D. UN RECOURS CROISSANT AU CLOUD
1. Un remède à l'insuffisance des ressources internes de cybersécurité : l'infogérance
En France, en 2016, 17 % des sociétés de 10 salariés ou plus avaient acheté des services de cloud computing contre 12 % en 2014 selon l'INSEE 118 ( * ) . La tendance s'est depuis accentuée puisque selon Eurostat 119 ( * ) , les activités liées à la sécurité des TIC étaient réalisées par des fournisseurs externes dans les deux tiers des entreprises européennes. Cette proportion est identique pour les PME.
La sécurisation des données peut inclure le chiffrement de bout en bout ( encryption end-to-end ), la microsegmentation (technique de sécurité des réseaux qui permet aux architectes de la sécurité de diviser logiquement le centre de données en segments de sécurité distincts) ou encore la mise en place d'un réseau privé virtuel (VPN - Virtual Private Network ).
L'infogérance 120 ( * ) est cependant toujours un risque comme le souligne dès décembre 2010 l'ANSSI, dans un guide sur l'externalisation des systèmes d'information 121 ( * ) et notamment d'une messagerie d'entreprise ou d'une suite bureautique auprès d'un prestataire d'informatique en nuage : « les informations échangées ou traitées par ce biais (pièces jointes, agendas des décideurs, etc.) peuvent revêtir un caractère «sensible», et sont susceptibles d'intéresser la concurrence (intelligence économique) », en recommandant, « en l'absence de cadre juridique international adapté à l'informatique en nuage », « de s'assurer que les données à caractère personnel restent localisées sur des serveurs exclusivement situés dans l'Union européenne - voire en France - et de prévoir les moyens de contrôle de cette obligation », ce que l'évolution de l'économie numérique n'a pas permis d'assurer.
Un Plan d'Assurance Sécurité (PAS) précise la liste exhaustive des équipements et des programmes concernés par la maintenance informatique ainsi que l'assistance sur site et la récupération des données en fin de contrat, y compris celles confiées à des sous-traitants (clause de réversibilité). Ces derniers sont qualifiés par l'ANSSI comme « le maillon faible de la chaîne de cybersécurité », dont le recours doit être encadré 122 ( * ) .
Mettant en exergue le fait que « passer au cloud, c'est entamer une transformation numérique favorisant la croissance de l'entreprise », le site public FranceNum, portail de la transformation numérique des entreprises, renvoie au dossier du 11 février 2019 du magazine Capital.fr : Pourquoi le cloud devient un passage obligé pour les entreprises ?
Cependant, les PME, et plus encore les TPE, n'ont toujours pas les ressources pour réaliser un tel plan.
2. Un déséquilibre des relations contractuelles dans le cloud au détriment des PME
La cybersécurité dans le cloud diffère juridiquement et économiquement de l'acquisition d'un logiciel. L'acquisition d'un bien matériel de cybersécurité (logiciels) bénéficie de la garantie légale de conformité (article L.217-1 du code de la consommation), de la garantie légale des vices cachés (article 1641 du code civil) ou de la responsabilité du fait des produits défectueux. Son acquisition, sa maintenance en infogérance 123 ( * ) , relèvent du droit classique des relations contractuelles, faisant l'objet d'une abondante jurisprudence, et semble constitutive d'une relation équilibrée entre clients et fournisseurs.
En revanche, lorsqu'elles sont hébergées dans des plateformes appartenant à des GAFAM, les PME souffrent d'un déséquilibre des relations contractuelles.
Selon Eurostat, 14 % des entreprises européennes sont fortement dépendantes du cloud pour leur activité , et celles-ci sont mal équipées pour faire face à la puissance monopolistique des fournisseurs de solutions de cloud computing . Cette situation est particulièrement vraie pour les PME : « si 72 % des PME interrogées déclarent avoir l'intention d'en changer, 57 % déclarent avoir des difficultés à la faire. Cet effet de lock-in est lié à un manque de portabilité des données et de transférabilité, et heurte la capacité des organisations à choisir librement leur prestataire de service », selon la Plateforme RSE 124 ( * ) .
