Le cloud computing : à qui sont les données

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Le Cloud Computing : à qui sont les données ?

Intervenants : Guillaume Jahan, Jérémie Zimmerman, Cédric Manara, Romain Perray

Lieu : École de droit de la Sorbonne - Université Paris 1 - Panthéon-Sorbonne

Date : Juin 2013

Durée : 98 min

Lien vers l'audio : [1]


00' reprise MO

Organisateur : Je vais donc présenter chacun des intervenants qui sont ici présents devant vous. Tout à gauche M. Perray, M. Romain Perray, qui fait l'honneur aujourd'hui de nous assister. Il est membre du cabinet AndCo et avocat. Il est avocat au barreau de Paris. Il est professeur dans le Master 2 « Droit du commerce électronique » dans lequel nous sommes et raison pour laquelle nous sommes là aujourd'hui. Voila, je crois que j'ai tout dit sur monsieur Perray. Oui il est spécialisé, c'est la raison pour laquelle il est ici aussi, il est spécialisé sur les problématiques juridiques liées aux données personnelles. Il est chargé d'enseignement j'ai un petit peu anticipé peut-être.

A côté Jérémy Zimmerman qui fait l'honneur de nous assister aujourd'hui. Ancien ingénieur ingénieur indépendant, il est aujourd'hui porte-parole et cofondateur de la Quadrature du Net. Alors qu'est-ce que la Quadrature du Net pour ceux qui ne connaissent ? Il s'agit d'une association de défense des droits et libertés des citoyens sur internet. Jérémy Zimmerman, amateur éclairé des problématiques juridiques liées aux nouvelles technologies va nous faire don aujourd'hui de son opinion sur les problématiques abordées.

A droite de Mme ROCHFELD nous avons, à droite pour nous et donc à gauche pour Mme ROCHFELD, vous aurez compris, nous avons Guillaume Jahan, diplômé de l’École du Barreau de Versailles. Il a exercé d’abord en tant qu'avocat dans plusieurs cabinets et non des moindres, notamment Bird and Bird, Alain Bensoussan Avocat ou encore Salans et il est maintenant directeur juridique de Numergy qui est un producteur français français d'énergie, producteur d'énergie numérique français, je me répète un peu. Donc c'est une entreprise spécialisée dans la prestation de service de Cloud Computing, donc qui délivre le service de Cloud Computing dont on va parler maintenant.

Et à droite donc à gauche de M. Jahan, M. Manara, donc Cédric Manara, docteur en droit, professeur à l'EDHEC Business School , donc il est tombé dans l'internet depuis 95, passionné par ça il va nous aider aussi et nous donner son opinion sur la question. Je vais passer la parole maintenant à Émilie qui va présenter une petite introduction sur le Cloud Computing, sur l'émergence du Cloud Computing avant qu'on ne commence les questions et que les intervenants se prêtent au jeu de cette table ronde.

Émilie : Bien. Bonsoir à tous. Merci d’être venus. Tout d'abord pourquoi le Cloud Computing aujourd'hui ? Tout simplement parce que, selon les dernières études qui ont été publiées notamment par des instituts comme Markess International, le Cloud Computing fait aujourd'hui référence à des services qui sont en forte progression. A ce titre ces services connaissent une croissance depuis 2009 de près de 30 % et selon les différents experts cette croissance est loin d'avoir atteint son apogée. Pour toutes ces raisons nous avons décidé en fait d'aborder ce thème aujourd'hui, parce que, outre l'aspect économique très important de ce phénomène, il soulève aussi plusieurs problématiques juridiques qu'il nous semblait important d'aborder.

