Note sur le cloud

De April MediaWiki
Aller à la navigationAller à la recherche
le Cloud, terrain ou tombeau pour le logiciel libre ?


Ambox warning red construction.png
/!\ Travail en cours /!\

Cette page présente un texte de synthèse en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


« J'ai une bonne et une mauvaise nouvelle. Je commence par la mauvaise : tout va disparaître. Vous pouvez dire adieu à vos précieuses données, vos photos, vos films, à votre disque dur régulièrement défragmenté, à vos logiciels préférés. Passons maintenant à la bonne nouvelle : tout va disparaître. Allez hop ! Terminé les données encombrantes, fini les disques durs étriqués, bruyants, poussifs, aux oubliettes les logiciels ventripotents, coûteux et inutiles. Plus besoin. N'ayez crainte : dans tous les cas, vous pouvez quand même continuer à regarder vos photos et vos films, à consulter et modifier vos documents, à écouter votre musique ».[1]Voilà comment pourrait être résumé, (avec comme référence grand public Gmail ou Picasa), les effets de l'informatique « en nuage » ou cloud computing.

Si l'informatique « en nuage » est un « faux concept » aux contours des plus incertains, on ne peut que constater son impact réel dans la réglementation des nouvelles technologies. Sous peine d'exclusion des réflexions sur les TIC de demain, il est impossible de ne pas se positionner sur son développement. L'April, tout en constatant l'absence de clarté du concept d'informatique « en nuage », conditionne son développement à un renforcement du corpus juridique existant pour les entreprises du secteur, en matière de droit à l'interopérabilité, de traitement des données à caractère personnel et de respect de la vie privée. L'avenir de l'informatique « en nuage » réside dans les logiciels libres car « ce sera grâce [à eux] que l’on pourra construire des infrastructures garantissant la non-exploitation des informations par les vecteurs de l’internet. Grâce à la mobilisation des usagers (...) et à l’énergie offerte par le partage et la mise en œuvre de solutions communautaires »[2].

Présentation

Pourquoi cette note ?

Le « cloud computing », tous les acteurs des TIC ont ce mot à la bouche. Même les institutions françaises[3] et européennes[4][5] se penchent sur la question du cloud. L'April a ainsi eu l'occasion de répondre sur ce sujet à une consultation publique de la Commission européenne[6].

Il existe une difficulté quant à la réalité de l'informatique « en nuage ». Il n'en demeure pas moins que le cloud computing a une incidence sur les logiciels libres, du fait de sa reconnaissance par les pouvoirs publics. A l'avenir, toute réglementation, sur des sujets comme l'interopérabilité, la neutralité du Net, la standardisation ou les brevets logiciels, sera liée à l'informatique « en nuage ». Le monde du libre ne peut donc rester muet face à une problématique touchant directement les logiciels libres.

Circonscription de la notion d'informatique « en nuage »

Un buzz word marketing

L'informatique en nuage regroupe sous un seul et même terme, imagé et imaginé par les fournisseurs de services, une multitude de pratiques aux finalités diverses, d'où l'idée de «buzz word marketing». Le terme «informatique en nuage» n'est alors qu'un mode de catégorisation d'un ensemble de technologies. Cette catégorisation est dénoncée par certains comme Larry Ellison, cofondateur de la société Oracle spécialisée dans la gestion de base de données, qui la considère comme une «mode»[7].

Cependant, si, à la base, l'informatique « en nuage » peut être considéré comme un concept marketing, il n'en demeure pas moins qu'aujourd'hui, il est une réalité pour de nombreux acteurs des TIC et les institutions publiques, ce qui oblige ses détracteurs à se positionner. C'est le constat que fait l'OFE (OpenForum Europe)[8]. De moyen de communication marketing, l'informatique en nuage est devenu un terme usuel du vocabulaire informatique pour désigner un ensemble de pratiques. Du fait de cette mutation, le besoin d'une définition précise du concept d'informatique en nuage se fait sentir.

Définition de l'informatique « en nuage »

l'April considère que l'informatique « en nuage » est un ensemble vague de services, pouvant regrouper une multitude de pratiques, renvoyant, comme le signale la Commission européenne, non pas « à une technologie spécifique mais à un paradigme général de prestation de service avec une capacité améliorée »[9]. La définition retenue par la Commission est celle « d'un environnement de ressources d'exécution élastique, qui implique des parties prenantes multiples, et qui fournit un service mesuré à des niveaux de finesse multiples pour un niveau de qualité de service spécifié »[10]. Cependant, cette définition coïncide avec la plupart des activités client / serveur sur Internet, ce qui ne permet pas d'en déterminer avec exactitude les contours.

Juridiquement, le cloud computing, ou informatique « en nuage », est un «  mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »[11]. Les applications et les données ne sont donc plus sur un serveur local mais bien dans un « nuage » de serveurs reliés entre eux par une bande passante, confiés à la gestion d'un tiers prestataire et accessibles le plus souvent via une application web. «Cette évolution a pu être comparée à celle qu'a connue le secteur de l'électricité. Les entreprises, qui à l'origine possédaient chacune des mini centrales de production électrique, les ont abandonnées au fur et à mesure qu'elles ont pu satisfaire leurs besoins énergétiques en s'approvisionnant auprès de grandes compagnies spécialisées dans la production d'électricité»[12].

L'appproche du National Institute of Standards and Technology (NIST)[13] américain est beaucoup plus précise : l'informatique en nuage est un modèle pour permettre l'accès réseau à un ensemble partagé de ressources informatiques configurables (ex : réseaux, serveurs, stockage, applications et services), omniprésent, pratique et à la demande, ressources qui peuvent être rapidement approvisionnées et publiées avec un minimum d'effort de gestion ou d'interaction d'un prestataire de service[14].


Le NIST retient 5 caractéristiques essentielles de l'informatique en nuage :

- demande en libre service: l'utilisateur peut obtenir des ressources, comme de la capacité de stockage, au besoin automatiquement, sans avoir à s'adresser directement au fournisseur de service.

- large accès au réseau: les capacités du réseau sont facilement accessibles et sur de multiples plate-formes (téléphone mobile, ordinateur, PDA...).

- mutualisation des ressources: les ressources du prestataire de service sont regroupées et servent à de multiples utilisateurs qui ignorent l'emplacement exact de leurs données dans cet ensemble.

- rapide adaptabilité: les capacités de stockage ou de flux sont adaptées en fonction des besoins de l'utilisateur et cela sans intervention de sa part.

- service mesuré: les systèmes en nuage contrôlent et optimisent l'utilisation des ressources en s'appuyant sur des mesures de référence comme le nombre de comptes utilisateur actifs, la bande passante ou les capacités de stockage.

Il existe différents modèles de déploiement de l'informatique en nuage :

- Le « nuage privé » exploité par un seul organisme

- le « nuage communautaire », exploité par plusieurs organismes

- le « nuage public », accessible au plus grand nombre et sous contrôle d'un fournisseur de service

- le « nuage hybride », mélange de plusieurs modèles de nuages reliés entre eux

Modèles de services

Les services d’infrastructure (Infrastructure as a service IaaS)

L'utilisateur est en capacité de déployer les systèmes d'exploitation et des applications grâce aux ressources qui lui sont fournies. L'utilisateur, le plus souvent professionnel, n'a pas à gérer l'infrastructure de l'informatique en nuage mais a le contrôle des applications et systèmes qu'il déploie.

