P. 1
Cloud Computing

Cloud Computing

|Views: 245|Likes:
Published by Sebastien Fanti
introduction aux questions légales relatives au cloud computing
introduction aux questions légales relatives au cloud computing

More info:

Categories:Types, Business/Law
Published by: Sebastien Fanti on Jun 21, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPTX, PDF, TXT or read online from Scribd
See more
See less

11/15/2012

pdf

text

original

http://www.linkedin.

com/company/lexing
Au 21ème siècle, être assisté d’un avocat qui ne maîtrise pas les technologies avancées équivaut à se priver d’un savoir qui permet de limiter les risques et d’accroître les chances de succès.

|

Réseau mondial des avocats spécialisés en droit des technologies avancées

CRISSIER, VENDREDI 1ER JUIN 2012

Enjeux et Sécurité du Cloud Computing

| |

Allemagne | Belgique | Italie | Liban | Maroc

Canada | Espagne | | Norvège | Suisse

Etats-Unis

|

France

|

Israël

cloud computing

PLAN DE L’EXPOSE :
1. 2. 3. 4. Prolégomènes Définitions Cadre juridique Conclusions

PAGE 03

|

Suisse

|

Me Sébastien Fanti

|

sebastien.fanti@sebastienfanti.ch

cloud computing

PROLEGOMENES:
• Le 29 février 2012 à 1h45 (GMT), la plate-forme de cloud services Windows Azure tombe sur 4 de ses 6 plaques mondiales pendant une durée oscillant entre 12h et 48h. Cette interruption de services a son origine dans un bogue logiciel générant une erreur de calcul de dates sur les années bissextiles ; à la décharge de Microsoft, Azure ouvert en 2010 n’a pas connu d’autre année bissextile que 2012. Cette panne a laissé sur le carreau plusieurs sites clés, dont la fameuse place de marché du gouvernement britannique, le Cloudstore.
Le 7 mars 2012 vers 5h (GMT), le service Facebook tombe en panne plus de 3 heures sur les plaques Europe, Afrique et Moyen-Orient. Principale cause avancée, celle de la défaillance des serveurs DNS européens de Facebook entraînant l’inaccessibilité du site. Pointés du doigt, les Anonymous ont démenti être mêlés à cet incident. En tout état de cause, le communiqué officiel de Facebook ne laisse filtrer aucune explication. Rappelons-nous que Facebook avait déjà rencontré un problème de configuration BGP en août 2010. Source: solucom INSIGHT, 13.3.2012
Suisse | Me Sébastien Fanti |

PAGE 04

|

sebastien.fanti@sebastienfanti.ch

cloud computing

PROLEGOMENES:
Ces incidents ne sont pas isolés: - Incidents de Google (trois en 2009, celui de 05/2010, puis de 02/2011 et de 09/2011), - Incidents d’Amazon et de son service EC2 (12/2010, 04/2011, 08/2011), - Incidents du précurseur Salesforce.com (02/2008, 01/2009, 01/2010), etc. Ils ne doivent pas occulter les avantages procurés: • Service à la demande (élasticité et célérité); • Accès ubiquitaire au réseau; • Agrégation des ressources indépendamment du lieu de connexion; • Paiement à la carte selon la consommation = réduction des coûts; • Augmentation de la capacité de calcul; etc.
| Suisse | Me Sébastien Fanti |
PAGE 05

sebastien.fanti@sebastienfanti.ch

cloud computing

PROLEGOMENES:
Le mandataire prendra toutes les mesures organisationnelles et techniques appropriées pour éviter tout traitement non autorisé des données personnelles en application de l’article 7 de la loi fédérale sur la protection des données. Le fichier constitué par les données clients fait l'objet d'une déclaration au Préposé fédéral à la protection des données et à la transparence (numéro de registre 201200002). Le mandant est toutefois informé du fait que le mandataire ne peut garantir que les données le concernant ne soient pas communiquées à l’étranger dans un pays ne bénéficiant pas d’une législation assurant un niveau de protection adéquat. Cela est notamment dû intrinsèquement à la communication par courriel, au stockage dans les nuages (cloud computing), ainsi qu’aux logiciels de bureautique les plus courants, étant précisé que le mandataire n’est lui-même régulièrement pas informé de cette communication transfrontière de données par les différents prestataires. Le mandant consent à cette communication transfrontière de données le concernant (art. 6 al. 2 let. b LPD). Si tel ne devait pas être le cas, il sollicite immédiatement du mandataire la prise de mesures de protection spécifiques et déclare formellement en assumer le coût supplémentaire.
| Suisse | Me Sébastien Fanti |

