Le cloud computing : à qui sont les données
Titre : Le Cloud Computing : à qui sont les données ?
Intervenants : Guillaume Jahan, Jérémie Zimmerman, Cédric Manara, Romain Perray
Lieu : École de droit de la Sorbonne - Université Paris 1 - Panthéon-Sorbonne
Date : Juin 2013
Durée : 98 min
Lien vers l'audio : [1]
00' reprise MO[modifier]
Organisateur : Je vais donc présenter chacun des intervenants qui sont ici présents devant vous. Tout à gauche M. Perray, M. Romain Perray, qui fait l'honneur aujourd'hui de nous assister. Il est membre du cabinet AndCo et avocat. Il est avocat au barreau de Paris. Il est professeur dans le Master 2 « Droit du commerce électronique » dans lequel nous sommes et raison pour laquelle nous sommes là aujourd'hui. Voila, je crois que j'ai tout dit sur monsieur Perray. Oui il est spécialisé, c'est la raison pour laquelle il est ici aussi, il est spécialisé sur les problématiques juridiques liées aux données personnelles. Il est chargé d'enseignement j'ai un petit peu anticipé peut-être.
A côté Jérémy Zimmerman qui fait l'honneur de nous assister aujourd'hui. Ancien ingénieur ingénieur indépendant, il est aujourd'hui porte-parole et cofondateur de la Quadrature du Net. Alors qu'est-ce que la Quadrature du Net pour ceux qui ne connaissent ? Il s'agit d'une association de défense des droits et libertés des citoyens sur internet. Jérémy Zimmerman, amateur éclairé des problématiques juridiques liées aux nouvelles technologies va nous faire don aujourd'hui de son opinion sur les problématiques abordées.
A droite de Mme ROCHFELD nous avons, à droite pour nous et donc à gauche pour Mme ROCHFELD, vous aurez compris, nous avons Guillaume Jahan, diplômé de l’École du Barreau de Versailles. Il a exercé d’abord en tant qu'avocat dans plusieurs cabinets et non des moindres, notamment Bird and Bird, Alain Bensoussan Avocat ou encore Salans et il est maintenant directeur juridique de Numergy qui est un producteur français français d'énergie, producteur d'énergie numérique français, je me répète un peu. Donc c'est une entreprise spécialisée dans la prestation de service de Cloud Computing, donc qui délivre le service de Cloud Computing dont on va parler maintenant.
Et à droite donc à gauche de M. Jahan, M. Manara, donc Cédric Manara, docteur en droit, professeur à l'EDHEC Business School , donc il est tombé dans l'internet depuis 95, passionné par ça il va nous aider aussi et nous donner son opinion sur la question. Je vais passer la parole maintenant à Émilie qui va présenter une petite introduction sur le Cloud Computing, sur l'émergence du Cloud Computing avant qu'on ne commence les questions et que les intervenants se prêtent au jeu de cette table ronde.
Émilie : Bien. Bonsoir à tous. Merci d’être venus. Tout d'abord pourquoi le Cloud Computing aujourd'hui ? Tout simplement parce que, selon les dernières études qui ont été publiées notamment par des instituts comme Markess International, le Cloud Computing fait aujourd'hui référence à des services qui sont en forte progression. A ce titre ces services connaissent une croissance depuis 2009 de près de 30 % et selon les différents experts cette croissance est loin d'avoir atteint son apogée. Pour toutes ces raisons nous avons décidé en fait d'aborder ce thème aujourd'hui, parce que, outre l'aspect économique très important de ce phénomène, il soulève aussi plusieurs problématiques juridiques qu'il nous semblait important d'aborder.
A ce titre je vais tout d'abord faire une brève présentation de l'historique du Cloud Computing et de sa naissance. En effet pour beaucoup c'est un phénomène qui est récent voire nouveau. On entend Cloud Computing partout aujourd'hui, essentiellement on entend aussi cloud privé, cloud public, service de SaS, de PaaS, tout autant de notions qui pour certains peuvent paraître totalement incompréhensibles. A ce titre pour la petite anecdote, je soulignerai que selon une étude réalisée par une université américaine, 50 % des américains interrogés et répondant à l’enquête pensent qu'une tempête peut avoir un effet sur la prestation de Cloud Computing ou qu'encore il s'agit d'un phénomène météorologique. Donc pas du tout. A titre historique il faut savoir que ce phénomène prend sa source dans ce qu'on appelle l'usage, le service à la demande et que dès 1961, en fait, John Mac Carty, qui était chercheur à l'université du MIT, avait émis l'idée selon laquelle qu'un jour l'informatique serait consommable au même titre que pourrait l’être l’électricité ou encore l'eau.
Pour ce qui est de la naissance du Cloud Computing, on voit que d'un coté pour beaucoup il s'agit d'une continuité normale de l'évolution des services internet qui existaient. Pour d'autres au contraire il s'agit d'un phénomène qui serait né de la pratique d'Amazon, dès 2002, qui pour faire face à un afflux des commandes passées sur son site internet pour les fêtes de Noël aurait loué le premier Data center pour justement répondre à cette consommation de masse.
Qu'en est-il aujourd'hui ? Existe t-il une définition unique du Cloud Computing ? Ou au contraire est-ce un phénomène éclaté ? C'est la première question que nous vous posons pour aiguiller l'assemblée et donc permettre à tous les novices que nous sommes d'y voir un peu plus clair.
Organisateur : Sur cette première question de la définition est-ce que quelqu'un voudrait se lancer ? Peut-être que notre praticien du Cloud serait plus à même de commencer à répondre à la question.
06' 58[modifier]
Guillaume Jahan : Très volontiers. Juste le point de départ à retenir c'est qu'effectivement ce phénomène aujourd'hui n'a pas eu droit à une définition juridique de ce qu'est le Cloud Computing en France. Donc on est dans les définitions qui sont une acceptation commune par les professionnels et les pratiquants. Concrètement, Cloud Computing c'est de l'informatique à distance grâce à une connexion internet et donc on peut accéder à la capacité de stockage, de calcul de serveurs, qui ne sont pas dans l’entreprise ou chez l'utilisateur, mais qui sont chez un prestataire. Voila. Il faut juste retenir qu'il y a une connexion internet et au bout il y a des serveurs et une capacité sur différents usages. Alors ça c'est le point de départ et après effectivement, comme vous le disiez, il y a différentes catégories de services et les trois plus connus, comme vous les disiez, c'est le IaaS, c'est-à-dire Infrastructure as a Service, donc c'est une capacité de stockage et de calcul auxquelles on peut accéder grâce à ces serveurs-là. Il y a le PaaS, ça ça s’adresse au monde du développement, donc ça permet d’avoir une plate-forme où on se connecte et sur laquelle on peut réaliser sa programmation, tester les nouveaux développements, c'est vraiment lié à un monde particulier. Et il y a enfin un troisième type de service qui existe qui est celui du SaaS, qui est celui sans doute qu'on connaît tous le plus, qui est en fait l'accès à des logiciels à distance, donc en fait à des services, des fonctionnalités. Grâce à nos connexions internet on arrive sur les sites de prestataires comme par exemple de la messagerie électronique, de la comptabilité à distance, ce genre de services. Ce sont les trois catégories dont on entend beaucoup parler, en tout cas d'un point de vue pratique. Après, tous le jours quasiment, il y en a de nouvelles qui se créent, où on rajoute à chaque fois une chose pour, par exemple, des choses qui sont liées à la capacité de réversibilité, de stockage, pour les sauvegardes. Ce sont les trois grandes catégories à retenir. Aujourd'hui la mode veut qu'à chaque fois qu'on crée un nouveau type de service sur internet à distance on rajoute dedans le mot as a service et on met une première lettre différente. Voila c'est un peu ça.
Il faut savoir qu'en France on a eu le privilège d'avoir une commission de terminologie qui s'amuse à traduire en français des mots anglais et qui donc parle d'informatique dans les nuages. Vous avez sans doute entendu ça très souvent. C'est bien, mais après la définition qui est attachée derrière est un petit floue, elle ne recouvre pas beaucoup de choses qui sont dans le monde réel. Du coup il y a des référents qui sont apparus. Vous avez notamment, s'il faut n'en retenir qu'un, l’Institut, alors américain pour le coup, le NIST, National Institute of Standards and Technology, qui a donné une définition qui est assez communément acceptée du cloud et qui est partie plutôt sur des critères, en disant c'est un service à la demande, donc c'est en fonction des besoins qu'on a et de ce qu'on consomme que l'on paie, ce sont des ressources mutualisées, c'est-à-dire qu'on voit le prestataire a plein de serveurs qu'il met à la disposition des utilisateurs, des clients, mais qui sont partagés. On n'a pas l'exclusivité sur un serveur chez un client. Il y a l'électricité, il y a un service qui est mesurable, avec des ??? de service, avec le plus connu c'est le taux de disponibilité, combien de temps je peux ???, 99 point 99, ça veut dire que quasiment tout le temps je peux accéder à ce service. S'il y a une définition qui existe aujourd'hui c'est celle à partir de ces critères-là., sachant que c'est un mot qui évolue assez vite donc ces critères s’affinent de plus en plus, d'autres apparaissent.
