Vous êtes sur la page 1sur 32

ITU Workshop on

Standardization on IMT, M2M, IoT,


Cloud Computing and SDN
(Algiers, Algeria, 8 September 2013)

Le Cloud Computing: Entre atouts et


labyrinthe juridique
Melle Rafia BARKAT,
Charge dEtudes Experte
Autorit de Rgulation de la Poste
et des Tlcommunications
r.barkat@arpt.dz
Algiers, Algeria, 8 September 2013

Algiers, Algeria, 8 September 2013

Dfinitions du Cloud Computing


Linformatique est encore en train de se transformer, elle se
centralise nouveau avec lavnement des data centers, et
surtout, elle se dmatrialise et devient linformatique en
nuage ou Cloud Computing en anglais. La puissance
informatique devient virtuelle et se consomme o et quand on
en a besoin et devient extensible, tout ceci grce lInternet.

G5
G4
G3
G2
G1
Algiers, Algeria, 8 September 2013

Dfinitions du Cloud Computing


Le Cloud Computing dsigne une infrastructure informatique
dans laquelle les donnes et les logiciels sont conservs et
traits distance dans le data center du fournisseur
dinformatique en nuage ou dans des centres interconnects au
moyen dune excellente bande passante indispensable la
fluidit du systme, accessibles en tant que service par le biais
dInternet.
Selon le NIST (National Institute of Standards and Technology)
aux Etats-Unis: Linformatique en nuage offre un accs rseau
universel, pratique et la demande un ensemble partag de
ressources informatiques configurables, telles que des rseaux,
serveurs, systmes de stockage, applications et services
rapidement disponibles par le biais dun effort de gestion
minimal ou dune interaction rduite de la part du prestataire
de services . (2009)

Algiers, Algeria, 8 September 2013

Dfinitions du Cloud Computing


En France, la commission de terminologie la dfini comme
le mode de traitement des donnes d'un client, dont
l'exploitation s'effectue par l'internet, sous la forme de
services fournis par un prestataire''. Elle constitue "une forme
particulire de grance de l'informatique, dans laquelle
l'emplacement et le fonctionnement du nuage ne sont pas
ports la connaissance des clients (JORF du 6 juin
2010).
Dfinition de lUIT: Le Cloud Computing est un modle
permettant aux utilisateurs de ce service d'avoir un accs
rseau ubiquiste, pratique et la demande un ensemble
partag de ressources informatiques configurables (rseaux,
serveurs, stockage, applications et services) et qui peut tre
rapidement approvisionn et libr avec un effort minimal de
gestion ou de l'interaction du prestataire de service. Cloud
Computing permet des services Cloud . (2012).
Algiers, Algeria, 8 September 2013

Dfinitions du Cloud Computing


LUIT-T a form un groupe dtude (FG) sur la normalisation du
Cloud Computing qui a termin son tude prliminaire forme
dun rapport en sept parties (Fvrier 2012).
1)Introduction lcosystme du Cloud Computing, dfinitions,
taxonomies, exemples de cas et conditions de haut niveau ;
2) Conditions fonctionnelles et architecture de rfrence ;
3) Exigences et architecture de linfrastructure du Cloud ;
4) Analyse et gestion des ressources du Cloud ;
5) Scurit du Cloud ;
6) Vues densemble sur les organisations de normalisation impliques
dans le Cloud ;
7) Avantages du Cloud pour les tlcommunications et perspectives
pour les TIC.

Algiers, Algeria, 8 September 2013

Dfinitions du Cloud Computing

Challenges :
L explosion des donnes dans
tous les domaines.
La
connectivit
nimporte
quand, nimporte o et sur
nimporte quel appareil.
Dcouvrir, chercher et analyser
linformation en temps quasirel.

Algiers, Algeria, 8 September 2013

Dfinitions du Cloud Computing


Linformatique en nuage se caractrise par :

Le matriel est dtenu par le fournisseur de service Cloud


et non par lutilisateur;
Une flexibilit immdiate en fonction des besoins de
l'utilisateur;
Une mutualisation des ressources au sein d'un data
center;
Une virtualisation des systmes;
Un usage la demande ;
Une accessibilit par le biais d'un rseau depuis n'importe
quel point gographique;
Une possibilit de paiement lusage (pay per use).
Algiers, Algeria, 8 September 2013

Dfinitions du Cloud Computing

Ces spcificits font de la technologie


Cloud Computing un nouveau modle
conomique prometteur pour les TICs qui
offre ses utilisateurs la possibilit
daccs des logiciels et des ressources
informatiques avec la flexibilit et la
modularit souhaites et des cots trs
comptitifs.

