En 1999, notre structure était décentralisée sur nos 100 sites avec autant de serveurs locaux et une difficulté à déployer rapidement de nouvelles applications. Aujourd'hui, nos 300 applications sont centralisées sous Citrix avec des postes de travail virtualisés. Nos professionnels se connectent à toute heure, de n'importe quels PC ou tablette, sur la totalité de leur environnement.

La contrepartie de cette énorme souplesse de travail se situe dans le développement exponentiel des échanges de données et des besoins de stockage de celles-ci actuellement réalisé dans notre propre environnement. Les coûts (y compris d'énergie) augmentant, nous avons cherché à les réduire par différents moyens : suppression des stockages itératifs, acquisition de moyens « low-cost ». Ces dispositions atteignent maintenant leur limite et nous envisageons de nous tourner vers le « cloud computing ».

L'argument commercial du cloud computing réside dans la possibilité de stocker nos données à faible coût ainsi que de pouvoir les retrouver aisément à l'aide de moteurs de recherche performants. Nos contraintes internes sont les suivantes :

• Les données sont généralement des éléments sensibles concernant les clients donc soumises au secret professionnel. Le cabinet est garant du secret professionnel partagé entre ses membres.

• Les données doivent pouvoir être récupérées aisément, à n'importe quel moment et pouvoir être exploitées.

• En cas de décision d'évolution du SI du cabinet, l'ensemble des données confiées doit pouvoir être récupéré dans les conditions décrites ci-dessus (prestation de réversibilité).

Le prestataire acceptera-t-il une obligation de résultat eu égard à nos contraintes qui constituent pour notre cabinet un véritable pré requis ?

Isabelle Gavanon : Les contraintes en présence sont difficiles à concilier. Le prestataire, seul, n'est souvent pas en capacité de fournir la totalité du service de cloud ; il recourt à une chaîne d'acteurs souvent éparpillés dans plusieurs pays. Il n'envisage pas de voir sa responsabilité engagée sur la totalité de cette chaîne d'intervenants. Il sera donc éminemment réservé pour s'engager au titre d'une obligation de résultat pour garantir la bonne disponibilité, fiabilité, sécurité, confidentialité et réversibilité des données. Si le client a un impératif, besoin de sécurité des données, comme celles d'un cabinet d'avocats, la prudence le dissuadera de recourir à un contrat de cloud standard. Il devra exiger des niveaux de sécurité supérieurs, avec des solutions d'identification, gestion des identités, redondance, plan de secours externe... En revanche, confier le stockage de données ni sensibles, ni confidentielles peut se faire sans exiger du prestataire un fort degré d'engagement. Le Cigref a bien relevé les risques tenant notamment à la sécurité des données et à la réversibilité.

DB : Pourtant, les prestataires ne mettent pas en avant ces inconvénients.

IG : Effectivement, et ils devraient faire attention à la valeur juridique des présentations commerciales. Les juges ont très bien compris que les prestataires allèchent le chaland avec des offres commerciales qui présentent le cloud comme une solution sécurisante, puis se révisent en acceptant uniquement des engagements contractuels limités. Les juges ont tendance à regarder l'ensemble des échanges intervenus, y compris ceux à contenu commercial, pour identifier la cause réelle de l'engagement du client. Si ce dernier s'est fait promettre sécurité et réversibilité garanties, le prestataire ensuite ne pourra se réfugier derrière les seuls termes du contrat. Cette approche est d'autant plus marquée que le déséquilibre entre les parties est net.

DB : Que se passera-t-il si les engagements pris ne sont pas respectés ? Comment s'assurer d'une indemnisation « normale » par rapport au dommage subi, y compris l'atteinte à l'image ?

IG : Le prestataire, conscient que son offre présente des risques, sera déterminé à limiter le plus possible sa responsabilité. Toutefois, les juges peuvent identifier, à partir de l'ensemble des informations échangées, la ou les obligations essentielles du contrat. La limite de responsabilité est uniquement valable si elle ne prive pas de toute substance l'obligation essentielle. L'entier dommage est rarement réparé. Le montant des pénalités de non disponibilité, souvent faibles, peuvent être augmentés par le juge s'il est manifestement dérisoire.

DB : Quelle précaution prendre sur la réversibilité ?

IG : S'assurer du prix de la réversibilité et de sa faisabilité. L'exemple de contrat publié par le Syntec pour le SaaS indique que le prix de réversibilité sera déterminé en cours d'exécution du contrat. Le prix d'une prestation de services n'a pas à être déterminable lorsque les parties signent le contrat. Il peut l'être a posteriori et le juge ne pourra sanctionner que les abus. Cette clause crée un fort aléa pour le client.

DB : Comment savoir en permanence si les conditions de stockage sont conformes aux engagements contractuels pris ?

IG : Les clauses d'audit sont possibles mais la question est ensuite celle de leur effectivité pratique. Une analyse technique préalable de la qualité technique de l'offre est indispensable.

DB : Le prestataire peut-il sous-traiter sans notre accord tout ou partie de sa mission ? IG : Le contrat d'entreprise est en principe réputé conclu en considération de l'identité du contractant. Sauf clause spécifique dans le contrat, il faut donc l'accord du client pour sous-traiter, rarement demandé a posteriori.

DB : Les données du cabinet pourraient-elles être appréhendées par une autorité tierce quelconque ?

IG : Les règles d'ordre public du lieu des serveurs sont naturellement applicables, notamment pour les saisies de données par les pouvoirs de police locaux.

DB : Le stockage peut-il intervenir dans n'importe quel pays étranger ?

IG : Les règles protégeant les données personnelles sont d'ordre public et leur non respect est bien souvent pénalement sanctionné. L'exportation des données vers des pays n'offrant pas un niveau de protection équivalent soulève de vraies difficultés. La CNIL a toutefois récemment apporté certaines réponses. Si le stockage des données intervient sans détermination préalable précise de chaque pays concerné, la question du respect de cette loi reste encore à résoudre.

Il est maintenant clair que si le Cloud Computing peut être la réponse à la problématique de l'accroissement de la volumétrie des données, cette réponse doit être maniée avec énormément de précautions. L'obligation juridique, fût-elle de résultat et assortie de réelles sanctions, ne peut être la garantie absolue de la parfaite exécution de l'obligation souscrite.

L'offre commerciale de Cloud Computing est la réponse immédiate à un réel besoin mais c'est aussi une fuite en avant : pourquoi se préoccuper de trier des données pour supprimer celles qui sont redondantes ou sans intérêt et perdre ainsi du temps si les stocker automatiquement est plus simple ; un espace illimité et un bon moteur de recherche règleraient apparemment la question. D'où la tentation de surfer sur les problèmes contingents pourtant fondamentaux évoqués ci-dessus.

Il serait temps de se préoccuper de l'autre face du problème c'est-à-dire de rechercher les moyens d'identifier aisément les données à sauvegarder, d'éliminer tout aussi automatiquement les données redondantes et de réduire l'espace occupé dans le stockage. Il reste à inventer le "zip" du stockage. Mais cela ne fera sans doute pas l'affaire de certains.