C'est un sujet intéressant et juste pour la petite anecdote, je vais peut-être donner la parole parce que je parle beaucoup, la Commission européenne aujourd'hui s'intéresse beaucoup au Cloud Computing et a émis plusieurs notes de service et il y a eu plusieurs discours sur l'idée qu'il fallait développer ce type de service et l'encourager. Ils réfléchissent à des outils notamment juridiques mais aussi pratiques concrets pour un petit pousser ce type de service et le rendre accessible à l'ensemble du marché européen, des utilisateurs et des entreprises. Ce sont des travaux en cours et on devrait voir d'ici l'horizon 2014 des petites choses pour structurer ce type de marché, alors pas dans des réglementations mais avec des recommandations de la part de la Commission européenne. Ce marché se structure. Alors je vais laisser la parole.
Jérémie Zimmerman : J'ai souvent tendance à parler de « clown Computing », de clown computing, parce qu'on voit souvent des commerciaux agiter les bras et vous vendre un concept comme ça, c'est génial, il vous en faut, achetez-en aussi. Alors qu'en réalité c'est pour moi deux concepts assez anciens qui sont mélangés ensemble quand on parle de Cloud Computing, d'abord un principe technique qui est celui de la virtualisation.
La virtualisation c'est dissocier l’ordinateur, dissocier la machine, le hardware du software donc faire en sorte, avec un ordinateur dit superviseur qui va contrôler plein de petits ordinateurs en dessous, que vous n'ayez pas à vous demander sur quel ordinateur physiquement est en train de s'exécuter votre logiciel et en gros un autre ordinateur s'en occupe à votre place. Concrètement ça veut dire que quand un disque dur claque dans un data center, un petit gars peut aller le sortir, en remettre en autre ; quand c'est un ordinateur entier qui claque on peut le sortir, en remettre un autre sans que ça n’interrompe le service parce que le service va continuer sur x autres ordinateurs. Vous avez vu ces images des data centers dans lesquels on voit des rangées d’ordinateurs clignoter. Voila c'est ce type d'infrastructure qui sert à faire du cloud et ça, ça date de bien avant le concept de Cloud Computing.
L'autre concept c'est celui de l'externalisation. C'est-à-dire quand on dit cloud ça veut dire qu'on ne maîtrise pas son infrastructure, on fait le choix de ne pas avoir son infrastructure chez soi, mais de faire confiance à quelqu'un d'autre, à un acteur économique. Donc cette question fondamentale c'est la question de la confiance. A qui faites-vous confiance pour faire tourner votre infrastructure ? A qui faites-vous confiance pour stocker vos données et potentiellement y accéder ? On comprend ce choix d'entreprises de se dire « Oh ben nous on n'a pas tellement de ressources, on n'a pas d'informaticien sous la main donc on va tout mettre chez Google » et se dire « Ben eux Google ils savent faire tourner des ordinateurs, ils savent très bien faire tourner des messageries, donc ça va très bien marcher, on n'a qu'à tout mettre chez Google ».
Pour moi le cloud c'est ça. C'est d'un côté la virtualisation et de l'autre côté l'externalisation punie. Et du coup j'aurais un petit peu tendance à parler plutôt en guise de cloud, de nuage, j'aurais plutôt tendance à parler d'un nuage de fumée. Peut-être qu'on pourrait parler de l'informatique enfumée voire de l'informatique fumeuse pour trouver un terme approprié pour le cloud, parce qu'en réalité vous avez des entreprises qui vont utiliser la complexité de la technologie pour faire un barrage entre vous et vos données, entre vous et vos ressources informatiques et donc au-delà de la question de la confiance se pose la question contrôle. Qui contrôle ses données ? Qui contrôle son informatique ? Qui contrôle votre informatique ? Et quand vous êtes étudiant vous dites peut-être que le contenu de votre messagerie n'intéresse personne, que vous n'avez rien à cacher, etc, mais quand vous commencez je ne sais pas à aller en politique ou à créer une entreprise plus ou moins sensible, ou avoir des liaisons extra-conjugales, je ne sais pas, la question se pose peut-être différemment et quand il vous arrive une fuite de données, eh bien il est en général trop tard pour se poser la question « qui contrôle vos données » ?
Emilie : Est-ce qu'il y aurait quelques anecdotes là-dessus ? Et pour les difficultés, est-ce que une ou deux anecdotes ?
Jérémie Zimmerman : Des anecdotes croustillantes, il y en a à peu près tous les jours dans la presse spécialisée.
Emilie : Bien sûr, tout le monde ne la lit pas, nous ne la lisons pas.
Jérémie Zimmerman : Que ce soit les 70 millions de comptes Playstation Network de Sony qui ont fuité avec les mots de passe de leurs utilisateurs et comme chacun sait les utilisateurs ont tendance à utiliser le même mot de passe partout. Donc si vous êtes utilisateur du Playstation Network et que vous avez le même mot de passe partout, peut-être que votre mot de passe Facebook, Gmail est publié dans la nature depuis maintenant plusieurs mois. Des fuites de données comme ça il en arrive tous les jours, c'est même presque rare qu'on le sache, tous les jours on en apprend, mais c'est proportionnellement rare qu'on le sache par rapport au nombre de fois où ça arrive. Parce que quand ça arrive à une entreprise elle ne le dit pas parce que c’est un peu la honte. C'est comme dire publiquement qu'on a attrapé une maladie honteuse, on a plutôt intérêt à ne pas le faire. Des exemples de fuites de données il y en a toujours.
Il y a aussi des exemples de conditions générales d'utilisation qui évoluent, comme celles de Facebook qui du jour au lendemain a décidé qu'en fait ce qui était partagé avec les amis, sera aussi partagé avec les amis des amis, etc. Il y a eu des histoires, je crois, de meurtres et de divorces, des choses comme ça, parce que des gens ont eu accès à une image ou un statut qu'ils n'auraient pas du voir, ou en tout cas où l'utilisateur ne pensait pas qu'ils le verraient.
Il y a l'exemple de Max Schrems, un brillant étudiant en droit autrichien qui, au terme d'une guérilla juridique avec une vingtaine de procédures et dans je ne sais combien de juridictions, a obtenu les 900 mégaoctets de données que Facebook avait sur lui. Il voulait juste faire valoir son droit européen à demander les données que Facebook stockait sur lui et il s'est aperçu que toutes les données qu'il avait effacées de Facebook étaient stockées par Facebook. Voila des petits exemples parmi d'autres.
16' 13[modifier]
Romain Perray : Alors pour répondre à la question qui nous a été posée avant tout, vous avez pu constater, les définitions de la notion de cloud sont quand même très variées, que ce soit ou cloud ou clown, c'est difficile de jongler entre les différentes notions. A mon sens, là où il y a évidemment une difficulté, et c'est aussi votre question, c'est de savoir est-ce que l'on peut appréhender cette pratique ou plus exactement ces pratiques par un instrument juridique, en l'occurrence la loi. A mon avis, c'est peu envisageable et surtout ce n'est même pas intéressant du tout. Justement parce que les pratiques sont tellement différentes et surtout parce qu'elles évoluent considérablement. Et en maintien de nouvelles techniques, technologies, la problématique de la réglementation est évidemment de se dire quand elle est adoptée est-ce qu'elle est encore applicable. Ça c'est la première chose, en tout cas sur cet aspect, en ce qui me concerne, moi je ne suis pas du tout favorable à ce qu'il y ait un texte qui soit adopté de manière à réglementer uniformément les pratiques de Cloud Computing.