Algiers, Algeria, 8 September 2013

Description des principaux services du


Cloud Computing:
Linfrastructure en tant que service: (Infrastructure as a
Service : IaaS). Il sagit de serveurs, de bases de stockage,
data centers et dautres quipements rseau tous virtualiss,
et lous en tant que service la demande.
La plate-forme en tant que service: (Platform as a
Service : PaaS) consiste en
la mise disposition de
lutilisateur dun environnement de dveloppement de ses
applications o il pourra paramtrer des logiciels, tel que :
gestion de site Web, gestion des services clients, etc.
Lapplication en tant que service: (Software as a Service :
SaaS) consiste en la mise disposition des applications par le
fournisseur, tel que la sauvegarde distance ou les botes de
messagerie; paiement en ligne, etc.
Algiers, Algeria, 8 September 2013

10

Description des principaux services du


Cloud Computing:

Le Cloud Computing se
rsume en : Services
disponibles
et
accessibles

tous,
instantanment, sans
engagement et la
demande.

Algiers, Algeria, 8 September 2013

11

Avantages du Cloud Computing


Rationalisation et rduction des cots relatifs lachat
de serveurs et de logiciels ou lembauche de personnel
responsable de lentretien des serveurs.
Utilisation plus efficace des ressources informatiques:
Centres de donnes partags, mutualiss et dcentrs.
Flexibilit accrue lutilisateur final (services accessibles
en se connectant Internet de nimporte o et nimporte
quel moment).
Optimisation
de
la
consommation
dnergie :
L'augmentation du volume de donnes et d'informations
traites sur Internet a une incidence significative sur
l'environnement en termes de consommation d'nergie.
Algiers, Algeria, 8 September 2013

12

Principales proccupations et risques


du Cloud Computing
Concernant laccs

Les donnes ne sont pas exemptes de risques


daccs non autoris, de manire physique, par un accs non
autoris aux locaux des serveurs, ou lectronique, que ce soit par
les employs ou sous-traitants du fournisseur ou par des tiers tels
que des pirates informatiques.
Concernant la
techniques):

scurit

du

systme

dinformation

(risques

La scurit des systmes d'information doit permettre de garantir :


La disponibilit des donnes et systmes sur des serveurs
mutualiss;
Lintgrit et
dgradation) ;

lauthenticit

des

donnes

(ni

perte,

ni

La confidentialit (vis--vis des tiers non-autoriss).


Algiers, Algeria, 8 September 2013

13

Principales proccupations et risques


du Cloud Computing
La confidentialit, la scurit et lintgrit des donnes non garanties:

Le Cloud Computing ne permet pas de garantir une confidentialit,


une intgrit et une scurit totales des donnes stockes. En
outre, la localisation des serveurs de stockage est mconnue du
client.

Lavenir est encore incertain en ce qui concerne la


scurit dans le Cloud Computing. Par consquent, les
questions qui doivent tre examines en toute urgence
sont celles lies la scurit, en particulier les aspects
lis la localisation et lidentification des donnes.
Il appartiendra aux prestataires des services Cloud de
rpondre aux attentes de leurs clients sur ce plan.
Algiers, Algeria, 8 September 2013

14

Principales proccupations et risques


du Cloud Computing
Linteroprabilit et la rversibilit dans le Cloud Computing

Les normes et les standards rgissant le Cloud Computing ne


sont pas encore un niveau de pouvoir assurer la clientle
lvitement des situations de blocage ou de verrouillage et de
dpendance lgard des prestataires de Cloud Computing.

Toutes ces considrations montrent la ncessit et


la pertinence de la mise en place de normes et de
standards permettant linteroprabilit et la
rversibilit dans le monde du Cloud Computing.

Algiers, Algeria, 8 September 2013

15

La rglementation du Cloud
Computing:
Les risques juridiques
Les principales questions poses par les entreprises sont :
Y a-t-il des principes rglementaires tablis spcialement pour
protger les utilisateurs du Cloud Computing?
Quels sont les services du Cloud Computing qui sont
conformes aux exigences des bonnes pratiques et aux
recommandations dj tablies?

Sur le plan juridique et rglementaire, lutilisateur a


tendance poser des questions juridiques du genre:

Algiers, Algeria, 8 September 2013

16

La rglementation du Cloud
Computing:
Dans quel pays (ou quelle rgion) le fournisseur des services Cloud
Computing est localis?
Est-ce que linfrastructure utilise (Data centres) est situe dans le
mme pays ou rgion?
Est-ce que le fournisseur des services Cloud est autoris utiliser
une infrastructure localise en dehors du pays de la rgion du
contrat?
O est ce que les donnes vont tre physiquement hberges?
Est-ce la juridiction comptente pour le contrat de services est la
mme que celle applicable pour la protection des donnes?
Est-ce que certains des services Cloud Computing offerts sont soustraits localement ou ailleurs?
Quel va tre le sort des donnes stockes dans le Cloud Computing
la fin du contrat?
Algiers, Algeria, 8 September 2013

