Anwaltspraxis/Pratique du barreau

Cloud computing: opportunits et risques pour les avocats

Sbastien Fanti
Avocat au Barreau valaisan, certifi OMPI, notaire, Sion

Mots cls: cloud computing, scurit, protection des donnes, avocat, responsabilit, principe de prcaution, conseils Le prsent article offre un aperu de ce que recouvre lappellation de Cloud computing et a pour objectif, aprs avoir identifi les principaux enjeux juridiques, de fournir un panel de conseils aux avocats.

I. Notions fondamentales
1. Dfinition et distinctions A) Liminairement et contextuellement Le Cloud computing est un modle permettant laccs ais et la demande un ensemble de ressources de calculs configurables pouvant tre rapidement provisionnes et mises disposition avec un effort dadministration ou des interactions avec le fournisseur de services minimes1 . Bien que langlicisme soit largement rpandu, il existe diffrentes francisations dont: informatique en nuage, informatique dmatrialise ou encore infonuagique. Cette dfinition est un excellent prisme de la complexit tant technique que juridique de cette matire qui volue un rythme effrn. Elle ne correspond pas un concept juridique prcis2, ce qui engendre lapplication de normes diverses et complmentaires. Alors que le Web a permis de rendre accessibles en tout temps et au plus grand nombre toutes les informations, le Cloud computing augure, de surcrot, de la possibilit daccder des capacits de traitement et de calcul qui permettront de reproduire, de partager, danalyser et denrichir ces informations. Ces capacits auraient t hors de porte des petites ou moyennes entreprises pour des raisons financires principalement, si de tels services navaient pas vu le jour. Celles-ci peuvent donc bnficier doutils conviviaux et ergonomiques sans avoir consentir des investissements importants notamment en termes dinfrastructure, de maintenance ou de dveloppement de logiciels. Un trs grand nombre de services de Cloud computing sont dj rgulirement utiliss, notamment par des avocats 3 . Citons, titre exemplatif, des services de messagerie lectronique (Hotmail, Gmail), des rseaux sociaux (Facebook, LinkedIn), des applications tlcharger sur son smartphone ou sa tablette (Evernote, Google Drive, IncaMail). La Commission europenne a identifi le dveloppement du Cloud computing comme un enjeu majeur de

lvolution du commerce lectronique durant les prochaines annes 4 . En Suisse, le Centre dvaluation des choix technologiques TA-SWISS5 (www.ta-swiss.ch) a conduit durant lanne 2011 un projet intitul Cloud Computing Linformatique en nuage. Ltude conclut en mettant en exergue le fait que pour la Suisse aussi, le Cloud computing nest pas une vague promesse davenir, mais une forme dutilisation de linformatique qui est dj en voie de stablir et de simposer toujours plus fortement. La Confdration a dvelopp une stratgie en matire de Cloud computing des autorits suisses6 . Elle a donc, linstar de nos voisins

1 La dfinition est inspire de celle adopte par le National Institute of Standards and Technology; pour dautres dfinitions, cf.notamment Roland Portmann, Cloud computing: Chancen und Risiken, digma 2012, p.186; Rolf Oppliger, Sicherheit im Cloud Computing, digma 2012, p.28; Adrian Rufener, Cloud Computing, Revue de lavocat 4/2012, p.198. 2 Mme si laspect contractuel est un lment fondamental, cf.Feuille dinformation TA-SWISS (http://www.ta-swiss.ch/fr/ cloud-computing/): lexception des considrations relatives la protection des donnes, les ventuels problmes juridiques susceptibles de rsulter de linformatique en nuage peuvent tous tre rgls par des contrats adquats. 3 Wolfang Straub, Clic informatique: quapportent linformatique et les nouvelles technologies dans les tudes davocats? (1 repartie), Revue de lavocat 1112/2012, p.516ss; Sbastien Fanti, iPhone, iPad, Androd: un gain defficacit pour lavocat?, Pldoyer 5/10 du 7octobre 2010, p.50. 4 Communication de la Commission au Parlement europen, au Conseil, au Comit conomique et social et au Comit des rgions, Exploiter le potentiel de linformatique en nuage en Europe, COM(20129 529 final, 27septembre 2012, disponible cette adresse: http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=COM:2012:0529:FIN:FR:PDF. 5 Les recommandations manant de ce centre de comptence des Acadmies suisses des sciences servent daide la prise de dcision par le Parlement et le Conseil fdral, en particulier sur des sujets technologiques controverss. 6 Laquelle peut tre consulte cette adresse: http://www.isb. admin.ch/themen/architektur/00183/01368/01372/index. html?lang=fr.