PAGE 06

sebastien.fanti@sebastienfanti.ch

cloud computing

DEFINITIONS :
Définition du National Institute of Standards and Technology (NIST) : « Le Cloud Computing est un modèle pour permettre l’accès aisé et à la demande à un ensemble de ressources de calculs configurables qui peuvent être rapidement provisionnées et mises à disposition avec un effort d’administration ou des interactions avec le fournisseur de services minimes ». Éléments techniques: • Plusieurs serveurs distants interconnectés ; • • • Bande passante réseau très importante (fluidité) ; Gestion des interfaces en mode Web ; Utilisation du navigateur Web.

PAGE 07

|

Suisse

|

Me Sébastien Fanti

|

sebastien.fanti@sebastienfanti.ch

cloud computing

DEFINITIONS :
Modèles de déploiement: - Clouds privés: a) Réseau interne à une seule entité ; b) Transformation du datacenter interne en un nuage grâce à des technologies comme la virtualisation et l’automatisation ; - Clouds communautaires: plusieurs organisations utilisent la même infrastructure;

- Clouds publics: infrastructure définie et gérée par le prestataire, hic: localisation; ex: Evernote
- Clouds hybrides: utilisation coinjointe d’un nuage public et privé.
PAGE 08

|

Suisse

|

Me Sébastien Fanti

|

sebastien.fanti@sebastienfanti.ch

cloud computing

DEFINITIONS :
Géré par le client

Saas
Applications Logiciels exécutables Sécurité et intégration

Paas
Applications Logiciels exécutables Sécurité et intégration
Bases de données

Laas
Applications Logiciels exécutables Sécurité et intégration
Bases de données

Géré par le client

Géré par le prestataire

Bases de données

Géré par le prestataire

Serveurs Virtualisation
Serveur hardware

Serveurs Virtualisation
Serveur hardware

Serveurs

Géré par le prestataire

Virtualisation
Serveur hardware

hébergement Réseau

hébergement Réseau

hébergement Réseau

PAGE 09

|

Suisse

|

Me Sébastien Fanti

|

sebastien.fanti@sebastienfanti.ch

cloud computing

DEFINITIONS : fournisseurs

et

clients

HP, Cap Gemini, Amazon, Google, IB M, SAP, Intel, Cisco, Oracle, Orange Business Services, Red Hat, Osiatis, Gosis SA, Microsoft, Salesforce, Outscale, Apple, Yahoo!, Foliocloud, Dell, Centix, Quadria, OVH, LexisNexis, SFR, CA Technologies, Sony, Magirus, Huawei, Wyse, Netapp …

PAGE 010

|

Suisse

|

Me Sébastien Fanti

|

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Perte de contrôle sur les données: principalement lorsque l’on a recours à des nuages publics; sous-traitance? protection adéquate? L’utilisateur du nuage ne peut plus dans ces conditions assumer totalement ou partiellement ses obligations en matière de protection des données, soit:
a) Garantir la sécurité des données;

b) Accorder un droit d’accès;
c) Corriger ou effacer des données - Manque de séparation et d’isolation des données: les données d’utilisateurs n’ayant aucun lien entre eux sont traitées dans le même nuage et par le même système (architecture partagée). Cela génère le risque qu’une attaque contre un utilisateur affecte les autres (hacking, vol de données, déni de service…). Le compartimentage est essentiel.
| Suisse | Me Sébastien Fanti |

PAGE 011

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Violation des normes légales et réglementaires: la dissémination des données peut engendrer des problèmes en matière de protection et de sécurité des données, mais également s’agissant du respect d’autres obligations légales telles que :
a) conservation des données et des preuves b) Sauvegarde du secret, etc. C’est l’entreprise ou l’autorité qui a recours à de tels services qui répond principalement des règles en matière de protection des données et non le prestataire qui enregistre et traite les données dans un cloud.

