Intervention de M. Jean-Marc Sauvé vice-président du Conseil d’État, lors du colloque de la Société de législation comparée, au Conseil d'État, le vendredi 11 octobre 2013.
< ID du contenu 3616 > Lien à reprendre : > télécharger le discours au format pdf</a>
Colloque de la Société de législation comparée
Conseil d’Etat - Vendredi 11 octobre 2013
Intervention de Jean-Marc Sauvé[1], vice-président du Conseil d’Etat
Mesdames et Messieurs les présidents et les bâtonniers,
Mesdames, Messieurs,
Mes chers collègues,
Comme vous le savez, Madame la présidente, je suis toujours heureux d’ouvrir les colloques de la Société de législation comparée. D’abord parce que ceux-ci sont de haute tenue ; ensuite, car je suis entièrement convaincu qu’il faut plus que jamais valoriser, en droit français, l’ouverture au droit comparé ; enfin, parce que ces rencontres permettent de conjuguer une approche théorique et pratique des thèmes proposés, en faisant appel à des intervenants aux profils variés.
Je me suis donc réjoui, lorsque j’ai reçu un nouveau courrier à l’entête de la Société de législation comparée. Après « Le référendum », après « Les mutations constitutionnelles », après « Autorités administratives, droits fondamentaux et opérateurs économiques », quel allait être le sujet de la prochaine rencontre ? La réponse était à mille lieues de ce à quoi je m’attendais. Le « cloud computing » ! J’avoue en être resté coi, et ce pour au moins deux raisons. La première est que si le mot évoquait pour moi quelque chose, j’aurais été bien en peine de décrire de quoi il s’agissait. La seconde est que, lorsque j’ai plus justement saisi ce dont il était question, j’ai pensé qu’il y avait un paradoxe certain à ce qu’un vice-président du Conseil d’Etat qui n’a pas tout à fait renoncé à son penchant pour le papier ni pour l’archivage manuel, ouvre un colloque consacré à ce sujet. Mais l’exotisme le disputant à la surprise et la curiosité, je n’ai pas hésité, une nouvelle fois, à répondre positivement à l’invitation de la Société de législation comparée.
Il me revient maintenant le lourd fardeau de vous prouver que la juridiction administrative est entrée de plain-pied dans l’ère numérique. A dire vrai, le sujet du colloque d’aujourd’hui correspond pleinement aux préoccupations du Conseil d’Etat et, en particulier, de sa section du rapport et des études. La prochaine étude annuelle, pour l’année 2014, portera en effet sur Le numérique et les libertés et droits fondamentaux. Depuis la dernière étude du Conseil d’Etat consacrée à « Internet et les réseaux numériques » et publiée en 1998, c’est en effet à une véritable révolution numérique que l’on a assisté. L’objectif poursuivi par le Conseil d’Etat est de faire le point sur celle-ci, sur le droit aujourd’hui applicable au numérique et de recommander des pistes d’évolution. Le cloud constituera forcément une composante de cette réflexion.
Pour entrer plus avant dans le sujet, sans doute faut-il d’abord souligner que si l’émergence du cloud computing a de quoi surprendre, m’apparaissent plus déroutantes encore les réactions qui l’accompagnent et qui, généralement, oscillent entre engouement monolithique et sereine indifférence.
L’indifférence d’abord. Le cloud est virtuel, invisible et, somme toute, méconnu du public, du moins dans ses modalités techniques et juridiques. Il n’est donc guère étonnant qu’il représente une évolution discrète et, par conséquent, acceptée par chacun sans vraiment y penser. En réalité, le cloud est un phénomène qui échappe encore à notre maîtrise et même à notre compréhension. Alors même qu’il est susceptible d’affecter chaque citoyen, chaque entreprise, chaque personne publique, alors même qu’il renouvelle les modèles économiques et interroge nos catégories juridiques, il conserve une part de mystère qui n’en est que plus étonnante.
Celle-ci contraste avec l’engouement qui émane notamment des milieux industriels et se manifeste autour d’une évolution constituant, sur le plan technique et économique, un progrès remarquable. A cet enthousiasme, il convient toutefois d’apporter quelques nuances. C’est avec prudence que doivent être abordés les enjeux de cette révolution silencieuse, qui véhicule son lot d’incertitudes économiques, juridiques mais aussi politiques.
Le cloud ne peut pas, ne doit pas laisser insensible ; il intrigue, interroge, inquiète. Il embrasse la société tout entière et resserre les liens qui tissent notre monde en réseaux. C’est, au sens de Bruno Latour, un « hybride » par excellence, ni tout à fait technique, ni tout à fait humain, ni seulement nature, ni seulement culture[2]. Ne désigne-t-on pas par « nuage » un ensemble de câbles et de machines ?