Anwalts Revue de lAvocat 2/2013

Anwaltspraxis/Pratique du barreau

europens, pris conscience de la ncessit dinitier une dmarche rsolue visant adopter un cadre technique, juridique et conomique propice au dveloppement de ces services informatiques. B) Les diffrents types de services 7 On distingue, traditionnellement, trois formules principales daccs au Cloud computing 8: IaaS (Infrastructure as a Service) o le fournisseur offre un accs un environnement technique sur lequel le client peut installer son propre systme dexploitation et ses propres logiciels applicatifs; PaaS (Platform as a Service) o lutilisateur accepte dutiliser lenvironnement de dveloppement mis disposition par le fournisseur en vue de crer ses propres logiciels; SaaS (Software as a Service) o le fournisseur met disposition des logiciels applicatifs directement utilisables pour traiter et stocker des donnes. Les enjeux juridiques diffrent videmment en fonction de la formule choisie, notamment en ce qui concerne la responsabilit du fournisseur de service. 2. Quelques enjeux juridiques du Cloud computing A) Prolgomnes La diversit et la complexit des enjeux propres au Cloud computing ne permettent pas une analyse exhaustive. La nature immatrielle9 et internationale de tels services gnre des questions de droit international priv, tant sur le plan de la comptence que du droit applicable10. En sus, les donnes hberges peuvent faire lobjet, tout le moins potentiellement, de demandes daccs ou de consultation par des autorits publiques nationales dans le cadre de leurs pouvoirs denqute ou de contrle11 . Dans le cadre limit de cette contribution, seules les questions relatives la protection des donnes et celles lies aux aspects contractuels seront abordes, laune des intrts spcifiques lis la profession davocat. B) Protection des donnes personnelles Sur le plan international, la Commission europenne a publi le 25janvier 2012 une proposition de rglement en vue de rformer certains aspects du cadre rglementaire applicable12 . En cas dadoption, en ltat, cette proposition devrait clarifier les rgles en matire de droit applicable etfaire en sorte quune entreprise tablie dans plusieurs tats membres soit assujettie au droit dun seul tat membre en matire de privacy. Le Prpos fdral la protection des donnes et la transparence a mis un document13 dans lequel il expose les dangers lis au Cloud computing et formule diffrentes recommandations. Parmi les risques principaux, citons la perte de contrle sur les donnes (impossibilit de localisation), le manque de sparation et disolation des donnes, le non-respect des dispositions lgales, laccs dautorits trangres aux donnes, la captivit de lutilisateur par rapport au prestataire, la perte et lusage abusif des

donnes, ainsi que les pannes de systmes et/ou lindisponibilit des ressources. Fondamentalement, le traitement de donnes personnelles dcoulant de lutilisation des services de Cloud computing relve du traitement de donnes par un tiers au sens de larticle10a LPD. La premire condition est que le traitement par un tiers est autoris pour autant que la loi ou une convention le prvoie14 . En sus diffrentes conditions sont mises, dont il rsulte des obligations positives tnorises dans les conseils que voici. Le Prpos recommande: de neffectuer que des traitements que le mandant peut effectuer lui-mme (art.10a al.1 let.a LPD); de vrifier quaucune obligation lgale ou contractuelle de garder le secret ne proscrive un tel traitement (secret professionnel, bancaire, mdical, etc.); de sassurer in concreto que le tiers assure effectivement la scurit des donnes (art.10a al.2 LPD); il ne suffit donc pas de se fier aux assurances du prestataire, mais des vrifications concrtes, rgulires, et in situ doivent tre opres (cf.7 LPD, 8ss et 20ss OLPD); le prestataire doit protger les donnes contre les risques suivants: destruction accidentelle ou non autorise; perte accidentelle; erreurs techniques; falsification, vol ou utilisation illicite; modification, copie, accs ou autre traitement non autoriss; de sassurer en cas de communication de donnes ltranger15 de lexistence dun niveau de protection adquat (cf.art.6 LPD), la preuve de la pertinence et de lefficience des prcautions prises incombant celui qui transfre les donnes ltranger;