C'est le cas par exemple d'Amazon Elastic Compute Cloud (EC2)[15] (un service de mise à disposition de serveurs pour le développement d'application web où l'utilisateur peut créer des machines virtuelles pour le téléchargement de logiciels au choix, via une interface web)[16] ou d'Amazon Simple Storage Service (S3)[17] (un service d'infrastructure où l'utilisateur, via une interface web, peut stocker et récupérer ses données).

Les services de plate-forme (Platform as a service PaaS)

Il s'agit de services de plate-forme d'hébergement pour le développement d'applications à la demande. L'utilisateur maintient ses applications et le fournisseur de service lui met à disposition un environnement middleware, un «logiciel tiers qui crée un réseau d'échange d'informations entre différentes applications informatiques»[18].

C'est l'exemple de Google App Engine[19], «une plateforme de conception et d'hébergement d'applications web basée sur les serveurs de Google»[20], de MS Azure[21] de Microsoft ou d' Amazon Web service[22].

Les services de logiciels (software as a service SaaS)

L'utilisateur a accès à des applications de fournisseurs de service par le biais d'une interface, le plus souvent une application web. Il n'a besoin ni de gérer l'infrastructure de l'application, entièrement prise en charge par le fournisseur de service, ni d'installer l'application sur le terminal informatique, celle-ci reposant sur la sollicitation d'un service à distance. C'est le cas de Gmail, hotmail, google doc ou encore Facebook.

L'intérêt des utilisateurs

L'engouement initial des professionnels

Les services d'informatique « en nuage », principalement les Iaas et les PaaS, sont originellement tournés vers les utilisateurs professionnels. Ceux-ci sont séduits par les capacités de traitement et de bandes passantes, la flexibilité des services et par la faculté d'adapter les ressources aux besoins par ces services. Les professionnels se trouvent aussi déchargés des contraintes d'infrastructures complexes et coûteuses (data centers, provisionnement hardware, gestion logistique et physique des ressources, pannes ...), ces infrastructures étant prises en charge par le fournisseur de service. Ils bénéficient aussi de services établissant une structure pour la gestion de l'administration système (séparation des données et des traitements, visibilité sur les différents services utilisés...). L'hébergement des données n'est pas la seule prestation intéressant les professionnels car ceux-ci peuvent souscrire aussi à des applications de gestion de la clientèle « en nuage » par exemple.

Tout cela avec un prévisionnel des dépenses optimisé. Le cloud computing permettrait également une réduction du coût financier du stockage des données par la dématérialisation de la structure de conservation des données. L'utilisateur n'aurait besoin en fait que d'une connexion internet. Cependant, le coût des forfaits, de la virtualisation des infrastructures, du développement de plates formes personnalisées, de l'intervention d'une multitude de prestataires peut s'avérer être supérieur aux gains annoncés.

Cet engouement du monde des entreprises pour l'informatique « en nuage » explique celui des acteurs publics. En effet, les professionnels, conscients de l'enjeu de l'informatique « en nuage », à la fois comme marché potentiel et comme base de fonctionnement de l'entreprise, ont besoin d'un cadre juridique de sécurisation et sollicitent les acteurs publics pour l'élaboration de ce cadre.

L'extension aux non-professionnels

Les non-professionnels sont principalement concernés par les services SaaS permettant de bénéficier des atouts majeurs de l'informatique en nuage (infrastructure à distance, grande capacité de stockage des données). Des services grands publics se sont développés comme des services de gestion des courriels (Gmail ou hotmail) ou d'hébergement et de synchronisation de fichiers en ligne (Drop Box[23] ou Ubuntu One[24]).

Le cloud computing serait aussi bénéfique pour l'environnement dans sa participation à la dématérialisation de l'informatique[25]. Sur ce point, la nécessité de centrales de serveurs à gros besoins énergétiques, pour le déploiement de l'informatique « en nuage », relativise les bénéfices espérés pour l'environnement.

Points de vigilance de l'informatique en nuage

Perte de maîtrise du système d'information

"Un système d'information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l'information sur un environnement donné"[26].

Perte de contrôle des données

Richard Stallman, à l'origine du projet GNU, rejette le cloud computing, qui est pour lui une campagne marketing[27], un concept créé par des gérants de logiciels propriétaires pour leur développement personnel, un « piège »[28] dans lequel le logiciel libre n'aurait pas sa place. Son usage conduit irrémédiablement à une « perte de contrôle » de ses données, l'utilisateur en confiant la gestion à un tiers fournisseur de service dans l'ignorance de leur localisation précise dans le « nuage ». Cela contraint à l'usage de logiciels propriétaires de sécurité, ce que dénonce R. Stallman qui préconise la conservation des données en local en lieu et place de leur hébergement dans le « nuage ».

Souscrire à ces services, c'est aussi accepter les contraintes les accompagnant : traçage, profilage pour les publicités ciblées, voire même espionnage industriel. L'utilisateur, professionnel ou non, n'a aucune certitude sur la confidentialité de ses données hébergées par le tiers. Ainsi, Google a pu reconnaitre la transmission de données de ses centres européens aux agences de renseignement américaines, en violation des lois européennes de protection des données, et cela en vertu du Patriot Act[29].

Ce constat incite une structure comme le Centre national de la recherche scientifique (CNRS) à déconseiller à ses chercheurs l'usage des services de l'informatique « en nuage »[30]. Le recours aux logiciels libres peut contribuer au développement de la recherche, sous condition de ne pas « considérer le logiciel libre comme une manne offerte par d’autres »[31] et d'associer les chercheurs à l'élaboration des solutions libres dans ce domaine.

Perte de gouvernance

Les nuages standardisés, sous contrôle de grands fournisseurs, obligent les utilisateurs à se plier aux contraintes et volontés des fournisseurs de cloud. Les utilisateurs ne peuvent s'opposer à de nouvelles conditions d'utilisation ou exigences financières, sous peine de voir leur accès à leurs données ou à leurs applications disparaître. Un parallèle peut ici être effectué avec la situation où les éditeurs de logiciels propriétaires imposent leurs nouvelles versions de logiciels à leur gré.

De plus, les utilisateurs n'ont aucun moyen de contrôle sur l'activité du fournisseur de services en cloud sur leurs données ou applications. Ils ignorent leur localisation, les modalités techniques de leur conservation, les systèmes d'intervention à distance existant voire même l'identité précise des personnes pouvant avoir accès aux services (sous-traitant, responsable du traitement, partenaires commerciaux...).

La lecture des conditions d'utilisation du service gmail suffit pour se convaincre du risque de perte de gouvernance :

Mise à disposition des Services par Google (...)

4.2 Google innove en permanence pour fournir à ses utilisateurs les meilleurs services possibles. Vous reconnaissez et acceptez que la forme et la nature des Services fournis par Google sont susceptibles d'être modifiées sans préavis.

