A force d'expliquer combien le cloud computing est flexible, économique, pratique, etc. on risquerait d'oublier les risques qui y sont associés. L'avocate Isabelle Renard, du cabinet Racine, a entrepris de réaliser quelques sains rappels lors d'une conférence le 16 octobre 2012. Suivre de bonnes pratiques permet certes d'éviter quelques ennuis mais ce qui serait souhaitable n'est pas toujours réaliste. L'adoption du cloud computing doit donc être associée à une réflexion sur les risques encourus, et ce dans plusieurs domaines.
Le risque fiscal, un risque souvent oublié
Parfois, certains « risques » sont même fort éloignés de l'informatique. Ainsi, on peut citer le risque fiscal. Le recours au cloud computing se caractérise notamment par une structure des coûts qui est comptablement très différente d'une acquisition d'infrastructure.
Une infrastructure est en effet un investissement, donc son coût va être réparti sur plusieurs exercices comptables selon un plan d'amortissement connu à l'avance et respectant une régularité légale. A l'inverse, le cloud computing, un service, génère une charge pure enregistrée au fur et à mesure de la consommation. La répartition des charges fiscalement déductibles en est singulièrement impactée.
Le risque fiscal, un risque souvent oublié
Parfois, certains « risques » sont même fort éloignés de l'informatique. Ainsi, on peut citer le risque fiscal. Le recours au cloud computing se caractérise notamment par une structure des coûts qui est comptablement très différente d'une acquisition d'infrastructure.
Une infrastructure est en effet un investissement, donc son coût va être réparti sur plusieurs exercices comptables selon un plan d'amortissement connu à l'avance et respectant une régularité légale. A l'inverse, le cloud computing, un service, génère une charge pure enregistrée au fur et à mesure de la consommation. La répartition des charges fiscalement déductibles en est singulièrement impactée.
Or les déficits fiscaux ne sont plus reportables d'un exercice sur l'autre avec le même automatisme qu'auparavant. Des à -coups dans l'enregistrement de charges (avec une consommation irrégulière de cloud computing) dans une entreprise au résultat plus ou moins à l'équilibre peut donc générer des pertes fiscales non-reportables en entier d'un exercice sur l'autre et donc générer une perte fiscale nette irrécupérable. Ce risque fiscal est probablement le plus exotique par rapport aux préoccupations standards des DSI. Mais il en existe d'autres, plus habituels pour eux.
La sécurité et la récupération des données encore et toujours...
Bien entendu, le premier des risques habituellement reconnus est celui de la sécurité. « Il est totalement inconscient de recourir à une messagerie dans le cloud simplement parce que c'est moins cher ou plus flexible alors même que des messages sensibles vont être échangés » a ainsi dénoncé Isabelle Renard. Elle envisage même : « en cas de préjudice avéré, il est plausible que le ministère public se retourne contre les entreprises ayant ainsi mis des informations sensibles dans le cloud », cette action caractérisant une négligence caractérisée en matière de sécurité. L'avocate a ainsi rappelé que l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) estime que les services de cloud public ne sont généralement pas dotés d'un niveau de sécurité suffisant.
La sécurité et la récupération des données encore et toujours...
Bien entendu, le premier des risques habituellement reconnus est celui de la sécurité. « Il est totalement inconscient de recourir à une messagerie dans le cloud simplement parce que c'est moins cher ou plus flexible alors même que des messages sensibles vont être échangés » a ainsi dénoncé Isabelle Renard. Elle envisage même : « en cas de préjudice avéré, il est plausible que le ministère public se retourne contre les entreprises ayant ainsi mis des informations sensibles dans le cloud », cette action caractérisant une négligence caractérisée en matière de sécurité. L'avocate a ainsi rappelé que l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) estime que les services de cloud public ne sont généralement pas dotés d'un niveau de sécurité suffisant.
Le problème est d'autant plus réel que les principaux acteurs de messagerie SaaS sont américains, donc soumis au fameux Patriot Act. Cette loi américaine à effet extraterritorial permet à l'administration américaine d'exiger la communication de toute information qu'elle souhaite (sous le prétexte de la lutte anti-terroriste) auprès de toute entreprise américaine. L'hébergement des données dans un datacenter en Europe ne change rien si le datacenter appartient à une entreprise américaine : le datacenter sera autant soumis au Patriot Act que s'il avait été à Washington DC. Ajoutons que le propriétaire de la donnée transmise ne peut en aucun cas être notifié de cette transmission. Le Patriot Act interdit cette notification.