7 Cf.galement Adrian Rufener, Cloud Computing, Revue de lavocat 4/2012, p.198. 8 Ce sont les service models; pour une prsentation exhaustive des diffrents services: http://fr.wikipedia.org/wiki/Cloud_ computing, ainsi que le document de lAcadmie suisse des sciences du 6novembre 2012 intitul White paper, Cloud computing, p.8ss, disponible cette adresse: http://www. satw.ch/organisation/tpf/tpf_ict/box_feeder/ 2012-11-06_ 2_ SATW_White_Paper_Cloud_Computing_EN.pdf. 9 Cf. galement lavis publi par le groupe article29 le 1 er juillet 2012, lequel contient des conseils prcieux notamment en matire contractuelle: http://ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/2012/ wp196_en.pdf. 10 Sur cette problmatique en matire de droits dauteur, cf.Vincent Salvad, Le droit dauteur dans le nuage ou dans le brouillard, sic!, 2012, p.7. 11 En vertu du Patriot Act notamment, mais pas uniquement. 12 Ce document peut tre consult cette adresse: http://eur-lex. europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011: FIN:FR:PDF. 13 Disponible cette adresse: http://www.edoeb.admin.ch/ themen/00794/01124/01768/index.html?lang=fr. 14 Sagissant de la loi, le libell pourrait tre pour autant que la loi ne le proscrive pas. 15 Ce qui, sauf exceptions rarissimes, est la rgle. Des exceptions existent en cas dabsence de niveau de protection adquat: cf.art.6 al.2 LPD. Citons au titre des correctifs possibles les Safe Harbor principles, ladoption de contrats ou le consentement pralable et clair.

Anwalts Revue de lAvocat 2/2013

Anwaltspraxis/Pratique du barreau

de sassurer de laccs en tout temps aux donnes (art.8 LPD) et du droit deffacer ou de rectifier les donnes (art.5 LPD); le fait dignorer o ces donnes sont traites nexonre pas lutilisateur de ces services de ces obligations lgales. C) Aspects contractuels Dans la pratique, les fournisseurs de services invitent les utilisateurs, tant privs que professionnels, signer sans rserve des contrats qui contiennent la plupart du temps des clauses dsavantageuses. Parmi les clauses standardises figure rgulirement un article stipulant une absence totale de responsabilit du fournisseur en cas de perte ou de destruction de donnes. Les risques inhrents ces clauses contractuelles sont dsormais bien identifis16 . Une ngociation et une rdaction appropries et fermes sont donc essentielles17. Il nest pas simple dobtenir une modification de tels contrats, ce qui signifie que seule une action concerte du plus grand nombre permettra lvidence dobtenir des amnagements contractuels (cf.3/C et 4). 3. Spcificits lies la profession davocat A) Les risques spcifiques lis la profession davocat Voici titre exemplatif et sans prtention dexhaustivit les cueils auxquels devront faire face les avocats qui opteront pour de tels services informatiques: absence potentielle de confidentialit des donnes; absence de niveau de protection adquat pour ces donnes; droit applicable et for sagissant de ces donnes; clauses contractuelles exclusives de responsabilit rdiges en faveur du prestataire technique; cession ventuelle de proprit intellectuelle; accs dautorits trangres aux donnes; etc18 . En sus du respect des normes, des tapes techniques de planification du recours de tels services doivent tre respectes: valuation du caractre sensible des donnes traites (dossiers pnaux, expertises psychiatriques, documents didentit, etc.); valuation des mesures de scurit selon les normes internationales ISO27001:2005 (gestion de la scurit) et ISO9001 (gestion de la qualit); comparaison pralable entre cloud et infrastructure interne; valuation de la rcuprabilit des donnes en cas de dfaillance majeure ou de litige contractuel (planB); adoption et implmentation de systmes de secours B) Lenvironnement international Le Conseil des barreaux europens (CCBE; www.ccbe.org) a mis le 7 septembre 2012 des lignes directrices sur lusage des services dinformatique en nuage par les avocats19. Ces lignes directrices sont extrmement prcises et donc prcieuses pour tous les avocats dsireux de b-

