Vous êtes sur la page 1sur 21

http://www.linkedin.

com/company/lexing
Au 21me sicle, tre assist dun avocat qui ne matrise pas les technologies avances quivaut se priver dun savoir qui permet de limiter les risques et daccrotre les chances de succs.

Rseau mondial des avocats spcialiss en droit des technologies avances

CRISSIER, VENDREDI 1ER JUIN 2012

Enjeux et Scurit du Cloud Computing

| |

Allemagne | Belgique | Italie | Liban | Maroc

Canada | Espagne | | Norvge | Suisse

Etats-Unis

France

Isral

cloud computing

PLAN DE LEXPOSE :
1. 2. 3. 4. Prolgomnes Dfinitions Cadre juridique Conclusions

PAGE 03

Suisse

Me Sbastien Fanti

sebastien.fanti@sebastienfanti.ch

cloud computing

PROLEGOMENES:
Le 29 fvrier 2012 1h45 (GMT), la plate-forme de cloud services Windows Azure tombe sur 4 de ses 6 plaques mondiales pendant une dure oscillant entre 12h et 48h. Cette interruption de services a son origine dans un bogue logiciel gnrant une erreur de calcul de dates sur les annes bissextiles ; la dcharge de Microsoft, Azure ouvert en 2010 na pas connu dautre anne bissextile que 2012. Cette panne a laiss sur le carreau plusieurs sites cls, dont la fameuse place de march du gouvernement britannique, le Cloudstore.
Le 7 mars 2012 vers 5h (GMT), le service Facebook tombe en panne plus de 3 heures sur les plaques Europe, Afrique et Moyen-Orient. Principale cause avance, celle de la dfaillance des serveurs DNS europens de Facebook entranant linaccessibilit du site. Points du doigt, les Anonymous ont dmenti tre mls cet incident. En tout tat de cause, le communiqu officiel de Facebook ne laisse filtrer aucune explication. Rappelons-nous que Facebook avait dj rencontr un problme de configuration BGP en aot 2010. Source: solucom INSIGHT, 13.3.2012
Suisse | Me Sbastien Fanti |

PAGE 04

sebastien.fanti@sebastienfanti.ch

cloud computing

PROLEGOMENES:
Ces incidents ne sont pas isols: - Incidents de Google (trois en 2009, celui de 05/2010, puis de 02/2011 et de 09/2011), - Incidents dAmazon et de son service EC2 (12/2010, 04/2011, 08/2011), - Incidents du prcurseur Salesforce.com (02/2008, 01/2009, 01/2010), etc. Ils ne doivent pas occulter les avantages procurs: Service la demande (lasticit et clrit); Accs ubiquitaire au rseau; Agrgation des ressources indpendamment du lieu de connexion; Paiement la carte selon la consommation = rduction des cots; Augmentation de la capacit de calcul; etc.
| Suisse | Me Sbastien Fanti |
PAGE 05

sebastien.fanti@sebastienfanti.ch

cloud computing

PROLEGOMENES:
Le mandataire prendra toutes les mesures organisationnelles et techniques appropries pour viter tout traitement non autoris des donnes personnelles en application de larticle 7 de la loi fdrale sur la protection des donnes. Le fichier constitu par les donnes clients fait l'objet d'une dclaration au Prpos fdral la protection des donnes et la transparence (numro de registre 201200002). Le mandant est toutefois inform du fait que le mandataire ne peut garantir que les donnes le concernant ne soient pas communiques ltranger dans un pays ne bnficiant pas dune lgislation assurant un niveau de protection adquat. Cela est notamment d intrinsquement la communication par courriel, au stockage dans les nuages (cloud computing), ainsi quaux logiciels de bureautique les plus courants, tant prcis que le mandataire nest lui-mme rgulirement pas inform de cette communication transfrontire de donnes par les diffrents prestataires. Le mandant consent cette communication transfrontire de donnes le concernant (art. 6 al. 2 let. b LPD). Si tel ne devait pas tre le cas, il sollicite immdiatement du mandataire la prise de mesures de protection spcifiques et dclare formellement en assumer le cot supplmentaire.
| Suisse | Me Sbastien Fanti |

