Contenu

Choisir un cloud : dix conseils aux entreprises

Au XXIe siècle, les données d’une société concernant le personnel, les affaires, les clients, les salaires, les poursuites, les transactions, la comptabilité, la fiscalité, etc. sont d’une importance capitale. En principe stockées sous forme électronique sur des serveurs ou des ordinateurs individuels, ces données peuvent aussi être hébergées ailleurs, par exemple sur le cloud.

Stocker les données de sa société sur le cloud n’est pas une chose à prendre à la légère. En effet, la société va confier des données personnelles et organisationnelles à un tiers qui sera contractuellement chargé de les collecter, de les stocker ou plutôt, de manière générale, de les traiter. Comme les données sortent de la maitrise effective de la société, cette dernière doit au préalable s’assurer qu’elles seront bien traitées.

Pour les sociétés qui décideraient de franchir le pas, voici quelques conseils de base.

Localisation des données

  1. Les données doivent être traitées – j’entends le terme “traiter” au sens légal issu de l’art. 3 de la loi sur la protection des données (à savoir toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données) – dans le même pays que la société dont elles proviennent, en l’occurrence la Suisse. Tous les pays n’exigent pas le même niveau de sécurité qu’en Suisse, et tous n’ont pas des normes juridiques semblables. Les pays de l’Union européenne ont un cadre réglementaire similaire au nôtre et pourraient faire de bons candidats pour la sélection d’un cloud, mais par principe il vaut mieux ne pas communiquer ses données à l’étranger.

  2. Le corolaire du premier principe est de pouvoir s’assurer de la localisation “physique” des données. Des représentants de la société doivent pouvoir se rendre sur place, constater et s’assurer que les données sont bien là où l’hébergeur dit qu’elles sont. Cette vérification doit pouvoir être faite en tout temps.

Négociation du contrat

  1. Un critère important du choix de l’hébergeur est sa capacité à fournir une prestation sur mesure, personnalisée. Toutes les sociétés n’ont pas les mêmes intérêts ni les mêmes données. Il faut donc que le service cloud que propose l’hébergeur soit adapté et adaptable. Un service standard sous forme d’un contrat type ou de clauses générales est à proscrire. L’idéal serait de venir à la table des négociations avec un juriste ou un avocat afin qu’il vérifie le contrat et protège au mieux les intérêts de la société.

  2. La confidentialité des données doit être assurée. Il est donc dans l’intérêt de la société d’établir un chiffrement des données garantissant que l’hébergeur n’a pas accès aux données qui lui sont confiées (par ex. un chiffrement du côté de la société, transfert via un canal chiffré, etc.), et d’introduire dans le contrat des clauses pénales voire des pénalités financières (sous réserve d’un dommage plus élevé à établir) en cas de violation du devoir de confidentialité.

  3. La société doit tester régulièrement le service cloud. A cet égard, elle peut demander à inclure dans le contrat une clause concernant l’audit des prestations de l’hébergeur par un tiers qu’elle aura sélectionné. L’audit pourra porter sur le respect du contrat de service et la conformité aux exigences légales sur la protection des données, ainsi que la vérification des mesures de confidentialité et de sécurité (cf. point 8).

  4. Le for applicable en cas de litige sera un élément déterminant. À moins que l’hébergeur ait son siège à l’étranger, auquel cas il cherchera sans doute à élire le for dans son pays (ce qui lui donne un avantage indirect devant les tribunaux qui peuvent chercher à le protéger), le for devrait se trouver en Suisse. Les conditions pour une élection de for se trouvent à l’art. 17 du Code de procédure civile. Le for en matière pénale ou celui d’une procédure administrative ne peuvent être librement choisis.

  5. Les modalités concernant la fin de la relation contractuelle doivent être détaillées. Non seulement les données doivent être restituées, mais l’hébergeur doit être en mesure de certifier qu’il n’est plus en leur possession. A cet égard, il peut être judicieux de demander l’établissement d’un certificat relatif à la restitution et à la suppression des données.

Contrôles

  1. La sécurité des données doit être assurée. L’hébergeur doit mettre en place des mesures et systèmes de contrôle destinés à empêcher les soustractions de données (concernant la soustraction de données en droit suisse, voir cet article) ainsi que les fuites. Il doit donc disposer d’instruments informatiques visant à empêcher notamment les intrusions, mais il doit aussi former et sensibiliser ses employés concernant ces risques. De plus, des mesures de sécurité visant le personnel doivent également être adoptées et connues de celui-ci, en particulier afin de faire obstacle aux vols de données en interne.

  2. Tant la société que l’hébergeur devraient demander des conseils au Préposé fédéral à la protection des données et à la transparence (ou au préposé cantonal si c’est un organe de l’État qui souhaite utiliser les services d’un cloud privé). La démarche est judicieuse pour l’hébergeur, car cela peut constituer un gage de confiance supplémentaire auprès de ses clients. Pour la société, cela lui permettra notamment d’être sensibilisée à certaines problématiques. Selon le mandat du Préposé fédéral quant au secteur privé, il “agit avant tout en tant que conseil. Il explique notamment la loi sur la protection des données et ses ordonnances d’exécution, offre aide et conseil en matière d’enregistrement de fichiers, en cas de déclaration de flux transfrontières de données, ainsi que lors de l’octroi/l’exercice du droit d’accès”.

Assurances

  1. Il serait avisé pour la société de conclure une assurance de protection juridique permettant de couvrir les frais d’un éventuel procès (pénal ou civil), afin d’éviter de vider la trésorerie ou de devoir renoncer à porter une affaire devant les tribunaux par manque de liquidités. En effet, si c’est elle la demanderesse, il lui reviendra de verser des avances de frais qui peuvent se chiffrer en milliers de francs. Une assurance pertes d’exploitation devrait aussi être considérée afin de couvrir le cas où les données ne seraient plus accessibles suite à un dysfonctionnement du cloud. Dans une telle situation, les données étant indisponibles, c’est toute la société qui peut se retrouver paralysée, et donc subir des dommages comme une perte sur son chiffre d’affaires.