Le numérique, et en particulier le cloud, témoigne de l’une de ces accélérations de l’histoire qui, selon le doyen Savatier, force le juriste à une adaptation continue du droit à la réalité sociale[3]. Cette évolution nous engage, elle engage la puissance publique et la communauté juridique. Ce colloque de la Société de législation comparée est donc très bienvenu.
J’en viens au cœur de mon propos. L’informatique en nuage demeure un concept difficile à saisir (I), facteur d’incertitudes juridiques qui tiennent en grande partie à la question de la protection des données (II). Les promesses – le fantasme prométhéen pourrait-on dire, qui prend sa source dans les nuages de l’Olympe – les promesses, donc, de puissance technologique désirée par les hommes et profitable aux organisations ne sauraient un jour échapper à l’Etat et aux collectivités publiques : le cloud computing dessine alors, irrémédiablement, de nouvelles problématiques de droit public (III).
I. Phénomène nouveau et fuyant, le cloud demeure encore insaisissable, tant d’un point juridique que social.
Sous une appellation unique, le cloud est multiple : il recouvre plusieurs réalités qui rendent complexe la recherche d’une définition juridique (1). Malgré les potentialités qu’il révèle, le cloud demeure en outre méconnu et ambivalent (2).
1. La multitude de définition et de caractéristiques du cloud .
Le cloud ne fait pas l’objet d’une définition uniforme[4]. De prime abord, on peut le définir comme un procédé qui consiste à stocker de manière externalisée des données dans un « nuage » informatique. Ce service à distance est fourni à ses clients par une entreprise prestataire, les transferts s’effectuant par le biais d’Internet.
Une telle définition mérite toutefois d’être précisée. Si l’on se réfère à celle retenue par la CNIL, deux caractéristiques sont particulièrement mises en avant.
Le cloud est défini comme une technique virtuelle de gestion des ressources. Le stockage est en effet dématérialisé ; on bascule d’une gestion interne vers une gestion extérieure au matériel de l’utilisateur. Il s’agit, selon la CNIL, de « la forme la plus évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant »[5].
Le second aspect souligné par la CNIL est que les services de cloud sont fondés sur la simplicité et la rapidité puisqu’ils fonctionnent à la demande. Simplicité, parce qu’ils se caractérisent par « une facturation à l’usage ». Rapidité, parce qu’il offre une « disponibilité quasi-immédiate des ressources »[6].
Une définition assez différente est proposée par le National Institute of Standards and Technology. Le cloud est « l'accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables »[7]. Sont ici mises en avant la disponibilité mondiale des services cloud et l’ouverture à tous les utilisateurs, qui peuvent même intervenir, simultanément, sur des ressources partagées à travers le réseau.
La définition de la Commission de terminologie et de néologie, publiée au Journal officiel, est quant à elle moins positive : « le cloud computing est une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance du client »[8]. Ici, c’est l’abstraction sur la localisation des données hébergées dans le cloud qui est mise en lumière. L’utilisateur n’a en effet, le plus souvent, aucune connaissance des modalités techniques du nuage, a fortiori de la localisation précise de ses données.
Faut-il s’étonner de l’absence de définition uniforme ? Non, si l’on considère qu’il existe une grande variété d’accès et de services regroupés sous l’appellation cloud [9] : cela va du webmail, d’accès gratuit, à un stockage avec niveau de service garanti, accessible sur abonnement. Mais relèvent également de cette catégorie le cloud d’accès public, le cloud privé réservé aux collaborateurs autorisés et tiers d’une entreprise, le cloud hybride combinant ces deux types d’accès, ou encore le cloud communautaire, partagé par des clients autour d’intérêts ou de projets communs.
En définitive, les contours du cloud computing méritent d’être précisés, autour de certaines spécificités incontournables : externalisation et hyper-capacité du stockage, disponibilité mondiale et quasi-immédiate des ressources, accessibilité à tous et sur tout type d’appareils, facturation à la demande mais aussi, ce qui ne va pas sans poser de nombreux problèmes, ignorance quant à la localisation des données.
2. Des apports ambivalents.
L’engouement suscité par le cloud est à la mesure des potentialités qu’il recèle. Pourtant, ses apports sont équivoques. Cette technique révèle en effet un certain nombre de paradoxes.
Si le cloud apparaît comme une révolution technique, il repose en fait sur des technologies connues de longue date[10].