L'autre chose, et c'est ce qu'a indiqué Jérémy tout à l'heure, c'est tout simplement, indirectement, il y a une problématique qui est évidemment la transparence et l'information qui est aussi une problématique d'abord indépendamment d’être une problématique juridique est aussi une problématique culturelle. En réalité la relation de chacun à ses données donne quand même l'impression d'en être propriétaire, en tout cas on a cette impression-là, mais il faut reconnaître que du point de vue juridique, en tout cas au regard de la réglementation européenne, on pourrait envisager que, et je suis partisan de cette position, qu'on n'est pas propriétaire de ses données à caractère personnel. Mais ça c'est un autre aspect, je pense qu'on pourra éventuellement l'aborder. En tout cas ce que je voulais dire au-delà de ça, c'est que s'il n'existe pas aujourd'hui de législation qui s'applique uniformément à des pratiques de cloud, il existe quand même des dispositions qui s'appliquent au cloud indirectement, et parmi ces dispositions, vous le savez, notamment un certain nombre des personnes ici qui ont dû étudier au sein du Master 2 du commerce électronique et de l'économie numérique, la réglementation sur la protection des données à caractère personnel. Et cette réglementation, qui s'applique en France au travers d'une loi assez connue mais peu appliquée, qui s'appelle la loi informatique et Libertés, évidemment il y a des règles spécifiques pour garantir aussi cette information, du moins elle le prévoie. Après l'autre question c'est de savoir si elle est appliquée, ça c'est évidemment un autre problème et particulièrement par les sous-traitants, puisque ça serait effectivement la qualification juridique que l'on pourrait avoir s'agissant des prestataires de cloud en tout cas d'une façon générale et un peu simpliste. Sur ce plan-là, je crois qu'aujourd'hui il existe déjà des dispositions qui peuvent s'appliquer pour le coup, indépendamment de la manière dont les données, plus exactement, dont le cloud est organisé.
Intervenant : Je voulais juste effectivement qu'on prenne conscience que là, quand on parle de cloud, selon les personnes à qui s'adresse ces services, on parle de profil. Je travaille avec beaucoup d'entreprises, c’était les chiffres que vous annonciez sur le marché qui évolue de 30 %, là on parle aussi de l'autre dimension qui est importante qui est celle du grand public et de chacun d'entre nous qui utilisons ce type de service. Voila, ça peut être aussi Dropbox, qui vise aussi le grand public, Gmail, Facebook qu'on a évoqué, Google plus et toute la clique. Donc là effectivement on bascule du côté du consommateur et du grand public effectivement et les problématiques là sont un peu différentes de celles des entreprises, mais effectivement c'est cela qui me touche le plus au quotidien.
Il y a aussi des gens comme Facebook, ce sont des services gratuits. Ils ont donc en tête l'idée que vos données sont aussi pour eux une monnaie ou en tout cas une espèce de mine de données qui leur permet, eux, de construire un business, de faire de la publicité et de générer du revenu. Il y a aussi une appréhension de vos données qui n'est pas la même pour ce type de service gratuit par rapport à des services payants et selon les personnes qui seront utilisateurs, professionnels, consommateurs ou autres.
Il faut aussi avoir ces dimensions-là en tête pour bien appréhender ce qu'ont dit mes petits camarades de jeu.
Partie inaudible
Cédric Manara : Émilie vous disiez que le cloud peut être perturbé par la tempête, mais peut-être qu'un jour ça arrivera, parce que Google projette de faire voler des ballons au-dessus du continent africain de manière en fait à envoyer des signaux type WIFI, enfin des signaux satellitaires, de façon à permettre les connexions dans un continent qui est sous connecté. On peut imaginer qu'un jour, les ballons balayés par la tempête, aient un effet sur non pas le cloud mais sur la capacité d'y accéder.
Guillaume, en fait, a évoqué le cloud sous l'angle technique, PaaS, SaaS, et puis Romain a aussi parlé de l'aspect privé. Il y a l'aspect technique et l'approche usage aussi. Le cloud est aussi ce qui va permettre à chacun de pouvoir simplement sauvegarder ses données, au lieu d'acheter un disque dur, finalement on peut les mettre quelque part. Et si on les met quelque part on va aussi pouvoir les récupérer, passer de son PC à sa tablette, de sa tablette à son téléphone. C'est aussi ça en fait, l'idée c'est que ça facilite ou que ça accompagne nos usages contemporains. Deuxième aussi c'est que ça permet de faire des échanges en famille, de pouvoir échanger des photos, des vidéos en privé plutôt que le faire en mettant ça en public sur Youtube par exemple.
Ça va permettre aussi à des petites entreprises qui ont tois développeurs et qui veulent développer un modèle économique nouveau, de pouvoir très facilement accéder à des infrastructures qui leur permettent de lancer le service à un niveau mondial et d'atteindre très vite un effet d'échelle. Il y a tout, aussi le cloud c'est surtout ce qui accompagne nos usages, qui permet aussi de nous rendre encore plus à la fois plus libres et plus contraints sur internet. Finalement c'est un peu le paradoxe. C'est ça aussi. Les usages c'est peut-être ce qui est à mon sens le plus important et ce qui va aussi peut-être amener la question juridique.
Alors je suis d'accord Jérémy, c'est un concept la notion de cloud, concept marketing avant tout, qui permet de grouper sous un même nom des phénomène très différents. Il y a dix ans on parlait des contrats ASP, Application Service Provider, c’était déjà ça, c’était de la location de services, de softwares en fait en distance. Donc on appelle ça cloud, clown, ASP ou autre, enfin peu importe, ça cache effectivement une multitude de choses et du coup ça amène à se poser la question de la qualification. Elle est multiple forcément puisque les services sont très différents.
Ceci étant et je rejoins Romain, est-ce qu'il faut vraiment qualifier ? On a nous, tous les jours, nous autres juristes internet des notions comme site, web, internet, ce sont des choses qui ne sont pas qualifiées non plus et on s'en sort parfaitement bien. Donc je ne suis pas absolument certain qu'il faille donner une qualification juridique, donc là dans sa version française d'info nuagique. En revanche peut-être, il y a peut-être la question de la qualification de services de cloud à se poser. Je ne sais pas si on vient maintenant ou pas.
Émilie : Non peut-être pas !
Cédric Manara : Parce que j'ai des choses à dire là-dessus. Mais alors les enjeux pour Jérémy. Jérémy en réalité tu as répondu aux cinq questions d'un coup j'ai l'impression. Mais les enjeux, Jérémy parlait d'externalisation de virtualisation. À mon sens le premier enjeu pour les juristes c'est d'abord l'adjonction d'une couche à la fois technique et juridique entre l'utilisateur et ses données. Et selon qui administre la couche et ce qu'on a dedans, effectivement, ça va créer un ensemble de difficultés ou au contraire en fait de simplicité. Effectivement la différence entre le stockage chez soi, si on veut mettre son ??? dans sa bibliothèque c'est très facile. Si on veut mettre son fichier vidéo dans le cloud, forcément il y a une intermédiation de quelqu'un, ou de plusieurs personnes, même ça peut arriver, et du coup forcément, il y a cette couche technico-juridique qui contraint les choses et c'est le cœur de notre problématique.
Le deuxième enjeu, à mon sens, c'est la centralisation. L'internet typiquement c'est un réseau a-centrique, c'est pour ça qu'il est beau, c'est pour ça qu'on l'aime, c'est pour ça qu'il facilite beaucoup de choses, mais en même temps ce dont on se rend compte avec le cloud, c'est que finalement, plus ça va aller, plus les ressources peuvent être concentrées chez un minimum d'acteurs français ou étrangers.
Tu demandais quelques exemples. Je viens de parler d'une entreprise qui utiliserait un service de cloud pour pouvoir proposer, sans avoir à acheter de serveur et autre, un service à l'échelle mondiale et sans souci en fait de la capacité à répondre à une demande grandissante, il y a un service qui utilisait le cloud d'Amazon, il y a un site, plutôt, qui utilisait le cloud Amazon c'est WikiLeaks, et quand WikiLeaks a commencé en décembre 2010 à communiquer des télégrammes diplomatiques dont le gouvernement américain ne souhaitait pas vraiment qu'ils soient mis en ligne, il y a eu pression, simplement pression, du gouvernement américain pour demander à Amazon de mettre fin au service, ce qui était possible. Il y avait une clause qui permettait en faites, " termination ", quelque soit le cas, à peu près. Le risque est là aussi. Dès lors qu'on centralise l'ensemble des services chez un minimum d'acteurs, je ne pose pas encore la question de la loi applicable ou est-ce que ça va, mais il y a cet enjeu-là., l'idée peut-être qu' on est en train de déconstruire internet et de le localiser dans des endroits très limités, chez un nombre d'acteurs très limités, c'est peut-être ça aussi l'enjeu derrière en fait, dans la construction même, l'avenir de ce que c'est c'est internet
26' 05[modifier]
Émile : La deuxième question que l'on se pose c'est pourquoi les entreprises se tournent-elles de plus en plus vers le Cloud Computing et quels sont les avantages et les inconvénients pour elles d'utiliser le Cloud Computing ?
