«Plus on descend dans l'échelle des entreprises, moins évidente est la capacité de pouvoir disposer de Data center». C'est là un constat dressé par Mehdi Kettani, vice-président Business Services chez Inwi. Du coup, le recours au cloud computing devient la solution évidente à ces PME à faible capacité d'investissement en informatique. En effet, c'est la solution sensée révolutionner le monde de l'entreprise et qui commence, selon les opérateurs, petit à petit à prendre pied dans les entreprises marocaines. Néanmoins, recourir au cloud computing, aussi avantageux qu'il puisse paraître, peut également devenir une source de tracas pour la PME. En effet, si dans la pratique le cloud computing est clairement une solution permettant à l'entreprise d'améliorer sa gestion informatique et d'améliorer sa productivité, il n'en demeure pas moins qu'il engendre aussi des risques qui, dans certains cas, peuvent s'avérer cruciaux pour la viabilité même de l'entreprise, surtout quand celle-ci fait partie de la catégorie des PME. C'est du moins ce que l'on fait valoir auprès du cabinet d'avocats Lefevre Pelletier, pour qui le recours au cloud computing nécessite en parallèle une bonne maîtrise des risques juridiques qui peuvent en découler. C'est principalement le cas des clauses contenues dans les contrats que signe l'entreprise avec le fournisseur de services Cloud. «Les contrats standards tels qu'ils sont établis permettent souvent aux prestataires de se retrouver en position de force», souligne Xavier Pican, associé au sein du cabinet d'avocat Lefèvre Pelletier. Dans les faits, il s'avère en effet, que les prestataires sont souvent considérés comme un simple sous-traitant, alors que la nature des données gérées n'est-elle pas prise en compte. «Il s'agit principalement de données sensibles comme celles des clients de l'entreprise», soutient Mehdi Kettani. En d'autres termes, considérer le partenaire comme prestataire ne prend pas suffisamment en compte les questions liées à la protection des données. C'est du moins ce que concluent les experts de la nature des contrats signés dans le cadre d'une opération de cloud computing. Pourtant, la propriété intellectuelle est la valeur même de certaines PME qui ne disposent que du «savoir» comme capital. «Quand on entre dans l'économie du savoir, la propriété intellectuelle devient une condition de base et si on ne la protège pas, il y en aura plus», ajoute le vice président de Inwi. Certes, les données sont susceptibles d'être protégées au titre de la propriété intellectuelle, dès lors qu'elles remplissent les conditions d'accès à la protection par un droit de propriété intellectuelle. Il s'agit notamment du droit d'auteur, droit de propriété industrielle, savoir faire et secret de fabrique. Cependant, la préservation des apports du client, s'assurer de l'absence de contrefaçons et la répartition des droits sur les apports partagés nécessitent des clauses exhaustives dans les contrats. Le revers de la médaille Que se passe-t-il alors si ces conditions ne sont pas respectées ? Que se passe-t-il quand une entreprise ayant recouru au cloud découvre des infractions dans ses relations avec le «prestataire»? Dans la pratique, il faut savoir que la quasi-majorité des opérateurs qui offrent aujourd'hui des solutions cloud sont aux Etats Unis. Sales Forces, Amazon... et d'autres sont des entreprises régies par la réglementation américaine. Or, en cas de conflit, la PME ayant utilisé du cloud n'a d'autre choix que de recourir au droit américain. Or, dans ce cas là, le coût à supporter pour une procédure judiciaire aux Etats Unis peut s'avérer très couteux pour une PME qui, à la base, en recourant au cloud souhaitait réduire ses coûts. C'est là un aspect qui peut bien faire l'objet d'une négociation lors de l'établissement du contrat. Or, de l'avis même des juristes, difficile pour une PME de faire valoir sa position lors de la négociation d'un contrat avec un prestataire cloud de renommée mondiale. C'est dire la complexité de la chose et la prédominance de la loi du plus fort dans les contrats cloud. Pis encore, la nature des prestataires du cloud implique également une autre problématique, encore plus contraignante pour les PME. C'est ce que les experts appellent la réversibilité des données. En effet, que toutes les données soient transmises à l'étranger implique la nécessité que les contrats prévoient de clauses spécifiques liées à la récupération des données, lorsque le contrat est épuisé. Cela implique, selon Xavier Pican, la nécessité d'inclure dans les contrats des clauses de réinitialisation