Par ailleurs, s’il constitue clairement une révolution économique[11], celle-ci est limitée à certaines entreprises. Ainsi, grâce à la mutualisation qu’il met en œuvre, il permet aux petites entreprises d’être sur un pied d’égalité avec les plus grandes, qui disposent des moyens d’acquérir un matériel informatique lourd et les compétences humaines permettant de les gérer. Il permet également à une entreprise de rationaliser ses coûts et de disposer de capacités adaptables à ses besoins. Mais cette révolution est marquée du sceau de l’ambivalence. D’abord, le client d’un service de cloud computing dépend fortement de la qualité du réseau pour accéder à ses informations ; ainsi, les grandes entreprises, qui utilisent des interfaces sur lesquelles interviennent un grand nombre d’utilisateurs au même moment, préfèrent encore une architecture informatique interne. Ensuite, un obstacle technologique tient à la nécessité du maintien d’une connexion Internet pour utiliser le cloud, c’est-à-dire pour accéder à, voire travailler sur ses données, exposant ainsi l’utilisateur, notamment dans le cas de réseaux publics, à des risques supplémentaires de cyber-attaques et de violation de confidentialité. L’exposition aux « risques collatéraux » liés au réseau Internet serait donc l’éventuelle contrepartie de l’ouverture apportée par le cloud.
Surtout, pour poursuivre sur les paradoxes, l’idée de simplicité est trompeuse. La simplicité d’utilisation cache ainsi une réalité bien plus complexe. L’utilisateur, pour sa part, n’y voit qu’un unique « nuage » dématérialisé, à la puissance technique infinie. Mais derrière le virtuel, se dissimulent un ensemble de matériels, de raccordements aux réseaux et de logicielsformant de puissants systèmes, regroupés dans des data center ou « usines numériques » géantes, qui sont gérées par des entreprises fournisseuses telles que Google, Amazon ou Microsoft par exemple. Ce système est entièrement mutualisé : les données envoyées dans le cloud sont donc susceptibles de circuler[12]. Dès lors, émergent des questions restées sans réponse : où sont localisées les données, dans quelle centrale numérique, dans quel pays ?
Enfin, le concept du cloud computing a ceci de singulier qu’il ne fait pour le moment l’objet d’aucune formalisation juridique. Sur le plan du droit, il demeure bel et bien virtuel. La question de la possible adaptation des catégories juridiques traditionnelles – propriété, consentement, contrat… – à cette problématique nouvelle se pose donc. La réflexion juridique n’en est que plus nécessaire.
II. La protection des données voyageant dans le nuage n’est pas sans poser de singuliers problèmes juridiques.
Le principal enjeu lié au développement du cloud concerne la protection des données personnelles et, plus largement, des données de toutes sortes, dès lors qu’elles sont stockées dans le « nuage ». Je mentionnerai à ce titre deux enjeux : l’extraterritorialité du droit (1) et l’adaptation du droit des contrats (2).
1. Se pose, en premier lieu, le problème épineux de l’extra-territorialité du droit.
Les données qui voyagent dans le cloud, y séjournent ou en sortent, ne connaissent pas de frontière. C’est une illustration de ce que le professeur Delmas-Marty nomme l’« ubiquité », qui constitue une caractéristique propre de l’espace virtuel : le fait qu’il soit impossible à localiser, car il se trouve partout à la fois, constitue un « redoutable obstacle à la répartition des compétences entre les différents systèmes de droit simultanément applicables »[13]. Cette problématique, qui est intrinsèque à la technologie numérique, est encore accentuée par le cloud, du fait de la circulation des données et de leur impossible localisation, en particulier dès lors que celles-ci sont susceptibles d’être transférées hors des frontières de l’Union européenne. En exposant l’utilisateur aux difficultés inhérentes à la saisine de tribunaux situés à l’étranger, à des coûts de procédure plus élevés ou à des règles substantielles moins protectrices, le cloud contribue ainsi à rendre plus éthéré et donc improbable le droit fondamental de l’accès au droit et à la justice.
Les questions du droit applicable et de la juridiction compétente, qui sont classiques en cas de conflit de lois, n’en sont que plus complexes.
Dans les deux cas, le principe de liberté contractuelle prime, puisque c’est la loi des parties qui prévaut. Celles-ci peuvent choisir la juridiction compétente et le droit applicable qui régira en totalité ou en partie leurs rapports. De manière générale, cette solution est privilégiée, même si, comme on le verra, elle ne garantit pas nécessairement un juste équilibre entre les parties.
