L’hébergement dans le cloud n’est soumis à aucune législation particulière. Les hébergeurs dans le cloud n’ont aucune obligation légale, sauf dans le cas où ils hébergent des données de santé.
Si l’hébergement dans le cloud n’obéit à aucune loi, les sociétés qui utilisent le cloud doivent néanmoins s’ assurer de la localisation physique des contenus qu’elles hébergent dans le cloud.
La loi « Informatique et libertés » oblige cependant à garantir la confidentialité et la sécurité des données à caractère personnel et représente donc certaines contraintes pour les hébergeurs dans le cloud ainsi que pour leurs clients.
La CNIL permet 3 exceptions pour lesquelles le transfert des données en dehors du territoire français ou européen est admis: le « Safe Harbor » ( transfert de ‘l UE vers les USA), les « Binding Corporate Rules (règle spéciale pour les multinationales dont certains sites sont en dehors de l’ Union Européenne) et l’article 69 de la loi « Informatique et libertés » suivant:
« Toutefois, le responsable d’un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l’article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’une des conditions suivantes :
1° A la sauvegarde de la vie de cette personne ;
2° A la sauvegarde de l’intérêt public ;
3° Au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
4° A la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
5° A l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
6° A la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.
Il peut également être fait exception à l’interdiction prévue à l’article 68, par décision de la Commission nationale de l’informatique et des libertés ou, s’il s’agit d’un traitement mentionné au I ou au II de l’article 26, par décret en Conseil d’Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet. »
D’un point de vue pratique, les hébergeurs utilisant le cloud se contentent généralement de décliner toute responsabilité via des clauses d’ exclusion de garantie et de responsabilité. Dans ce cas et en cas de non respect de la loi, ce sont donc les clients et les utilisateurs qui peuvent avoir des problèmes, notamment pour les données comptables et financières. Les règles de l’administration fiscale obligent en effet à tenir à disposition une documentation sur l’architecture des systèmes et des flux de données. Et le droit fiscal français n’autorise pas le dépôt des données comptables. Enfin, les sociétés dont les factures électroniques sont stockées hors de France et dans l’ UE doivent les déclarer.