Écrit par Lisa J. Abe-Oldenburg

Les chefs d’entreprise sont soumis à une pression énorme pour maximiser la valeur de l’informatique et des données de leur entreprise. Rester au courant de la technologie et des outils en constante évolution disponibles aujourd’hui peut être intimidant et donner lieu à des problèmes et des risques juridiques complexes. Bien fait, l’informatique en nuage a le pouvoir de transformer les organisations, donnant aux entreprises un plus grand avantage concurrentiel, augmentant leur résultat net et la valeur pour les actionnaires. À tout le moins, l’utilisation de services infonuagiques peut offrir l’occasion de réduire les coûts d’immobilisations et de concevoir les services de TI comme un coût ou une dépense variable, en particulier pour les fonctionnalités de TI nouvelles ou de remplacement. Mal fait et sans une analyse et une atténuation appropriées des risques, l’informatique en nuage peut être désastreuse, y compris la corruption des données ou l’accès non autorisé, les violations de la loi, de graves dommages à la réputation de l’organisation, et (bien que rare) potentiellement des amendes et des peines d’emprisonnement pour les administrateurs et les dirigeants.

Que feriez-vous si vous pouviez mettre en œuvre des services informatiques en nuage sûrs et sécurisés? En suivant les stratégies discutées dans cet article et en obtenant des conseils juridiques d’un avocat informatique expérimenté, vous pouvez gérer vos services cloud pour la sécurité et l’efficacité, prendre le contrôle des données en croissance explosive que votre entreprise génère, fournir rapidement et à peu de frais les dernières technologies (telles que l’analyse mobile, sans fil ou « Big Data »), faire évoluer instantanément l’infrastructure pour des performances optimales, et offrir des économies de coûts mesurables et de la valeur à vos parties prenantes.

Répondre aux préoccupations en matière de confidentialité et de sécurité

Le modèle cloud a été fortement critiqué pour le risque de confidentialité des données et les atteintes à la sécurité. Au Canada et dans de nombreux autres pays du monde, il existe de nombreuses lois sur la protection de la vie privée aux niveaux fédéral et local (état ou provincial). En outre, les entités des secteurs de l’industrie réglementée, tels que les services financiers et les soins de santé, ont des règles et des règlements spécifiques régissant le stockage des données de leurs clients et patients, ainsi que la communication, l’hébergement, le transfert et la divulgation des informations connexes, ainsi que l’externalisation des services à des tiers, en particulier dans les juridictions étrangères. La complexité de la conformité légale est parfois écrasante et de nombreuses organisations ont supposé à tort, ou simplement adopté la position, qu’elles ne peuvent pas utiliser un service cloud. Cependant, ce n’est pas nécessairement le cas. Par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral canadien n’interdit pas l’infonuagique ou le transfert transfrontalier de données par des entités du secteur privé dans la plupart des industries, même lorsque le fournisseur de services d’informatique en nuage (ou une partie du service d’informatique en nuage fourni) se trouve dans un autre pays (les lois du secteur public de la Colombie-Britannique et de la Nouvelle-Écosse interdisent l’impartition transfrontalière ou les services d’infonuagique, à moins que certaines exceptions ne s’appliquent). De nombreuses lignes directrices et politiques du secteur public doivent également être suivies). Toutefois, la LPRPDE (et d’autres lois sur la protection des renseignements personnels du secteur privé et lignes directrices sur l’impartition) établit des règles régissant l’utilisation de l’infonuagique et le transfert de données , particulièrement en ce qui concerne l’obtention du consentement pour la collecte, l’utilisation et la communication de renseignements personnels, la notification du transfert transfrontalier de renseignements, la sécurisation des données et la responsabilisation à l’égard de l’information et la transparence en ce qui concerne les pratiques.

En utilisant des services informatiques en nuage, les organisations doivent s’assurer qu’avant de remettre leurs données à un fournisseur de services cloud, leur organisation et le fournisseur de services cloud ont structuré leurs opérations et leurs droits et obligations respectifs en vertu de leurs accords de manière à ce qu’ils soient légalement autorisés à le faire, que les données seront conservées en toute sécurité avec un accès uniquement aux personnes qui ont les droits légaux appropriés, et que l’organisation garde le contrôle de ses données dans la mesure requise par la loi. Cela peut signifier que les services cloud ciblés par les consommateurs ne se peuvent pas être utilisés par les grandes entreprises ou celles qui ont des besoins d’informations sensibles, mais cela ne signifie pas que l’utilisation du cloud (ou d’une variante des services cloud) est hors de question.

