Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101

renforcées lorsque des données personnelles sont en jeu.

Les obligations particulières
incombant aux prestataires
de Cloud Computing
Compte tenu de la délocalisation matérielle des données et d'un risque accru de
perte de ces données, il est indispensable
de s'assurer que le prestataire présente les
meilleures garanties légales, techniques et
pratiques dans l'exécution de l'ensemble
de ses obligations. Le Cloud implique une
approche rigoureuse en termes de sécurité
technique et juridique.
En particulier, le prestataire de Cloud doit
pouvoir garantir la continuité du service et
le niveau de performance attendu par le
client, la sécurité, la confidentialité, l'intégrité, la disponibilité et la réversibilité des
données, respecter la législation applicable
en matière de traitement de données à
caractère personnel, souscrire une assurance garantissant sa responsabilité civile
professionnelle liée à son intervention sur les
réseaux et systèmes informatiques du client.
Ces garanties sont souvent définies dans un
Service Level Agreement (dit « SLA ») qui
permet en principe au client de vérifier que
la prestation répond bien à ses attentes en
termes de notamment de performance, de
sécurité et de disponibilité du service, de
vitesse de transfert des données, de délais
maximum d'interruption, de procédures de
contrôle de ces éléments.
Bien souvent les contrats proposés par ces
prestataires ne sont en réalité pas négociables et les clients reprochent à ces prestataires une certaine opacité quant aux
conditions de réalisation des prestations. En
effet, à la différence des autres prestataires
informatiques qui proposent une réponse
personnalisée à un cahier des charges
définit par le client, de nombreuses offres de
Cloud sont standardisées.
Heureusement, certains outils sont mis à
la disposition des entreprises pour s'assurer du niveau de garantie proposé par le
prestataire. Par exemple, la Cnil a publié le
25 juin 2012 des « Recommandations pour
les entreprises qui envisagent de souscrire
à des services de Cloud computing » et le
Groupe de l'article 29 a également rendu
un avis n°5/2012 sur l'informatique en
nuage, adopté le 1er juillet 2012 (WP 196).
Il est également possible de consulter le
référentiel de qualification de prestataires
de services sécurisés d'informatique en
nuage, édité le 30 juillet 2014 par l'Anssi

(Autorité nationale française de sécurité des
systèmes d'information).
Mais ces recommandations ne sont pas
toutes suivies par les prestataires de Cloud,
et certains contrats conclus antérieurement
aux publications de ces différents référentiels peuvent encore proposer des garanties
trop faibles. Il est alors parfois nécessaire
de saisir les tribunaux pour contraindre
un prestataire qui persisterait à ne pas
remédier aux bugs existants chez un client.
A titre d'exemple, le tribunal de grande
instance de Nanterre, saisi en référé par
le parti politique de l'UMP en raison d'une
impossible réversibilité de ses données, a
pu enjoindre à la société Oracle de « fournir sans délai les moyens techniques de
nature à lui permettre l'exportation de l'ensemble de ses données nominatives hébergées » en lui adjoignant une forte pénalité
de 5.000 euros par jour de retard (TGI
Nanterre, référé, 30 novembre 2012 publiée
sur www.legalis.net).
S'agissant enfin de la responsabilité de ces
prestataires, et hormis la problématique
du traitement des données à caractère
personnel étudiée ci-après, il s'agit d'une
responsabilité de droit commun répondant
à la distinction obligation de moyens et de
résultat. A titre d'exemples, l'obligation pourra être de moyens quant à la disponibilité du
service alors qu'elle devra être de résultat
s'agissant de la sécurité des données hébergées, des performances du service. Quant
à une éventuelle limitation de la responsabilité du prestataire de Cloud, celle-ci est
également possible au moyen notamment
de clauses limitatives de responsabilité
ou encore dans le cas où le manquement
du prestataire serait dû par exemple un
manque de collaboration du client.

Des obligations renforcées
pour les sous-traitants en
matière de protection des
données personnelles
L'une des problématiques les plus délicates
auxquelles sont confrontées les entreprises
lorsqu'elles contractent avec des prestataires de Cloud est très certainement celle
de la protection des données à caractère
personnel en sus de la sécurisation des
données pour éviter toute intrusion de la
part d'un tiers.
A ce jour (et jusqu'au 25 mai 2018, date d'application du règlement général sur la protection des données du 27 avril 2016), l'entreprise qui a recourt à un prestataire de Cloud
pour le stockage de données personnelles

EXPERTISES MARS 2017

qu'elle traite demeure, en principe, au sens
article 3 de la loi n°78-17 du 6 janvier 1978,
le responsable du traitement « qui détermine ses finalités et ses moyens », le « data
controller » en anglais.
Le prestataire est généralement qualifié
comme étant un sous-traitant qui « traite
des données personnelles pour le compte
du responsable de traitement » (article 35
de la loi n°78-17 du 6 janvier 1978 précitée),
un « data processor » en anglais.
C'est donc en principe à l'entreprise que
revient la responsabilité de conclure un
contrat de Cloud conforme à la législation
en vigueur et de s'assurer que les données
ne sont pas hébergées dans un pays ne leur
assurant pas un niveau de protection suffisant, ce qui n'est pas toujours simple compte
tenu de la standardisation de nombreuses
offres de Cloud et de l'opacité de certains
prestataires quant à la localisation des
données (cf. supra).
En principe, le transfert de données à caractère personnel vers un pays extérieur à
l'Union européenne est prohibé. Toutefois,
il est autorisé lorsque la législation du
pays vers lequel les données sont transférées « assure un niveau de protection
adéquate » (article 25-1 et 68 al.1 de la directive n°95/46/CE du 24 octobre 1995 relative
à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données), ce qui est le cas de plusieurs pays
dont la liste est régulièrement mise à jour
par la Cnil dont les USA (sous réserve que
le prestataire soit effectivement inscrit sur
le registre tenu par l'administration américaine en application du récent, mais néanmoins controversé, Privacy Shield).
Pour les autres pays, le responsable de
traitement devra offrir « des garanties
suffisantes au regard de la protection de
la vie privée et des droits fondamentaux
des personnes » (article 26-2 de la directive précitée), au moyen notamment de
clauses contractuelles appropriées, par
exemple sur le modèle des clauses types
publiées le 5 février 2010 par le Commission
européenne.
Le sous-traitant devra pour sa part « présenter les garanties suffisantes pour assurer la
mise en œuvre des mesures de sécurité et de
confidentialité mentionnées à l'article 34 » de
la loi n°78-17 du 6 janvier 1978 précitée, c'està-dire celles permettant de « préserver la
sécurité des données et notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient

101


http://www.legalis.net

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422

Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com