- Accès d’autorités étrangères aux données: les données sont souvent enregistrées ou traitées dans des pays qui ne leur assurent pas une protection suffisante. Les prestataires de services peuvent se voir ordonner par des autorités ou des tribunaux étrangers de donner accès à ces informations même si ces données ne sont pas traitées dans le pays en question, ex: patriot act, etc.
| Suisse | Me Sébastien Fanti |

PAGE 012

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Dépendance : vis-à-vis du prestataire notamment en raison:
• De la faible portabilité et de la faible interopérabilité des services en nuage (rapatriement ou migration des données complexe et onéreuse); • Des clauses contractuelles souvent très favorables aux prestataires (propriété intellectuelle, for et droit applicable, engagements limités):
Sécurité des informations personnelles Microsoft s’engage à protéger la sécurité de vos informations. Nous mettons en place des techniques et des mesures organisationnelles en vue d'assurer la sécurité du Service. Ce dispositif comprend diverses technologies et procédures de sécurité destinées à vous aider à protéger vos informations contre tout accès, utilisation ou divulgation non autorisés. Par exemple, nous stockons vos informations personnelles sur des systèmes informatiques dont l'accès est limité et qui se trouvent dans des salles contrôlées. Certaines données personnelles peuvent avoir un caractère particulièrement confidentiel pour vous ou votre organisation, et partant exiger un niveau de sécurité que nous n'assurons pas. Il vous appartient, à vous ou à votre organisation, de déterminer si notre sécurité répond à vos besoins. Source : http://www.microsoft.com/online/legal/?langid=fr-fr&docid=1
| Suisse | Me Sébastien Fanti |

PAGE 013

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Dépendance : vis-à-vis du prestataire notamment en raison:
• Des clauses contractuelles souvent très favorables aux prestataires (propriété intellectuelle, for et droit applicable, engagements limités):
« mettre en œuvre toutes diligences commercialement raisonnables » - « des périodes d’indisponibilité programmées …que nous planifierons autant que possible pendant les heures de week-end »

-

« IBM NE GARANTIT PAS LE FONCTIONNEMENT ININTERROMPU OU SANS ERREUR DES SERVICES, DES COMPOSANTS DE SERVICE, DES LOGICIELS TIERS OU DU LOGICIEL D'ACTIVATION, NI QU'IBM POURRA EMPÊCHER LES PERTURBATIONS DES SERVICES PAR DES TIERS OU QU'ELLE CORRIGERA TOUS LES DÉFAUTS. » (source : Z1258499-09_SmartCloud_Agreement_International_05Dec2011_(sign)_France FR.doc)

Préférer des niveaux de services garantissant 99.5 à 99.99 de bout en bout…

PAGE 014

|

Suisse

|

Me Sébastien Fanti

|

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Dépendance : vis-à-vis du prestataire notamment en raison:
• Des clauses contractuelles souvent très favorables aux prestataires (propriété intellectuelle, for et droit applicable, engagements limités):
« Vous n’êtes pas autorisé à accéder aux Services si Vous êtes Notre concurrent direct, sauf avec Notre consentement préalable. De plus, Vous n’êtes pas autorisé à accéder aux Services aux fins de suivre leur disponibilité, leurs performances ou leurs fonctionnalités, ni à toute autre fin comparative ou concurrentielle » Source : http://www.salesforce.com/fr/company/msa.jsp

Cela équivaut à une interdiction de benchmarker! Vos obligations es qualité de client: - Usage des services - Données et licéité du contenu - Paiement sinon suspension…
| Suisse | Me Sébastien Fanti |