PAGE 06

sebastien.fanti@sebastienfanti.ch

cloud computing

DEFINITIONS :
Dfinition du National Institute of Standards and Technology (NIST) : Le Cloud Computing est un modle pour permettre laccs ais et la demande un ensemble de ressources de calculs configurables qui peuvent tre rapidement provisionnes et mises disposition avec un effort dadministration ou des interactions avec le fournisseur de services minimes . lments techniques: Plusieurs serveurs distants interconnects ; Bande passante rseau trs importante (fluidit) ; Gestion des interfaces en mode Web ; Utilisation du navigateur Web.

PAGE 07

Suisse

Me Sbastien Fanti

sebastien.fanti@sebastienfanti.ch

cloud computing

DEFINITIONS :
Modles de dploiement: - Clouds privs: a) Rseau interne une seule entit ; b) Transformation du datacenter interne en un nuage grce des technologies comme la virtualisation et lautomatisation ; - Clouds communautaires: plusieurs organisations utilisent la mme infrastructure;

- Clouds publics: infrastructure dfinie et gre par le prestataire, hic: localisation; ex: Evernote
- Clouds hybrides: utilisation coinjointe dun nuage public et priv.
PAGE 08

Suisse

Me Sbastien Fanti

sebastien.fanti@sebastienfanti.ch

cloud computing

DEFINITIONS :
Gr par le client

Saas
Applications Logiciels excutables Scurit et intgration

Paas
Applications Logiciels excutables Scurit et intgration
Bases de donnes

Laas
Applications Logiciels excutables Scurit et intgration
Bases de donnes

Gr par le client

Gr par le prestataire

Bases de donnes

Gr par le prestataire

Serveurs Virtualisation
Serveur hardware

Serveurs Virtualisation
Serveur hardware

Serveurs

Gr par le prestataire

Virtualisation
Serveur hardware

hbergement Rseau

hbergement Rseau

hbergement Rseau

PAGE 09

Suisse

Me Sbastien Fanti

sebastien.fanti@sebastienfanti.ch

cloud computing

DEFINITIONS : fournisseurs

et

clients

HP, Cap Gemini, Amazon, Google, IB M, SAP, Intel, Cisco, Oracle, Orange Business Services, Red Hat, Osiatis, Gosis SA, Microsoft, Salesforce, Outscale, Apple, Yahoo!, Foliocloud, Dell, Centix, Quadria, OVH, LexisNexis, SFR, CA Technologies, Sony, Magirus, Huawei, Wyse, Netapp

PAGE 010

Suisse

Me Sbastien Fanti

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs linformatique dans les nuages :

- Perte de contrle sur les donnes: principalement lorsque lon a recours des nuages publics; sous-traitance? protection adquate? Lutilisateur du nuage ne peut plus dans ces conditions assumer totalement ou partiellement ses obligations en matire de protection des donnes, soit:
a) Garantir la scurit des donnes;

b) Accorder un droit daccs;


c) Corriger ou effacer des donnes - Manque de sparation et disolation des donnes: les donnes dutilisateurs nayant aucun lien entre eux sont traites dans le mme nuage et par le mme systme (architecture partage). Cela gnre le risque quune attaque contre un utilisateur affecte les autres (hacking, vol de donnes, dni de service). Le compartimentage est essentiel.
| Suisse | Me Sbastien Fanti |

PAGE 011

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs linformatique dans les nuages :

- Violation des normes lgales et rglementaires: la dissmination des donnes peut engendrer des problmes en matire de protection et de scurit des donnes, mais galement sagissant du respect dautres obligations lgales telles que :
a) conservation des donnes et des preuves b) Sauvegarde du secret, etc. Cest lentreprise ou lautorit qui a recours de tels services qui rpond principalement des rgles en matire de protection des donnes et non le prestataire qui enregistre et traite les donnes dans un cloud.