Guillaume Jahan : Comme l'avait dit Jérémy effectivement, le but des notions c'est l'externalisation. Donc effectivement il faut faire confiance au prestataire. Les avantages qu'on trouve dans l'entreprise aujourd'hui c'est, effectivement comme l'évoquait Cédric, d'abord de pouvoir répondre à des besoins qui vont évoluer dans le temps. Au départ l'entreprise, elle achetait ses ordinateurs, elle avait tout le matériel chez elle, et pour que l'ensemble de son entreprise puisse accéder à ses messageries, à ses logiciels de gestion de la relation de client, à l'ensemble des outils informatiques, pour stocker les données, tout se faisait en interne. Ça ça avait un coût, un coût d'achat, un coût d'entretien, de maintenance et ça nécessitait une expertise et une équipe informatique. L'avantage pour les entreprises aujourd'hui, notamment de petite taille, qui ne peuvent pas se permettre un budget aussi conséquent, en tout cas ces ressources en termes de personnes et de matériel, peuvent accéder grâce au Cloud Computing à tous ces services à distance et ne payent que pour ce qu'elles consomment, comme c'était évoqué dans l’historique comme si c’était de l'électricité. C'est un peu l'idée derrière c'est que l'informatique devient, comme dirait ??? du consommable, du virtuel effectivement qui répond à la demande et on paye ce qu'on consomme. L'avantage il est là, ce qui fait que les entreprises transforment ce qui était avant, c'est ce qu'on appelle CAPEX et OPEX, c'est-à-dire qu'on passe de dépenses d’investissement, d'achat matériel, à des dépenses qui sont des services qui sont consommés progressivement.
Pour les entreprises c'est un choix qui n'est pas anodin. Il y a aussi une facilité, pour elles, de mettre en place de nouveaux outils informatiques, grâce à ce type de ressources, puisqu’elles n'ont plus à gérer toutes les contraintes matérielles, achat, maintenance, et logicielles. C'est-à-dire que le logiciel notamment dans du SaaS dont on va utiliser la messagerie à distance, on n'a plus à s'occuper des mises à jour de logiciels qu'on a tous dans l'ordinateur au quotidien, ça c'est de la responsabilité du prestataire informatique. Tout ce qui peut toucher à la confidentialité, la sécurité, l'interface, comment un service fonctionne, c'est aussi de la responsabilité du prestataire. L'avantage il est là, c'est l'accès à des ressources mises en œuvre par des gens dont c'est le métier, qui ont des capacités à grande échelle de déployer ça, à moindre coût. Donc pour les petites et moyennes entreprises, effectivement ça a un avantage.
Après effectivement les inconvénients sont ceux de l'externalisation. Le Cloud Computing n'est pas forcément adapté à tous les services que voudrait avoir l'entreprise. Notamment ça pose la question du type de données qu'on a envie de confier ou d'externaliser, du type de services qu'on veut mettre en dehors de chez soi. Mais ça reste effectivement un outil qui répond aujourd'hui, puisque le marché évolue, à une véritable demande et à un besoin.
Cédric Manara : Juste, un petit moment, parce que j'ai déjà donné un exemple précédemment, mais on a beaucoup parlé des petites entreprises. Il y a un directeur des services d'information d'une grande banque française qui disait il y a 15 000 postes en fait dans ma banque. Si je veux faire une campagne de mise à jour du client mail, ça me prend un an, parce que ce ne sont pas les salariés qui le font, c'est le service informatique, ils vont aller mettre à jour le logiciel sur chaque poste et la campagne prend un an. S'il passe dans le cloud, en fait simplement, l'idée c'est que c'est au niveau de l'opérateur que c'est fait, et du jour au lendemain. C'est transparent d'ailleurs pour les salariés, le système est mis à jour sans aucune difficulté. C'est là aussi un exemple qui permet d'appréhender concrètement pourquoi on va se tourner aussi vers ça.
Intervenant : Voila un autre exemple très simple qu'on utilise peut-être tous en majorité, c'est le navigateur Chrome du web. Il faut savoir qu'il en est à je ne sais pas à la combientième version, on ne s'en rend pas forcément compte au quotidien, mais les mises à jour se font automatiquement et on en bénéficie.
Alors peut-être que Jérémy a quelque chose à dire.
Jérémie Zimmerman : Fondamentalement cette question ne m'intéresse pas, parce que les entreprises ce n'est pas mon rayon.
Émilie : C'est gentil d’être venu quand même !
Jérémie Zimmerman : Je suis venu quand même parce que je vous aime tous beaucoup, les entreprises ce n'est pas mon rayon, moi je défends les libertés fondamentales sur internet. Certains vous diront que les entreprises ont des libertés fondamentales aussi, mais ce n'est de loin pas mon souci principal.
En revanche, si je voulais un petit peu troller, je répondrais à la question pourquoi les entreprises utilisent le cloud ? Souvent par incompétence. Et là on vient d'avoir deux exemples superbes, parce que quelqu'un qui gérerait 15 000 ou je ne sais pas combien de postes et qui n'aurait pas un système d'image disque de ces ordinateurs, qui serait capable de mettre à jour en une nuit, est quelqu'un qui va justifier son salaire en allant faire le tour des 15 000 ordinateurs avec une disquette à la main, oui qu'il aille dans le cloud, qu'il mette toutes les données de sa banque, tous les mails de sa banque chez Google, c'est une très bonne idée et la banque en paiera les conséquences derrière.
Sur l'histoire de la mise à jour de Chrome, là aussi c'est un exemple complètement frappant d'une perte de contrôle absolu. Il y a exactement le même mécanisme dans les logiciels de la firme Apple. Donc vous ne pouvez pas choisir d'installer ou non les mises à jour de Itunes, elles se font à votre place. Itunes est un logiciel propriétaire, fermé, ça n'est pas un logiciel libre qui vous donnerait à tout moment possibilité de contrôler son fonctionnement, mais en quelque sorte c'est lui qui vous contrôle. Et ça fait plus de trois ans qu'a été documenté comme un bug ce problème de sécurité, qui fait que Apple ne vous demande pas, que vous n'avez pas moyen de refuser les mises à jour de Apple.
Et récemment, enfin pas si récemment que ça, on parlait de Wikileaks tout à l'heure, dans les Spyfiles de Wikileaks, donc la diffusion massive de documents relatifs aux entreprises de la surveillance, étaient des vidéos très rigolotes de la société FinFisher qui appartient au Gamma Group anglais et qui diffuse des logiciels espions qu'on retrouve un petit peu dans toutes les dictatures ces temps-ci et qui servent donc à s'introduire sur l'ordinateur de quelqu'un, à regarder au travers de sa caméra tout ce qu'on voit, à regarder tout ce qu'il tape sur le clavier, à potentiellement regarder tous ses fichiers, etc, donc prendre le contrôle total de l'ordinateur de quelqu'un. Et bien c'est documenté dans la doc de Finfisher, ces logiciels s'installent grâce à ce bug dans le système de mise à jour d’Apple. Donc parce que c'est facile, Cédric tu disais tout à l'heure, c'est facile. Donc oui les gens y vont parce que c'est facile, parce qu'ils ont l'impression que comprendre la technologie est quelque chose qui est peut-être en dehors de leur portée, que ça devient un petit peu cool de dire « Ah moi de toute façon je n'y comprends rien et mon Mac ça marche tout seul », par cette incompétence, peut-être cette volonté de ne pas comprendre la technologie, on renonce au contrôle de son infrastructure et ce qui se passe avec Finfisher, va très bien se passer de la même façon au travers de Chrome.
J'aimerais rappeler puisqu'on en était à parler de cadre juridique que le FISA américain donc le Foreign Intelligence bla bla Act, a été amendé il y a un an et des chercheurs européens ont trouvé un trou juridique assez intéressant. L'amendement au FISA dit explicitement que lorsque des données de citoyens non US sont stockées sur le cloud US, alors le service de renseignements peuvent y accéder sans avoir à rien demander à personne, sans avoir à passer par le juge.
Donc l'entreprise, genre une banque, qui ferait confiance à Google pour ses mails, bonne chance ! Bonne chance ! On parle un petit peu d’intelligence économique, peut-être pas assez, parfois il suffirait de parler de bon sens.
Maintenant je vais répondre à l'envers à cette même question. C'est comment on pourrait éventuellement, intelligemment, utiliser ce cloud en tant qu'entreprise ou en tant qu'individu ou quelle alternative pour le cloud ? L'alternative elle n'est pas seulement technologique, elle est aussi juridique. Il y a cette question éminemment importante qui est celle de la juridiction que vous connaissez peut-être mieux que moi. Évidemment, si vous vous tournez vers un prestataire de cloud, allez vers un prestataire de cloud français, qui stocke ses ordinateurs en France. En ce cas de recours ce sera un petit peu plus facile.
Ensuite il y a tout le volet qu'on va peut-être aborder par la suite, je suis désolé je n'ai pas lu les questions à l'avance parce que je déteste connaître les questions à l'avance, qui est cette question de la protection des données personnelles et donc de comment juridiquement vous pouvez essayer d'utiliser le droit pour utiliser intelligemment le cloud, mais en général c'est qu'il est trop tard si vous en êtes à faire appel à Informatique et Libertés.