4.3 Dans le cadre de cette recherche constante d'innovation, vous reconnaissez et admettez que Google peut cesser (provisoirement ou définitivement) de mettre à votre disposition ou à celle des utilisateurs en général ses Services (ou certaines fonctionnalités de ces Services), à sa seule discrétion et sans préavis. Vous pouvez cesser d'utiliser les Services à tout moment. Si vous arrêtez d'utiliser les Services, vous n'avez pas à en informer Google.

4.4 Vous reconnaissez et acceptez que si Google désactive l'accès à votre compte, vous puissiez être dans l'impossibilité d'accéder aux Services, aux détails de votre compte, aux fichiers ou à tout autre élément contenu dans votre compte.

4.5 Vous reconnaissez et admettez que, même si Google peut ne pas avoir encore défini de limite quant au nombre de transmissions que vous pouvez envoyer ou recevoir par l'intermédiaire des Services ou quant à l'espace de stockage utilisé pour la mise à disposition des Services, Google se réserve le droit, à sa seule discrétion, de définir de telles limites à tout moment.

15. LIMITATION DE RESPONSABILITÉ

VOUS RECONNAISSEZ ET ACCEPTEZ QUE LA RESPONSABILITÉ DE GOOGLE, DE SES AFFILIÉS ET FILIALES ET DE SES CONCÉDANTS DE LICENCE NE SAURAIT ÊTRE ENGAGÉE VIS-À-VIS DE VOUS POUR (...) TOUTE PERTE OU TOUT DOMMAGE SUBI PAR VOUS, Y COMPRIS ET SANS LIMITATION, TOUTE PERTE OU TOUT DOMMAGE RÉSULTANT DE (...) TOUTE MODIFICATION APPORTÉE PAR GOOGLE AUX SERVICES, OU SUITE À TOUTE CESSATION PROVISOIRE OU DÉFINITIVE DE LA MISE À DISPOSITION DES SERVICES (OU DE TOUTE FONCTIONNALITÉ DES SERVICES)[32]

Dépendance technologique

Un système basé uniquement sur la confiance des utilisateurs envers les fournisseurs de services en cloud n'est pas tenable. Leur liberté est ici en jeu. Pour Eben Moglen, rédacteur de la licence GPL, le cloud se résume pour lui en la liberté des serveurs, et non des utilisateurs, sans possibilité de contrôle : « Alors «nuage» signifie que les serveurs ont gagné la liberté, la liberté de se déplacer, la liberté de la danse, la liberté de combiner et de séparer et re-agrégées et faire toutes sortes de trucs. Les serveurs ont gagné la liberté. Les clients n'ont rien gagné. Bienvenue sur le nuage. ».

Rétention des utilisateurs

Les services en cloud, tels qu'ils sont conçus et exploités à ce jour, ne garantissent pas à l'utilisateur un libre choix des technologies utilisées pour la gestion de ses données ou applications. Il est difficile pour lui d'envisager un changement de service car cela peut s'avérer techniquement très complexe et nécessiter du temps et de la patience ! Ainsi, il est par exemple impossible d'exporter des contacts d'un réseau social vers un autre ou tout simplement de les importer pour utilisation locale[33]. S'agissant de l'hébergement de contenu spécialisé, l'exportation de contenus (photos, vidéos, liste de tâches, contacts) peut ne pas être envisagée par le fournisseur de service. Peut en revanche être prévu une licence «perpétuelle, irrévocable, pour le monde entier, à titre gratuit et non-exclusive pour reproduire, adapter, modifier, traduire, publier, représenter, afficher et distribuer tout Contenu (...)»[34] empêchant ainsi d'interdire l'accès et l'utilisation par le fournisseur de service aux contenus postérieurement au retrait du service.

Certains services « en nuage » d'infrastructure, comme ceux fournis par Amazon par exemple, proposent tout de même des API (Application programming interface) d'extraction des données ou des opérations hébergées. Malheureusement, si cette API a bien été documentée, sa conception n'a pas été publiquement discutée. Dans ces conditions, aucune alternative basée sur ces API n'a pu émerger durablement. L'usage de ces API étant central dans l'usage de ces services, il devient très coûteux pour les utilisateurs de ces services à « l'interopérabilité non effective » de se mettre dans les conditions de pouvoir choisir leurs prestataires. En définitive, l'absence d'interopérabilité crée des situations de monopole de fait qui excluent la concurrence et sont nuisibles à l'innovation.

Les entreprises dominant l'informatique en nuage peuvent donc, par la biais des technologies utilisées, retenir les utilisateurs sur leurs services du fait de l'impossibilité d'en sortir. La polémique entre Sun et Google[35] au sujet de l'implémentation de Java dans Google App Engine est révélatrice de la peur de la réalisation d'une initiative de rétention des utilisateurs[36].

La possibilité d'échanger ses données, et de les télécharger dans un format admis par d'autres services est un droit souvent bafoué par les services dans le nuage. Ce n'est ni plus ni moins que le droit à l'interopérabilité qui est ici en jeu. Les standards contribuant à l'interopérabilité entre différents nuages et la portabilité des données de l'un à l'autre ne sont souvent pas utilisés. Cette absence de standard a pour conséquence directe un enfermement technologique dans un service. A défaut de standard des données, l'utilisateur est dans l'impossibilité de porter ses données d'un service à l'autre. Il est comme "captif" du service qu'il a choisi initialement, à l'instar de la téléphonie mobile et de la dépendance de l'utilisateur à son opérateur par le biais du système des forfaits.

Nécessité d'une standardisation des données

Le besoin de standardisation des données du cloud est donc criant dans la lutte contre l'enfermement technologique mais il ne peut être comblé par les seules initiatives des entreprises des TIC, qui ont créées par exemple un groupe de travail sur le sujet dans le cadre du Distributed Management Task Force (DMTF), un consortium de grandes sociétés des TIC. L'initiative «Open cloud Manifesto»[37], visant à définir les principes d'interopérabilité du cloud, peut également être citée mais elle souffre de l'absence des grandes entreprises du secteur au rang des signataires et n'évoque pas la solution des standards ouverts.

Pourtant, la solution est l'utilisation d'un standard ouvert et interopérable, sous l'impulsion des institutions européennes et étatiques, en concertation avec l'ensemble des acteurs du secteur. A ce sujet, le gouvernement a lancé un appel à projets « Informatique en nuage- Cloud computing » dont l'un des points d'attention est l'interopérabilité et l'ouverture[38].

Concernant les données, les standards issus des organismes de normalisation tels que l'IETF[39] et le W3C[40] couvrent une large part des besoins nécessaires pour garantir la récupération des données par les utilisateurs. Par exemple, des formats standards ouverts et normalisés tels que vCard (échange de données personnelles, RFC 2425 et RFC 2426), HTML, ODF, CSV (format pour les données tabulaires, RFC 4180), JSON (format textuel de données informatiques généralistes, RFC 4627) peuvent d'ores et déjà être mis en œuvre pour les services existants.

Le spectre du brevet logiciel

Si le cloud computing vient à être contrôlé par des brevets logiciels, la place des logiciels libres risque d'être grandement menacée. Il ne sera pas possible d'étudier un logiciel en nuage, d'en faire usage sans autorisation du détenteur du brevet, de le diffuser librement et d'y apporter des améliorations.