- Accs dautorits trangres aux donnes: les donnes sont souvent enregistres ou traites dans des pays qui ne leur assurent pas une protection suffisante. Les prestataires de services peuvent se voir ordonner par des autorits ou des tribunaux trangers de donner accs ces informations mme si ces donnes ne sont pas traites dans le pays en question, ex: patriot act, etc.
| Suisse | Me Sbastien Fanti |

PAGE 012

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs linformatique dans les nuages :

- Dpendance : vis--vis du prestataire notamment en raison:


De la faible portabilit et de la faible interoprabilit des services en nuage (rapatriement ou migration des donnes complexe et onreuse); Des clauses contractuelles souvent trs favorables aux prestataires (proprit intellectuelle, for et droit applicable, engagements limits):
Scurit des informations personnelles Microsoft sengage protger la scurit de vos informations. Nous mettons en place des techniques et des mesures organisationnelles en vue d'assurer la scurit du Service. Ce dispositif comprend diverses technologies et procdures de scurit destines vous aider protger vos informations contre tout accs, utilisation ou divulgation non autoriss. Par exemple, nous stockons vos informations personnelles sur des systmes informatiques dont l'accs est limit et qui se trouvent dans des salles contrles. Certaines donnes personnelles peuvent avoir un caractre particulirement confidentiel pour vous ou votre organisation, et partant exiger un niveau de scurit que nous n'assurons pas. Il vous appartient, vous ou votre organisation, de dterminer si notre scurit rpond vos besoins. Source : http://www.microsoft.com/online/legal/?langid=fr-fr&docid=1
| Suisse | Me Sbastien Fanti |

PAGE 013

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs linformatique dans les nuages :

- Dpendance : vis--vis du prestataire notamment en raison:


Des clauses contractuelles souvent trs favorables aux prestataires (proprit intellectuelle, for et droit applicable, engagements limits):
mettre en uvre toutes diligences commercialement raisonnables - des priodes dindisponibilit programmes que nous planifierons autant que possible pendant les heures de week-end

IBM NE GARANTIT PAS LE FONCTIONNEMENT ININTERROMPU OU SANS ERREUR DES SERVICES, DES COMPOSANTS DE SERVICE, DES LOGICIELS TIERS OU DU LOGICIEL D'ACTIVATION, NI QU'IBM POURRA EMPCHER LES PERTURBATIONS DES SERVICES PAR DES TIERS OU QU'ELLE CORRIGERA TOUS LES DFAUTS. (source : Z1258499-09_SmartCloud_Agreement_International_05Dec2011_(sign)_France FR.doc)

Prfrer des niveaux de services garantissant 99.5 99.99 de bout en bout

PAGE 014

Suisse

Me Sbastien Fanti

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs linformatique dans les nuages :

- Dpendance : vis--vis du prestataire notamment en raison:


Des clauses contractuelles souvent trs favorables aux prestataires (proprit intellectuelle, for et droit applicable, engagements limits):
Vous ntes pas autoris accder aux Services si Vous tes Notre concurrent direct, sauf avec Notre consentement pralable. De plus, Vous ntes pas autoris accder aux Services aux fins de suivre leur disponibilit, leurs performances ou leurs fonctionnalits, ni toute autre fin comparative ou concurrentielle Source : http://www.salesforce.com/fr/company/msa.jsp

Cela quivaut une interdiction de benchmarker! Vos obligations es qualit de client: - Usage des services - Donnes et licit du contenu - Paiement sinon suspension
| Suisse | Me Sbastien Fanti |

PAGE 015

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs linformatique dans les nuages :

- Dpendance : vis--vis du prestataire notamment en raison:


Des clauses contractuelles souvent trs favorables aux prestataires (proprit intellectuelle, for et droit applicable, engagements limits): Les obligations des fournisseurs sont souvent obscures:

un labyrinthe documentaire ...et des formules comme :