A ce titre je vais tout d'abord faire une brève présentation de l'historique du Cloud Computing et de sa naissance. En effet pour beaucoup c'est un phénomène qui est récent voire nouveau. On entend Cloud Computing partout aujourd'hui, essentiellement on entend aussi cloud privé, cloud public, service de SaS, de PaaS, tout autant de notions qui pour certains peuvent paraître totalement incompréhensibles. A ce titre pour la petite anecdote, je soulignerai que selon une étude réalisée par une université américaine, 50 % des américains interrogés et répondant à l’enquête pensent qu'une tempête peut avoir un effet sur la prestation de Cloud Computing ou qu'encore il s'agit d'un phénomène météorologique. Donc pas du tout. A titre historique il faut savoir que ce phénomène prend sa source dans ce qu'on appelle l'usage, le service à la demande et que dès 1961, en fait, John Mac Carty, qui était chercheur à l'université du MIT, avait émis l'idée selon laquelle qu'un jour l'informatique serait consommable au même titre que pourrait l’être l’électricité ou encore l'eau.

Pour ce qui est de la naissance du Cloud Computing, on voit que d'un coté pour beaucoup il s'agit d'une continuité normale de l'évolution des services internet qui existaient. Pour d'autres au contraire il s'agit d'un phénomène qui serait né de la pratique d'Amazon, dès 2002, qui pour faire face à un afflux des commandes passées sur son site internet pour les fêtes de Noël aurait loué le premier Data center pour justement répondre à cette consommation de masse.

Qu'en est-il aujourd'hui ? Existe t-il une définition unique du Cloud Computing ? Ou au contraire est-ce un phénomène éclaté ? C'est la première question que nous vous posons pour aiguiller l'assemblée et donc permettre à tous les novices que nous sommes d'y voir un peu plus clair.


Organisateur : Sur cette première question de la définition est-ce que quelqu'un voudrait se lancer ? Peut-être que notre praticien du Cloud serait plus à même de commencer à répondre à la question.

06' 58

Guillaume Jahan : Très volontiers. Juste le point de départ à retenir c'est qu'effectivement ce phénomène aujourd'hui n'a pas eu droit à une définition juridique de ce qu'est le Cloud Computing en France. Donc on est dans les définitions qui sont une acceptation commune par les professionnels et les pratiquants. Concrètement, Cloud Computing c'est de l'informatique à distance grâce à une connexion internet et donc on peut accéder à la capacité de stockage, de calcul de serveurs, qui ne sont pas dans l’entreprise ou chez l'utilisateur, mais qui sont chez un prestataire. Voila. Il faut juste retenir qu'il y a une connexion internet et au bout il y a des serveurs et une capacité sur différents usages. Alors ça c'est le point de départ et après effectivement, comme vous le disiez, il y a différentes catégories de services et les trois plus connus, comme vous les disiez, c'est le IaaS, c'est-à-dire Infrastructure as a Service, donc c'est une capacité de stockage et de calcul auxquelles on peut accéder grâce à ces serveurs-là. Il y a le PaaS, ça ça s’adresse au monde du développement, donc ça permet d’avoir une plate-forme où on se connecte et sur laquelle on peut réaliser sa programmation, tester les nouveaux développements, c'est vraiment lié à un monde particulier. Et il y a enfin un troisième type de service qui existe qui est celui du SaaS, qui est celui sans doute qu'on connaît tous le plus, qui est en fait l'accès à des logiciels à distance, donc en fait à des services, des fonctionnalités. Grâce à nos connexions internet on arrive sur les sites de prestataires comme par exemple de la messagerie électronique, de la comptabilité à distance, ce genre de services. Ce sont les trois catégories dont on entend beaucoup parler, en tout cas d'un point de vue pratique. Après, tous le jours quasiment, il y en a de nouvelles qui se créent, où on rajoute à chaque fois une chose pour, par exemple, des choses qui sont liées à la capacité de réversibilité, de stockage, pour les sauvegardes. Ce sont les trois grandes catégories à retenir. Aujourd'hui la mode veut qu'à chaque fois qu'on crée un nouveau type de service sur internet à distance on rajoute dedans le mot as a service et on met une première lettre différente. Voila c'est un peu ça.

