Le cloud computing est une nouvelle forme de partage des ressources informatiques distribuées sur internet. Sans être une révolution juridique, le cloud fait ressurgir les questions qui se posaient déjà au début de l’outsourcing : quels sont les risques quant à la continuité et la qualité du service ? Quid des données, de leur confidentialité, sécurité et de leur géolocalisation ? Toutes les données peuvent-elles être hébergées dans un cloud ? Qu’en est-il de la responsabilité du prestataire, mais également du client ?
Restructuration du département de la pédiatrie de Gustave Roussy : Visite de ...
Les aspects Juridiques du Cloud Computing (Alexandre NAPPEY - Conférence MPI Toulouse 23112011)
1. Alexandre NAPPEY Carole FRANCO
Conseil en Propriété Industrielle Juriste TIC
MEYER & Partenaires
Conseils en Propriété Industrielle
Département Multimédia
Aspects juridiques du Cloud Computing
Quels sont les points clés à maîtriser avant de se lancer dans le cloud
jeudi 24 novembre 2011
2. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
INTRODUCTION
une infrastructure obtenue à la
virtuelle et partagée demande
Cloud
Computing
accessible partout et à pour laquelle on ne paie
tout moment que ce que l’on consomme
jeudi 24 novembre 2011
3. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
SOMMAIRE
I. Définir le projet de Cloud Computing
A. Définition précise du périmètre du projet et des besoins de l'entreprise
B. Choix du contrat le mieux adapté à l’entreprise
II. Maîtriser les risques inhérents au Cloud Computing
A. Sécurité, intégrité et confidentialité des données
B. Les données à caractère personnel
C. Localisation des données
D. Le Cloud Provider
III. Autres aspects du Cloud Computing
A. La propriété intellectuelle du nuage
B. Loi applicable au contrat
C. Assurer le Cloud
jeudi 24 novembre 2011
4. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
1. Définir le projet de Cloud Computing
a. Définition précise du périmètre du projet et des besoins de l’entreprise
Etablir un cahier des charges
- définition fonctionnelle des besoins
- quantifier le flux des données et documents traités par le Cloud
- quelles applications ?
- cadre réglementaire
Infrastructure as a Service, Platform as a Service ou Software as
a Service ?
Cloud privé, public ou hybride ?
jeudi 24 novembre 2011
5. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
1. Définir le projet de Cloud Computing
b. Choix du contrat le mieux adapté à l’entreprise cliente
Contrat d’adhésion
ou
Contrat de gré à gré
Elément clé de la réussite de votre projet de Cloud Computing
jeudi 24 novembre 2011
6. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
2. Maîtriser les risques inhérents au Cloud
a. Sécurité, intégrité et confidentialité des données
Confidentialité :
- audits externes
- cryptage
- coopération du Cloud Provider
Sécurité et intégrité :
- chiffrage des données
- protocole sécurisé (https)
- conditions d’accès
jeudi 24 novembre 2011
7. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
2. Maîtriser les risques inhérents au Cloud
b. Les données à caractère personnel
Article 2, al 3, Loi Informatique et
Libertés Directive Européenne 95/46
« Constitue une donnée à caractère
personnel toute information relative à une Directive Européenne 2002/58
personne physique identifiée ou qui peut
être identifiée, directement ou
indirectement, par référence à un numéro
Loi 6 janvier 1978, «Informatique et Libertés»
d’identification ou à un ou plusieurs
éléments qui lui sont propres. »
jeudi 24 novembre 2011
8. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
2. Maîtriser les risques inhérents au Cloud
b. Les données à caractère personnel
Identifier les données sensibles
- origines raciales ou ethniques,
- opinions politiques
- philosophiques ou religieuses
- santé des personnes
- données bancaires...
Eviter tout regroupement ou stockage sur serveurs identiques
jeudi 24 novembre 2011
9. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
2. Maîtriser les risques inhérents au Cloud
b. Le responsable du traitement
Responsable du traitement = personne qui détermine la nature et
les finalités du traitement
- établissement sur le territoire français
- moyens de traitement situés sur le territoire français
- respect des obligations légales
CLIENT
Dans le contrat
- qui est responsable du traitement, qui effectue un traitement ?
- ensemble des traitements ne seront opérés que sur instructions
et contrôle des utilisateurs
jeudi 24 novembre 2011
10. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
2. Maîtriser les risques inhérents au Cloud
c. Localisation des données
Transfert des données dans l’Union Européenne
Transfert des données hors de l’Union Européenne
- Principe : interdiction
- Exceptions :
- le pays est adéquat selon la Commission Européenne
- clauses contractuelles types approuvées par la Commission
Européenne
- Règles internes d’entreprise
- adhésion de l’entreprise américaine au Safe Harbour
- exception prévue par l’article 69 de la loi Informatique et
Libertés
Définir contractuellement la localisation des serveurs hébergeant les données
jeudi 24 novembre 2011
11. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
2. Maîtriser les risques inhérents au Cloud
d. Le Cloud Provider
Continuité et qualité du service
- Service Level Agreement
- Attention au jargon juridique - exemple :
« Surveillés au sein du réseau Fournisseur par les systèmes de surveillance Fournisseur, les serveurs
individuels délivreront 100% de disponibilité. Seuls les échecs dus à des problèmes Fournisseur connus
dans les couches matérielles ou d’hyperviseur distribuant les serveurs individuels peuvent constituer des
erreurs et sont donc couvertes par ce contrat de niveau de services ».
Responsabilité fournisseur/client
- effectuer un partage
- encadrement particulier : traçabilité, accès frauduleux, atteinte
à l’intégrité, perte des données sensibles...
- réparation ?
jeudi 24 novembre 2011
12. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
2. Maîtriser les risques inhérents au Cloud
d. Le Cloud Provider
Intuitu Personae
- Relation de confiance
- Identité des sous-traitants du Cloud Provider
- Conséquences du changement de personne
Réversibilité
- Facteurs
- Conditions
- Coûts
jeudi 24 novembre 2011
13. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
3. Autres aspects du Cloud Computing
a. Nuage et propriété intellectuelle
Quels droits respectifs ?
système de
gestion des CLOUD
CLIENT
données PROVIDER
- services - plateforme mise à disposition
- données - infrastructure informatique
- applications - logiciels
jeudi 24 novembre 2011
14. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
3. Autres aspects du Cloud Computing
b. Loi applicable au contrat
Contexte international
Etude des systèmes juridiques en jeu
Localisation des datacenters
jeudi 24 novembre 2011
15. Aspects juridiques du Cloud Computing MEYER & Partenaires
Quels sont les points clés à maîtriser avant de se lancer dans le cloud Conseils en Propriété Industrielle
Alexandre NAPPEY/Carole FRANCO - 23 novembre 2011
3. Autres aspects du Cloud Computing
c. Assurer le Cloud
Parce que
- obligation de notification
Ordonnance du 24 août 2011
- montant important des indemnités
Avoir des garanties permettant d’indemniser les tiers
jeudi 24 novembre 2011
16. MEYER & Partenaires
Conseils en Propriété Industrielle
Vous remercie de votre attention
Alexandre NAPPEY / Carole FRANCO Département Multimédia
dns@meyer-partenaires.com CS 50052
http://www.meyer-partenaires.com 67012 STRASBOURG CEDEX
4 rue de Dublin
http://www.voxpi.info 67300 SCHILTIGHEIM
tél : 03.88.52.82.52
jeudi 24 novembre 2011