Et après il y a évidemment les moyens techniques. Les moyens techniques c'est d'avoir la maîtrise de votre système d'information. C'est de savoir, physiquement, où sont les ordinateurs qui stockent vos données. Qui ici sait où sont physiquement stockés ses mails ? Eh, on est trois, quatre, cinq. Arthur, tu peux lever le doigt aussi, si tu les stockes chez nous. Donc commencer par repenser son informatique en la voyant comme une ressource fondamentale. Est-ce que l'entreprise laisserait son fichier client stocké quelque part, on ne sait pas, dans une entreprise ou dans un pays ? Est-ce qu'elle stockerait ses documents confidentiels, est-ce qu'elle stockerait les brouillons de ses documents stratégiques ? Évidemment non, évidemment que si en fait.
Donc se poser ces questions-là en termes stratégiques, ensuite un autre élément fondamental de la maîtrise de son informatique, c'est l’utilisation de logiciels libres. Il existe un ensemble, dit de cloud, en logiciels libres qui s'appelle Open Stack. Donc si vous avez un service informatique, demandez-lui de se pencher dessus, et de faire en sorte que vos ordinateurs, ou en tout cas stocker là où vous savez qu'ils sont stockés, avec vos logiciels, vont permettre de faire tout ce qu'on peut faire avec un cloud. Et ensuite quelque chose qui va devenir à peu près aussi indispensable dans l'environnement numérique que peut l’être le fait de savoir compter ou de savoir mettre un pantalon, c'est le chiffrement.
Le chiffrement c'est le fait de mathématiquement embrouiller des données, pour être sûr que seuls ceux qui ont la clef, donc vos destinataires ou vous ou les membres de votre entreprise, etc, soient en mesure de dés-embrouiller les données pour les lire. Éventuellement utiliser le stockage de Google, d'Amazon ou de M. Numergy ou n'importe qui mais stocker vos données chiffrées. Donc M. Google ou M. Amazon ou M. Numergy ne peut pas, de sa propre initiative, ou si un pirate mal intentionné se connecte à son insu sur ses serveurs, et qu'évidemment il ne vous le dit pas parce qu'il aurait trop honte, ou si un service de renseignement essaye de mettre la main dessus, pour le coup il accédera à des données chiffrées donc illisibles.
Émilie : On a tous prévu des questions à l'issue.
Jérémie Zimmerman : On a prévu des questions après. Effectivement c'est une précision essentielle, quand je parle de chiffrement, je parle de chiffrement point à point. Donc le chiffrement entre vous et votre destinataire ou seulement votre destinataire et vous avez les clefs. Si quelqu'un vous vend un chiffrement, une entreprise devient prestataire de chiffrement, il y a anguille sous roche. C'est comme Skype qui vous dit « Ouais les communications sont chiffrées », elles sont chiffrées mais Skype a la clef et toutes les organisations qui ont la main par leur juridiction sur Microsoft du coup ont accès à la clef aussi, toutes les institutions d'autres pays qui auraient assez investi dans des recherches là-dessus pourraient éventuellement la clef aussi etc.
Il n'y a que, là encore, le chiffrement que vous maîtrisez qui est le chiffrement point à point qui est une solution pour protéger ses données, le reste c'est fumeux.
37' 32 dans la question du public certaines parties sont inaudibles[modifier]
Intervenant : Pour rebondir, ce qui est amusant dans les exemples que Jérémy vient de nous donner, mais en tout cas sur le chiffrement, c'est que finalement il faut mettre aussi un paravent de fumée pour se protéger, donc on pourrait envisager par ce biais-là, que le cloud en réalité, est déjà une première protection. Ça c'est un autre débat.
Simplement ce que je voulais dire, pour répondre à votre question, je vais essayer de le faire en tout cas, en ce qui me concerne, quel est l'avantage du cloud ? C'est très simple, l'argent. Je crois que c'est très clair, ce sont des économies. Ça pose des problèmes, puisque ça entraîne effectivement un intérêt mercantile et ainsi de suite, ça va de soi. S'agissant, néanmoins, de cette différente pratique, est-ce qu'on peut simplement considérer le cloud uniquement au travers l'exemple de Google, je ne le crois pas, du tout. On l'a vu, c'est extrêmement varié, c'est ce que je vous ai dit au début. Ce qui me semble important, c'est qu'au travers de ça, au travers de ces différentes pratiques, le curseur de la protection et des problématiques, il évolue, notamment en terme de protection des données. Et sur cet aspect-là, il y a quelque chose qui me semble effectivement extrêmement important sur des pratiques qui étaient initiales, c'est celle de la centralisation. C'est-à-dire qu'avec l'externalisation, on quitte, enfin, on peut avoir un prestataire qui centralise et Jérémy a dit et Cédric avait tout à fait raison, finalement, le cloud, il n'y a rien de tellement nouveau. C'est juste rendre plus complexe une situation qui existait déjà. Là où il y a un problème, et on revient sur la question de la loi applicable, c'est qu'en réalité, ce qui était une concentration devient décentralisé. Et cette décentralisation, elle pose la question, c'est ce que je disais au début de mon propos, sur la propriété des données et cette impression d'en avoir effectivement le contrôle.
Là aussi la réglementation elle l'envisage par rapport à la transparence, elle permet de disposer d'un certain nombre de droits. Heureusement, il y a des prestataires de cloud qui, quand même, essayent de mettre en œuvre un certain nombre des droits du point de vue de la loi Informatique Libertés. Elle peut quand même s'appliquer ad libitum même s'ils envisagent bien souvent d'écarter l'ensemble de leurs responsabilités.
Il y a quelque chose de faisable et je crois que, par contre, cette question de la décentralisation et de l'atomisation des données, puisqu'en fait ce qui se passe, c'est qu'en décentralisant vous allez avoir des données qui sont effectivement conservées par Facebook, alors que vous souhaitiez les effacer, elles sont maintenues. Mais c'est aussi une garantie d'une certaine manière de la sécurité. C'est-à-dire que si vous avez une donnée qui est complètement atomisée, qui se trouve dans plusieurs endroits différents, la difficulté, et là ça établit cette forme aussi de fumée, c'est de pouvoir disposer d'un logiciel qui va vous permettre de rassembler l'ensemble de ces données.
Donc, pour vous répondre, je pense qu'il y a un avantage financier mais qu'il y a énormément d'inconvénients en terme de protection, et il y a surtout une question à mon sens qui est tout aussi fondamentale par rapport aux libertés, c'est de savoir, au-delà des droits que l'on exerce sur ses donnés, comment est-ce qu'en réalité la sécurité, et c'est là où le droit est confronté à une problématique technique évidente, est garantie ?
Animateur : Les réponses à la deuxième question. Je vais proposer, avant de passer à la troisième, peut-être à la salle de prendre position, poser des questions. Il y en a déjà une.
Intervenant : Je vais être rapide en disant où sont vos données ? Vous ne savez pas. Moi j'ai un compte Gmail depuis neuf ans, je vis bien hein Jérémy. Mais je pense qu'en fait toi tu ne sais pas non plus entièrement où sont tous tes messages. Quand tu m'écris tu ne sais pas où ça part.
Animateur : Alors-là c'est de la provocation.
Jérémie Zimmerman : Justement je sais où sont stockés les messages qui me sont destinés et ceux qui sont vraiment importants sont de destinataires qui utilisent les chiffrement de toute façon. Donc où ils ont transité en chemin., ce n'est pas mon problème, je sais qu'ils sont stockés quelque part à téléhouse2 boulevard Voltaire.
Animateur : Est-ce qu'il y a des questions dans la salle sur ces questions relatives aux définitions, d'avantages - inconvénients ?
Public : Vous êtes la sécurité et l'intelligence économique, c'est une question qui s'adresse autant à M. Zimmerman qu'à M. Jahan. Vous avez parlé tout à l'heure quand vous avez abordé la difficulté, en tout cas le danger, le risque pour une entreprise de stocker ses données chez Google. Vous avez dit ???
Vous avez parlé d'entreprise économique et donc d'espionnage industriel. Vous avez parlé de chiffrement, d'intelligence économique. Des états mettent à la disposition de certaines entreprises fleurons de la nation des technologies qui ne sont pas destinées au civil, des technologies qui relèvent du militaire., notamment certaines techniques de chiffrement, même de déchiffrement, de décryptage. Qu'en est-il, lorsqu’on met du cloud, lorsqu'on a conscience de cette réalité qui relève non pas, c'est une réalité qui dépasse la problématique juridique mais qui ??? on parle de guerre économique, on est dans une logique de guerre, ??? quand je lui ai parlé de ça on m'a dit « Attention monsieur on aborde des questions qui sont secret-défense », j'ai pris conscience de ça, mais on est là et c'est pour ça que j'en reviens à M. Jahan, est-ce que le cloud souverain peut-être une vraie alternative, à cette problématique ? Est-ce que le cloud souverain, encore plus que le cloud souverain puisqu’il y a un consortium SFR - Bouygues, est-ce plutôt on ne devrait pas parler du cloud souverainement public, à partir de directement l'état ?