Stratégies juridiques pour un cloud computing réussi

Afin d’obtenir des services informatiques en nuage réussis, avec les avantages de la sûreté et de la sécurité ainsi que de la conformité légale, une organisation doit d’abord prendre une décision commerciale éclairée sur le type et la sensibilité des données et du service qu’elle prévoit de migrer vers le cloud, les configurations spécifiques et le type de service cloud requis (par exemple, privé, hybride ou public), afin de se conformer aux obligations légales de l’organisation. L’entreprise doit se demander si certaines composantes de ses opérations de données, d’information et de TIC sont compatibles avec le fait que l’informatique de données réside et que le contrôle est détenu au moins partiellement, en dehors de l’entreprise. Certaines fonctions TIC essentielles à la mission et sensibles à la réputation peuvent ne pas se prêter à tout type d’externalisation. Lorsque les fonctions TIC qui se résurent à la migration vers le cloud sont identifiées, les fonctions, les objectifs, les exigences du système et les aspirations de l’entreprise pour ces fonctions peuvent être analysés et les services et fournisseurs cloud potentiels peuvent être identifiés et examinés. Avant de conclure un contrat avec un fournisseur de services cloud particulier, l’entreprise doit insister sur la transparence, en identifiant toutes les parties impliquées (par exemple, les sous-traitants), le flux de processus de données, les utilisations et les emplacements. Un audit et une évaluation détaillés des protocoles de sécurité et de la technologie du fournisseur de services cloud sont recommandés, et une feuille de route des plans futurs du fournisseur de services est également utile. De plus, un plan de migration devrait être élaboré, y compris une évaluation de l’architecture, des applications, des données et des paramètres de rendement actuels de l’état, afin que l’on sache ce qui doit être changé et d’avoir une base de référence pour rendre les futures mesures des niveaux de service significatives. De même, un plan de transition pour la sortie de la relation de service d’infonuagique devrait être élaboré à l’avance.

Deuxièmement, l’organisation doit négocier et rédiger correctement le contrat juridique entre l’organisation et le fournisseur de services infonuagiques. Les responsables informatiques peuvent ne pas avoir le pouvoir d’accepter les termes du contrat ou d’accepter les risques. Les organisations constatent parfois que les fournisseurs de services infonuagiques, en particulier les fournisseurs de services en ligne à faible coût, présentent des contrats « à prendre ou à laisser » qui ne sont pas négociables. Les risques de faire affaire avec ces fournisseurs de services infonuagiques et d’accepter leurs contrats passe-partout sont que bon nombre d’entre eux

• : manquent de conditions critiques de protection de l’entreprise,
• ne protègent pas adéquatement les données du client,
• ne contiennent aucune garantie quant à la qualité du service et
• permettent une utilisation plus libérale des renseignements personnels, ce qui ne serait pas suffisant pour qu’une organisation respecte sa vie privée et d’autres obligations légales.

Souvent, les contrats de services cloud ne traitent pas de la transition appropriée des données et des services vers un autre fournisseur de cloud (ou de retour à l’organisation client) lorsque le contrat ou la relation prend fin, laissant l’organisation vulnérable à la perte ou à l’inaccessibilité des données et à l’interruption des services critiques. C’est pourquoi l’engagement de conseillers informatiques expérimentés peut être inestimable. De manière générale, des offres cloud plus spécifiques à l’industrie sont disponibles, mais à des coûts plus élevés que les services grand public ou génériques qui conviennent mieux aux entreprises non commerciales ou non réglementées.