nficier des avantages de ces nouveaux services informatiques, tout en limitant les risques dans une mesure acceptable du point de vue lgal et dontologique. Leur transposition est possible et relativement aise, quelles que soient les normes nationales ds lors que les principes et les rgles respecter sont similaires. C) Rgime juridique et dontologique applicable En matire de protection des donnes, le rgime lgal a t expos prcdemment (2/B) et les avocats qui entendent utiliser ces services devront respecter les rgles prcises voques. En vertu de larticle11a al.5 let.a LPD, les avocats ne sont, dordinaire, pas soumis une obligation de dclaration de leurs fichiers. Cette exception se justifie par lobligation impose aux avocats en vertu de la LLCA de tenir des dossiers corrects complets et cohrents. Le Cloud computing est un mode de gestion des dossiers exogne et de surcrot facultatif, de sorte quune dclaration de fichiers est lgalement ncessaire. Il convient galement de prciser lattention des mandataires professionnels que lexception prcite ne sapplique pas tous les fichiers. Si certains sont tenus en labsence dobligation lgale (par exemple pour tablir des profils de clients), une dclaration est ncessaire 20. En matire de rgles professionnelles, ce sont les rgles ordinaires qui trouvent application, soit celles figurant dans la LLCA et dans le Code suisse de dontologie. Lavocat doit donc sassurer lui-mme du respect de son secret professionnel notamment (art. 13 LLCA et art. 15 CSD). Sil est dans lincapacit de le faire en raison notamment dun refus du prestataire de rvler certaines informations (emplacement du serveur, scurisation des donnes, etc.), il devra renoncer utiliser ces services. Relativement la problmatique contractuelle, il nexiste pas de recommandations de la FSA. Il convient donc de se rfrer aux lignes directrices du CCBE fort utiles pour la prparation et la ngociation du contrat. Parmi les lments qui doivent retenir lattention figurent: les mesures de scurit mises en place et les engagements pris cet gard; les obligations attendues du fournisseur non seulement en termes de scurit et de confidentialit, mais galement en termes de disponibilit du service, de mise

16 S.Bradshaw, C.Milard et I.Walden, Contracts for Clouds: Comparison and Analysis of the Terms and Conditions of Cloud Computing Services, Queen Mary University of London, Legal Studies Research Paper 63/2010 disponible sur le site www. cloudlegal.ccls.qmul.ac.uk. 17 Cf. cet gard: Sylvain Marchand, Clauses contractuelles, Du Bon usage de la libert contractuelle, Ble 2008. 18 Cf. pour le surplus les lignes directrices du CCBE dont il est question au 3/B. 19 Ces lignes directrices sont disponibles cette adresse: http:// www.ccbe.eu/fileadmin/user_upload/NTCdocument/07092012_ FR_CCBE_gui2_1347539443.pdf. 20 Cette remarque fait suite au constat selon lequel seuls quelques rares avocats ont mis une dclaration, alors que lutilisation de logiciels de suivi de la relation client sest gnralise dans les tudes dimportance.

Anwalts Revue de lAvocat 2/2013

Anwaltspraxis/Pratique du barreau

jour des applications, de rapidit dexcution, ainsi que deffacement et de destruction des donnes aprs lexpiration du contrat; lidentification de tous les acteurs: courtiers, sous-traitants, intgrateurs, avec lamnagement dune procdure transparente et de possibilits de recours directs; la rcupration des donnes en cas de rupture contractuelle et linteroprabilit , respectivement la portabilit des donnes et le caractre rversible du recours aux services de Cloud computing; la gestion de la priode de transition en fin de contrat, de manire assurer certaines prestations telles que la remise des fichiers et des bases de donnes dans des formats prdfinis compatibles avec lenvironnement de lutilisateur ou du fournisseur qui reprend le contrat.

4. Conclusions prospectives Il serait souhaitable que la Fdration suisse des avocats tablisse des contrats types de Cloud computing lintention de ses membres, de manire uniformiser leurs exigences fondes sur les normes applicables ces services informatiques et sur les rgles prudentielles. Les prestataires de service se verraient soumettre un cahier des charges homogne fond sur une analyse fine des risques. Ladoption de tels contrats devrait saccompagner de la possibilit pour les membres de souscrire une assurance lie ces services informatiques, dont chacun sait quils ne sont pas infaillibles (assurance RC, perte dexploitation, etc.).

Anwalts Revue de lAvocat 2/2013