Guillaume Jahan : Ou la la. Tout de suite les grands mots. Je me tourne vers Jérémy, je pense qu'il a des choses à dire. Le cloud souverain, oui,c'est une réponse parce qu'il y a quand même des éléments plus rassurants.
Animateur : Je pense que ce serait bien pour tout le monde que tu nous dises ce que c'est que le cloud souverain pour que tout le monde puisse suivre la conversation ?
Guillaume Jahan : D'accord. Alors le cloud souverain, très simplement, c'est ce que fait Numergy. Alors Numergy, pour que le nom rentre bien dans les esprits, c'est numérique et énergie. Et donc la contraction Numergy. Voila. J’arrête de faire de la pub.
Le cloud souverain. Alors le cloud souverain tout simplement, ce sont vos données hébergées en France. C'est un prestataire de service qui va avoir des data centers, donc tous ses serveurs localisés en France. L'avantage qu'on y trouve c'est la soumission à la loi française. Vous avez un interlocuteur aussi qui est en France. Il y a cette notion de proximité, qui a une pertinence, par opposition à des gens effectivement comme Amazon, dont quand même les serveurs sont essentiellement aux États-Unis ou en tout cas, Google par exemple, ont des data centers partout dans le monde, donc les données circulent d'un endroit à l'autre selon les espaces qu'ils utilisent.
Donc ça a une pertinence, c'est une réponse. Effectivement, c'est une réponse notamment juridique, en terme de localisation. Ça a un intérêt en terme de données à caractère personnel, puisque les données à caractère personnel ne peuvent pas être transférées en dehors de l'Union européenne, sans certaines contraintes, fortes. Si quand même !
Intervenant : Ça va changer avec le ???
Guillaume Jahan : Ça va peut peut-être changer, mais pour l'instant ce n'est pas le cas. Il y a des contraintes en touts cas. Il y a l’avantage aussi des associations françaises et européennes. Donc oui c'est une réponse.
En terme d'intelligence économique, vous parliez d'espionnage, c'est d’autant plus une réponse que, comme l'évoquait Jérémy, des gens comme les principaux prestataires de Cloud Computing aujourd'hui, Amazon, Google, IBM, sont américains, sont des groupes américains. Les deux tiers des serveurs de ces prestataires sont aux États-Unis. Ils sont soumis notamment effectivement à une loi qui est FISA, mais aussi le PATRIOT Act qui a beaucoup fait parler de lui. Il faut juste retenir qu'il y a un arsenal de lois américaines qui donnent un accès au gouvernement américain particulièrement fart aux données qui sont chez un prestataire de nationalité américaine. Ça veut dire, quand on parle de groupe, c'est aussi bien Amazon le siège aux États-Unis que la filiale en France, qui par définition parce qu'elle fait partie du groupe devra bien répondre à ce que lui demande sa société mère quand elle lui dit « Moi le gouvernement me demande ces données, elles sont chez toi, tu me le donnes ». Voila. C'est une réponse. Évidemment on n'est pas dans un monde parfait. Ce sont des échelons franchis en terme de confiance vis-à-vis d'une entreprise ou d'un utilisateur.
Animateur : Merci.
Jérémie Zimmerman : Je m'attendais à venir pour parler de données personnelles entre temps je me suis aperçu qu'on allait parler de cloud et maintenant je me retrouve à parler de sécurité informatique. Comme quoi il faut s'attendre à être surpris dans la vie.
Une partie de votre question nous demande de parler de ce qu'on ne sait pas. Donc j'aurais bien du mal à en parler. Est-ce qu'il existe des technologies secrètes des Chinois, du FBI pour déchiffrer le chiffrement RSA utilisé par tout le monde aujourd'hui ? Jusqu'à présent tout laisse à penser que le chiffrement le plus répandu, celui qu'on peut utiliser en logiciel libre, donc celui qui est à la base de SSL, mais il y a un merdier noir dans l'histoire des certificats, mais que le chiffrement RSA tient à peu près le coup. Ça c'est quelque chose qui est important pour cette maîtrise de son informatique. C'est que les algorithmes de chiffrement qui sont aujourd'hui les plus utilisés dans le monde, sont publics, donc on peut les implémenter en logiciel libre. Tous les chercheurs en sécurité de la terre sont en train d'essayer de les casser pour savoir justement s'ils sont cassables et donc on estime que cette espèce d’intelligence collective nous donne un niveau de protection suffisant et ça c'est une partie seulement, une toute petite partie de la réponse.
Ensuite oui on parle d'intelligence économique, l'intelligence au sens large. Ce qu'on en entend c'est un petit pouième de ce qui se passe réellement. Je vous invite à lire un papier excellent d'une boîte de sécu US qui s'appelle Maindiant et qui a écrit sur ??? qui est une unité de l'armée chinoise qui depuis des années est en train de casser des systèmes d'information partout dans le monde pour en extraire des données. A priori cette unité en question, ce sont ceux qui se sont fait gauler, donc on serait plutôt des petits rigolos. On ne sait pas, sur les unités un petit plus balaises, qu'il y a au-dessus d'eux. Donc c'est quelque chose de très fréquent comme est très fréquente l'histoire du business man qui va pour signer un deal quelque part et qui oups ! se fait piquer son ordinateur, oh ! les données n'étaient pas chiffrées. Ou c’était l'assistant de Tony Blair je crois, ou Gordon Brown qui était en Chine et qui a vu cette ravissante demoiselle dans un boîte de nuit qui lui clignait de ses longs cils, qui se retrouve au lit avec elle, et le lendemain matin son BlackBerry avait disparu. Donc c'est l'intelligence au sens large qu’elle soit économique ou pas. L'intelligence dans ce cas-là, ça dépend où on place l'intelligence.
Donc une réponse en deux mots, l'ANSI
Émilie : Parce que là ce n’était pas la réponse ?
Jérémie Zimmerman : Si, la conclusion de la réponse en deux mots l'ANSI, l’Agence nationale de la sécurité des systèmes d'information, aurait peut-être beaucoup de choses à raconter là-dessus. Elle a sorti un guide de l'hygiène informatique dans lequel il manque cruellement la notion de logiciel libre et on pourrait parler de souveraineté informationnelle, ce n'est pas la souveraineté du cloud, mais la souveraineté sur ses systèmes d'information, sur ses processus et maîtrisés informatiques chez soi. Je serais curieux de voir comment ils parlent du cloud là-dedans. Attendez, j'avais encore un truc mais vous me stressez en me mettant la pression pour terminer très vite.
Émilie : C'est fini.
Jérémie Zimmerman : C'est fini. Allez. C'est fini.
Émilie : Oh non Romain !
49' 53[modifier]
Romain Perray : Oh ben si ! Je ne peux pas. Il y a des choses que je ne peux pas accepter en tant que défenseur des libertés fondamentales qui ne s'assument pas.
Mme R. : La question qu'a posée ???
Romain Perray : Sur le cloud souverain, hormis les problématiques de droit public que ça entraîne et l'intervention économique de l'état sur lesquelles je ne vais pas m'appesantir, il y a un souci à mon avis considérable en terme de protection des données à caractère personnel et c'est même le fondement de la Loi Informatique et Libertés. C'est-à-dire que pourquoi cette loi a été adoptée ? C'est parce que l'état avait envisagé de mettre en place un système d'interconnexion de l'ensemble des fichiers. Si on permet à un état de disposer d'un cloud souverain qui aurait vocation à assurer l'hébergement, le stockage de 95 %, 98 %, 99 % des données de ses concitoyens, évidemment le risque de basculer dans un régime autoritaire est extrêmement fort et particulièrement quand on voit l'évolution des traitements publics. L'exemple de la base élèves est, je dirais, symptomatique, l'état et les personnes publiques sont en recherche d'informations de plus en plus précises ayant vocation à anticiper. Donc le meilleur moyen d'avoir ces informations, effectivement, c'est d'être propriétaire ou du moins d’exercer un contrôle suffisamment important sur une structure qui assure le stockage de l'ensemble de ces informations. Sur le cloud souverain, que ce soit un mécanisme incitatif, pourquoi pas ! Mais en tout cas que ce soit une véritable politique d’état, à mon avis, ce serait un grave souci quand à l’évolution de notre système démocratique.
Guillaume Jahan : Vous allez me tuer si je dis que j'ai retrouvé...