Au sein de l’Union européenne, deux règlements, dits Rome I et Bruxelles I, fixent le cadre des conflits de loi lorsque les parties n’en décident pas elles-mêmes. Le règlement Bruxelles I pose comme principe, susceptible de dérogations, que la juridiction compétente est celle de l’Etat membre dans lequel le défendeur a son domicile, quelle que soit sa nationalité[14]. En outre, les décisions rendues dans un Etat membre sont reconnues dans les autres Etats de l’Union[15]. Une difficulté résulte du fait que ces décisions ne sont pas nécessairement reconnues par les juridictions situées hors du territoire de l’Union européenne. L’affaire « Yahoo » en est une illustration : alors qu’en 2000 le tribunal de grande instance de Paris s’était prononcé contre la vente aux enchères sur Yahoo.com d’objets du IIIème Reich, la justice américaine a ensuite refusé, au moins un temps, de reconnaître la validité de cette décision au regard du premier amendement de la Constitution[16].
Le règlement Rome I[17], pour sa part, fixe comme droit applicable, à défaut de choix des parties, la loi du pays dans lequel le prestataire a sa résidence habituelle[18]. On notera par ailleurs que ce règlement revêt un caractère universel, ce qui signifie que les règles de résolution du conflit peuvent conduire à l’application de la loi d’un Etat qui n’est pas membre de l’Union européenne.
Dans le contexte d’extraterritorialité du droit applicable, la question du régime spécifique applicable aux données mérite des développements particuliers.
Un premier angle d’analyse conduit à considérer la question des flux de données personnelles. La directive du 24 octobre 1995[19], transposée par modification de la loi « Informatique et Libertés »[20], permet le transfert de données au sein de l’Union européenne, après déclaration à l’autorité compétente de protection des données, chez nous la CNIL. Elle pose en revanche un principe d’interdiction de transfert des données hors de l’Union, sauf, après autorisation, vers les pays présentant « un niveau de protection adéquat »[21]. Or les Etats-Unis n’offrent pas un tel niveau de protection, mais il y existe une norme incitative d’autorégulation à laquelle les entreprises américaines peuvent adhérer, les mécanismes de Safe Harbor, reconnus par la Commission européenne comme équivalents au « niveau de protection adéquat ». En pratique, les processus d’autorisation comme le Safe harbor ne sont pas toujours aisés à mettre en œuvre[22] . De surcroît, l’intérêt du système même du Safe Harbor s’érode du fait des lois américaines de lutte contre le terrorisme. Le Patriot Act, en particulier, dispose que les agences de renseignement peuvent accéder à toute donnée personnelle hébergée par un prestataire américain en cas de suspicion de terrorisme ou d’espionnage[23]. Cet exemple illustre de façon éclatante l’extraterritorialité croissante du droit dans le monde global qui est le nôtre et les enjeux juridiques et politiques qui s’y attachent.
Un second angle d’analyse concerne, plus généralement, la protection des données stockées dans le cloud. Sur ce point précis, aucune règle spécifique, mises à part les dispositions contractuelles, ne régit aujourd’hui le traitement, la conservation et la protection de la confidentialité de ces informations. Elles semblent donc échapper à l’empire du droit, dès lors qu’elles se sont évaporées dans le nuage.
2. La relation contractuelle, qui est au cœur du modèle juridique associé au cloud, n’est ni totalement satisfaisante, ni pleinement adaptée à ses spécificités et elle appelle sans doute des évolutions de la réglementation.
Au fondement de toutes les interrogations se trouve le déséquilibre de la relation contractuelle entre le consommateur et le prestataire du service cloud. Cela tient principalement à l’asymétrie de l’information et à l’inégalité des parties. On sait, en particulier, que les contrats de cloud sont, le plus souvent, des contrats d’adhésion « standard » proposés par les prestataires, et donc rédigés à leur convenance, qui excluent d’emblée toute possibilité pour le client de négocier les dispositions contractuelles. Pour ces contrats, un simple « clic » vaut consentement.
Pourtant, des clauses surprenantes peuvent y figurer qui mettent à mal les intérêts de l’utilisateur ou du consommateur. Parmi elles, se trouvent des stipulations ouvrant aux prestataires le droit de modifier unilatéralement le contrat, des stipulations pour lesquelles que le client fournit à l’entreprise une licence non exclusive, mondiale et gratuite de reproduction des contenus hébergés ou encore des stipulations permettant au prestataire de détruire les données et impliquant, de facto, qu’il appartient au client d’opérer régulièrement des sauvegardes – ce qui, par ailleurs, contredit l’intérêt a priori de l’informatique en nuage[24]. Ces clauses ne vont pas sans poser de sérieuses questions, quand bien même l’utilisateur serait, sous certains aspects, protégé par le droit des consommateurs[25].
