Avant de recourir au cloud computing, il est important de rappeler qu’en choisissant d’externaliser ses ressources informatiques, et selon le degré d’autonomie du prestataire de services, l’entreprise procède à la sous-traitance d’un traitement de données personnelles au sens de la loi modifiée du 2 août 2002 concernant la protection des personnes à l’égard du traitement de leurs données à caractère personnel (loi de 2002).
L’entreprise devra assumer les conséquences légales, judiciaires, voire financières.
Marie Behle Pondji, Avocat à la Cour (Castegnaro - Ius Laboris Luxembourg )
Or, les implications d’une telle opération sont loin d’être négligeables sur le plan juridique. En effet, quel que soit le type de services de cloud computing choisi (IaaS, PaaS, SaaS), qu’il s’agisse d’un cloud public ou privé, en cas de perte, vol, destruction accidentelle ou intentionnelle des données, l’entreprise, en sa qualité de responsable du traitement, devra en assumer les conséquences légales, judiciaires, voire financières.
Pour rappel, en cas de manquement à la législation sur la protection des données personnelles, les entreprises peuvent être condamnées à indemniser les personnes concernées lésées, mais peuvent également faire l’objet de poursuites pénales et/ou se voir imposer des sanctions administratives par la Commission nationale pour la protection des données (CNPD), notamment.
Une analyse de risque indispensable
Il est donc indispensable de procéder, en amont, à une analyse minutieuse des risques et de mettre en place les dispositifs techniques et organisationnels qui permettront à l’entreprise de les réduire et d’en conserver la maîtrise.
Ces mesures devront, le cas échéant, tenir compte des spécificités et des contraintes réglementaires inhérentes au secteur d’activité de l’entreprise concernée.
Par exemple, les établissements bancaires et financiers devront se conformer aux règles édictées sur le sujet par la Commission de surveillance du secteur financier (CSSF) et qui peuvent s’avérer très restrictives quant aux modalités de mise en œuvre du cloud (par exemple restrictions quant au choix et à la localisation du gestionnaire du cloud).
L’entreprise utilisatrice et le fournisseur de services cloud devront, en tout état de cause, conclure un contrat ou un acte juridique contraignant écrit, aux termes duquel le fournisseur s’engage à se conformer aux obligations imposées par la loi de 2002 en matière de sécurité des données.
Il conviendra d’éviter les prestataires qui ont recours aux contrats d’adhésion.
Outre le prix et la nature des prestations proposées, l’entreprise devra donc également tenir compte des garanties techniques et contractuelles offertes par le prestataire de services de cloud en matière de protection des données personnelles.
À ce titre, il conviendra, dans la mesure du possible, d’éviter les prestataires qui ont recours aux contrats d’adhésion, qui excluent toute marge de négociation, et tendent à imposer des clauses d’exonération totale de responsabilité.
Établir un cahier des charges des responsabilités
Par ailleurs, il n’est pas rare que le fournisseur de services de cloud computing ait lui-même recours à des sous-traitants. Or, une telle configuration ne sera pas de nature à diluer la responsabilité de l’entreprise en cas de manquement aux obligations de sécurité des données. À cet égard, il peut être opportun d’établir un cahier des charges précisant le périmètre et la nature de l’intervention du prestataire, ainsi que les modalités de recours par ce dernier à la sous-traitance.
La transparence et la maîtrise des opérations sont des enjeux essentiels pour les entreprises.
La transparence et la maîtrise des opérations sont des enjeux essentiels pour les entreprises et la rédaction du contrat de prestation de services constitue donc une étape majeure dans le processus d’implémentation du cloud computing.
Il s’agira principalement de négocier les clauses qui garantiront à l’entreprise utilisatrice un contrôle effectif sur les opérations de traitement ainsi que, le cas échéant, sur la chaîne de sous-traitance.
La mise en œuvre du cloud peut s’avérer complexe sur le plan juridique.
À cette fin, les parties pourront par exemple s’accorder sur l’insertion de clauses d’audit qui permettront à l’entreprise de s’assurer que la gestion du cloud est bien conforme aux modalités contractuelles établies lors de la conclusion du contrat de prestation de services. Par ailleurs, elles pourront également prévoir une clause de portabilité dans le but de parer toute interruption de services en cas de disparition du prestataire (par exemple faillite, cessation des activités).
Le cloud est une solution qui peut s’avérer attractive pour les organisations désireuses d’allier flexibilité et maîtrise des coûts. Cependant, sa mise en œuvre peut s’avérer extrêmement complexe sur le plan juridique. Il est donc fortement recommandé aux entreprises de s’adjoindre les conseils d’experts juridiques avant de s’engager sur cette voie.
Me Guy Castegnaro et Me Ariane Claverie, vos experts juridiques