Mme R. : Je vais laisser la parole ??? qui va poser sa question qui a une relation avec ce qu'on est en train de dire. Alors juste un mot.
Guillaume Jahan : Juste pour clarifier. En fait Numergy, il y a aussi une autre société qui s'appelle Cloudwatt, nous sommes deux concurrents de cloud souverain français. Ce ne sont pas des sociétés qui appartiennent à l’état. L'état, par la caisse des dépôts, fourni 20 %, voila, par la caisse des dépôts, du budget. On a d'autres actionnaires, SFR et Bull, qui ne sont pas publics, qui ne font pas partie de l'état, et qu,i croyez-moi, n'ont pas envie qu'on devienne un instrument totalement de l'état français. Voila, il y a un financement comme beaucoup d'autres entreprises. Je comprends effectivement l'idée que si un état a la mainmise sur des prestataires, j'espère, je ne pense pas, pour être tout à fait honnête, qu'on va monopoliser 99 % des données des entreprises et des personnes en France. Je comprends l'idée. L’État français aujourd'hui a fait le choix d'investir en partie.
Intervenant : Je pense que c’était un souci d'un instrument d’intelligence économique, en force. C'est l'impression que j'ai eu de cette remarque, effectivement.
Mme R. : On y reviendra. On y reviendra sur la fin. Je laisse une personne poser sa question, ça nous permettra de revenir là-dessus sur les mêmes thématiques.
Émilie : La troisième question va du coup avoir pour effet de relancer un peu ce sujet qui a l'air de vous chatouiller tous. Quels sont les droits de l'utilisateur sur ses données ?
Mme R. : On va peut-être laisser Cédric répondre en premier parce qu'il a été très calme dans le débat précédent. Non, il s'en fiche !
Cédric Manara : Si, si, je veux bien. Alors je vais essayer de donner une interprétation la moins orientée possible, même si, comme je le disais, je n'assume pas mes opinions politiques. C'est un autre problème. Quels sont les droits ? Ils sont assez simples en tout cas du point de vue de la protection des données à caractère personnel, puisque la loi Informatique et Libertés, mais vous le savez mademoiselle, accorde un certain nombre de droits aux personnes dont les données sont traitées. C’était évidemment, quand on prend le déroulement du traitement et non pas les dispositions à proprement parler. Le droit d’opposition mais bon évidemment puisque l’intérêt serait d'utiliser un système de cloud, je vois assez mal l'opposition, sauf peut-être dans un cas où il y aurait des salariés dont les données, des données qui leurs sont purement personnelles, privées, pourraient en partie être stockées dans un système de cloud qui est mis à leur disposition par l’intermédiaire de leur entreprise. Au-delà de ça il y a évidemment le droit d'accès à leurs données, qui pose énormément de questions sur la portabilité, c'est l'une des difficultés du cloud. Il y a ensuite la restitution des données, et le droit de modification et le droit de suppression. Le droit de suppression c'est encore pire, puisque évidemment quand il y a un effacement, Jérémy l'indiquait, il arrive parfois que des fournisseurs de cloud conservent des informations, parce qu'ils se sentent peut-être propriétaires des données, mais ça, c'est une problématique peut-être plus de propriété intellectuelle que je n'aborderai pas. Je laisse le soin à Cédric de l'aborder.
Voila à peu près les droits. Il y a un autre droit qui en fait découle, à mon sens. d'une obligation qui pèse sur le responsable du traitement et qui est évidemment fondamentale, c'est celle de l'information et en matière de cloud, souvent parce que ces dispositifs impliquent des transferts de données hors de l'Union européenne et bien sont soumis à des dispositions, c'est vrai, très détaillées, et il faut reconnaître que la réglementation française, au-delà de la loi Informatique et Libertés et de son décret d’application, prévoit des mentions supplémentaires,extrêmement détaillées, sur la localisation des données qui vont être éventuellement transférées.
Jérémie Zimmerman : Du coup je ne dis rien. Est-ce que dans les prochaines ? Non ça va. De toute façon, la réponse, là, a été assez exhaustive sur le cadre juridique français et européen, la directive de 95 est ouvertement inspirée de la Loi Informatique et Libertés, pionnière en la matière, vive la France et moi ce qui m’intéresse un petit peu plus en ce moment c'est l'évolution de ce cadre législatif. Vous savez forcément qu'est en train de se discuter à Bruxelles ce règlement sur la protection des données personnelles et se posent les questions de ce que devraient être les droits des utilisateurs pour avoir une vague chance de reprendre le contrôle sur leurs données personnelles et d’être souverain sur leurs données personnelles. C'est marrant ça va faire la dixième fois qu'on utilise le mot souverain aujourd'hui alors que d'habitude ce n'est pas trop mon.... Mais juste pour reprendre sa souveraineté personnelle, sa souveraineté informationnelle. D'une part je l'ai dit, je l'ai déjà dit et je le redirai, ça passe par une compréhension de la technologie et donc le rapport que nous avons tous en tant qu'individus et en tant que société à la technologie et signer un contrat sans savoir lire, quelles que soient les obligations qui pèsent sur la personne qui va vous faire signer ce contrat, si vous le signez sans savoir lire, il va vous arriver des bricoles. Ça pour moi c'est l'élément central, d'ailleurs l'élément central de tous les dossiers sur lesquels on évolue, que ce soit le droit d'auteur ou le censure ou n'importe quoi d'autre.
Maintenant ce qui juridiquement devraient être les droits de l'utilisateur, il y a un certain nombre de points clés qu'on a réunis dans une liste courte, une short list, de ce qui est le plus important pour nous, de ce qui sont les enjeux clés, et qui sont en train de se faire complètement ratiboiser par la pression des lobbyistes des géants de la Silicon Valley, mais pas qu'eux, de la banque, de l'assurance et du gouvernement US lui-même, qui voit d'un très mauvais œil que l'Union européenne puisse faire peser à ses petites entreprises à lui des contraintes plus ou moins importantes.
Je vous parle là de ce qui figure dans la proposition initiale de la commission, de ce qui sont des points clés pour nous mais qui pourraient n’être qu'un vœu pieu réduit à l'état de poussière en fonction de la première lecture du Parlement européen.
Il y a avant tout la notion de consentement explicite, que le consentement explicite de l'utilisateur soit requis pour les traitements de données. A savoir qu'on ne vous fasse pas signer un contrat de quatre vingts pages, une fois oui oui j'accepte pour accéder à Facebook, à Google ou à Schtroumpf , mais que, par finalité, on vous dise voila, on va collecter des données sur les messages que vous échanger avec les utilisateurs pour faire des statistiques et vous envoyer du marketing ciblé. Oui, non, j'accepte. On va sur les photos que vous envoyez, faire des analyses de reconnaissance faciale et de caractéristiques de cette reconnaissance faciale, là aussi pour du marketing direct, pour savoir dire si vous êtes gros et que vous avez envie éventuellement d'avoir des produits amaigrissants, ou, s'il vous manque un bras et qu'on va vous vendre des prothèses ou je ne sais pas. On va traiter vos données de géolocalisation pour savoir où vous partez en vacances et éventuellement vous proposer des assurances ou ceci ou cela. Que pour chaque type de finalité soit requis le consentement explicite. J'imagine assez bien au lieu de ce contrat sans fin, des petites boîtes où vous cochez j'accepte, je n’accepte pas, j'accepte, je n'accepte pas et à la fin valider le contrat, ce qui revient un petit peu, c'est bête mais ce n'est pas de la science fiction, c'est à peu près ce que vous pouvez faire avec un contrat en papier, signer un contrat et que ce soit un contrat pour vous faire enregistrer. Je racontais ça, la conférence où une fois on m'a fait signer un de ces papiers, oui j'accepte que mon image soit réutilisée, qui contenait quelque chose qui disait « Et pour toutes les opérations de promotion et commerciales de la société machin ». Euh ! J'ai pris mon stylo et j'ai bien rayé ce petit bout de la phrase pour la laisser syntaxiquement correcte, et j'ai signé en bas. Quand vous signez un contrat papier vous pouvez vous opposer à certaines clauses, et pour autant signer le contrat, mais vous savez ça,encore une fois, mieux que moi.
Ça semble quelque chose d'essentiel comme semble l’être la limitation des finalités. Qu'on ne puisse pas vous dire « Au fait on va collecter vos données ! Allez ! Salut ! ». Non. Qu'on vous dise « On va collecter vos données de géolocalisation pour ceci », et que si on en sorte on brise la loi et que vous soyez en droit, derrière, de réclamer réparation.
