Jaccard Michel

ASSOCIÉ, ID EST AVOCATS

Fondateur de l’Etude id est avocats, Michel Jaccard est un spécialiste du droit des technologies, des médias et de la propriété intellectuelle ainsi que du droit commercial et du financement d'entreprises, domaines dans lesquels il pratique, enseigne et publie depuis plus de 15 ans. Il a obtenu une licence et un doctorat de l'Université de Lausanne et un diplôme postgrade (LLM'97) de l'Université de Columbia, dans l'Etat de New York, où il est également admis au barreau et a travaillé plusieurs mois dans un cabinet international.

La tête – pardon, l’IT - dans les nuages… mais les pieds sur terre

« Migrer sur le cloud », un véritable mot d’ordre aujourd’hui pour beaucoup de PME et de groupes financiers et industriels suisses. Les analystes prédisent une forte croissance des dépenses et investissements dans le domaine IT ces prochaines années, et aucun responsable informatique ne peut plus ignorer les avantages d’un hébergement de son infrastructure « dans les nuages » (cloud computing), notamment en termes de flexibilité et de coûts.

Pourtant, certains hésitent encore à franchir le pas. Les révélations d’Edward Snowden sur l’étendue de la surveillance exercée par les autorités américaines sur les prestataires technologiques d’Outre-Atlantique ont clairement ébranlé une confiance déjà fragile dans le fait de confier ses données et celles de ses clients et de ses employés à un tiers souvent établi à l’étranger, dont l’organisation n’est pas forcément transparente et qui parfois n'existait il y a encore peu de temps. Peut-on échapper à cette surveillance étatique en recourant à des prestataires nationaux, en mettant en place des « clouds privés » ou en exigeant que les données soient stockées dans un pays défini ? Ce n’est pas exclu, mais cela demande une analyse précise de l’offre du prestataire et de son organisation, et la solution proposée n’est souvent pas attractive en termes financiers ou de facilité d’utilisation.

Objectivement, les véritables risques d’une migration « dans les nuages » résident pourtant ailleurs que dans la crainte d’un partage d’informations avec une agence de renseignements étrangère. Ils tiennent beaucoup plus aux garanties que l’on est en droit d’attendre de son prestataire en termes de sécurité, d’organisation et de performance. Certaines industries – gérant des données sensibles – font déjà l’objet d’une réglementation stricte, qui va encore se renforcer à l’avenir, en particulier sur les assurances sécuritaires et organisationnelles qu’un prestataire d’externalisation devra fournir. Dans le domaine bancaire, il suffit de lire le projet de nouvelle circulaire FINMA sur les risques opérationnels (entrée en vigueur prévue en 2015) pour s’en rendre compte.

Pour les clients qui évoluent dans des industries qui ne connaissent pas le même niveau de réglementation ou dès que les prestations souhaitées sont fournies « sur mesure » pour le client, les contrats sont complexes et les questions juridiques délicates. Difficile en effet de quantifier les risques quand le document juridique ne mentionne pas où les données sont stockées, ni n’oblige le prestataire à fournir des informations sur les sous-traitants auxquels il pourrait avoir recours. Par ailleurs, des articles spécifiques doivent être prévus en cas de transfert de données personnelles à l’étranger, ne serait-ce que sur la base de clauses modèles proposées par le préposé fédéral à la protection des données.

Outre cette question centrale des garanties en terme de sécurité et d’organisation, des réponses claires aux questions suivantes doivent être obtenues avant la signature d’un contrat avec le prestataire :

a/ Quelles sont les données concernées par la migration? S’il s’agit de données personnelles, peut-on se prévaloir d’un motif justificatif à la collecte et au traitement, comme par exemple le consentement éclairé des personnes concernées ?

b/ Où les données vont-elles être hébergées ? En Suisse, en Europe, aux Etats-Unis ?

c/ Par qui les données vont-elles être traitées ? Le prestataire avec qui le contrat est signé ? Un sous-traitant ?

d/ Quelle utilisation le prestataire peut-il faire des données en cas de résiliation du contrat avant terme ou à son expiration ? Les détruire, les « anonymiser » ? Surtout, quelles sont les possibilités de rapatrier les données – dans un format exploitable – en cas de faillite, de cessation d’activité ou de rachat du prestataire ? Ce dernier point est particulièrement sensible dans un environnement de cloud computing car le client est totalement dépendant de son prestataire pour la récupération des données qui lui appartiennent. Ne plus pouvoir accéder du tout aux données hébergées dans les nuages n’est pas un risque théorique, comme ont pu s’en rendre compte en début d’année des dizaines de clients du groupe anglais 2e2 quelques semaines après sa mise en faillite : ils ont reçu des liquidateurs un courrier qui leur demandait à chacun de payer plusieurs milliers de livres sterling pour que leurs données continuent à être accessibles quelques jours supplémentaires.

Pour beaucoup de ces clients, ce fut un dur retour sur terre...

Du même auteur

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

Image Footer

"Tout ce qui compte.
Pour vous."