Cahiers 2012 › Économie › Informatique en nuage (cloud computing)
Le mardi 6 mars 2012, 18:20 - Lien permanent
L'informatique « en nuage » (ou cloud computing), concept aux contours encore incertains, doit voir son développement conditionné à un renforcement du corpus juridique existant pour les entreprises du secteur et les utilisateurs, en matière de droit à l'interopérabilité, de traitement des données à caractère personnel et de respect de la vie privée.
Cette analyse fait partie du cahier Économie de candidats.fr, à l'occasion de la campagne présidentielle 2012.
Définition de l'informatique en nuage
Selon Wiktionary, l'informatique en nuage est un « système de serveurs permettant à leurs utilisateurs de partager des fichiers et d'utiliser des logiciels à distance ». La Commission européenne le définit comme « un environnement de ressources d'exécution élastique, qui implique des parties prenantes multiples, et qui fournit un service mesuré à des niveaux de finesse multiples pour un niveau de qualité de service spécifié »1.
C'est à la fois vague et restrictif, comme pouvait l'être la définition de l'Internet à la fin des années 90. Pour comprendre l'informatique en nuage et en intégrer toute la complexité, il faudra probablement attendre qu'elle soit assimilée dans notre quotidien. Mais en attendant cette prise de conscience, il nous faut anticiper les problèmes et proposer des mesures pour les prévenir. L'informatique « en nuage » […] doit voir son développement conditionné à un renforcement du corpus juridique existant pour les entreprises du secteur, en matière de droit à l'interopérabilité, de traitement des données à caractère personnel et de respect de la vie privée (F. Elie).2 Nous avons l'occasion de construire un futur qui concilie le dynamisme économique et le respect du citoyen. Ne nous laissons pas déborder comme pour les brevets logiciels qui nuisent au plus grand nombre et qu'il nous faut sans cesse repousser. Si nous accompagnons de propositions concrètes le développement du cloud computing, nous écarterons l'apparition d'intérêts particuliers dont le seul mérite serait d'avoir été les premiers dans les nuages.
Points de vigilance de l'informatique en nuage
En observant les exemples de service, on peut identifier les problèmes suivants :
risque de perte de contrôle des données à caractère personnel en raison de leur gestion par un tiers et de l'absence de connaissance de leur localisation géographique précise.
enfermement technologique par la rétention des utilisateurs sur une technologie et/ou un service donné en bloquant tout transfert de données vers d'autres systèmes.
insécurité du fait de l'incertitude quant aux capacités du tiers gestionnaire du nuage à garantir la stabilité de l'infrastructure technique, l'entretien des serveurs, la continuité du service ou la sécurisation du data center.
centralisation du réseau au mépris de la conception décentralisée d'Internet et au risque d'imposer des barrières à l'accès à un réseau placé sous le contrôle de quelques multinationales.
risque de perte de maîtrise du système de communication par l'obligation de recourir à des services sous le contrôle de tiers pour entrer en communication avec d'autres internautes.
Ces dangers menacent d'autant plus l'informatique en nuage que le dialogue entre la société civile et les institutions publiques ne parvient pas à suivre le rythme de l'évolution des techniques. Il est donc nécessaire que les institutions publiques, à la demande de la société civile, prennent véritablement en compte ces problématiques afin de garantir la protection des données personnelles, la sécurité des systèmes, la neutralité du net3 et la concurrence ouverte sur le marché des services en nuage4.
Alors que les services sont très majoritairement basés sur des technologies propriétaires, les technologies libres dédiées à l'informatique en nuage sont de plus en plus largement diffusées, notamment grâce aux progrès des projets OpenStack5 et oVirt6 en particulier. Cela permettra aux entrepreneurs comme aux acteurs publics et aux associations de s'installer dans les nuages en toute indépendance. Certes, il ne suffira pas qu'un service soit basé exclusivement sur des technologies libres pour résoudre les problèmes listés ci-dessus. Mais il sera beaucoup plus simple de trouver des solutions simples et pratiques.
Prérequis nécessaires à un cloud computing respectueux des droits et libertés des individus
Afin de lutter contre l'enfermement technologique des utilisateurs de services en cloud computing, il doit être fait usage de standards ouverts et interopérables78. La standardisation de l'informatique « en nuage » doit s'effectuer sous la direction des institutions européennes et des États, en concertation avec l'ensemble des acteurs du secteur. Le développement d'une société de l'information respectueuse des libertés publiques pourrait être favorisé par le secteur public9 via l'investissement dans des services basés sur des logiciels libres interopérables grâce à des interfaces ouvertes et offrant aux utilisateurs la maîtrise de leurs données et de leurs traitements, réduisant l'incompatibilité et l'enfermement technologiques. La promotion de solutions libres de l'informatique en nuage, basées sur l'usage de standards ouverts et interopérables, combinée à une opposition systématique aux tentatives de prises de contrôle du réseau internet via la généralisation de nuages sous contrôle de multinationales des TIC, sont les deux principaux axes d'une politique constructive de préservation des droits et libertés des individus dans l'environnement numérique.
Les conditions d'utilisation des services de cloud computing doivent aussi être clarifiées, et notamment sur le régime juridique applicable à la protection des données, leurs pertes accidentelles ainsi que sur la possibilité de leur récupération et sur l'obligation d'information lorsque de telles pertes se produisent (comme l'exige désormais le nouvel article 226-17-1 du Code pénal10)11. La responsabilité des fournisseurs de services en cas de perte de données devrait également être précisée, dans un langage simple et compréhensible par tous.
Enfin, seule une légalisation du recours collectif12 au sein de l'Union européenne donnera à l'utilisateur les moyens de se défendre contre les pratiques abusives des prestataires de services de l'informatique en nuage.
1http://cordis.europa.eu/fp7/ict/ssai/docs/cloud-report-final.pdf p.8 : a 'cloud' is an elastic execution environment of resources involving multiple stakeholders and providing a metered service at multiple granularities for a specified level of quality (of service); traduction par nos soins.
2F. Elie, Économie du logiciel libre, éditions Eyrolles, 2009, p. 157.
3La neutralité du Net est un principe fondateur d'Internet qui exclut toute discrimination à l'égard de la source, de la destination ou du contenu de l'information transmise. Plus d'informations : http://www.laquadrature.net/fr/neutralite_du_Net.
4Voir la réponse de l'April à la consultation européenne sur le cloud en 2011 http://www.april.org/reponse-de-lapril-la-consultation-europeenne-sur-le-cloud-computing
7Article 4 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164&dateTexte= : « On entend par standard ouvert tout protocole de communication, d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en œuvre. ».
8Voir cahier interopérabilité.
9Voir cahier e-administration.
10http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000024504712&cidTexte=LEGITEXT000006070719&dateTexte=20110905&oldAction=rechCodeArticle.
11http://www.lemondeinformatique.fr/actualites/lire-une-obligation-de-reveler-les-fuites-de-donnees-personnelles-pour-les-operateurs-34519.html.
12Voir cahier consommation.