Saint Georges, martyr, et la lègend du dragon.pptx
conference_droit-cloudcomputing_2012
1. cloud + droit
vincentgautrais
professeur titulaire
faculté de droit
crdp
université de Montréal
chaire en droit de la sécurité et des affaires électroniques
www.gautrais.com
7. “an emerging architecture by which data and
applications reside in cyber space, allowing
users to access them through any web
connected device.”
(John B. Horrigan) (2008)
8. “Cloud computing refers to a variety of
technologies that transfer the responsibility for a
computing activity (such as storage or processing)
from a local computer to a network of remote
computers over the Internet. The remote
computers are generally operated by a thirdparty cloud service provider.”
James Kosa (2010)
9. « This computing trend isfuelling a mass
migration of information, once stored on the
hard drives of personal computers, to remote
servers in a domaincontrolledby online service
providers. » (Nied – 2011)
13. 0.2.1 – perspective politique
efficacitéredoutable et étranged’interpol …
pour une infraction de ‘viol par surprise’
14. 0.2.1 – perspective politique
“Yep. For years people have extolled cloud
computing as the way of the future. The
lesson of the last week is simple: be careful
what you wish for.”
John Naughton(2010)
15. 0.2.2 – perspective constitutionnelle
balance entre
sécurité
nationale
liberté
d'information
16. 0.2.3 – perspective de
gestiondocumentaire
“situveuxtuer ton chien, tudisqu’il a la rage”
27. ex.1
Loiconcernant le cadre juridique des technologies de
l’information(Quebec) (2001)
34. Lorsque la loi déclare confidentiels des
renseignements que comporte un document, leur
confidentialité doit être protégée par un moyen
approprié au mode de transmission, y compris sur des
réseaux de communication.
La documentation expliquant le mode de transmission
convenu, incluant les moyens pris pour assurer la
confidentialité du document transmis, doit être
disponible pour production en preuve, le cas échéant.
29. ex.2
Personal Information Protection and Electronic
Documents Act, S.C. 2000, c. 5
4.7 Principle 7 — Safeguards
Personal information shall be protected by security safeguards appropriate
to the sensitivity of the information.
4.7.3
The methods of protection should include
(a) physical measures, for example, locked filing cabinets and restricted
access to offices;
(b) organizational measures, for example, security clearances and limiting
access on a “need-to-know” basis; and
(c) technological measures, for example, the use of passwords and
encryption.
4.7.4
Organizations shall make their employees aware of the importance of
maintaining the confidentiality of personal information.
36. exemples de documents
• document de l’avocatdans le cadre de la relation
avec son client
– confidentiel
– intégrité
– disponibilité
• document d’un Inc. dans le cadre d’une relation
avec un consommateur
– confidentiel
– intégrité
– disponibilité
37. exemples de solutions
• solution techniques sontdisponibles
(tellesque le chiffrement) (pas le point le +
important)
– toujoursunebalance entre confortvssécurité
– toujoursunebalance entre $$$$$ vssécurité
•
•
•
•
documentation estsouventnécessaire
normespeuventêtreutilisées (tellesque ISO)
ressourceshumaines + education
etc.
39. simple hébergement (ISP)
22. Le prestataire de services qui agit à titre d'intermédiaire
pour offrir des services de conservation de documents
technologiques sur un réseau de communication n'est pas
responsable des activités accomplies par l'utilisateur du
service au moyen des documents remisés par ce dernier ou à
la demande de celui-ci.
Cependant, il peut engager sa responsabilité, notamment s'il a
de fait connaissance que les documents conservés servent à
la réalisation d'une activité à caractère illicite ou s'il a
connaissance de circonstances qui la rendent apparente et
qu'il n'agit pas promptement pour rendre l'accès aux
documents impossible ou pour autrement empêcher la
poursuite de cette activité.
40. garde
26. Quiconque confie un document technologique à un prestataire de
services pour qu'il en assure la garde est, au préalable, tenu
d'informer le prestataire quant à la protection que requiert le
document en ce qui a trait à la confidentialité de l'information et
quant aux personnes qui sont habilitées à en prendre connaissance.