We may change, discontinue, or depreciatefrom time to time (We) may make commercially reasonable changes from the Services from time

to time

Il sagit dobligations de moyens de type: (We) use commercially reasonable efforts to make the purchased services available 24 hours a day.
| Suisse | Me Sbastien Fanti |

PAGE 016

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs linformatique dans les nuages :

- Dpendance :
Limitation de responsabilit : IBM SmartCloud (France):
12.1 Cas dans lesquels la responsabilit dIBM peut tre engage Des circonstances peuvent survenir o, en raison dune dfaillance du fait dIBM, le Client a droit recouvrer des dommages dIBM. L'entire responsabilit d'IBM pour tous dommages et pertes pouvant apparatre comme une consquence de l'inexcution de ses obligations ou autres responsabilits d'IBM en vertu ou en relation avec le prsent Contrat ou pour toute autre cause lie au prsent Contrat ; quelle que soit la cause , la forme ou l'objet de l'action en responsabilit contractuelle ou quasi-dlictuelle, IBM ne sera responsable qu' concurrence des seuls dommages et pertes rels et prouvs qui sont la consquence immdiate et directe d'un manquement

ses obligations ou d'une excution fautive de celles-ci, tous faits gnrateurs confondus, dans la limite du plus
lev des deux montants suivants : 500 000 euros, ou les charges (si rcurrents, 3 mois s'appliquent) que vous avez payes pour le service qui a caus les dommages. La limite ci-dessus ne s'applique pas aux dommages corporels (incluant le dcs) et dommages aux biens mobiliers et immobiliers, pour lesquels IBM est lgalement responsable.
| Suisse | Me Sbastien Fanti |
PAGE 017

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici les risques majeurs relatifs linformatique dans les nuages :

- Dpendance :
Limitation de responsabilit : IBM SmartCloud (France):
12.2 Cas dans lesquels la responsabilit dIBM ne peut tre engage La responsabilit dIBM ne pourra tre engage en cas : a. de perte de bnfices, mme si celle-ci est la consquence immdiate de lvnement lorigine des dommages ; b. de dommages indirects, mme sil tait possible de les prvoir ou quIBM ait eu connaissance de leur possible survenance ; c. de perte ou de dtrioration de Contenu, et

d. de perte d'activit commerciale, de revenu, de clientle (y compris latteinte la rputation et limage de


marque) ou dconomies escomptes

Absence de rglement alternatif des diffrends (mdiation et arbitrage).


PAGE 018

Suisse

Me Sbastien Fanti

sebastien.fanti@sebastienfanti.ch

cloud computing

CADRE JURIDIQUE :
Voici une grille danalyse des problmatiques rsoudre:

PAGE 019

Suisse

Me Sbastien Fanti

sebastien.fanti@sebastienfanti.ch

cloud computing

CONCLUSIONS ET CONSEILS:
Sassurer que les donnes sont stockes et traites exclusivement en Suisse par des socits ayant leur sige en Suisse; Ngocier les contrats avec le fournisseur de services en vue de rtablir le dsquilibre entre les parties; Porter attention des points essentiels: For, droit applicable, confidentialit, localisation des donnes, niveaux de service, pnalits et responsabilits et rversibilit (tests). Tester rgulirement les services; Ngocier la fin des rapports contractuels (PV de restitution et certificat de suppression); Conclure une assurance de perte dexploitation; Solliciter du Prpos comptent un contrle de conformit; tablir une charte interne
Suisse | Me Sbastien Fanti |

PAGE 020

sebastien.fanti@sebastienfanti.ch

Allemagne
Buse Heberer Fromm Rechtsanwlte Bernd Reinmller, Tim Caesar et Stephan Menzemer Neue Mainzer Strasse 28 60311 Frankfurt Am Main T. 0049 699 71 09 71 00 F. 0049 699 71 09 72 00 reinmueller@buse.de www.buse.de

