Cyril Pierre-Beausse (Fedisa) (Photo : Éric Chenal / Blitz)

Cyril Pierre-Beausse (Fedisa) (Photo : Éric Chenal / Blitz)

Si, techniquement parlant, le cloud computing est aujourd’hui à l’âge de la maturité, les risques juridiques existent encore… et ne sont pas forcément correctement traités par les contrats existants. Prudence.

Le cloud computing, nouvel eldorado des prestataires de services informatiques ? Les efforts déployés par l’industrie informatique pour sensibiliser et convertir les entreprises à l’informatique dans les nuages sont impressionnants. La plupart du temps, les arguments se concentrent sur des questions clés et traditionnelles, telles que le coût total de possession de son système, la qualité de service, les taux de disponibilité des solutions, les économies d’échelle…

Une question, cependant, est rarement abordée : celle des risques juridiques… Pour Cyril Pierre-Beausse, président de Fedisa Luxembourg (le chapitre local de la Fédération de l’Information Lifecycle Management, du Stockage et de l’Archivage), ces derniers se regroupent en deux grandes catégories : « Il y a les risques contractuels, notamment au vu de la médiocre qualité de nombre de contrats actuellement utilisés pour la fourniture de ce type de services. Il y a ensuite le risque réglementaire, que ce soit en matière de protection des données ou au regard de certaines disposition sectorielles. Plus concrètement, cela veut dire qu’il peut être difficile de rester conforme à la loi lors de l’utilisation de certains services cloud, ou que les professionnels du secteur financier doivent faire attention à un certain nombre d’obligations qui leur sont spécifiques. »

Certains prestataires étant étrangers, ou intégrés dans des multinationales, cela peut participer à l’augmentation des risques. « Au sein de l’Union européenne, il n’y a pas de véritable problème. Par contre, lorsque le prestataire est hors UE, la difficulté vient du fait que le transfert de données personnelles vers la plupart de ces pays est soumis à restriction. Certaines règles sectorielles posent des limites fortes au recours à des prestataires étrangers. Ici encore, on songe en premier lieu au secteur financier. »

Pauvres financiers, donc, qui peuvent être très intéressés par le cloud computing. Les volumes de données manipulés et leur importance stratégique peuvent les rendre sensibles à l’argumentaire des prestataires. Mais de manière générale, d’autres doivent également réfléchir avant de se lancer dans le cloud. Pour Cyril Pierre-Beausse, « il s’agit principalement des secteur régulés qui font l’objet de contraintes spécifiques destinées à assurer le respect de leurs obligations légales, comme le secret professionnel. La question devient vite sensible en situation d’externalisation de tout ou partie de leur infrastructure. »

Les entreprises ont-elles donc, de manière générale, compris les risques du cloud ? Le niveau de conscience du risque parmi les entreprises utilisatrices semble heureusement élevé – et le risque résiduel généralement accepté. La preuve en est simplement le taux d’adoption croissant de ces solutions. « Cela dit, les contraintes légales, comme les données personnelles que j’ai déjà évoquées, sont parfois sous-estimées. L’utilisation du contrat pour réduire le risque résiduel est encore bien peu développée. De nombreux utilisateurs hésitent – et on les comprend – à accepter certains contrats imposés par leurs prestataires. C’est à mon sens un frein au développement du cloud. »

Quant à savoir si la prochaine loi sur l’archivage électronique va changer quoi que ce soit dans ce domaine, il est encore trop tôt pour le dire. Le fait est que les enjeux du nuage viendront se superposer aux questions de l’archivage... puisqu’il s’agit des premiers services proposés par les acteurs du secteur !