Et n'oublions pas que la Loi interdit souvent d'exporter des données (notamment nominatives) hors de l'Union Européenne. Or le cloud computing se moque bien souvent des frontières.
Et n'oublions pas que la Loi interdit souvent d'exporter des données (notamment nominatives) hors de l'Union Européenne. Or le cloud computing se moque bien souvent des frontières.
[[page]]
Si le recours à certains services en ligne peut paraître aisé, il faut s'assurer de pouvoir à tout moment, comme dans n'importe quelle externalisation, récupérer ses données. Le cas MegaUpload est symptomatique : des données tout à fait légales sont devenues inaccessibles suite à la fermeture brutale du service par décision de justice. Celle-ci ne s'est pas préoccupée de séparer le bon grain de l'ivraie. Un cas similaire peut très bien se reproduire avec d'autres services.
Les risques de l'infobésité et de la non-reversabilité
Les services de cloud computing ont également axé leur marketing sur la facilité à accroître les capacités informatiques, notamment de stockage. Et, de fait, les utilisateurs n'hésitent plus à stocker des données sans veiller à effacer des données anciennes. Outre le coût marginal que cette infobésité provoque (le stockage est tout de même facturé), il peut y avoir des données à effacement obligatoire au bout d'un certain temps qui ne sont plus effectivement effacées, notamment en lien avec les autorisations de la CNIL souvent sévères en matière de limitation des délais de conservation.
De même, l'infobésité peut être dangereuse pour l'entreprise subissant un contrôle des autorités. Il pourrait en effet traîner quelques informations pouvant intéresser le fisc ou une autorité de contrôle quelconque. Si le droit de garder le silence est effectif en garde à vue, un espace de stockage l'ignore et parle à la moindre requête, au grand regret des avocats de la défense.
Les acteurs devant acheter selon les règles des marchés publics (administrations, collectivités, établissements publics...) affrontent un risque juridique supplémentaire. En effet, la loi exige une remise en concurrence régulière alors que la réversibilité d'un cloud computing mal géré est loin d'être assurée. Et la mise en place d'un cloud privé ou communautaire se heurte à des difficultés sur la nature du contrat.
La négociation impossible
Les acteurs devant acheter selon les règles des marchés publics (administrations, collectivités, établissements publics...) affrontent un risque juridique supplémentaire. En effet, la loi exige une remise en concurrence régulière alors que la réversibilité d'un cloud computing mal géré est loin d'être assurée. Et la mise en place d'un cloud privé ou communautaire se heurte à des difficultés sur la nature du contrat.
La négociation impossible
Isabelle Renard a également pointé une grande différence entre les externalisations classiques et le cloud : « le cloud computing relève de contrats d'adhésions, c'est à dire que l'on ne peut que signer en l'état, sans négociation. » Cela n'est pas liée à une mauvaise volonté ou un rapport de force entre le fournisseur et le client mais est lié intrinsèquement à la nature de « service industriel » du cloud. Or des clauses assez standards des contrats d'externalisation sont généralement absentes des contrats de cloud computing : mesure des niveaux de service, engagements de niveaux de service avec pénalités, capacité d'audit...
Et même si le contrat pouvait être négocié, un litige pourrait s'engluer rapidement. « On se demande parfois si un contrat n'est pas fait pour être violé » dénonce Isabelle Renard. Ainsi, les contrats sont signés avec des entreprises étrangères, avec des clauses de compétence attribuant un litige à un tribunal lointain, rendant toute procédure judiciaire illusoire. Malgré tout, il reste parfois possible de négocier des clauses non-techniques, notamment celles autour de la responsabilité civile ou de la compétence territoriale des tribunaux. « Les arrêts Chronopost ou Faurecia/Oracle ont cependant validé les clauses limitatives de responsabilité incluses dans les contrats des fournisseurs informatiques » rappelle Isabelle Renard.