En réalité, le degré de protection dépend largement du contenu du contrat et des obligations qui y sont associées. Là se noue, en grande partie, le nœud de l’intrigue juridique. Deux questions principales se posent : quels sont les services qui doivent obligatoirement être proposés dans tout contrat de cloud et qui, du client ou du prestataire, est responsable du traitement des données ?
En ce qui concerne la première question, la CNIL propose, dans sa recommandation de 2012 pour les entreprises, l’insertion dans les contrats de clauses adaptées aux spécificités du cloud[26] . La création d’un contrat spécial pourrait être une autre solution. Un tel contrat permettrait, à tout le moins, de veiller à la conservation, la confidentialité, la restitution et la réversibilité des données dont on n’a plus la maîtrise[27]. Les recommandations des différentes autorités[28] comme de la doctrine semblent encourager cette piste, qui mérite d’être approuvée dans son principe et approfondie.
A la seconde question, une partie de la réponse réside sans doute dans la création d’un statut légal du sous-traitant, permettant de pallier l’incertitude juridique en matière de responsabilité en cas de non-respect des obligations de confidentialité[29]. En effet, les prestataires du cloud bénéficient aujourd’hui d’un régime de responsabilité très allégé et l’examen des contrats standard que j’évoquais précédemment permet de constater que les clauses d’exonération de responsabilité du prestataire sont, elles, souvent complètes...
Les difficultés juridiques qui sont liées à l’extra-territorialité du droit applicable, comme les impasses et les lacunes de la relation contractuelle, sont donc préoccupantes. Le cloud brouille les frontières réelles comme virtuelles, interroge nos catégories de pensée comme les catégories juridiques. Un phénomène d’une telle ampleur appelle nécessairement l’intervention des autorités publiques.
III. Le cloud pose en définitive la question de l’intervention publique et du rôle de l’Etat.
Quel positionnement, quel rôle la puissance publique peut-elle être amenée à jouer ? Trois niveaux d’action peuvent être envisagés : l’Etat et, plus largement, la personne publique peut se faire régulateur (1), acteur économique (2) voire utilisateur (3).
1. Tout d’abord, l’Etat régulateur est, dans le domaine du cloud comme de la protection des données en général, invité à accroître son rôle.
Malgré la révolution qu’elle a constituée, la loi du 6 janvier 1978 ne permet qu’une régulation encore partielle de la protection des données au regard des enjeux soulevés par l’utilisation massive d’Internet et, plus spécifiquement, par le cloud [30]. Ceci pourrait conduire le législateur à intervenir mais, compte tenu de l’impératif d’harmonisation des règles des Etats européens[31], une intervention de l’Union européenne serait certainement plus pertinente, à condition de ne pas faire de la libre circulation des données le principe absolu de toute politique en la matière.
Le projet de règlement européen annoncé le 25 janvier dernier et actuellement en cours de négociation, vise à bâtir un dispositif juridique amélioré[32]. Mais la tâche demeure ardue, en raison de la difficulté de trouver un compromis politique et le temps nécessaire à la maturation de règles devant s’adapter à des situations largement inédites et intégrer les singularités du cloud. Ce n’est pas sans risque que l’on s’engage dans la voie de la réglementation du virtuel. Aussi attendu qu’indispensable, le règlement européen suscite cependant beaucoup d’espoir. En effet, l’hétérogénéité des règles en place est de nature à pénaliser les entreprises européennes et à porter atteinte à l’unité du marché intérieur.
Une question se pose alors : jusqu’où aller dans la fixation des normes ? Une règlementation excessive, ou inadaptée, ne risquerait-elle pas de produire l’effet inverse, c’est-à-dire de freiner l’industrie européenne dans le contexte d’un marché international extrêmement compétitif ? Plus que jamais, la rencontre des droits est dans ce domaine bienvenue, et je me réjouis que ce colloque soit l’occasion de comparer les approches française, allemande et américaine en la matière.
Par ailleurs, je mesure la lourde responsabilité qui incombe aux autorités de protection des données. La CNIL apporte une contribution très active et utile à cette branche du droit depuis sa création et, en matière de cloud computing, elle ne manque pas à ses traditions. Elle contribue par ailleurs, au même titre que les autres autorités européennes de protection des données, et à la mesure des moyens dont elle dispose, à informer et protéger les utilisateurs. Mais je ne veux pas développer davantage mon propos, laissant à la présidente de la CNIL, Mme Isabelle Falque-Pierrotin, le soin de nous exposer les conceptions et les propositions de cette autorité en la matière.