Le flou sur la ou les législations applicables à l'informatique en nuage peut aussi poser des difficultés à l'utilisateur quant à la question de savoir s'il doit respecter un éventuel brevet logiciel. Voici deux exemples :

- Une entreprise européenne utilise Google AppEngine pour un service de boutique en ligne avec du one-click. Un des serveurs du cloud est aux États-Unis, l'autre au Japon (à cause de clients utilisateurs finaux dans ces pays). Quelle est la responsabilité en terme de brevets logiciels des parties concernées ?

- Microsoft corporation a breveté, pour sa version Fat 32 (un système de fichiers), le système des noms de fichiers longs. L'utilisateur doit- il respecter ce brevet en cas d'export de données d'un fichier brut FAT32 ?

Dépendance en matière de sécurité

Absence de recul sur la sécurité de l'informatique « en nuage »

La sécurité de l'informatique en nuage concerne à la fois la conservation des données, la stabilité des applications et la préservation des infrastructures.

Avec la sauvegarde des données ou le développement d'applications en local, l'utilisateur est seul responsable du bon fonctionnement et de la sécurité des serveurs. Avec l'informatique en nuage, les utilisateurs sont dépendants du tiers fournisseur de service quant à la stabilité de l'infrastructure technique, l'entretien des serveurs, la continuité du service ou la sécurisation du data center.

La sécurité de l'informatique « en nuage » est une condition préalable à son développement. Cependant, les fournisseurs de services en cloud ne s'expriment pas beaucoup sur ce sujet malgré les piratages de comptes gmail[41] ou encore la perte de données de 77 millions d'utilisateurs de Playstation Network[42]. L'informatique « en nuage » étant basé sur un système de mutualisation des ressources, l'isolation des données ou leur effacement sont également des problématiques sécuritaires à prendre en considération.

L'installation elle-même de services en cloud peut poser des questions en terme de sécurité. Ainsi, l'installation du système d'exploitation Chrome OS, dont le fonctionnement est basé sur le cloud, peut laisser apparaître des failles de sécurité[43].

L'informatique « en nuage », mélange de technologies arrivées à maturité et en cours de développement, a déjà montré plusieurs fois des limites en terme de sécurité et il est difficile à ce jour d'évaluer les risques pour les données de l'usage d'une telle technologie. Il ne faut donc pas céder sans réfléchir à ses appels. Le temps dira si l'on peut avoir pleinement confiance après dissipation du brouillard ou s'il y aura toujours un caractère nébuleux.

Responsabilité du traitement par une application « en nuage »

Cas des non-professionnels

Les utilisateurs non-professionnels n'ayant aucun pouvoir de contrôle sur le système de gestion de leurs données, ils concèdent la sécurité de celles-ci au fournisseur de service en cloud qui, en sa qualité de responsable du traitement, est tenu d'une obligation de sécurité pour le cas des données à caractère personnel[44]. En réalité, il est difficile de s'assurer du respect de cette obligation en raison du caractère international du réseau.

Cas des professionnels

Les points de vigilance ci-dessus ne sont pas à négliger pour le professionnel traitant des données à caractère personnel. En effet, le professionnel utilisant des services de gestion de données à caractère personnel « en nuage » est responsable du traitement au sens de la loi Informatique et Libertés[45]. En raison de cette qualité, il est responsable en cas d'atteinte aux données à caractère personnel par le tiers fournisseur de service en cloud, qualifié de sous-traitant. Le choix du tiers fournisseur de service est donc essentiel pour un utilisateur professionnel car un mauvais choix peut avoir pour conséquence directe l'engagement de sa responsabilité. Le responsable du traitement doit alors porter une attention toute particulière à la sécurité du service et se conformer aux dispositions de la loi Informatique et Libertés (et de son décret d'application[46]) en matière de sous-traitance. Pour cela, il doit fixer contractuellement les obligations des parties.

À ce sujet, l'Agence nationale pour la sécurité des systèmes d'information (ANSSI) a édité un guide[47] relatif aux obligations contractuelles qu'il convient d'imposer au tiers fournisseur de service pour la sécurité des données à caractère personnel. Un modèle de contrat-type avec transfert de données caractère personnel vers des sous-traitants établis dans des pays tiers est mis à disposition par la Commission européenne [48].

Détermination de la loi applicable

L'information sur l'Internet ne connaît pas les frontières. L'informatique « en nuage » ne permettant pas la localisation physique des données, il est alors difficile dans cette situation de s'assurer du respect de dispositions législatives et réglementaires françaises pour un traitement de données à l'autre bout du monde. En conséquence, déterminer les causes d'engagement de la responsabilité du fournisseur de service présente une sérieuse difficulté. Divers droits sont susceptibles d'être applicables en fonction de la circulation des données[49].

Centralisation du réseau

Pour Eben Moglen [50]. Le problème ne provient de l'informatique « en nuage » mais de notre compréhension de ce qu'est internet: « Je n'ai pas mentionné le mot «nuage» parce que le mot «nuage» ne signifie pas vraiment grand-chose. En d'autres termes, la catastrophe n'est pas la catastrophe du nuage. La catastrophe provient de la façon dont nous avons mal compris le Net sous l'assistance du logiciel non-libre qui nous a aidé à le comprendre (…) ». Internet ne serait pas finalement celui que l'on pense.

Modification de la structure d'Internet

Internet a la particularité de ne pas être centralisé. L'informatique « en nuage » participe pourtant à un phénomène de centralisation du réseau par le développement de centres de ressources et de données, sous contrôle de fournisseurs de services. Cela conduit irrémédiablement à l'instauration de barrières à l'accès au réseau qui sont une menace grave pour les logiciels libres, ces derniers s'étant développés justement en raison de l'absence de « barrières propriétaires ». C'est ici la structure même du réseau qui s'en trouve modifiée et c'est l'avenir des logiciels libres qui s'assombrit. On se dirige vers ce que Benjamin Bayart[51] nomme le Minitel 2.0, caractérisé par sa centralisation, en lieu et place de l'Internet libre.

Les logiciels libres participent à l'atténuation de ce phénomène de centralisation par la multiplication des acteurs de contribution et la proposition d'alternatives viables aux centres sous contrôle des grands fournisseurs. Le développement de solutions libres vise également à garantir la neutralité du net, grandement menacée par la centralisation du réseau où la priorité risque d'être donnée aux flux en provenance de ces centres.

La guerre des nuages

Les entreprises qui dominent actuellement le marché telles que Google, Amazon ou Microsoft penchent nettement en faveur d'un développement exponentiel de l'informatique « en nuage ». Cette position s'explique par les estimations de croissance annoncées par la Commission européenne (taux de croissance annuel de 19,5% dans l'informatique « en nuage » et recettes mondiales des services d'informatique dans le cloud de 148, 8 milliards USD d'ici à 2014)[52].

La domination de l'informatique « en nuage » est un enjeu majeur que les entreprises des TIC ont donc bien compris. IBM et Google[53] se sont associés pour développer le plus grand nuage de serveurs au monde. Hewlett- Packard, à coups de milliards de dollards, tente d'accrocher sa part du gâteau par le rachat de Electronic Data Systems (EDS).[54]. Les data centers se multiplient. A titre d'illustration, Google disposerait de 36 data centers avec plus de 200 000 serveurs et France Télécom Orange, IBM ou encore Apple construisent chacun des data centers de plus de 10 000 mètres carrés[55].

