Des contraintes variables, notamment pour la gestion des données

• Révolution de velours pour l'informatique en ligne
• Chaque entreprise cherche son type de cloud
• Des contraintes variables, notamment pour la gestion des données
• Le logiciel à la demande, la “ Killer App ” du cloud
• Sauvegarde et archivage acceptés, production recalée
• Externalisés, les serveurs deviennent moins chers mais plus critiques
• Le calcul haute performance à la portée de tous

Hébergeurs de données de santé mis à part, les fournisseurs de service cloud ne sont soumis à aucune législation particulière. En revanche, les entreprises sont légalement tenues de s'assurer de la localisation physique de certaines de leurs données quand elles s'appuient sur des prestataires cloud. Ceux-ci ne sont assujettis qu'aux obligations imposées par la loi informatique et libertés, les obligeant à garantir la confidentialité et la sécurité des données à caractère personnel de leurs clients. Les fournisseurs s'assureront donc que ces informations ne sont pas localisées dans un pays n'offrant pas un niveau de protection adéquat.La Cnil définit trois types d'exceptions selon lesquelles elle accepte le transfert des données hors du territoire national ou européen : l'un relève de la réglementation du Safe Harbor (transferts de l'Union européenne vers USA), l'autre de celle des Binding Corporate Rules (pour les multinationales dont certains sites se trouvent hors de l'Union européenne) et le dernier de l'article 69 de la loi informatique et libertés. Mais “ les fournisseurs de cloud se préoccupent peu de ces contraintes, ils se contentent d'insérer dans leurs contrats des clauses d'exclusion de garantie et de responsabilité ”, constate Anne-Sophie Poggi, avocate spécialiste du droit des technologies de l'information chez Derriennic Associés.

Attention à la santé et aux finances

Concernant les entreprises clientes des services cloud, les obligations légales portent essentiellement sur la localisation de certaines de leurs données. Ainsi, dans le secteur de la santé, les établissements produisant et gérant des informations en s'appuyant sur le cloud doivent s'assurer que leurs prestataires conservent ces informations en France. De même, les entreprises utilisant le cloud pour leur comptabilité sont soumises à des règles définies par l'administration fiscale, notamment, en cas de contrôle, à l'obligation de tenir à disposition une documentation décrivant l'architecture des systèmes et des flux. Par ailleurs, “ le droit fiscal français n'autorise pas le dépôt des données comptables hors des frontières de l'Union européenne ”, précise Gwenaëlle Bernier, avocate associée, spécialisée en droit fiscal au sein du cabinet d'avocats Fidal Direction Internationale. Les entreprises dont les factures électroniques sont stockées hors de France, mais dans les limites de l'Union européenne, doivent en faire la déclaration à l'administration fiscale.Le cloud est en devenir et la législation fiscale évolue en conséquence. “ Difficile d'établir une liste exhaustive des contraintes légales via une veille, afin que les offres cloud restent conformes à la législation en vigueur. Elles ne contourneront pas longtemps les contraintes légales, au risque de se marginaliser ”, conclut Anne-Sophie Poggi.