait exception à l’interdiction prévue à l’article 68, par décision de la Commission nationale de l’informatique et des libertés ou, s’il s’agit d’un traitement mentionné au I ou au II de l’article 26, par décret en Conseil d’Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.
Bien qu’il y ait ce cadre législatif, les fournisseurs et intervenants de « cloud » ne respectent que rarement la loi et tentent d’y échapper en truffant leurs contrats de clauses d’exclusion de garantie et de responsabilité sur leur rôle.
Dans certains cas, d’autres règles s’ajoutent, comme par exemple quand il s’agit de données comptables, cas où le fisc français n’autorise pas le dépôt de données comptables et financières en dehors des frontières de l’Union Européenne ou demande aux entreprises dont les factures électroniques sont stockées en dehors de la France mais dans l’UE d’en faire la déclaration.
Dans bien des cas, par un retour de bâton dont seule la loi a le secret, c’est le client qui sera coupable et portera la responsabilité des manquements à la loi du prestataire.