Les multiples réflexions en cours impliquent tant les régulateurs que la communauté des juristes et des chercheurs ainsi que les organisations européennes et internationales[33]. De celles-ci naissent des idées nouvelles comme celle, portée par la France dans le cadre de la négociation du règlement européen[34], de mise en place d’un dispositif inédit de codécision au moyen d’un mécanisme de « guichet unique ». Celui-ci viserait à investir une seule autorité de protection, celle de l’Etat membre où réside la personne concernée, des compétences décisionnelles et à instaurer dans le même temps un principe de reconnaissance par toutes les autorités homologues de la décision alors prise. Cette idée repose sur la conviction qu’un resserrement du réseau des « CNIL européennes » par la création de décisions communes ou nationales, mais reconnues par les autres autorités, permettrait une meilleure protection des données. D’ailleurs, l’action de concert des vingt-huit autorités européennes a d’ores et déjà été éprouvée, il y a un an, lorsqu’elles ont attaqué d’une seule voix les nouvelles règles de confidentialité de Google qui font échec à ce que l’utilisateur connaisse l’usage qui peut être fait de ces données. Il y a quelques semaines seulement, cet esprit commun s’est de nouveau manifesté, puisque la CNIL ainsi que les autorités de protection d’Allemagne, d’Espagne, d’Italie, des Pays-Bas et du Royaume-Uni ont engagé des procédures contre cette entreprise.
Aux côtés des autorités de protection, les juridictions jouent et joueront, elles aussi, un rôle de premier ordre, tant dans leur fonction contentieuse qu’en contribuant à la réflexion sur des problématiques nouvelles. Le juge a des responsabilités éminentes : il interprète et applique la loi dans chaque cas d’espèce. Mais il ne peut la produire lui-même, ni non plus la dénaturer. Produire du droit ne résout d’ailleurs pas tout ; il faut aussi sensibiliser, informer, proposer. Tel est le rôle, en particulier, des régulateurs ; tel sera aussi, comme je l’ai dit, l’objet de l’étude annuelle du Conseil d’Etat en 2014.
2. Toutefois, le rôle des autorités publiques ne se limite pas à la seule régulation. L’émergence du cloud représente aussi une opportunité stratégique pour l’Etat.
Accélérateur de croissance pour les petites entreprises, promesse d’une adaptabilité accrue pour les grandes sociétés, le cloud est perçu comme un domaine stratégique d’investissement et de croissance pour la France comme pour l’Europe[35]. Depuis 2011, l’Etat encourage le développement du cloud, marché potentiellement créateur d’emplois, qui est estimé à 2 milliards d’euros en 2012[36]. L’Etat finance ainsi, via le fonds national pour la société numérique de la Caisse des dépôts et consignations, plusieurs projets d’infrastructures liés au cloud computing, en partenariat avec des personnes privées[37]. Les projets Numergy et Andromède, menés respectivement avec les opérateurs français SFR et Bull pour le premier, Orange et Thalès pour le second, et pour lequel l’Etat a investi plusieurs millions d’euros, illustrent la « priorité »[38] donnée au cloud computing en matière de développement numérique.
Le cloud constitue donc pour les personnes publiques un enjeu économique majeur, susceptible de favoriser la productivité, la croissance et l'emploi. La Commission européenne estime à cet égard que d’une stratégie européenne active de soutien à ce secteur pourrait résulter un gain cumulatif global de 957 milliards d'euros sur le PIB des Etats membres et la création de 3,8 millions d'emplois d'ici à 2020[39].
Le soutien public au cloud est aussi rendu souhaitable, voire imposé, par la politique de garantie de la protection des données dont la nécessité a été soulignée. Les perspectives économiques étant en partie dépendantes de la maîtrise de l’information et de la capacité de traitement des données, il semble souhaitable que des centrales numériques soient créées en Europe. De ce point de vue également, le cloud computing est un enjeu stratégique, qui relève de la souveraineté des Etats.
3. Cet enjeu de « souveraineté » nationale est d’autant plus important que, demain, l’Etat et, plus largement, les puissances publiques ne pourront sans doute pas eux-mêmes contourner le recours à l’informatique en nuage.
A plus long terme, comment ne pas imaginer, en effet, que l’administration puisse elle aussi utiliser cette technique, source de mutualisation et de rationalisation des coûts, de rapidité et d’efficacité ? Cette perspective paraît d’autant plus réaliste que la contrainte budgétaire pèse comme jamais dans la balance de la décision publique. La sous-traitance ou l’externalisation, pour ne pas dire l’outsourcing, n’est pas l’apanage des entreprises et se diffuse de plus en plus dans les organisations publiques. Certains Etats envisagent ainsi la création d’un « cloud gouvernemental » mutualisant l’ensemble des moyens informatiques de l’Etat, des autres Etats européens, voire des collectivités territoriales.