Il faut savoir qu'en France on a eu le privilège d'avoir une commission de terminologie qui s'amuse à traduire en français des mots anglais et qui donc parle d'informatique dans les nuages. Vous avez sans doute entendu ça très souvent. C'est bien, mais après la définition qui est attachée derrière est un petit floue, elle ne recouvre pas beaucoup de choses qui sont dans le monde réel. Du coup il y a des référents qui sont apparus. Vous avez notamment, s'il faut n'en retenir qu'un, l’Institut, alors américain pour le coup, le NIST, National Institute of Standards and Technology, qui a donné une définition qui est assez communément acceptée du cloud et qui est partie plutôt sur des critères, en disant c'est un service à la demande, donc c'est en fonction des besoins qu'on a et de ce qu'on consomme que l'on paie, ce sont des ressources mutualisées, c'est-à-dire qu'on voit le prestataire a plein de serveurs qu'il met à la disposition des utilisateurs, des clients, mais qui sont partagés. On n'a pas l'exclusivité sur un serveur chez un client. Il y a l'électricité, il y a un service qui est mesurable, avec des ??? de service, avec le plus connu c'est le taux de disponibilité, combien de temps je peux ???, 99 point 99, ça veut dire que quasiment tout le temps je peux accéder à ce service. S'il y a une définition qui existe aujourd'hui c'est celle à partir de ces critères-là., sachant que c'est un mot qui évolue assez vite donc ces critères s’affinent de plus en plus, d'autres apparaissent.

C'est un sujet intéressant et juste pour la petite anecdote, je vais peut-être donner la parole parce que je parle beaucoup, la Commission européenne aujourd'hui s'intéresse beaucoup au Cloud Computing et a émis plusieurs notes de service et il y a eu plusieurs discours sur l'idée qu'il fallait développer ce type de service et l'encourager. Ils réfléchissent à des outils notamment juridiques mais aussi pratiques concrets pour un petit pousser ce type de service et le rendre accessible à l'ensemble du marché européen, des utilisateurs et des entreprises. Ce sont des travaux en cours et on devrait voir d'ici l'horizon 2014 des petites choses pour structurer ce type de marché, alors pas dans des réglementations mais avec des recommandations de la part de la Commission européenne. Ce marché se structure. Alors je vais laisser la parole.


Jérémie Zimmerman : J'ai souvent tendance à parler de « clown Computing », de clown computing, parce qu'on voit souvent des commerciaux agiter les bras et vous vendre un concept comme ça, c'est génial, il vous en faut, achetez-en aussi. Alors qu'en réalité c'est pour moi deux concepts assez anciens qui sont mélangés ensemble quand on parle de Cloud Computing, d'abord un principe technique qui est celui de la virtualisation.

La virtualisation c'est dissocier l’ordinateur, dissocier la machine, le hardware du software donc faire en sorte, avec un ordinateur dit superviseur qui va contrôler plein de petits ordinateurs en dessous, que vous n'ayez pas à vous demander sur quel ordinateur physiquement est en train de s'exécuter votre logiciel et en gros un autre ordinateur s'en occupe à votre place. Concrètement ça veut dire que quand un disque dur claque dans un data center, un petit gars peut aller le sortir, en remettre en autre ; quand c'est un ordinateur entier qui claque on peut le sortir, en remettre un autre sans que ça n’interrompe le service parce que le service va continuer sur x autres ordinateurs. Vous avez vu ces images des data centers dans lesquels on voit des rangées d’ordinateurs clignoter. Voila c'est ce type d'infrastructure qui sert à faire du cloud et ça, ça date de bien avant le concept de Cloud Computing.

L'autre concept c'est celui de l'externalisation. C'est-à-dire quand on dit cloud ça veut dire qu'on ne maîtrise pas son infrastructure, on fait le choix de ne pas avoir son infrastructure chez soi, mais de faire confiance à quelqu'un d'autre, à un acteur économique. Donc cette question fondamentale c'est la question de la confiance. A qui faites-vous confiance pour faire tourner votre infrastructure ? A qui faites-vous confiance pour stocker vos données et potentiellement y accéder ? On comprend ce choix d'entreprises de se dire « Oh ben nous on n'a pas tellement de ressources, on n'a pas d'informaticien sous la main donc on va tout mettre chez Google » et se dire « Ben eux Google ils savent faire tourner des ordinateurs, ils savent très bien faire tourner des messageries, donc ça va très bien marcher, on n'a qu'à tout mettre chez Google ».