Le développement de l'informatique « en nuage » pour ces entreprises a principalement une visée économique car il ne faut pas oublier que si les services sont le plus souvent gratuits, c'est dans une perspective de monétisation des données des utilisateurs.

Le monde des TIC est quelque peu bouleversé par ce marché. Les fournisseurs de technologie sont maintenant également fournisseurs de services. C'est comme si, finalement, tous les fabricants de téléphonies mobiles se mettaient à prendre la casquette d'opérateur téléphonique. On assiste donc, avec l'informatique « en nuage », à une concentration des services et technologies autour d'un cercle d'acteurs restreints que certains surnomment le "GAIM" (Google, Amazon, IBM et Microsoft)[56]. Il y alors un double risque, par la domination à la fois des services et des technologies, de prise de contrôle du "cloud computing" par ces entreprises.

Perte de maîtrise du système de communication

Le système de communication désigne le processus de mise en relation avec autrui.

Le contrôle du réseau passe nécessairement par le contrôle des outils de communication, avant celui de l'information elle-même. En principe, le canal de communication, le transit des flux, interprète toute information de manière identique. C'est le principe de neutralité du Net. Les utilisateurs choisissent leurs outils de communication des informations en fin de chaîne. A titre d'illustration, le choix d'une messagerie détermine la façon dont le message va être interprété (format, police de caractères ...) Le canal de communication est sous le contrôle d'acteurs privés tandis que le choix du système de communication de l'information en bout de chaîne est une prérogative de l'utilisateur.

Emprise des acteurs privés sur le processus de communication

Avec l'informatique « en nuage », cette structure est quelque peu différente. L'informatique « en nuage » permet aux acteurs privés, en charge initialement du canal de communication, par leur offre de service, d'étendre leur emprise sur le système de communication et l'interprétation de l'information. L'utilisateur est touché, par les acteurs privés, dans sa dimension interprétative de l'information communiquée. C'est la neutralité du système de communication en bout de chaîne qui est ici en jeu.

La prise de contrôle, par les acteurs privés de l'interface avec l'utilisateur final leur permet d'orienter l'interprétation de l'information au terme du processus de communication. Cela s'accompagne d'une automatisation de cette phase. Particulièrement dans les cas de services gratuits à destinations des particuliers et des petites entreprises, c'est un robot qui gère les services proposés et par voie de conséquence, les aspects les plus sociaux de la communication. Le champs des possible se réduit, ce qui aboutit à un appauvrissement des communications, à les vider de leur dimension sociale. En d'autres termes, l'informatique « en nuage » permet aux acteurs privés, par les services qu'ils proposent, de prendre davantage le contrôle de la communication d'une information et d'influer sur son interprétation un peu comme elle le fait de longue date avec les masses médias (radio, télé, presse).

Gouvernance des réseaux et place du modèle du libre

Le logiciel libre, par sa dimension communautaire et de maîtrise du système de communication, autorise une maîtrise d'une partie de la chaîne de communication par le principal intéressé. Ainsi AOL ou MS ont échoué dans leur projet d'appropriation d'internet et des utilisateurs. Les acteurs privés ne sont pas parvenus à prendre le contrôle, de cette partie sensible du processus de communication qu'est l'interprétation de l'information. Firefox notamment mais également une foule d'autres outils libres ont permis à de nombreux utilisateurs de sortir du réseau MSN ou AOL et d'étendre le périmètre de leur univers numérique.

Cependant, ce rempart du logiciel libre est menacé par le développement de l'informatique « en nuage ». En effet, l'informatique « en nuage » dématérialise ce qui fait la force du logiciel libre. "Dans la transition des applications locales aux application hébergées, la liberté logicielle a été oubliée. Personne ne parle plus désormais de logiciels installés localement, on parle de logiciels hébergés, et pourtant certains disent « Mon ordinateur ne contient que des logiciels libres ; seul le microprogramme de la carte graphique est propriétaire », et c’est une erreur car une bonne partie des « logiciels » qu’ils utilisent ne sont pas installés localement sur leur ordinateur mais utilisés au travers d’un navigateur internet"[57].Il n'y a alors plus aucun intérêt à utiliser des logiciels libres si, au terme du processus de communication, l'utilisateur n'a pas la maîtrise de la communication de l'information dans le cloud. En d'autres termes, choisir Ubuntu plutôt que Windows ne change rien sur le contrôle des données si en bout de chaîne l'utilisateur est obligé de passer par Google et son système en cloud pour la communication de ses données. Adopter des logiciels libres n'est alors plus un gage de liberté de contrôle des informations s'ils ne permettent pas de maîtriser l'ensemble de la chaîne de communication. Que Google ou Facebook emploient du logiciel libre ne garantit plus aucune liberté à l'utilisateur pour les raisons largement détaillées dans ce texte.

Actuellement, il n'existe pas d'équivalent libre aux solutions des entreprises dominantes des TIC. La solution de sauvegarde en local des données ne suffit pas à répondre aux besoins des utilisateurs. Le monde du libre est face à une remise en cause de son modèle. Si on considère les valeurs de libertés individuelles comme méta-modèle du logiciel libre, on peut considérer que le cloud qu'il soit libre ou non (parce qu'il constitue une nouvelle infrastructure à un niveau dématérialisé supérieur au logiciel proprement-dit) ne permet plus de les garantir. Ce serait en définitive une victoire de l'open source qui se concentrerait sur l'aspect technique (notamment de la part de quelques géants), sans se soucier de l'aspect philosophique. Le cloud pose en définitive la question de la gouvernance des réseaux et de la présence de solutions libres (comme a pu l'être le P2P) sur ce nouveau terrain dématérialisé.

Un informatique en libre « nuage »

Contrôle du « nuage »

Les dangers décrits ci-dessus vont se généraliser de façon irrémédiable si l'informatique « en nuage » est laissée à la libre disposition des grands fournisseurs de services. Il est donc nécessaire que les institutions publiques, comme la Commission européenne, prennent véritablement en compte ces problématiques de l'informatique « en libre nuage » afin de garantir :

  • la neutralité du net
  • le droit à l'interopérabilité
  • la protection des données
  • le contrôle de la gestion des données et des applications par un encadrement des modifications des conditions de cette gestion
  • la sécurité des systèmes
  • la standardisation de l'informatique « en nuage »
  • la concurrence ouverte sur le marché des services « en nuage »

Afin de répondre aux préoccupations des utilisateurs professionnels, l’État français s'investit dans un «nuage à la française» à destination des administrations et des entreprises[58]. Il a signé un protocole avec Orange, Thalès et Dassault pour la mise en place d'un consortium visant à proposer des services sécurisés de l'informatique « en nuage »[59].

Liberté des utilisateurs de solutions hébergées

Certaines applications ne se contentent pas de stocker les données. C'est le cas par exemple des solutions de gestion de la clientèle ou de comptabilité. Avec ces applications, la mise à disposition d’infrastructures et le simple accès aux données hébergées ne suffisent pas à garantir la liberté des utilisateurs de services.