Un approvisionnement réussi de services infonuagiques prend du temps et nécessite la participation d’un conseiller juridique informé et expérimenté qui peut repérer les problèmes et conseiller sur la question de savoir si les conditions du contrat de services infonuagiques sont adéquates. Si les modalités du contrat ne sont pas acceptables et ne peuvent pas être modifiées, les chefs d’entreprise devraient envisager de trouver un autre fournisseur de services infonuagiques, ou maintenir certains services à l’interne et restreindre le type de données ou de services qui seront migrés vers le nuage.

Les conditions qui doivent être entièrement couvertes dans un contrat de service cloud incluent:

• la propriété des données, les droits de
• résiliation et l’aide à la résiliation, la
• disponibilité,
• la disponibilité du service, les
• niveaux de performance,
les
• garanties de sécurité,
• la répartition des risques de responsabilité,
• la confidentialité, la
• sécurité des données et les exigences de notification des violations,
• la conformité aux lois et règlements,
• des représentations au sujet de l’exposition juridictionnelle de l’information et des opérations, et
• des recours en cas de violation du contrat.

Les contrats de services infonuagiques devraient également inclure des termes appropriés traitant du

• changement, de
• la résolution de problèmes
• , de la sous-traitance,
• de l’utilisation de logiciels open source, du
• réaménagement d’applications,
• de la propriété de toute propriété intellectuelle, de
• la protection des secrets commerciaux,
• de la confidentialité
• , des tests,
de
• l’intégrité des données,
• des utilisations secondaires potentielles des données,
• de l’assurance de la ségrégation et de l’isolement des données,
• le cryptage en transit et dans le stockage,
la
• sauvegarde et la récupération de données,
• ce qu’il advient des données et de l’infrastructure lors de la résiliation de l’accord ou en cas de défaillance ou d’insolvabilité de l’une des parties, comment la
• maintenance ou l’interruption de service sera traitée,
• quelles limitations géographiques doivent être imposées,
• le droit d’auditer les entités et la technologie, etc.

Ce qui précède n’est pas une liste exhaustive. Chaque service cloud doit être examiné séparément et soigneusement analysé pour déterminer l’étendue complète des risques commerciaux et juridiques, avant que votre conseiller juridique puisse vous conseiller sur les conditions contractuelles appropriées et celles qui doivent être révisées.

La troisième étape pour réussir avec l’informatique en nuage consiste à mettre en œuvre une gouvernance, des politiques et des contrôles organisationnels et transitoires internes appropriés. Il peut être nécessaire de réaligner les processus opérationnels et les opérations. Des structures de surveillance et d’établissement de rapports jusqu’à la haute direction et au conseil d’administration doivent être mises en œuvre. Les politiques portant sur la confidentialité, la sécurité, la protection de la vie privée, les plans de continuité des activités, l’identification et la gestion continues des risques, l’escalade des problèmes techniques et la conservation des données électroniques doivent être préparées ou révisées ainsi que diffusées, clarifiées et appliquées dans l’ensemble de l’organisation. Les activités de nettoyage, de chiffrement et de sauvegarde des données peuvent devoir être intégrées aux processus opérationnels de l’organisation. Les politiques des employés devraient également être élaborées ou modifiées pour traiter de l’utilisation par les employés des services infonuagiques (en particulier lorsqu’ils sont accessibles via leurs propres appareils personnels à des fins professionnelles), tels que le courrier électronique pour la correspondance commerciale, la base de données des clients / la gestion des ventes, le partage de documents ou des présentations, etc. Les chefs d’entreprise doivent se rappeler qu’ils sont responsables de l’utilisation et de l’externalisation des données ou d’autres services par leur organisation à un fournisseur de cloud et doivent s’assurer que les pratiques de gestion de l’information et de confidentialité de leur organisation sont conformes à la loi et appliquées de manière cohérente dans l’ensemble de l’organisation à tous les niveaux.

L’informatique en nuage peut avoir de nombreux avantages et être réalisée avec succès si toutes les considérations juridiques sont prises en compte. Ne pas prendre les mesures appropriées ou se précipiter pour obtenir un accord cloud sans examen juridique approfondi peut avoir un impact négatif important sur l’entreprise et ses parties prenantes.

Si vous souhaitez vous assurer que votre stratégie cloud est réussie et que les services cloud offrent tous les avantages et la valeur à votre organisation, contactez n’importe quel membre de notre Technology Law practice.