et de migration des données vers des systèmes cloud concurrents. Le droit à la récupération des données participe en tout cas à la sécurité de l'engagement Cloud computing. Sur ce volet du transfert des données à l'étranger, le cabinet Lefèvre va encore plus loin en recommandant aux PME d'insister lors de l'élaboration des contrats, sur le fait que le pays qui reçoit les données respecte les droits de protection de la vie privée. Certes, pour l'heure, les acteurs du Cloud computing garantissent le fait qu'on puisse récupérer ses données, en ayant pour cela des méthodes et des outils ad hoc. Ils ont au minimum une «Cloud APIs», une sorte d'interface technique qui permet de récupérer ses données. Cela n'empêche, que contractuellement, souvent cet aspect ne fait pas l'objet de textes écrits. Xavier Pican, Associé en droit de la Propriété Intellectuelle et Nouvelles Technologies, Lefèvre Pelletier & associés, Avocats. «Il y a d'importants avantages financiers liés à la flexibilité» Les Echos quotidien : Concrètement, que peut apporter le cloud computing à l'entreprise ? Xavier Pican : Le cloud computing apporte fondamentalement de la flexibilité à la gestion informatique. Cependant, la contrainte est qu'il faut être très précautionneux sur les aspects contractuels. C'est donc clairement un atout pour l'entreprise avec notamment des gains de productivité, mais sans pour autant sous-estimer ses risques, qu'il faut connaître. Justement quels sont les risques que peut induire le recours au cloud ? Les principaux risques sont de nature juridique, auxquels il faut ajouter la confidentialité des données et les risques qui peuvent naître du transfert des données. Dans le cadre du cloud, les données sont en effet souvent transférées à l'étranger. Il faudrait donc s'assurer de la réversibilité, afin de pouvoir les récupérer. Il faudrait également veiller à ce que l'intégrité des données soit garantie tout au long de l'exécution du contrat, et puis aux aspects liés aux garanties et au droit applicable. Finalement, les coûts qu'engendrent ces risques ne rendent-ils pas le cloud inintéressant, particulièrement pour les petites structures ? Il y a, in fine, d'importants avantages financiers qui émanent, entre autres de la flexibilité. Et puis le monde est aujourd'hui très interconnecté. Si les grandes entreprises se mettent aujourd'hui au cloud, cela va tôt ou tard influencer les PME, qui seront obligées de suivre la tendance. Je pense que si ces risques sont bien gérés, le cloud reste finalement intéressant pour les entreprises. De la nécessité de se prémunir Et si les contraintes liées à l'utilisation du Cloud pouvaient être anticipées? En tout cas, le cabinet Lefèvre Pelletier ne manque pas d'apporter sa vision des précautions qu'il faut prendre en signant un contrat cloud. Le premier, est sans nul doute celui lié à la situation de la relation contractuelle dans le temps et dans l'espace. En d'autres termes, il s'agit là de la localisation des données qu'il faut préciser dans les contrats, afin d'évaluer si le traitement a lieu dans une zone à risque ou pas, et ce que pourrait demander un recours à la justice comme coûts. Le cabinet d'avocat préconise par ailleurs la négociation des clauses relatives à la loi applicable et au juge compétent pour traiter des litiges. Sur un autre registre, assurer dans les contrats la confidentialité des données, pourrait être une solution pour mieux gérer les risques émanant de l'utilisation du cloud dans l'entreprise. Cependant, pour ce faire, il faudrait insérer dans les contrats une obligation renforcée pour les données sensibles, les professions soumises au secret professionnel et les secteurs règlementés. Parmi les recommandations des juristes, figure également l'insertion d'une clause de confidentialité et les conséquences d'une perte accidentelle de données. Ceci permet en effet d'impliquer le prestataire dans l'utilisation par des tiers des données de l'entreprise. Point de vue Mehdi Kettani, Vice président Inwi Facebook, Twitter, Linkdin... beaucoup de sites sociaux utilisent aujourd'hui les principes du cloud computing. Cependant, les risques que supporte une personne à titre individuel ne sont pas les mêmes pour une entreprise. Il est de ce fait primordial d'éviter de calquer les habitudes du grand public sur l'entreprise. Surtout que plusieurs opérateurs offrent aujourd'hui des services gratuits pour le cloud. Il faut se méfier de tout ce qui est gratuit, parce qu'un service gratuit implique d'autres moyens pour générer des revenus et on sait jamais comment cela se concrétise.
