Inscrivez-vous gratuitement à la Newsletter BFM Business
Lorsqu'elles choisissent la technologie cloud, les entreprises sont tenues de s'assurer de la localisation physique de leurs données. Des règles strictes encadrent la conservation de données, notamment lorsqu'elles proviennent de secteurs sensibles, tels la santé ou les finances.
Hébergeurs de données de santé mis à part, les fournisseurs de service cloud ne sont soumis à aucune législation particulière. En revanche, les entreprises sont légalement tenues de s'assurer de la localisation physique de certaines de leurs données quand elles s'appuient sur des prestataires cloud. Ceux-ci ne sont assujettis qu'aux obligations imposées par la loi informatique et libertés, les obligeant à garantir la confidentialité et la sécurité des données à caractère personnel de leurs clients. Les fournisseurs s'assureront donc que ces informations ne sont pas localisées dans un pays n'offrant pas un niveau de protection adéquat.La Cnil définit trois types d'exceptions selon lesquelles elle accepte le transfert des données hors du territoire national ou européen : l'un relève de la réglementation du Safe Harbor (transferts de l'Union européenne vers USA), l'autre de celle des Binding Corporate Rules (pour les multinationales dont certains sites se trouvent hors de l'Union européenne) et le dernier de l'article 69 de la loi informatique et libertés. Mais “ les fournisseurs de cloud se préoccupent peu de ces contraintes, ils se contentent d'insérer dans leurs contrats des clauses d'exclusion de garantie et de responsabilité ”, constate Anne-Sophie Poggi, avocate spécialiste du droit des technologies de l'information chez Derriennic Associés.
Attention à la santé et aux finances
Concernant les entreprises clientes des services cloud, les obligations légales portent essentiellement sur la localisation de certaines de leurs données. Ainsi, dans le secteur de la santé, les établissements produisant et gérant des informations en s'appuyant sur le cloud doivent s'assurer que leurs prestataires conservent ces informations en France. De même, les entreprises utilisant le cloud pour leur comptabilité sont soumises à des règles définies par l'administration fiscale, notamment, en cas de contrôle, à l'obligation de tenir à disposition une documentation décrivant l'architecture des systèmes et des flux. Par ailleurs, “ le droit fiscal français n'autorise pas le dépôt des données comptables hors des frontières de l'Union européenne ”, précise Gwenaëlle Bernier, avocate associée, spécialisée en droit fiscal au sein du cabinet d'avocats Fidal Direction Internationale. Les entreprises dont les factures électroniques sont stockées hors de France, mais dans les limites de l'Union européenne, doivent en faire la déclaration à l'administration fiscale.Le cloud est en devenir et la législation fiscale évolue en conséquence. “ Difficile d'établir une liste exhaustive des contraintes légales via une veille, afin que les offres cloud restent conformes à la législation en vigueur. Elles ne contourneront pas longtemps les contraintes légales, au risque de se marginaliser ”, conclut Anne-Sophie Poggi.
Votre opinion