« I want Europe to be not only cloud-friendly but cloud-active », avait déclaré Neelie Kroes, World Economic Forum, le 13 janvier 2012… Alevizopoulou Vasiliki, membre de Forum ATENA, juriste spécialiste cloud (elle termine le Mastère Expert Architecte cloud computing de l’ISEP) développe ici les aspects juridiques et la question des normes, afin de mieux mesurer les réflexions en cours.
Le cloud computing est une révolution pour l’informatique, une révolution industrielle, organisationnelle, technologique et aussi, bien sur et nécessairement, réglementaire et juridique. Le cloud computing est pour l’informatique la concrétisation de la révolution numérique, il n’en révèle aujourd’hui que les premiers domaines d’applications, les premiers services pour les entreprises et les individus, se proposant dans un futur proche de réinterroger bien d’autres activités humaines.
De nouvelles technologies, comme la virtualisation ou le stockage en réseau, associées à des économies d’échelle considérables ont permis l’apparition d’offres de services informatiques à distance ou dans le « cloud ». Même si l’offre d’hébergement sous toutes ses formes (SaaS, IaaS, PaaS) s’est bien développée en Europe, ce sont les Etats-Unis qui tirent le mieux leur épingle du jeu, par leur dynamisme, leur compréhension des évolutions du marché, la présence des plus grandes entreprises de l’IT, et le bénéfice d’un meilleur facteur d’échelle. L’ensemble de ces facteurs a favorisé le développement des grands leaders mondiaux comme Amazon, Microsoft, Google, Apple, IBM, Oracle ou Salesforce.
En contraste, peu de grands leaders émergent en Europe, même s’il y a des success stories comme OVH avec plus de 150 000 serveurs, par exemple. Pourtant, de nombreuses entreprises de technologie, petites et grandes, ont compris et anticipé la transition en cours, ainsi que certaines grandes écoles, comme l’Isep, qui accompagne les entreprises dans la transition vers le cloud par l’organisation d’un Mastère, aux côtés de partenaires américains, mais aussi français comme Sogeti.
A remarquer également le dynamisme d’entreprises européennes dans les prestations d’accompagnement, et dans le développement d’outils, particulièrement dans le monde du libre et dans l’innovation, en adoptant une stratégie « ouverte » et en recourant fortement à l’Open Source. A suivre dans l’actualité, pour mesurer la profondeur de ce mouvement, les Eurocloud Awards, organisés par l’association Eurocloud, qui vont récompenser les meilleures entreprises dans six domaines liés au cloud. Plusieurs entreprises françaises et de nombreuses entreprises européennes sont d’ores et déjà sélectionnées.
En parallèle et par contraste, l’impact du cloud sur l’individu et sur la société a été perçu en Europe comme un possible danger, et a donné lieu à de nombreux débats sur la protection des données personnelles et sur le plan de la souveraineté des États. Les écoutes de la NSA ont favorisé la prise en conscience, provocant un mouvement de défiance vis-à-vis des sociétés américaines, et nous permettant de nous interroger.
Ce premier temps passé, des réflexions plus approfondies sont en cours, l’exploitation massive des données n’étant pas nécessairement incompatible avec la nécessaire protection des données personnelles, les premiers exemples de ce changement d’approche sont déjà visible dans l’actualité.
L’Europe saura-t-elle concilier opportunité technologique et respect éthique ? L’enjeu est considérable, notre sensibilité continentale peut être un atout, si nous savons nous montrer entreprenants, imaginatifs, rapides, pragmatiques et surtout positifs dans cette recherche d’équilibre entre protection et opportunités.
L’Etat de l’art des projets de cloud européens
En 2012, la Commission européenne dans sa stratégie numérique pour l’Europe se démontrait très favorable au développement des projets cloud européens. La plus-value de ces projets paraît indiscutable avec un fort potentiel au niveau de la création d’emplois consistant en un véritable levier de la croissance européenne. La mise en œuvre d’un marché numérique unique au niveau européen permet d’accélérer cette dynamique de croissance. Le cloud joue donc un rôle très actif en matière de lutte contre la crise économique en Europe.
La création d’un marché numérique unique demeure une source d’interrogation teintée d’inquiétude pour les professionnels de l’IT. Plusieurs points restent à préciser, quant à la faisabilité de ces projets, afin qu’ils soient techniquement et économiquement viables. Le marché numérique unique dans lequel évoluent les acteurs cloud européens doit rester un marché ouvert, compétitif et favorable à l’amélioration des normes pour stimuler l’état d’avancement technologique.
Les conditions du marché concurrentiel doivent être respectées, afin de pouvoir bénéficier pleinement des vertus de la concurrence en termes de croissance économique. À cet effet, il convient d’inciter les entreprises de l’IT à élaborer une stratégie d’investissement durable favorisant la productivité et l’innovation.
L’objectif final ne consiste pas à la création d’une infrastructure européenne cloud invincible. Toutefois, une telle ambition peut toujours être défendue par une entreprise européenne dans un niveau individuel. Par contre, les organes institutionnels européens, cherchent plutôt à fédérer les initiatives des acteurs cloud européens au niveau régional et local.
D’un point de vue collectif les bénéfices du développement des projets cloud sont incontestables. Le développement rapide du secteur commercial, industriel et social, avec l’émergence du cloud peut le confirmer. La mise en place du projet « cloud pour l’Europe, 2013-2016 » en témoigne la confiance accordée par le secteur public aux acteurs cloud. Ce projet collectif vise à surmonter les difficultés rencontrées par les utilisateurs. À cet effet, une définition plus précise du périmètre des services et des offres paraît souhaitable. La promotion de la recherche industrielle pour l’innovation technologique va aussi dans ce sens.