Cette situation perdure malgré le principe de libre circulation des données établie par la Stratégie pour un Marché unique numérique lancée en mai 2015, déclinée par le règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 concernant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne 125 ( * ) , et les lignes directrices du 29 mai 2019 126 ( * ) qui « encourage les acteurs du secteur à élaborer, avec le soutien de la Commission, des codes de conduite fondés sur l'autorégulation concernant le changement de fournisseurs de services et le portage des données ».
Des codes de conduite devaient être rédigés par les parties prenantes, l'un pour le marché du IaaS ( Infratructure As A Service ) 127 ( * ) et l'autre pour le marché du SaaS ( Software As A Service ), par le « SWIPO Working Group » (SWItching cloud and POrting data), mis en place en avril 2018 et devaient être présentés en novembre 2019 mais aucun consensus n'a pu être trouvé. Le CIGREF a donc publié le 26 mai 2021 un référentiel du cloud de confiance 128 ( * ) . Ce référentiel opérationnel a vocation à être également contractuellement exigible. Il n'est ni un label ni une certification.
Ce coup d'arrêt du processus d'autorégulation du marché du cloud en Europe est, pour le CIGREF, « la conséquence d'une asymétrie systémique de compétences, de moyens et d'objectifs de certains grands fournisseurs mondiaux de services cloud d'une part, qui défendent le coeur de leur activité commerciale et leur capacité d'enfermement de leurs clients, et d'autre part ceux des utilisateurs dont le lobbying dans ce domaine n'est pas le métier » 129 ( * ) . Les principaux fournisseurs ont refusé d'intégrer les attentes des utilisateurs en matière de régulation du cloud, notamment en termes d'interopérabilité logicielle et de portabilité des licences logicielles.
Pour une TPE ou une PME, la relation dans le cloud est déséquilibrée en faveur des fournisseurs .
Si la contractualisation entre les PME et les opérateurs du cloud permet d'obtenir des garanties opérationnelles et de sécurité, les PME ne peuvent maitriser suffisamment cette évolution en raison de l'asymétrie des positions des acteurs de ce marché qui leur donne un faible pouvoir de négociation. Or, « la décision de recourir au cloud n'est ni facilement réversible ni clairement neutre. Elle résulte d'une obligation opérationnelle de minimisation des coûts » estime la Plateforme RSE dans son rapport précité.
Un rapport du Conseil général de l'économie, de l'industrie, de l'énergie et des technologies de juin 2020 130 ( * ) confirme cette asymétrie.
Faute de contentieux (les différends ne se règlent pas devant la justice mais par transaction) mais en se fondant sur un rapport au Parlement européen 131 ( * ) qui soulignait qu'« une comparaison de quatre contrats pour des services d'informatique en nuage destinés au grand public révèle que les fournisseurs déclinent toute responsabilité en matière de disponibilité ou de fonctionnalité du service, et qu'ils se prémunissent contre les éventuels dommages causés aux consommateurs », la mission a dressé le même constat en juin 2020 pour les contrats cloud destinés aux professionnels 132 ( * ) . Une telle apathie est surprenante alors que les cyberattaques dans le cloud n'ont cessé de croître .
Certes, les dispositions existantes, qu'il s'agisse du code civil 133 ( * ) , du code de la consommation 134 ( * ) ou du code de commerce 135 ( * ) , pourraient être invoquées par les entreprises lésées. Or, elles ne le sont pas . Les actions engagées en justice sont le fait d'associations de consommateurs ou de la DGCCRF, notamment pour faire condamner (par l'Autorité de la concurrence) les GAFAM. Les entreprises préfèrent la discrétion de la transaction, et s'abstenir d'attraire leur fournisseur de cybersécurité en ligne devant la justice.