Dans ce contexte, les questions de confidentialité des données publiques et, plus largement, de sécurité des citoyens et de sécurité nationale, devront être posées. L’externalisation des données détenues par les personnes publiques pose certainement des questions au moins aussi délicates que celle des données privées. Un « cloud souverain » constituerait-il une réponse adaptée ? Pourrait-il garantir un niveau de protection suffisant ? Quels en seraient les modalités de gestion et le régime juridique, en particulier en matière de responsabilité ? Toutes ces questions sont encore en suspens mais devront trouver une réponse à moyen ou long terme.
Compétitivité économique, sécurité des données publiques, droits des personnes et souveraineté nationale… En recevant le courrier de la Société de législation comparée m’invitant à participer à ce colloque, je n’imaginais pas plonger dans des enjeux aussi vastes et bien plus immédiats que je ne l’avais d’abord pensé. Je ne doute pas que les interventions d’aujourd’hui nourrissent la réflexion globale et permettent d’avancer sur la voie de solutions pratiques. Je ne peux que me réjouir que s’y rencontre un aussi large public allant des universitaires aux professionnels du droit et des représentants des entreprises à ceux des administrations.
En définitive, sous l’appellation poétique d’« informatique en nuage », se cachent, certes une promesse de progrès, mais aussi, tâchons de ne pas l’oublier, la violence qui peut procéder de l’absence – par déréglementation – et de l’ignorance du droit. Il en résulte pour les personnes des risques qui, pour reprendre la terminologie du sociologue Ulrich Beck, sont irréversibles et pourtant majoritairement invisibles, des risques « réels et irréels à la fois »[40]. Il appartient aux acteurs sociaux d’en débattre et de proposer des solutions afin que les décideurs publics, éclairés par ces débats, puissent se saisir de ce sujet et proposer des règles et des actions qui concilient l’ensemble des enjeux contradictoires en présence, c'est-à-dire le développement économique et la garantie des droits.
Les nouvelles pratiques qui émergent dans notre société nous invitent à repenser notre droit afin de l’accorder aux défis et aux exigences de notre temps. Parce que l’informatique en nuage bouleverse les dimensions spatiales et temporelles, il faut œuvrer, « par fragments », à un changement d’espace juridique[41]. Seule cette évolution permettra d’éviter que n’échappe au droit ce qui en constitue le cœur : la régulation des rapports sociaux et la protection des droits fondamentaux.
[1] Texte écrit en collaboration avec M. Olivier Fuchs, conseiller de tribunal administratif et de cour administrative d’appel, chargé de mission auprès du vice-président du Conseil d’Etat.
[2] B. Latour, Nous n’avons jamais été modernes. Essai d’anthropologie symétrique, La Découverte, 1997, p. 7.
[3] Car « ce qui embarque le juriste dans l’accélération de l’histoire, c’est le donné sur lequel il travaille » (R. Savatier, « Le droit et l’accélération de l’histoire », D., 1951, chron., p. 30).
[4] Voir en particulier E. Sordet, R. Milchior, « Le cloud computing, un objet juridique non identifié », Communication Commerce Electronique, 2011, n°11, p. 12 ; E. Sordet, R. Milchior, « La définition des contours juridiques du cloud computing », Communication Commerce Electronique, 2012, n°11, p. 7.
>[5] Définition du cloud computing sur http://www.cnil.fr/les-themes/technologies/cloud-computing/.
[6]Ibid.
[7] Le National Institute of Standards and Technology (NIST) est une agence du Département du Commerce des Etats-Unis, qui promeut l'économie en développant des technologies. Voir http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.
[8]JORF, n°0129 du 6 juin 2010, « Informatique en nuage, », Vocabulaire de l'informatique et de l'internet, p. 10453.
[9] Voir par exemple R. Buyya, J. Broberg et A. M. Goscinski, Cloud Computing : Principles and Paradigms, John Wiley & Sons, 2010.
[10] R. Buyya, J. Broberg et A. M. Goscinski, op. cit.
[11] Z. Mahmood et R. Hill, Cloud Computing for Enterprise Architectures, Springer, 2011.
[12] B. Chee et C. Franklin Jr., Cloud Computing: Technologies and Strategies of the Ubiquitous Data Center, CRC Press, 2010.
[13] M. Delmas-Marty, Le relatif et l’universel. Les forces imaginantes du droit, Ed. du Seuil, 2004, p. 337.
[14] Article 2 du règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale.
[15] Article 33 du règlement n°44/2001.