Pour moi le cloud c'est ça. C'est d'un côté la virtualisation et de l'autre côté l'externalisation punie. Et du coup j'aurais un petit peu tendance à parler plutôt en guise de cloud, de nuage, j'aurais plutôt tendance à parler d'un nuage de fumée. Peut-être qu'on pourrait parler de l'informatique enfumée voire de l'informatique fumeuse pour trouver un terme approprié pour le cloud, parce qu'en réalité vous avez des entreprises qui vont utiliser la complexité de la technologie pour faire un barrage entre vous et vos données, entre vous et vos ressources informatiques et donc au-delà de la question de la confiance se pose la question contrôle. Qui contrôle ses données ? Qui contrôle son informatique ? Qui contrôle votre informatique ? Et quand vous êtes étudiant vous dites peut-être que le contenu de votre messagerie n'intéresse personne, que vous n'avez rien à cacher, etc, mais quand vous commencez je ne sais pas à aller en politique ou à créer une entreprise plus ou moins sensible, ou avoir des liaisons extra-conjugales, je ne sais pas, la question se pose peut-être différemment et quand il vous arrive une fuite de données, eh bien il est en général trop tard pour se poser la question « qui contrôle vos données » ?

Emilie : Est-ce qu'il y aurait quelques anecdotes là-dessus ? Et pour les difficultés, est-ce que une ou deux anecdotes ?


Jérémie Zimmerman : Des anecdotes croustillantes, il y en a à peu près tous les jours dans la presse spécialisée.


Emilie : Bien sûr, tout le monde ne la lit pas, nous ne la lisons pas.


Jérémie Zimmerman : Que ce soit les 70 millions de comptes Playstation Network de Sony qui ont fuité avec les mots de passe de leurs utilisateurs et comme chacun sait les utilisateurs ont tendance à utiliser le même mot de passe partout. Donc si vous êtes utilisateur du Playstation Network et que vous avez le même mot de passe partout, peut-être que votre mot de passe Facebook, Gmail est publié dans la nature depuis maintenant plusieurs mois. Des fuites de données comme ça il en arrive tous les jours, c'est même presque rare qu'on le sache, tous les jours on en apprend, mais c'est proportionnellement rare qu'on le sache par rapport au nombre de fois où ça arrive. Parce que quand ça arrive à une entreprise elle ne le dit pas parce que c’est un peu la honte. C'est comme dire publiquement qu'on a attrapé une maladie honteuse, on a plutôt intérêt à ne pas le faire. Des exemples de fuites de données il y en a toujours.

Il y a aussi des exemples de conditions générales d'utilisation qui évoluent, comme celles de Facebook qui du jour au lendemain a décidé qu'en fait ce qui était partagé avec les amis, sera aussi partagé avec les amis des amis, etc. Il y a eu des histoires, je crois, de meurtres et de divorces, des choses comme ça, parce que des gens ont eu accès à une image ou un statut qu'ils n'auraient pas du voir, ou en tout cas où l'utilisateur ne pensait pas qu'ils le verraient.

Il y a l'exemple de Max Schrems, un brillant étudiant en droit autrichien qui, au terme d'une guérilla juridique avec une vingtaine de procédures et dans je ne sais combien de juridictions, a obtenu les 900 mégaoctets de données que Facebook avait sur lui. Il voulait juste faire valoir son droit européen à demander les données que Facebook stockait sur lui et il s'est aperçu que toutes les données qu'il avait effacées de Facebook étaient stockées par Facebook. Voila des petits exemples parmi d'autres.

16' 13

Romain Perray : Alors pour répondre à la question qui nous a été posée avant tout

Récupérée de « http://wiki.april.org/index.php?title=Le_cloud_computing_:_à_qui_sont_les_données&oldid=60050 »