Le prestataire de services est tenu, durant la période où il a la garde
du document, de voir à ce que les moyens technologiques convenus
soient mis en place pour en assurer la sécurité, en préserver
l'intégrité et, le cas échéant, en protéger la confidentialité et en
interdire l'accès à toute personne qui n'est pas habilitée à en prendre
connaissance. Il doit de même assurer le respect de toute autre
obligation prévue par la loi relativement à la conservation du
document.
42. processus de sécurité
• categorisation de l’information
QUOI
• ApprochepluridisciplinaireCOMMENT
• Identification de la personne
responsable du processusQUI
• lieu des serveurs OÙ
• processus ‘work in progress’
47. principales questions contractuelles
•
•
•
•
•
qui est responsable?
quel est le droit applicable?
quel est le niveau de sécurité?
qui est le propriétaire des données / logiciels?
comment le client utilise les services de
cloud?
• où sont les données?
• comment se résilie le contrat?
• etc.
48. général
• free
• 7 pages
• Several documents by
reference (as
privacypolicy, copyright,
complaint, etc.)
• contract may be
changed by Amazon
with no specific notice
• $$$$ / free
• 23 pages
• several documents by
reference (as privacy
policy)
• contract may be
changed by Amazon
with no specific notice
51. sécurité
You agreethat Google has
no responsibility or liability
for the deletion or failure to
store any Content and other
communications maintained
or transmitted by Google
services.
no mention
7.2. Security. Westrive to
keepYour Content secure, but
cannotguaranteethatwewillbe
successfulatdoingso, given the
nature of the Internet.
Accordingly, without limitation
to Section 4.3 above and
Section 11.5
below, youacknowledgethatyo
ubear sole responsibility for
adequatesecurity, protection
and backup of Your Content
and Applications. Westrongly
encourage you ...
52. propriété
• Google’srights
– Software
– Marks
– Advertisement
information
• Yourrights
– Non-exclusive right and
license to use the object
code of itssofware
– Data
• Amazon properties:
–
–
–
–
Software
Marks
Platform
feedback
• customerproperties
– License
– Data
– Some applications
53. permission
2 – APPROPRIATE CONDUCT
You understandthat all
information, data, text, software, music, s
ound, photographs, graphics, video, messa
ges or othermaterials ("Content") are the
sole responsibility of the
personfromwhichsuch Content originated.
Google reserves the right, but shall have
no obligation, to prescreen, flag, filter, refuse, modify or move
any Content available via Google services.
You understandthat by using Google
services youmaybeexposed to Content
thatis offensive, indecent or
objectionable, and thatyou use Google
services atyourownrisk. For some
services, Google providestools to filter out
adultsexual
content, includingourSafeSearchpreferenc
e settings …
4.1 Permitted uses
generally
4.2 Restricted uses
generally
54. data location
• no information in
contract but…
• no information in
contract but…
• … for sure there are
some server farms in US
• … for sure there are
some server farms in US
55. PATRIOT Act
• Providing Appropriate Tools Required to
Intercept and Obstruct Terrorism (2001)
– enhance American authorities control ability
– lack of transparency about the law application
56. some providers offerinsurancethat data are
not store outside a specific place
ex.: lawyer obligation (as British Columbia in
Canada) Seehttp://www.lawsociety.bc.ca/publications_forms/rules/rules_part03.html#3-68
57. et + largement en Europe
25(1). The Member States shallprovidethat the transfer
to a third country of personal data which are
undergoingprocessing or are intended for
processingaftertransfermaytake place only
if, withoutprejudice to compliancewith the national
provisions adoptedpursuant to the other provisions of
this Directive, the third country in question ensures an
adequatelevel of protection.
European directive (1995)
58. résiliation
ou may discontinue your use
of Google services atany time.
You agreethat Google
mayatany time and for
anyreason, including a period
of
accountinactivity, terminateyo
uraccess to Google
services, terminate the
Terms, or suspend or
terminateyouraccount. In the
event of
termination, youraccountwillb
edisabled and youmay not
begrantedaccess to Google
• Immediatly(for
Amazon) in some cases
(hacking, inappropriate
content, etc.)