La liberté de l'utilisateur finalement repose sur sa capacité à pouvoir changer de service. Cette capacité repose sur le fait que « les offres doivent être interopérables, réversibles et reposer sur des standards ouverts »[60], la réversibilité pouvant être définie comme la possibilité de revenir à une organisation antérieure stable[61].

Il faut que les traitements permettant d'exploiter les données soient reproductibles(accès aux données et aux logiciels réalisant les traitements) et que la confidentialité des données hébergées sur le service distant soit garantie (par le seul accès des traitements utilisés par l'utilisateur et par la possibilité de suppression des données du service).

Les logiciels libres sont une solution pour garantir la reproductibilité des traitements et leur confidentialité, à la condition vu précédemment qu'il n'y ait pas de perte de maîtrise du système de communication par l'utilisateur. La liberté des utilisateurs dépend donc de l'emprise des acteurs privés sur le processus de communication. Et le sort des logiciels libres dans l'architecture de l'informatique « en nuage » est évidemment intimement lié à la liberté des utilisateurs des applications en cloud.

Licence Affero-GPL

Avec les applications en nuage, le logiciel n'est pas installé par l'utilisateur. L'utilisation du logiciel à travers le réseau lui donne un caractère privé. Dans ce cas, si le logiciel est sous licence GPL, la licence n'a pas vocation à s'appliquer du fait du défaut d'installation. La licence Affero-GPL (AGPL)[62] vise à pallier à cette situation. Elle est une licence libre, dérivée de la licence GPL, permettant de couvrir les logiciels utilisés sur le réseau. Elle reprend les clauses de la GPL version 3 mais elle contient une clause différente permettant d'étendre l'obligation de délivrance des codes sources lors de l'usage du logiciel sur le réseau. Elle est principalement à destination des services types SaaS[63]. Cette licence est intéressante car elle permet de garantir la reproductibilité et l'évolutivité d'un logiciel hébergé du fait de son accès via le réseau. En revanche, la licence porte uniquement sur le logiciel et non sur les données transmises par son biais.

Avec cette licence, le domaine des licences de la Free Software Fondation (FSF) dépasse le champ des logiciels installés pour s'étendre aux services web. Il existe donc une licence libre pour les applications « en nuage » qui règle la problématique de l'exigence de l'installation du logiciel et qui met la notion de partage au centre de l'architecture de l'informatique « en nuage ». Le mariage licence libre/informatique « en nuage » est possible.

Des logiciels libres dans le « nuage »

Certains se sont lancés dans l'aventure de l'informatique « en nuage » version logiciels libres comme Dotcloud, une plate-forme d'hébergement multiple-technologies pour application web à destination des développeurs. Il existe aussi des répertoriations des services libres de l'informatique « en nuage » dans différents domaines comme les systèmes de stockage et les outils collaboratifs [64]. L'offre cloud d'Ubuntu utilise quant à elle la technologie Open Stack désormais en lieu et place d' Eucalyptus. OpenStack[65] est un projet de service libre d'infrastructure à la demande dans lequel de nombreux acteurs européens sont impliqués (des entreprises françaises comme Bull, des consortiums notamment financés par des fonds européens, OW2 ou des laboratoires de recherche comme l'INRIA).

Le projet Unhosted[66][67] vise quant à lui à pallier à l'obstacle majeur au déploiement de solutions libres en cloud : le besoin énorme de bandes passantes de services comme ceux de Google ou Facebook. Le projet vise à séparer les données de l'application utilisée aux fins d'alléger le système et permettre ainsi le déploiement de solutions libres techniquement viables et respectueuses de la vie privée. Les données pourraient ainsi être conservées sur un serveur identifié tandis que l'application serait hébergée sur un autre.

Le projet Compatible One, bénéficiant d'un financement public, lui «vise à développer une solution complète de “Cloudware” sous licence libre, en intégrant et adaptant différents logiciels des partenaires du projet, entre autres. Compatible One a l’ambition de permettre à chacun, de créer, déployer et administrer des Clouds privés, publics ou hybrides à faible coût offrant des services de tous types (IaaS, PaaS et SaaS)»[68].

Quant à Grid5000[69], il s'agit un projet de recherche français réunissant 19 universités, basé sur du Logiciel Libre, qui a permis de financer certaines briques essentielles dans le partage et la mutualisation de ressources universitaires (INRIA/CNRS)

Développer son propre « nuage »

Il n'y a pas d'obligation à naviguer dans les nuages standardisés sous contrôle des logiciels propriétaires. Le développement, par logiciels libres, de « nuages alternatifs » pour un cloud computing libre et responsable est envisageable.

Le correctif de l'auto-hébergement

L'auto-hébergement ou "home-computing" est le fait de conserver ses données dans un lieu physique en local dont on a forcément connaissance de la localisation. Ce n'est pas de l'informatique « en nuage » puisque l'on a connaissance du lieu d'hébergement des données. L'auto-hébergement n'est pas une alternative à l'informatique « en nuage » dans le sens il n'offre pas les mêmes services et applications. C'est un correctif qui permet de pallier aux dangers de perte des données principalement.

Un projet tel que FreedomBox[70] permet cet auto-hébergement dans le respect de la vie privée (par un système de chiffrement complexe) et de la neutralité du net[71]. Le projet beedbox[72] et d'autres solutions d'auto-hébergement[73] peuvent également être citées.

Libre et « nuage », une union responsable

Les dangers présentés plus haut constituent des obstacles à l'adhésion complète au cloud computing. Afin de les éviter, le mariage avec les logiciels libres doit être une union responsable. Des mesures peuvent être mise en place pour garantir le contrôle par l'utilisateur de ses données.

C'est pourquoi, avant et pendant l'utilisation d'une application en cloud computing, l'utilisateur doit être, de manière claire et en caractère lisible, parfaitement informé de la destination de ses données et de l'usage qui peut en être fait. Ce n'est ici que faire application du droit à l'information s'agissant des données personnelles. Son consentement clair et non équivoque doit également être recueilli. Il conviendrait également de proposer à l'utilisateur, pendant l'utilisation de l'application en cloud computing, un système simple et accessible à tous de sauvegarde en local de ses données. La mobilisation du Data Liberation Front[74] pour le développement de Google takeout[75] est l'illustration de la prise de conscience du besoin de conservation en local de certaines données.

Tout développement d'application en libre en liaison avec le cloud computing doit donc :

  • respecter le principe du recueil préalable du consentement de l'utilisateur à la gestion de ses données
  • informer l'utilisateur de l'usage et de la destination de ses données
  • prévoir une anonymisation des données
  • prévoir dans l’idéal un système simple de sauvegarde en local des données ou, à défaut, informer l'utilisateur des moyens de sauvegarde en local à sa disposition

Ce n'est que sous ces conditions que l'union logiciels libres / cloud computing pourra être envisageable. Et ce n'est que sous ces conditions, qui devront être d'application générale pour tout logiciel, propriétaire ou non, qu'il pourra y avoir un développement responsable de l'informatique « en nuage ».