Belgique
elegis Jean-Franois Henrotte jf.henrotte@avocat.be http://lexing.elegis.be Lige Place des Nations-Unies, 7 4020 Lige T. 0032 43 42 30 50 F. 0032 70 22 52 22 Bruxelles Boulevard de la Woluwe, 60 1200 Bruxelles T. 0032 22 40 15 20 F. 0032 70 22 52 22

Canada
Langlois, Kronstrm, Desjardins Richard Ramsay et Jean-Franois De Rico jean-francois.derico@lkd.ca www.langloiskronstromdesjardins.com Montral 1002, rue Sherbrooke Ouest, 28e tage H3A3L6 Montral T. 0015 148 42 95 12 F. 0015 148 45 65 73 Qubec 801, Grande Alle Ouest, Bureau 300 G1S1C1 Qubec T. 0014 186 50 70 00 F. 0014 186 50 70 75

Espagne
Alliant Abogados Asociados SLP Marc Gallardo Gran Via Corts Catalanes 702 08010 Barcelone T. 0034 93 265 58 42 F. 0034 93 265 52 90 marc.gallardo@alliantabogados.com www.alliantabogados.com

Etats-unis
IT Law Group Franoise Gilbert 555 Bryant Street #603 Palo Alto, CA 94301 T. 0016 508 04 12 35 F. 0016 507 35 18 01 fgilbert@itlawgroup.com www.itlawgroup.com

France
Alain Bensoussan, Isabelle Tellier et Frdric Fortster www.alain-bensoussan.com Paris 29, rue du Colonel Pierre Avia F75508 Paris cedex 15 T. 0033 141 33 35 35 F. 0033 141 33 35 36 paris@alain-bensoussan.com Grenoble 7, place Firmin Gautier F38000 Grenoble T. 0033 476 70 09 95 F. 0033 476 70 09 96 grenoble@alain-bensoussan.com

Isral
Livnat, Mayer & Co Russelle D. Mayer Jrusalem Technology Park, Building 9, 4th Floor P.O. Box 48193 Malcha 91481 Jrusalem T. 0097 226 79 95 33 F. 0097 226 79 95 22 mayer@lmf.co.il www.livmaylaw.co.il

Italie
Studio Legale Zallone Raffaele Zallone 31 Via DellAnnunciata 20121 Milano T. 0039 229 01 35 83 F. 0039 229 01 03 04 r.zallone@studiozallone.it www.studiovallone.it

Maroc
Bassamat & Associe Fassi-Fihri Bassamat 30 rue Mohamed Ben Brahim Al Mourrakouchi 20000 Casablanca T. 00212 522 26 68 03 F. 00212 522 26 68 07 contact@cabinetbassamat.com www.cabinetbassamat.com

Mexique
Langlet, Carpio y Asociados Enrique Ochoa Torre Axis Santa Fe Prolongacin Paseo de la Reforma # 61, PB-B1 Col. Paseo de las Lomas 01330 Mxico, D.F. T. 0052 55 25 91 10 70 F. 0052 55 25 91 10 40 eochoa@lclaw.com.mx www.lclaw.com.mx

Norvge
Fyen Advkatfirma DA Arve Fyen Postboks 7086 St. Olavs pl. 0130 Oslo T. 0047 21 93 10 00 F. 0047 21 93 10 01 arve.foyen@foyen.no www.foyen.no

Royaume-Uni
Preiskel & Co LLP Danny Preiskel 5 Fleet Place London EC4M 7RD T. 0044 20 7332 5640 F. 0044 20 7332 5641 dpreiskel@preiskel.com www.preiskel.com

Suisse
Sbastien Fanti Avocat & Notaire 8B rue de Pr-Fleuri, CP 497 1951 Sion T. 0041 27 322 15 15 F. 0041 27 322 15 70 sebastien.fanti@sebastienfanti.ch www.sebastienfanti.ch

| Rseau mondial des avocats spcialiss en droit des technologies avances