• 5 or 15 days (after a
notice) (for Amazon) in
other cases (as payment
problem)
63. ex.
• affaires eBay
– avril 2008en France = Hermes v. eBay (lire Manara
)
• pas un éditeur
• pas un hébergeur
• au milieu = responsabilité de l’hébergeur renforcée
– 2000 in USA = Hendrickson c. eBay
• VERO (VerifiedRightsOwner) application
• pas de responsabilité
63
66. dans quelle catégorie se situent les
prestataires de services cloud?
• difficileà dire…
• important de lire le contrat
• $$$ ougratuitestassurément un critère
• dans les 2 cas, évaluer la diligence du
prestataire de services cloud
73. R. v. Patrick, 2009 SCC 17
[62] Nevertheless, until the garbage is placed at or within reach
of the lot line, the householder retains an element of control
over its disposition and cannot be said to have unequivocally
abandoned it, particularly if it is placed on a porch or in a garage
or within the immediate vicinity of the dwelling where the
principles set out in the メperimetercases such as Kokesch, Grant
and Wiley apply.
[63] (…) However, when the garbage is placed at the lot line for
collection, I believe the householder has sufficiently abandoned
his interest and control to eliminate any objectively reasonable
privacy interest.
73
84. obligation d'information
26. Quiconque confie un document technologique à un prestataire de services
pour qu'il en assure la garde est, au préalable, tenu d'informer le prestataire
quant à la protection que requiert le document en ce qui a trait à la
confidentialité de l'information et quant aux personnes qui sont habilitées à
en prendre connaissance.
Le prestataire de services est tenu, durant la période où il a la garde du
document, de voir à ce que les moyens technologiques convenus soient mis
en place pour en assurer la sécurité, en préserver l'intégrité et, le cas
échéant, en protéger la confidentialité et en interdire l'accès à toute
personne qui n'est pas habilitée à en prendre connaissance. Il doit de même
assurer le respect de toute autre obligation prévue par la loi relativement à
la conservation du document.
(garde au Qc)
89. première étape
• lire le contrat
– toujours présent
– toujours la loi du prestataire (moins cher)
– toujours la cour prestataire (moins cher)
– arbitrage peut être une bonne solution
90. seconde étape
• siriendans le contrat …
• chercherensuite le droit applicable
• 3112 CCQ et le lien de connexité le plus
étroit.
93. • assez simple pour la plupart des situations
–
–
–
–
client
client
prestataire
prestataire
= propriétaire des données
= droit d’usage logiciels (licence)
= propriétaire des logiciels
= gardien (ou hébergeur) des
données
mais …
94. propriété des données peut être
compromise
• faillitedu prestataire
• compatibilité des données (difficileàmigrer)
– ex: facebook
• licence non-exclusive du propriétaire des
données au prestataire
– ex: facebook
– ex: google
95. 11.1 You retain copyright and anyotherrightsyoualreadyhold
in Content whichyousubmit, post or display on or through, the
Services. By submitting, posting or displaying the content
yougive Google a perpetual, irrevocable, worldwide, royaltyfree, and non-exclusivelicenseto
reproduce, adapt, modify, translate, publish, publiclyperform, pu
blicly display and distributeany Content whichyousubmit, post or
display on or through, the Services. This licenseis for the sole
purpose of enabling Google to display, distribute and promote
the Services and mayberevoked for certain Services as defined in
the AdditionalTerms of those Services.
96. certaines données peuvent être créées
par le prestataire
• métadonnées ou data miningproduites par le
prestataires sur les activités du client
– peut être confidentiel (si PI - prp)
– peut être agrégé
97. conclusion
• pas sinouveau
• lire le contrat
• rédiger des documentation pour montrer la
diligence (peutallerjusqu’à des audits)
• identifier la personneen charge des
donnéesmises en cloud
• comprendreque le cloud est un processusworkin-progress
• etc.
98. cloud + droit
vincentgautrais
professeur titulaire
faculté de droit
crdp
université de Montréal
chaire en droit de la sécurité et des affaires électroniques
www.gautrais.com