[16] Voir en particulier TGI de Paris, ordonnance de référé, 22 mai 2000 ; US Court of Appeals for the Ninth Circuit, 23 août 2004 ; US Court of Appeals for the Ninth Circuit 12 janvier 2006. Voir aussi J. Lavenue, « Internationalisation ou américanisation du droit public : l’exemple paradoxal du droit du cyberspace confronté à la notion d’ordre public », Lex Electronica, 2006, disponible sur www.lex-electronica.org/docs/articles_45.pdf.
[17] Règlement (CE) n° 593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (Rome I).
[18] Article 4 du règlement.
[19] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[20] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
[21] Article 25 de la directive 95/46/CE.
[22] C. Chassigneux, « Aterritorialité des atteintes face aux logiques territoriales de protection juridique et problème de l’absence d’homogénéité des législations protectrices (quid des safe harbor principles) », Lex Electronica, 2004, vol. 9, n° 2, disponible sur http://www.lex-electronica.org/articles/v9-2/chassigneux.htm.
[23] B. Delmas-Linel et C. Mutz, « Le cloud computing à l’épreuve des souverainetés nationales. Faut-il avoir peur du USA Patriot Act ? », Lamy Droit de l’Immatériel, février 2013, p. 53.
[24] Voir E. Sordet, R. Milchior, « Le cloud computing, un objet juridique non identifié », op. cit., n° 10 et s.
[25] La reconnaissance du statut de consommateur entraîne quelques protections, notamment par la jurisprudence de la Cour de justice de l’Union européenne qui reconnaît volontiers une clause imposant une juridiction étrangère comme clause abusive. En témoignent, à titre d’exemple, les arrêts du 27 juin 2009 n° 240/98 et du 4 juin 2009 n° 243/08.Mais l’on peut se demander plus généralement s’il est réaliste de faire de la vigilance de l’utilisateur la seule marge de manœuvre possible.
[26] CNIL, Recommandations pour les entreprises qui envisagent de recourir à des services de Cloud computing, 2012, disponible sur www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_
qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf.
[27] G. Brunaux, « Cloud computing, protection des données : et si la solution résidait dans le droit des contrats spéciaux ? », D., 2013, n° 19, p. 1158.
[28] Voir par exemple Commission européenne, Exploiter le potentiel de l'informatique en nuage en Europe, COM(2012) 529 final, 2012, p. 12 et s.
[29] E. Sordet, R. Milchior, « La définition des contours juridiques du cloud computing », op. cit.
[30] B. Delmas-Linel, « Promesses du Cloud computing et protection des données à caractère personnel : la remise en question du cadre juridique français et européen », Lexbase n° 292, 12 avril 2012.
[31] Le titre de la directive de 1995 exprime cette finalité puisqu’elle est « relative à la libre circulation des données ».
[32] Dans sa version actuelle, il comporte des dispositions relatives aux deux principaux volets mentionnés : un contrôle accru des transferts des données et un statut spécial du sous-traitant en matière de responsabilité.
[33] Voir, par exemple, Commission européenne, Exploiter le potentiel de l'informatique en nuage en Europe, COM(2012) 529 final, 2012 ; Direccte de la région Ile-de-France, Le cloud computing, une nouvelle filière structurante, http://direccte.gouv.fr/IMG/pdf/cloud_computing_final.pdf; CIGREF – Réseau des grandes entreprises, « Fondamentaux du cloud computing. Le point de vue des grandes entreprises », mars 2013, disponible sur http://images.cigref.fr/Publication/2012-2013-Fondamentaux-Cloud-Computing-Point-de-vue-grandes-entreprises.pdf.
[34] « Vie privée : le gouvernement veut des décisions communes en Europe », Le Monde, 7 octobre 2013.
[35] Commission européenne, Exploiter le potentiel de l'informatique en nuage en Europe, op. cit.
[36] Rapport de l’Agence française pour les investissements internationaux, « Le développement du Cloud computing en France », 9 janvier 2012.
[37] « Développement de l’économie numérique », site du portail du Gouvernement, 1er juin 2011.
[38] Selon les termes de la Caisse des dépôts et consignations.
[39] Communication précitée de la Commission européenne, p. 2-3. La Commission se base sur l’étude suivante : IDC, Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Takeup, http://ec.europa.eu/information_society/activities/cloudcomputing/docs/quantitative_estimates.pdf.
[40] U. BECK, La société du risque. Sur la voie d’une autre modernité, Paris, Champs Flammarion, 2003, p. 40.
[41] Cette problématique est, bien entendu, applicable à d’autres grandes évolutions du droit, voir par exemple M. Delmas-Marty, Le flou du droit. Du code pénal aux droits de l’homme, PUF, 2004.