PAGE 015

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Dépendance : vis-à-vis du prestataire notamment en raison:
• Des clauses contractuelles souvent très favorables aux prestataires (propriété intellectuelle, for et droit applicable, engagements limités): Les obligations des fournisseurs sont souvent obscures:

• un “labyrinthe documentaire” ...et des formules comme :
• “We may change, discontinue, or depreciate…from time to time…” • “(We) may make commercially reasonable changes from the Services from time

to time…”

Il s’agit d’obligations de moyens de type: “(We) use commercially reasonable efforts to make the purchased services available 24 hours a day…”.
| Suisse | Me Sébastien Fanti |

PAGE 016

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Dépendance :
• Limitation de responsabilité : IBM SmartCloud (France):
12.1 Cas dans lesquels la responsabilité d’IBM peut être engagée Des circonstances peuvent survenir où, en raison d’une défaillance du fait d’IBM, le Client a droit à recouvrer des dommages d’IBM. L'entière responsabilité d'IBM pour tous dommages et pertes pouvant apparaître comme une conséquence de l'inexécution de ses obligations ou autres responsabilités d'IBM en vertu ou en relation avec le présent Contrat ou pour toute autre cause liée au présent Contrat ; quelle que soit la cause , la forme ou l'objet de l'action en responsabilité contractuelle ou quasi-délictuelle, IBM ne sera responsable qu'à concurrence des seuls dommages et pertes réels et prouvés qui sont la conséquence immédiate et directe d'un manquement à

ses obligations ou d'une exécution fautive de celles-ci, tous faits générateurs confondus, dans la limite du plus
élevé des deux montants suivants : 500 000 euros, ou les charges (si récurrents, 3 mois s'appliquent) que vous avez payées pour le service qui a causé les dommages. La limite ci-dessus ne s'applique pas aux dommages corporels (incluant le décès) et dommages aux biens mobiliers et immobiliers, pour lesquels IBM est légalement responsable.
| Suisse | Me Sébastien Fanti |
PAGE 017

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs à l’informatique dans les nuages :

- Dépendance :
• Limitation de responsabilité : IBM SmartCloud (France):
12.2 Cas dans lesquels la responsabilité d’IBM ne peut être engagée La responsabilité d’IBM ne pourra être engagée en cas : a. de perte de bénéfices, même si celle-ci est la conséquence immédiate de l’événement à l’origine des dommages ; b. de dommages indirects, même s’il était possible de les prévoir ou qu’IBM ait eu connaissance de leur possible survenance ; c. de perte ou de détérioration de Contenu, et

d. de perte d'activité commerciale, de revenu, de clientèle (y compris l’atteinte à la réputation et à l’image de
marque) ou d’économies escomptées «

• Absence de règlement alternatif des différends (médiation et arbitrage).
PAGE 018

|

Suisse

|

Me Sébastien Fanti

|

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici une grille d’analyse des problématiques à résoudre:

PAGE 019

|

Suisse

|

Me Sébastien Fanti

|

sebastien.fanti@sebastienfanti.ch

cloud computing

CONCLUSIONS ET CONSEILS:
S’assurer que les données sont stockées et traitées exclusivement en Suisse par des sociétés ayant leur siège en Suisse; Négocier les contrats avec le fournisseur de services en vue de rétablir le déséquilibre entre les parties; Porter attention à des points essentiels: For, droit applicable, confidentialité, localisation des données, niveaux de service, pénalités et responsabilités et réversibilité (tests). Tester régulièrement les services; Négocier la fin des rapports contractuels (PV de restitution et certificat de suppression); Conclure une assurance de perte d’exploitation; Solliciter du Préposé compétent un contrôle de conformité; Établir une charte interne…
Suisse | Me Sébastien Fanti |

-

|

PAGE 020

sebastien.fanti@sebastienfanti.ch

Allemagne
Buse Heberer Fromm Rechtsanwälte Bernd Reinmüller, Tim Caesar et Stephan Menzemer Neue Mainzer Strasse 28 60311 Frankfurt Am Main T. 0049 699 71 09 71 00 F. 0049 699 71 09 72 00 reinmueller@buse.de www.buse.de