17

La rglementation du Cloud
Computing:
Concernant lextraterritorialit

Linformatique en nuage pourrait impliquer la conservation


de donnes sur des serveurs situs dans des pays dont les
mcanismes de protection juridique des donnes sont
moindres ou moins efficaces que ceux prescrits dans un
autre pays qui ne relvent pas de la rglementation du
pays dorigine.
Un facteur de risques supplmentaire est ltendue de la
lgislation trangre, qui pourrait chercher imposer des
obligations de divulguer sur demande des donnes aux
autorits nationales.
Algiers, Algeria, 8 September 2013

18

La rglementation du Cloud
Computing:
Comme pour toute externalisation de
l'hbergement et de la conservation de
donnes, il est important de mener en
amont une tude de risques afin de dfinir
le niveau de scurit adapt pour chaque
type de donnes, voire de dterminer si une
donne peut ou non tre place dans le
nuage, tout en gardant l'esprit le fait que
la scurit des donnes en interne n'est pas
forcment meilleure et plus fiable que celle
offerte par un prestataire de Cloud
Computing.
Algiers, Algeria, 8 September 2013

19

La rglementation du Cloud
Computing:
Concernant les contrats
Le Cloud Computing peut tre sujet un cryptage de
donnes insuffisant ou parfois les fournisseurs pourraient ne
pas sauvegarder les donnes de manire adquate.
Le Cloud Computing pourrait tre soumis des politiques peu
claires concernant:

La proprit des donnes conserves et leur dure de


conservation.

La destruction des donnes dans le cas o un client ne


souhaite plus que certaines donnes soient disponibles sur le
serveur dinformatique en nuage ou lorsquil souhaite que les
donnes soient transfres une autre entreprise (Cloud
priv).

Algiers, Algeria, 8 September 2013

20

La rglementation du Cloud
Computing:
Le Cloud Computing pourrait poser des problmes relatifs
laccs aux donnes en utilisant un logiciel facilement
accessible par des parties tierces dans le cas o le client
met fin sa relation avec le fournisseur ou si ce dernier
change ou fait faillite.

Le prestataire du Cloud Computing doit


mettre en uvre les moyens techniques,
juridiques et organisationnels permettant
dassurer le niveau de scurit attendu par le
client tout au long de la vie du contrat.

Algiers, Algeria, 8 September 2013

21

La rglementation du Cloud
Computing: Vision Europenne
Aujourdhui, les droits de protection des donnes europens
sont rgis par la Directive 95/46/CE du Parlement europen
et du Conseil du 24 octobre 1995, relative la protection des
personnes physiques l'gard du traitement des donnes
caractre personnel et la libre circulation de ces donnes. La
Directive vise protger le droit de la vie prive, et les liberts
des personnes par rapport au traitement de donnes caractre
personnel.
Cette Directive fixe des limites strictes la collecte et
l'utilisation des donnes caractre personnel en Europe. Elle
interdit les transferts des donnes personnelles en dehors de
l'Union europenne. Elle sappuie donc sur le principe de
territorialit.

Algiers, Algeria, 8 September 2013

22

La rglementation du Cloud
Computing: Vision Europenne
Les transferts vers des pays tiers peuvent tre licites s'ils sont
encadrs et que les donnes personnelles font ainsi l'objet d'une
protection adquate.
Les outils ou procdures permettant d'encadrer ce type de
transfert, dvelopps au niveau europen, sont les "Clauses
Contractuelles Types" qui doivent tre signes entre les deux
entreprises concernes par le transfert, et les rgles internes
d'entreprise (BCR, binding corporate rules) qui permettent le
transfert de donnes au sein dun groupe.
Par ailleurs, les transferts sont autoriss destination des
entreprises amricaines ayant adhr au rgime du Safe
Harbor dans le cadre de l'accord conclu entre l'UE et les EtatsUnis en 2001.
Algiers, Algeria, 8 September 2013

23

La rglementation du Cloud
Computing: Vision Europenne
Ces freins et ce manque d'harmonisation incitent les
entreprises, responsables de traitement selon la loi, la
prudence et, pour viter tout risque, privilgier des offres de
Cloud Computing n'entranant pas le transfert des donnes
personnelles dont elles sont responsables en dehors de l'Union
Europenne.
Malgr les efforts de l'UE, les lois visant protger et stocker
les donnes sont obsoltes et ne peuvent pas rgler les
problmes juridiques que pose le Cloud Computing, comme le
fait de dterminer qui dtient les donnes qui ne sont plus
dtenues in situ.

