ADBS
L'association des professionnels de l'information
et de la documentation

Un blog alimenté par l'ADIJ permet de consulter les rapports des ateliers et le programme des prochains ateliers consacrés au cloud computing.

Parmi les points abordés lors de l'atelier du 28 avril 2011 (1), voici ceux que j'ai choisis de présenter.

Quelques coups durs pour l'avenir du cloud

Sans hacker et même sans cloud, gérer des données personnelles en toute sécurité est déjà un défi. C'est ce que vient de démontrer l'UNESCO qui exposait depuis plusieurs années les données personnelles de ceux qui avaient déposé leur candidature auprès de l'organisation.

Les affaires, très récentes, de Sony, dont les données personnelles de 77 millions de clients avaient été dérobées par des hackers, mais surtout la panne du cloud d'Amazon, même si celle-ci ne serait due qu'à une erreur humaine, risquent de freiner l'engouement pour le cloud, alors que l'« informatique dématérialisée» représente un secteur économique en plein développement.

Une obligation : la notification

Notifier les problèmes rencontrés dans la gestion des données personnelles de ses clients est une obligation légale aux Etats-Unis depuis une dizaine d'années.C'est ce qui explique très certainement le nombre et la densité des communiqués détaillés publiés en ce moment par Sony ou Amazon.

La notification sera également imposée en Europe, après la transposition des directives du Paquet Télecom (2)dont la date limite est fixée au 25 mai 2011. En France, c'est par ordonnance(sans passer par le Parlement) que devrait être transposée la directive « vie privée et communications électroniques », la directive européenne du Paquet qui contient cette procédure. Lorsque le texte sera adopté, la notification s'imposera à tous les opérateurs de télécommunications et aux fournisseurs d'accès à internet (FAI), mais à terme aussi, comme on le pressent déjà, à tous les autres secteurs d'activité. Sous peine de sanction, toute organisation sera amenée à informer les personnes concernées de toute mise en danger de leurs données personnelles. Il leur faudra également informer la CNIL et s'engager à prendre une série de dispositions.

Un marché pour les assurances

La responsabilité pour des dommages immatériels liée à la problématique des données personnelles a créé un marché pour les assurances. La notification obligatoire qui a, en quelque sorte, stimulé ce marché aux Etats-Unis aura le même impact en Europe. Si en cas de fuite ou de perte de données, les sommes exigées pour réparer le préjudice atteignent très rapidement des montants astronomiques, la procédure de notification, impliquant que l'on communique largement sur la question, contribuera immanquablement à en accentuer les effets.

Certes, la notification n'est pas uniquement liée au cloud mais à l'ensemble des traitements informatiques, même si aucune opération n'a été externalisée. Il n'en reste pas moins que le cloud exacerbe les craintes, ne serait-ce que parce qu'il est difficile de connaître  précisément la localisation des données et leur cheminement, celles-ci étant en perpétuel mouvement autour du monde,  comme indiqué lors du 1er atelier.

Des produits  d'assurance ad hoc

Le responsable du traitement des données étant jugé responsable des conséquences de la faille informatique, il lui appartient d'obtenir des garanties lui permettant d'indemniser les tiers pour la perte ou  le vol des données dont il avait la garde.

Dans cette situation, le courtier en assurances est appelé à jouer un rôle majeur.Interface entre le client et la société d'assurances, c'est lui qui, en fonction d'un contexte donné, va bâtir un package client, un ensemble de solutions viables, pour lesquelles il faudrait encore beaucoup de créativité,le domaine étant loin d'être borné. Les différents produits  donnant différentes garanties (perte de revenus, perte de données, interruption de services, etc.) qui seront proposés au client varieront selon le type d'activité du client, sa notoriété, ses choix techniques (où la certification pourrait jouer un rôle), ses outils juridiques mis en œuvre (les garanties contractuelles), etc. Outre ses connaissances dans le domaine juridique, il  appartient également au courtier  d'avoir des connaissances techniques et de savoir, par exemple, que les délais pour identifier une faille seraient passés d'un an à 3 semaines.

Mais les  assurances, spécialisées dans certains domaines,  ne  couvrent pas tous les problèmes rencontrés.Par ailleurs, contrairement aux Etats-Unis où une culture de l'assurance contrela fraude existe depuis 10 ans, le marché européen, immature, s'avère trop étroit. C'est ce que Hiscox, société représentée lors de l'atelier et pionnière en Europe, a souligné en ajoutant qu'il faudrait que d'autres sociétés d'assurance opèrent dans cette région du monde, pour mettre en place des systèmes de  coassurance et empiler les capacités.

Si, lors d'une interruption de service avec perte d'exploitation, des garanties peuvent être données pour une prise en charge des conséquences financières, la couverture n'est pas forcément assurée si les problèmes sont dus à ses propres prestataires.

Des responsabilités à déterminer

Qui doit supporter les risques ?  Chaque utilisateur ou chaque prestataire ?

Si les prestataires sont généralement assurés, on sait aussi que peu d'assureurs maîtrisent le concept de cloud et que,s'il y a un marché pour l'assurance en Europe (voir § précédent), se pose un problème de capacité.

Par ailleurs, en cas de problème, le client ne sait pas vers qui se tourner car la chaîne de la responsabilité est longue et sinueuse (3), sans doute davantage dans le cloud que dans d'autres contextes, et il a peu de chance d'avoir gain de cause lorsque  la chaîne est rompue.Le client qui se trouve souvent face à des contrats d'adhésion est démuni.

Ne serait-il pas plus simple, plus efficace aussi (mais aussi plus intéressant, le marché étant plus large que celui des prestataires), de demander à chaque utilisateur de s'assurer ?

suite >>>