Actions concrètes

  • Dénonciation des prises de contrôle de l'Informatique « en nuage » par les entreprises du secteur

Cette action vise à éviter les situations de dépendance, des systèmes de communication et d'information, vis-à-vis d'un nombre restreint de fournisseurs de services en cloud

  • Promotion des standards ouverts et interopérables pour les données et application

La standardisation de l'informatique « en nuage » doit s'effectuer sous la direction des institutions européennes et des États, en concertation avec l'ensemble des acteurs du secteur. Le développement d'une société de l'information respectueuse des libertés publiques pourrait être favorisé par le secteur public via l'investissement dans des services basés sur des logiciels libres interopérables grâce à des interfaces ouvertes et offrant aux utilisateurs la maîtrise de leurs données et de leurs traitements, réduisant l'incompatibilité et l'enfermement technologiques.Par ailleurs, les choix technologiques des acteurs publics ont des conséquences sur le long terme, notamment s'agissant de la pérennité des données, des échanges avec les citoyens et de la bonne gestion des finances publiques. Les acteurs publics doivent de même s'assurer une résilience de leurs systèmes et éviter tout enfermement technologique afin de garder la pleine maîtrise de leur système d'information. Le cadre européen d'interopérabilité (EIF), dont la dernière révision[76], mentionnant des « spécifications ouvertes » au détriment des standards ouverts, doit être révisé, par exemple au profits des conditions retenues par l'IDABC dans l'EIF V1.0[77][78].

  • Clarification des conditions d'utilisation des services

Les conditions d'utilisation et les obligations auxquelles les utilisateurs sont soumis ne sont que rarement claires, et leur complexité fait que les utilisateurs n'ont que rarement conscience de ce à quoi ils s'engagent. La commodité du service peut inciter les utilisateurs à souscrire à des conditions d'utilisation qu'ils ne souhaitent pas. Il pourrait donc être pertinent de leur offrir un choix en termes de conditions d'usage. Ainsi, les conditions d'utilisation pourraient être clarifiées, et notamment le régime juridique applicable à la protection des données, sur le cas de pertes accidentelles, en cas de données compromises ainsi que sur la possibilité de leur récupération et sur l'obligation d'information lorsque de telles pertes se produisent (comme l'exige désormais le nouvel article 226-17-1 du Code pénal[79])[80]. La responsabilité des fournisseurs de services en cas de perte de données devrait également être précisée. Ces conditions devraient être indiquées dans un langage simple et compréhensible par le grand public. Les souscripteurs des services seraient alors plus à même de choisir le prestataire qui leur convient le mieux.

  • Conservation du tribunal du domicile du consommateur ou du lieu de prestation du service comme juridiction compétente pour le règlement des litiges des services « en nuage »

Au regard du caractère transfrontière de l'informatique en nuage et de l'ignorance des utilisateurs quant à la localisation des serveurs des fournisseurs de services, la juridiction compétente doit être celle du domicile du consommateur ou du lieu de prestation de service (ou une juridiction spécialisées dans ce type de litige de l’État de son domicile). Si le professionnel dirige ses activités, donnant lieu à un engagement contractuel du consommateur, vers l'État de ce dernier ou vers plusieurs États (dont celui du consommateur), le consommateur pourra bénéficier du régime protecteur européen lui donnant la possibilité de saisir la juridiction de son domicile[81]. De même, s'agissant de la fourniture de services, la juridiction compétente doit demeurer celle du lieu où, en vertu du contrat, les services ont été ou auraient dû être fournis au demandeur[82].

  • Autorisation des actions de groupe ou «class action»

L'utilisateur ayant souvent un sentiment d'impuissance face aux pratiques des entreprises dominantes du secteur, il renonce souvent à défendre ses droits. Afin de regrouper les intérêts des utilisateurs, les institutions publiques doivent légiférer sur les actions de groupe[83]. Une action de groupe peut être définie comme «une voie ouverte par la procédure civile, permettant à un ou plusieurs requérants d’exercer, au nom d’une catégorie de personnes (classe) une action en justice»[84]. Une action de groupe efficace pour permettre le respect des droits des consommateurs doit notamment permettre des actions sans restriction quant au montant présumé du préjudice afin de ne pas restreindre son accès. Une telle action de groupe offrirait aux consommateurs un moyen de recours bien plus simple et efficace dans des domaines technologiques où les montants des préjudices sont souvent faibles et devant lesquels ils se sentent démunis. L'April avait répondu publiquement à une consultation européenne sur ce sujet[85].

  • Promotion d'alternatives libres de l'Informatique « en nuage »

L'April se mobilise pour promouvoir les solutions libres et respectueuses des droits des utilisateurs.

