“ Pourquoi 2018 pourrait être
l’année du cloud ? ”
Olivier Iteanu,
Avocat
On dit que dans le monde de l’entreprise, plus d’un milliard de professionnels travaillent de manière connectée et en cloud. D’ici 2025, on prévoit que ce chiffre devrait doubler. Le Cloud est en forte croissance à deux chiffres chaque année depuis 15 ans. 2018 n’aura pas dérogé à la règle. Aussi, 2018, aura été une année à peu près comme les autres et d’un point de vue économique, elle ne peut être qualifiée de grande année du cloud.
Le Gouvernement de la France a annoncé le 3 juillet 2018, une stratégie claire de l’Etat dans le domaine du cloud. Les annonces sont ambitieuses et l’Etat entend y associer le secteur privé. Dans sa stratégie de renforcer la souveraineté numérique et de maitriser les données de l’Etat, les entreprises européennes devraient aussi avoir la part belle. C’est une très bonne nouvelle. Mais si en tant que juriste, nous entrevoyons que l’année 2018 sera peut-être l’année du cloud, ça n’est pas non plus pour cette annonce, dont on attend d’ailleurs qu’elle soit suivie d’effet.
Non, si nous considérons que 2018 pourrait être l’année du cloud, c’est en raison de l’actualité juridique et réglementaire dont nous aurons été les témoins. Cela pourrait surprendre et nous voudrions expliquer alors pourquoi.
En premier lieu, le RGPD bien sûr. L’évènement de ce règlement entré en application le 25 mai 2018, est la nouvelle soumission de tous les fournisseurs de cloud à la réglementation en matière de données personnelles. Auparavant, ces fournisseurs, ceux que le RGPD appelle les « sous-traitants », n’étaient pas directement concernés par la CNIL et la réglementation spécifique qu’elle applique depuis 1978. Avec le RGPD, c’en est fini. Le responsable de traitement comme le sous-traitant, ont des obligations insérées dans le RGPD. Certaines sont communes aux deux acteurs, comme en matière de sécurité, d’autres sont différentes, comme la notification de violation de données que le responsable de traitement doit adresser à la CNIL sous peine de sanctions alors que le sous-traitant doit l’adresser, lui, au responsable de traitement, son donneur d’ordre, sous peine de sanctions. Au passage, on mesure à quel point le terme anglais « processor » a été mal traduit en français par « sous-traitant ». Cette traduction laisse à penser qu’au regard du RGPD, seul le responsable de traitement peut être responsable, puisque c’est dans son nom. Or, rien n’est plus faux, le sous-traitant endosse désormais de fortes responsabilités en cas de manquements. C’est une très grande partie de l’apport du RGPD et elle concerne quasi immanquablement, la filière cloud en son entier.
En second lieu, l’année 2018 aura été le témoin de la transposition en droit français de la directive NIS pour Network and Information Security. C’est l’ANSSI qui aura été le maitre d’œuvre de cette transposition ayant abouti au vote par le Parlement d’une Loi datée du 26 février 2018. Cette Loi prévoit des obligations particulières de sécurité et de continuité du service pour deux catégories d’acteurs : les opérateurs de services essentiels « au fonctionnement de la société ou de l’économie » et les fournisseurs dits de service numérique. Parmi ces derniers, l’article 10 de la Loi y intègre les services d’informatique en nuage, c’est-à-dire ceux qui fournissent « un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées. » En plus d’obligations de sécurité particulières, ces fournisseurs de services numériques, lorsqu’ils sont établis hors de l’Union Européenne et offrent des services en France, doivent désigner à l’ANSSI, un représentant établi en France.
Certes, toutes ces réglementations et lois sont des contraintes supplémentaires pour les acteurs du cloud. Mais elles ont pour objectif ou peuvent avoir pour effet, de rééquilibrer les relations entre utilisateurs, clients et fournisseurs de cloud. Elles peuvent ainsi créer de la confiance et faire sauter les derniers verrous qui rendaient réticents les utilisateurs professionnels à l’usage du cloud. Pour cette raison, l’année 2018 pourrait alors avoir été l’année du cloud.