* 118 « Cloud computing, big data : de nouvelles opportunités pour les sociétés », INSEE Première, n°1643, mars 2017.
* 119 https://ec.europa.eu/eurostat/statistics-explained/index.php?title=ICT_security_in_enterprises#ICT_security_in_EU_enterprises
* 120 Défini comme le résultat d'une intégration d'un ensemble de services élémentaires, visant à confier à un prestataire informatique tout ou partie du système d'information d'un client, dans le cadre d'un contrat pluriannuel, à base forfaitaire, avec un niveau de services et une durée définis selon l'AFNOR (Norme Z 67801-1).
* 121 https://www.ssi.gouv.fr/uploads/IMG/pdf/2010-12-03_Guide_externalisation.pdf
* 122 Voir, à cet égard : « Encadrez votre recours à la sous-traitance ! L'assurance : le partenaire d'une sous-traitance réussie TPE, PME, vous êtes concernées », FFA, janvier 2021.
* 123 Le client externalise auprès d'un prestataire informatique la gestion et l'exploitation de tout ou partie de son système d'information (SI).
* 124 Rapport sur la responsabilité numérique des entreprises, juin 2020.
* 125 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018R1807&from=FR
* 126 https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52019DC0250&from=EN
* 127 Le SaaS est l'une des quatre catégories principales de Cloud Computing, au même titre que l'Infrastructure en tant que service (IaaS) , la Plateforme en tant que Service (PaaS) , et le Desktop en tant que Service (DaaS) . Parmi les principaux fournisseurs d'un logiciel SaaS, on retrouve Salesforce, Oracle, IBM, Intuit ou encore Microsoft.
* 128 https://www.cigref.fr/wp/wp-content/uploads/2021/05/20210526_Cigref_Referentiel-du-cloud-de-confiance_v.02.pdf
* 129 https://www.cigref.fr/wp/wp-content/uploads/2019/11/CP-SWIPO-Cigref-version-francaise-2019-11-25.pdf
* 130 « La responsabilité des fournisseurs de systèmes numériques », juin 2020.
* 131 « L'informatique en nuage. Une vue d'ensemble des enjeux économiques et politiques », note du Service de recherche du Parlement européen, mai 2016.
* 132 « Il s'agit, dans tous les cas, d'engagement de moyens » et « le fournisseur exclut toujours dans le contrat de réparer un quelconque préjudice causé par l'indisponibilité du service ». Il s'agit généralement de « contrats d'adhésion que le client doit accepter en l'état (...) Les contrats comportent de nombreuses clauses de non-responsabilité ou limitant l'indemnisation en cas de préjudice au montant payé par le client pour son abonnement. La formulation de certaines clauses est peu compréhensible : elles sont écrites en majuscules, en employant des formulations commençant par « Sous réserve du droit applicable...» ce qui les rend particulièrement absconses pour le non-juriste qu'est le consommateur ou le «petit» professionnel qui ne dispose pas de service juridique ».
* 133 L'article 1170 du Code civil (« Toute clause qui prive de sa substance l'obligation essentielle du débiteur est réputée non écrite ») vise ainsi à ce que le dispositif contractuel soit en accord avec l'engagement promis par le fournisseur. Sont ainsi visées les clauses limitatives de responsabilité par lesquelles le débiteur est peu incité à exécuter une obligation essentielle pour le créancier (pour un contrat d'hébergement dans le cloud, la limitation importante des pénalités dues en cas de non-respect de la qualité de service). L'article 1171 du Code civil (« Dans un contrat d'adhésion, toute clause non négociable, déterminée à l'avance par l'une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite »), introduit la notion de déséquilibre significatif dans le droit commun des contrats.
* 134 Avec la notion de clauses abusives de l'article L.212-1.
* 135 Avec la notion de pratique restrictive de concurrence de l'article L.442-1-I.