Références

  1. O. Zilbertin, "Cumulonimbus", le monde, 22 juillet 2011
  2. H. Le Crosnier, A propos des services gratuits sur le web, http://www.a-brest.net/article3944.html
  3. Rapport d'information n°3560 par la mission d'information commune sur les droits de l'individu dans la révolution numérique, P. Bloche et P. Verchère, http://www.assemblee-nationale.fr/13/rap-info/i3560.asp
  4. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  5. http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=fr
  6. http://www.april.org/reponse-de-lapril-la-consultation-europeenne-sur-le-cloud-computing
  7. http://www.zdnet.fr/actualites/larry-ellison-critique-le-cloud-computing-39383711.htm
  8. While Cloud Computing has clearly gained greater attention over even the last 12 months even its critics who dismissed it as yet another marketing hype have been forced to change their position, and adopt a more inclusive strategy. Yet because of the huge market interest there are many dangers, both in its understanding, in planning for its implementation, and in potential response by legislators and market influencershttps://mail.google.com/mail/?ui=2&view=bsp&ver=ohhl4rw8mbn4
  9. http://cordis.europa.eu/fp7/ict/ssai/docs/cloud-report-final.pdf p.12 : Since “clouds” do not refer to a specific technology, but to a general provisioning paradigm with enhanced capabilities, it is mandatory to elaborate on these aspects
  10. http://cordis.europa.eu/fp7/ict/ssai/docs/cloud-report-final.pdf p.8 : a 'cloud' is an elastic execution environment of resources involving multiple stakeholders and providing a metered service at multiple granularities for a specified level of quality (of service)
  11. Informatique en nuage, Vocabulaire de l'informatique et de l'internet, Journal officiel 6 juin 2010, Numéro 129 - Page 10453
  12. Projet de loi de finances rectificative pour 2010, http://www.senat.fr/rap/a09-283/a09-28330.html
  13. http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pdf
  14. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction
  15. http://aws.amazon.com/fr/ec2//188-2326372-8048016/
  16. http://fr.wikipedia.org/wiki/Amazon_Elastic_Compute_Cloud
  17. http://aws.amazon.com/fr/s3/
  18. http://fr.wikipedia.org/wiki/Middleware
  19. http://code.google.com/intl/fr-FR/appengine/
  20. http://fr.wikipedia.org/wiki/Google_App_Engine
  21. http://www.microsoft.com/windowsazure/
  22. http://aws.amazon.com/fr/
  23. http://www.dropbox.com/
  24. https://one.ubuntu.com/
  25. Mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone Résolution du Parlement européen du 6 mai 2010 sur la mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone (2009/2228(INI)), Journal Officiel du 15 mars 2011 - Numéro C 81E - Page 107
  26. De Courcy R., Les systèmes d'information en réadaptation, Québec, Réseau international CIDIH et facteurs environnementaux, 1992, no 5 vol. 1-2 P. 7-10
  27. http://www.guardian.co.uk/technology/2008/sep/29/cloud.computing.richard.stallman
  28. http://www.generation-nt.com/stallman-cloud-computing-logiciel-proprietaire-actualite-163041.html
  29. http://news.softpedia.com/news/Google-Admits-Handing-over-European-User-Data-to-US-Intelligence-Agencies-215740.shtml
  30. CNRS/FSD/Sécurité des Systèmes d’Information,Recommandations pour l’utilisation des services gratuits sur Internet, 17 avril 2008, Référence 08.1841/FSD
  31. H. Le Crosnier, A propos des services gratuits sur le web, http://www.a-brest.net/article3944.html
  32. http://www.google.com/accounts/TOS?hl=fr
  33. http://www.journaldugeek.com/2011/07/05/facebook-friend-exporter/
  34. Conditions d'utilisation Google, art 11, http://www.google.fr/accounts/TOS
  35. http://www.lemagit.fr/article/google-sun-java-cloud-computing/3022/1/google-app-engine-sun-critique-support-partiel-java/
  36. http://philippe.scoffoni.net/open-cloud-manifesto-peine-a-rassembler/
  37. http://www.opencloudmanifesto.org/
  38. http://www.industrie.gouv.fr/fsn/cloud-computing/
  39. http://www.ietf.org/
  40. http://www.w3.org/
  41. http://tempsreel.nouvelobs.com/actualite/monde/20110603.OBS4436/piratage-de-comptes-gmail-les-etats-unis-tres-inquiets.html
  42. http://www.zdnet.fr/actualites/psn-sony-confirme-que-des-millions-de-donnees-personnelles-ont-ete-piratees-39760257.htm
  43. http://hightech.nouvelobs.com/actualites/depeche/20110701.ZDN4755/les-pc-sous-chrome-os-pas-plus-surs-que-ceux-sous-windows.html
  44. art.34 Loi 78-16 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  45. Loi 78-17 du 6 janvier 1978 modifiée, art. 3, I, http://www.cnil.fr/en-savoir-plus/textes-fondateurs/loi78-17/
  46. Décret n°2005-1309 du 20 octobre 2005, http://www.cnil.fr/en-savoir-plus/textes-fondateurs/textes-dapplication/
  47. http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-de-l-externalisation/externalisation-et-securite-des-systemes-d-information-un-guide-pour-maitriser.html
  48. Annexe de la décision de Commission européenne du 5 février 2010 « relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil », http://www.cnil.fr/la-cnil/nos-defis/innovation-et-expertise/actualite-expertise/article/adoption-de-nouvelles-clauses-contractuelles-types-vers-une-meilleure-prise-en-compte-de-lexterna/
  49. Michèle Battisti, Le cloud computing, un défi pour la loi Informatique et Libertés ? http://www.adbs.fr/le-cloud-computing-un-defi-pour-la-loi-informatique-et-libertes--94214.htm#KLINK
  50. http://www.softwarefreedom.org/events/2010/isoc-ny/FreedomInTheCloud-transcript.html
  51. http://www.fdn.fr/internet-libre-ou-minitel-2.html
  52. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  53. http://news.cnet.com/8301-13953_3-9933714-80.html
  54. http://www.monde-diplomatique.fr/2008/08/LE_CROSNIER/16174
  55. Rapport d'information n°3560 par la mission d'information commune sur les droits de l'individu dans la révolution numérique, P. Bloche et P. Verchère, http://www.assemblee-nationale.fr/13/rap-info/i3560.asp
  56. "IBM passe à l'offensive", http://behind-cloud-computing.com/articles/
  57. M. de Jong, projet Unhosted, http://www.framablog.org/index.php/post/2011/08/06/unhosted
  58. http://www.latribune.fr/technos-medias/informatique/20110801trib000640062/un-grand-cloud-computing-a-la-francaise-voit-le-jour.html
  59. http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0201545957888-la-naissance-d-un-cloud-computing-a-la-francaise-se-precise-201665.php
  60. http://www.cigref.fr/cigref_publications/2010/10/2010-impact-cloud-computing-fonction-si-ecosysteme.html
  61. Michèle Battisti, Sortir du cloud ou de la réversibilité et de l'interopérabilité, http://www.adbs.fr/sortir-du-cloud-ou-de-la-reversibilite-et-de-l-interoperabilite-100249.htm
  62. http://www.affero.org/oagpl.html
  63. http://www.zdnet.fr/actualites/affero-une-declinaison-de-la-licence-gpl-pour-les-applications-hebergees-39375681.htm
  64. http://wiki.fsfe.org/CloudComputing
  65. http://www.openstack.org/
  66. http://www.framablog.org/index.php/post/2011/08/06/unhosted
  67. http://www.unhosted.org/
  68. http://www.zdnet.fr/blogs/l-esprit-libre/trois-projets-logiciels-libres-du-pole-systematic-decrochent-un-financement-public-39753560.htm
  69. www-sop.inria.fr/aci/grid/public/Library/rapport-grid5000-V3.pdf
  70. http://wiki.debian.org/FreedomBox
  71. http://freedomboxfoundation.org/
  72. http://www.beedbox.org/
  73. http://wiki.debian.org/FreedomBox/ExampleProjects#Similar_projects
  74. http://www.dataliberation.org/
  75. https://www.google.com/accounts/ServiceLogin?service=backup&passive=1209600&continue=https://www.google.com/takeout/&followup=https://www.google.com/takeout/
  76. http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/10/689&format=HTML&aged=0&language=en&guiLanguage=en
  77. http://www.april.org/la-commission-seloigne-de-linteroperabilite-pour-les-services-publics-europeens#footnote3_9u52bm5
  78. «le standard est adopté et sera maintenu par une organisation sans but lucratif et ses évolutions se font sur la base d'un processus de décision ouvert accessible à toutes les parties intéressées (décision par consensus ou majorité) ; le standard a été publié et le document de spécification est disponible, soit gratuitement, soit au coût nominal. Chacun a le droit de le copier, de le distribuer et de l'utiliser, soit gratuitement, soit au coût nominal ; la propriété intellectuelle — c'est-à-dire les brevets éventuels — sur la totalité ou une partie du standard est mise à disposition irrévocablement et sans redevance ; il n'y a pas de restriction à la réutilisation du standard»
  79. http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000024504712&cidTexte=LEGITEXT000006070719&dateTexte=20110905&oldAction=rechCodeArticle
  80. http://www.lemondeinformatique.fr/actualites/lire-une-obligation-de-reveler-les-fuites-de-donnees-personnelles-pour-les-operateurs-34519.html
  81. art. 15 et 16 Règlement CE n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale
  82. art 5 1° b) Règlement CE n° 44/2001
  83. Position de l'April : http://www.april.org/reponse-de-lapril-la-consultation-europeenne-sur-les-recours-collectifs
  84. La Documentation française, rapport sur l'action de groupe, G.Cerruti, 16 décembre 2005, http://www.ladocumentationfrancaise.fr/rapports-publics/054004458/index.shtml
  85. http://ec.europa.eu/competition/consultations/2011_collective_redress/index_en.html