Algiers, Algeria, 8 September 2013

24

La rglementation du Cloud
Computing: Vision Europenne
Le Constat quon peut faire:
La rglementation europenne actuelle n'est pas adapte au
Cloud Computing. Il reste des trous noirs dans la lgislation sur
la protection des donnes europennes, car les solutions
juridiques sont encore embryonnaires et ne prsentent pas toutes
les rponses toutes les proccupations. La rvision de la
Directive europenne 95/46/CE sur la protection des donnes,
condition ncessaire au dveloppement de projets de Cloud
Computing en Europe est devenue imprative pour prendre en
compte les besoins de l'informatique dans les nuages. C'est
pourquoi Bruxelles travaille sur une rvision de cette directive,
notamment pour tenir compte du Cloud Computing. Un premier
"darft" de cette rvision a t publi dbut 2012, mais il faudra
donc encore au moins deux ans avant que la nouvelle directive
soit applique.
Algiers, Algeria, 8 September 2013

25

La rglementation du Cloud
Computing: Vision Europenne
Les perspectives dvolution du cadre rglementaire au
niveau europen:
La rvision de la Directive de 1995, afin de prendre en
compte l'volution du monde numrique, obligeant les
socits tant europennes qu'trangres traiter avec les
autorits de chacun des vingt-sept Etats membres.
La Commission s'intresse depuis 2009 au phnomne du
Cloud Computing, en matire des risques lis la scurit
des donnes, la fiabilit des systmes, l'interoprabilit et la
transportabilit permettant de changer de fournisseur de
Cloud.
La Commission europenne a lanc trois actions spcifiques dans le
domaine de linformatique en nuage:
Algiers, Algeria, 8 September 2013

26

La rglementation du Cloud
Computing: Vision Europenne
Action essentielle 1: Mettre de lordre dans le chaos des normes.
Action essentielle 2: Des clauses et des conditions contractuelles
sres et quitables.
Action essentielle 3: Mettre en place un partenariat europen en
faveur de linformatique en nuage pour faire du secteur public un
moteur dinnovation et de croissance.

Mettre de lordre dans le chaos des normes


LInstitut europen de normalisation des tlcommunications
(ETSI) a institu un groupe nuage informatique charg
dtudier les besoins en la matire et la conformit aux normes
dinteroprabilit.

Algiers, Algeria, 8 September 2013

27

La rglementation du Cloud
Computing: Vision Europenne
Dialogue international

Les principaux axes stratgiques sont la cration de


partenariats pour stimuler ladoption de ces
technologies. Cest dans ce sens que lUE doit
approfondir sa collaboration structure avec les
partenaires internationaux, pour procder des
ajustements juridiques de nature favoriser un
dploiement plus efficient et efficace de linformatique
en nuage.

Algiers, Algeria, 8 September 2013

28

La rglementation du Cloud
Computing: Vision Amricaine
Certains voquent souvent les risques d'espionnage ou d'application
de lois de police nationales pour lutter contre le terrorisme, tel que le
US Patriot Act , comme l'une des problmatiques du Cloud
Computing. Ces aspects ne font en ralit pas partie des
problmatiques lies la rglementation des donnes personnelles,
mais relvent plutt des conventions internationales qui rgissent les
conditions de l'accs par les autorits de police et de dfense du
territoire d'une nation concerne aux donnes localises sur ce
territoire.
LUSA Patriot Act : loi amricaine, vritable pouvantail de
lexternalisation et fer de lance de la lutte antiterroriste US, cette loi
autorise les autorits amricaines faire des coutes et de la capture
de donnes et procder des contrles sur les serveurs bass aux
USA. Par consquent, elle constitue largument le plus prcieux des
opposants de lhbergement de donnes aux Etats-Unis.
Algiers, Algeria, 8 September 2013

29

Conclusion
Le Cloud Computing
prsente des avantages
certains mais aussi des
faiblesses et des trous
noirs dans la lgislation sur
la protection des donnes.
Ce qui reprsente lun des
plus srieux obstacles
ladoption de linformatique
en nuage.

Algiers, Algeria, 8 September 2013

Le constat quon peut faire


aujourdhui cest labsence
ce jour de rgime
rglementaire spcifique.
Le Cloud sinscrit
nanmoins dans un cadre
rglementaire complexe,
ce qui le positionne comme
labyrinthe juridique.

30

Conclusion
Pour profiter pleinement de ses avantages,
il faut mettre en place une rglementation
efficace, dynamique, claire, et cohrente
qui garantit la transparence, la protection
des donnes et le respect de leur intgrit,
et qui encourage l'innovation,
l'investissement et la concurrence au
niveau des infrastructures et des services
dmatrialiss, tout en protgeant les
intrts des consommateurs.

Algiers, Algeria, 8 September 2013

31

Merci pour Votre Attention


Melle Rafia BARKAT
r.barkat@arpt.dz

Algiers, Algeria, 8 September 2013

32