La normalisation du cloud en Europe
La création d’un marché numérique unique est aussi facilitée par l’adoption des normes européennes communes pour le cloud. Selon le rapport final « cloud Standards Coordination » (CSC), rendu par l’Institut européen des normes de télécommunication (ETSI), en 2013, le processus de normalisation est loin d’être chaotique. Il est admis que l’effort de recensement des offres et des services cloud n’est pas une chose aisée mais le rapport souligne que la richesse de projets cloud se trouve dans la multiplicité des acteurs entrant dans le marché. Cette dynamique est la marque unique des technologies cloud nécessitant une classification des normes de référence applicables en la matière.
L’importance de la mise à disposition d’un vocabulaire technique commun est primordiale. Ce vocabulaire s’applique aussi bien en matière B to C qu’en matière B to B. L’efficacité de la réglementation des activités cloud est d’ailleurs liée à la construction d’un vocabulaire homogène et unifié. Il paraît important en tenant compte de l’état de maturité des offres cloud actuelles de pouvoir appliquer les mêmes règles sur l’ensemble des offres existantes.
Le rapport précité a permis de créer une cartographie détaillée, suite à l’étude de plusieurs centaines de cas d’usage de la technologie cloud. Le résultat de cette étude était d’aboutir à l’élaboration d’une grille des normes, indispensable pour le développement du marché cloud européen. La présente analyse réalisée par le CSC a permis de mettre en évidence les points qui nécessitent une attention particulière et notamment l’interopérabilité du système informatique, la portabilité des données traitées ainsi que la gestion des aspects de sécurité et de confidentialité, assurée par les fournisseurs cloud.
Les offres cloud sont finalisées par l’acceptation d’un certain nombre de documents contractuels qui permettent de définir en amont les spécificités techniques de chaque espèce. Une brève liste de ces documents consiste au contrat d’engagement et les éventuels avenants mais aussi aux documents dénommés communément SLA (Service Level Agreement) et PLA, moins réputé (Privacy Level Agreement). Ces deux derniers documents permettent d’identifier les besoins des clients et de proposer un service fiable en toute transparence. Ils peuvent aussi rendre possible une meilleure prise en charge des vulnérabilités et des faiblesses éventuels, liés à la technologie du cloud computing.
La multiplicité des acteurs intervenant dans le secteur IT ainsi que le caractère mondial des projets cloud soulignent la nécessité d’une analyse de conformité du cadre juridique européen et international. Le recours à un opérateur cloud, situé de l’autre côté de l’Atlantique, est facilité par le développement du secteur ICT qui ne cesse d’accroître.
Or, la gestion du contentieux, le cas échéant, est moins évidente, face aux contraintes liées à la conformité avec les lois et la réglementation outre-Atlantique.
Enfin, l’adoption de normes est favorisée par la disponibilité de produits Open Source. L’Europe y contribue fortement – un exemple en est le framework OpenStack. Ceci permet aux acteurs d’être plus compétitifs et aux clients de choisir et de changer plus facilement.
Des projets de législation européenne du cloud en cours
La réglementation européenne visant à réformer le droit de la protection des données personnelles a l’ambition de vouloir restaurer la confiance des propriétaires des données, traitées quotidiennement à l’occasion de la mise en place de projets à caractère commercial.
Dans le cas du cloud, la réforme européenne datant du mois de mars dernier a un impact considérable à l’activité commerciale du secteur. La question de la sécurité et de la confidentialité des données occupe une place centrale et se trouve au cœur de cette nouvelle réglementation, notamment à partir de sa mise en vigueur, en 2015. La question épineuse de la gestion de données en amont ou en aval des projets cloud reste encore à préciser.
L’énoncé de nouveaux droits et obligations des responsables de traitement des données forcent les professionnels de l’IT à revoir leur politique de sécurité et de confidentialité des données. Il convient de réviser non seulement la pratique professionnelle au niveau interne mais aussi avec les tiers intervenant dans le cadre de ce traitement. Les relations entretenues avec les sous-traitants et les autres opérateurs assistant le responsable de traitement principal sont donc visées par cette réforme.
Les droits des personnes confiant leurs données aux fournisseurs cloud doivent aussi être scrupuleusement respectés selon la nouvelle directive.
Le droit d’accès, le droit à l’oubli ainsi que la nécessité d’obtenir le consentement de la personne concernée par un traitement risque de contraindre les fournisseurs européens ou autres, à revoir leur politique légale, à la vue de la nouvelle réglementation européenne. Cela étant dit, la nouvelle tendance est de capter une part du marché plus importante, grâce à la confiance accordée par les clients. Le nouvel environnement cloud européen consiste donc à un environnement ouvert et transparent, capable à inspirer le sentiment d’une sécurité accrue aux utilisateurs.
Le futur marché numérique unique européen ne doit pas être fragilisé par la méfiance des consommateurs, démontrée suite aux révélations d’espionnage ou d’autres affaires obscures dans l’histoire de l’IT. L’objectif est de promouvoir la collaboration entre les acteurs cloud sans que le critère de nationalité soit un frein afin que les relations commerciales puissent fleurir sans regard à l’espace géographique.
La question de la sécurité et de la confidentialité des projets cloud semble être la boîte de Pandore pour la grande majorité de professionnels.
Les recommandations et les meilleures pratiques concernant l’adoption des mesures techniques de sécurité formulées, à ce jour, paraissent satisfaisantes. Le risque de non-conformité avec les nouvelles règles européennes est beaucoup moins maîtrisable, notamment en tenant compte du régime de sanction qui devait être mis en place prochainement.
L’année 2015, marquera alors un mouvement de responsabilisation des acteurs cloud suite au durcissement de la politique européenne en matière de protection des données.