Belgique
elegis Jean-François Henrotte jf.henrotte@avocat.be http://lexing.elegis.be Liège Place des Nations-Unies, 7 4020 Liège T. 0032 43 42 30 50 F. 0032 70 22 52 22 Bruxelles Boulevard de la Woluwe, 60 1200 Bruxelles T. 0032 22 40 15 20 F. 0032 70 22 52 22

Canada
Langlois, Kronström, Desjardins Richard Ramsay et Jean-François De Rico jean-francois.derico@lkd.ca www.langloiskronstromdesjardins.com Montréal 1002, rue Sherbrooke Ouest, 28e étage H3A3L6 Montréal T. 0015 148 42 95 12 F. 0015 148 45 65 73 Québec 801, Grande Allée Ouest, Bureau 300 G1S1C1 Québec T. 0014 186 50 70 00 F. 0014 186 50 70 75

Espagne
Alliant Abogados Asociados SLP Marc Gallardo Gran Via Corts Catalanes 702 08010 Barcelone T. 0034 93 265 58 42 F. 0034 93 265 52 90 marc.gallardo@alliantabogados.com www.alliantabogados.com

Etats-unis
IT Law Group Françoise Gilbert 555 Bryant Street #603 Palo Alto, CA 94301 T. 0016 508 04 12 35 F. 0016 507 35 18 01 fgilbert@itlawgroup.com www.itlawgroup.com

France
Alain Bensoussan, Isabelle Tellier et Frédéric Fortster www.alain-bensoussan.com Paris 29, rue du Colonel Pierre Avia F75508 Paris cedex 15 T. 0033 141 33 35 35 F. 0033 141 33 35 36 paris@alain-bensoussan.com Grenoble 7, place Firmin Gautier F38000 Grenoble T. 0033 476 70 09 95 F. 0033 476 70 09 96 grenoble@alain-bensoussan.com

Israël
Livnat, Mayer & Co Russelle D. Mayer Jérusalem Technology Park, Building 9, 4th Floor P.O. Box 48193 Malcha 91481 Jérusalem T. 0097 226 79 95 33 F. 0097 226 79 95 22 mayer@lmf.co.il www.livmaylaw.co.il

Italie
Studio Legale Zallone Raffaele Zallone 31 Via Dell’Annunciata 20121 Milano T. 0039 229 01 35 83 F. 0039 229 01 03 04 r.zallone@studiozallone.it www.studiovallone.it

Maroc
Bassamat & Associée Fassi-Fihri Bassamat 30 rue Mohamed Ben Brahim Al Mourrakouchi 20000 Casablanca T. 00212 522 26 68 03 F. 00212 522 26 68 07 contact@cabinetbassamat.com www.cabinetbassamat.com

Mexique
Langlet, Carpio y Asociados Enrique Ochoa Torre Axis Santa Fe Prolongación Paseo de la Reforma # 61, PB-B1 Col. Paseo de las Lomas 01330 Mxico, D.F. T. 0052 55 25 91 10 70 F. 0052 55 25 91 10 40 eochoa@lclaw.com.mx www.lclaw.com.mx

Norvège
Føyen Advøkatfirma DA Arve Føyen Postboks 7086 St. Olavs pl. 0130 Oslo T. 0047 21 93 10 00 F. 0047 21 93 10 01 arve.foyen@foyen.no www.foyen.no

Royaume-Uni
Preiskel & Co LLP Danny Preiskel 5 Fleet Place London EC4M 7RD T. 0044 20 7332 5640 F. 0044 20 7332 5641 dpreiskel@preiskel.com www.preiskel.com

Suisse
Sébastien Fanti Avocat & Notaire 8B rue de Pré-Fleuri, CP 497 1951 Sion T. 0041 27 322 15 15 F. 0041 27 322 15 70 sebastien.fanti@sebastienfanti.ch www.sebastienfanti.ch

| Réseau mondial des avocats spécialisés en droit des technologies avancées

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->