De la même façon l'obligation de notification des fuites de données. C'est quelque chose qui a l'air très technique mais qui est pourtant très important et qui pourrait radicalement changer le marché de l'informatique et des services et rétablir un certain équilibre dans ce ratio entre l'utilisateur et le prestataire. En l’occurrence quand le Sony Playstation Network a vu ses soixante-dix millions de comptes fuiter, que Sony soit obligé de dire « Bonjour c'est Sony, on a merdé. Alors voila on a merdé. Votre mot de passe est dans la nature ». Et que là vous en fassiez ce que vous voulez. Si vous êtes du genre à avoir le même mot de passe sur tous les sites, vous allez prendre la peur de votre vie. Vous allez foncer sur Facebook et compagnie et changer le mot de passe. Il sera peut-être trop tard parce qu'il y aura déjà des petits malins qui auront fait des moulinettes pour aller essayer automatiquement sur les sites les plus utilisés les mots de passe qu'ils auront vu dans ce fichier, mais au moins vous serez prévenu et vous prendrez une leçon de sécurité informatique et le prestataire aussi. Parce qu'aujourd'hui le prestataire se paie, alors qu'il est d’intérêt des utilisateurs de le savoir. Donc le prestataire, obligé de faire ça, prendra peut-être un petit peu soin des données de ses utilisateurs. Ce que révélait l'histoire du Playstation Network, c’était une des actions d'un groupe qui s’appelait LulzSec, dont l'histoire nous a appris, à la fin, qu'il était infiltré par le FBI, mais qui pendant un mois, tous les jours, a diffusé des données d’entreprises, de grosses entreprises, pour faire la démonstration que ces gens étaient des rigolos, et les mots de passe du Playstation Network étaient stockées non chiffrés. L’état de l'art, aujourd'hui, c'est, dans une base de données, on chiffre les messages. Ils ne prenaient même pas le soin qui est le soin de base et faisaient le choix économique de l'incompétence. Donc cette notification des fuites est quelque chose qui rendrait ce choix économique de l'incompétence plus viable et qui forcerait les entreprises à faire le choix économique au moins de l'état de l'art en matière de protection des données.
1 h 02' 53[modifier]
Ensuite, et j'ai bientôt fini, promis, il y a la question du profilage et ça en soi c'est un enjeu de société, ça nécessiterait une conférence entière, un débat entier, une directive entière, ça n'est qu'un des petits passages, un des nombreux passages du règlement, c'est, est-ce que l'on va autoriser ou interdire que des décisions ayant un impact radical sur la vie des individus puissent être prises uniquement par des machines. Est-ce que votre banque peut vous dire « Vous n'aurez pas ce crédit parce que notre ordinateur a calculé que ben non vous n'aurez pas ce crédit ». Le banquier serait incapable de dire d'où vient cette décision parce que ce serait de l'achat, du rachat de bases de données, on a racheté Facebook, on a racheté Google, on a racheté machin. On sait que vous faites trop la fête, que vous allez en vacances dans des endroits dangereux ; vous fréquentez des gens qui ont des défaults, d'ailleurs on a vu récemment que ça c'est c'est exactement passé comme ça aux États-Unis, on s'est aperçu qu’être ami sur Facebook avec des gens qui étaient incapables de payer votre crédit, était un malus dans l'obtention d'un crédit chez certains organismes américains. Donc, embauche, nut, l'ordinateur, le grand ordinateur avec un O majuscule, nous dit que non, on ne va pas vous embaucher. Est-ce que ça doit être autorisé ou est-ce que ça doit être interdit ? C'est un vrai enjeu de société.
Et ensuite on est presque sur des points de détail mais c'est crucial aussi, est-ce qu'on va laisser dans le droit européen des brèches de la taille d'un canyon comme cette notion qui est une fumisterie des données pseudonimisées où on vous dit à partir du moment où des données sont pseudonimisées, elles n'entrent pas dans le périmètre de la protection des données personnelles. What ? Quiconque a déjà opéré une base de données sait qu'elle est composée de tables. Et dont il suffit de faire une table où il y a prénom, identifiant genre Jean-Claude c'est le numéro 42, et après il y a toutes les autres tables utilisées le numéro 42. C'est pseudonimisé, on ne sait pas qui c'est, c'est 42. Blague !
Donc que ça soit une dérogation au principe de la protection des données personnelles est un truc qui rendrait l'ensemble du règlement nul et non avenu, comme la question du legitimate interest où là-aussi on a vu une flopée d'amendements qui disaient oui, dérogation au présent règlement lorsqu’il s'agit de l’intérêt légitime de l’entreprise, ben, son intérêt légitime de faire du blé. Donc pour conclure, promis, on est aujourd'hui dans cette situation où on signe des contrats sans savoir lire, mais aussi où on fait des échanges économiques sans en connaître la valeur. On vous dit « Tiens donne-moi ton kilo de caviar je te donne un kilo de patates en échange ». On dit OK, ouais. On ne sait pas. On ne sait pas. Si par exemple un compte Facebook coûtait 50 centimes par mois à Facebook ou un euro par mois à Facebook mais que vos données personnelles exploitées derrière rapportaient dix euros, cinquante euros, cent euros par mois, si on connaissait ces chiffres, si on avait le contrôle sur nos données personnelles, alors on pourrait faire des choix éclairés et pourquoi pas aller payer trois euros par mois pour utiliser Facebook pour, par ailleurs, aller revendre ses données personnelles à quelqu'un d'autre si on souhaite le faire. C'est vraiment une question de contrôle et de souveraineté informationnelle.
Cédric Manara : Jérémy vient de dire on est aujourd'hui, en fait, face à des contrats bla bla bla. Je ne suis pas certain que ce soit aujourd’hui, Jérémy. Les contrats qui impliquent d’être soumis à une machine, on les a vus au XIXe siècle avec la machine à vapeur, quand il fallait monter dans un train et s'il explosait, on avait aussi signé un contrat d'adhésion. Tu acceptais un contrat dans lequel il n'y avait pas de garantie sur la sécurité par exemple. On a inventé des textes, par la suite, pour une obligation de sécurité du transporteur.
C'est pour répondre sur la suite. Je suis d'accord avec Jérémy, on n'a plus de contrôle du tout, tout à l'heure on prononçait infrastructure et autre. Effectivement, dès lors qu'on signe un contrat en disant j'accepte et qu'en plus, en fait, il y ait des questions, voila, on n'est pas au courant de ce qu'il y a dedans, c'est compliqué d'aller assigner là où se trouve la personne et autre, c'est la difficulté, mais je ne suis pas certain que ce soit au niveau de l'utilisateur qu'il soit possible, sur un plan de régulation, de pouvoir reprendre le contrôle. Je me demande si justement ce ne sont pas les contrats eux-mêmes qu'il faudrait revoir par le jeu des clauses abusives, par exemple, ce genre de choses. J'ai plutôt l'impression que c'est là que se trouve la clé, plutôt que de croire à la capacité qu'a chacun, Jérémy, d'arriver à comprendre tout ce qui se passe. Tu es un homme de l'art, tu as dit tout à l'heure on renonce au contrôle de l'infrastructure. Je t'ai dit moi j'ai un compte Gmail, je n'ai pas la même science que toi en matière informatique, de la même manière que je n'ai pas suffisamment de compréhension de la sécurité alimentaire pour savoir si les lasagne que jachète sont avec du cheval ou du bœuf. Il y a quand même des difficultés ici en fait.
Jérémie Zimmerman : On le sait aujourd'hui ça !
Cédric Manara : Je ne suis pas certain que ce soit aussi facile que ça pour chacun ici, qui n'a pas ton niveau de compétence, d'arriver à reprendre le contrôle technique. Je te redonnerai la parole tout à l'heure. J'ai plutôt l'impression que c'est au niveau qu'il y a quelque chose à faire.
En même temps je ne suis pas certain, tu parlais de renonciation, mais elle est évidente. Il y a aujourd'hui 12 millions d’utilisateurs Facebook en France, je crois, il y a une personne qui a un jour attaqué Facebook pour dire en fait qu'il voulait tellement rejoindre le réseau parce qu'il en avait été banni qu'il a attaqué Facebook en justice et a obtenu de pouvoir les attaquer en France. On en est là. C'est peut-être le seul pays où il y a eu une décision de ce type-là mais qui montre aussi qu'on peut arriver à retoucher les clauses, en l’occurrence une clause d'attribution de juridiction qui évite d'attaquer à Santa Clara en Californie, mais qui permet d'attaquer à Pau en l’occurrence dans la Cour d'appel de Pau. Ce n'est pas plutôt en fait cette voie-là qu'il faudrait emprunter pour pouvoir justement se poser la question des droits. En fait les droits, c'est forcément celui qui tient la plume, le prestataire va se donner l'avantage et puis ne pas en laisser beaucoup aux utilisateurs. Du coup ça repose la question de l'équilibre du contrat et de sa qualification. On a finalement zappé assez rapidement la question de la qualification du prestataire, l'opérateur. Ça dépend quel service il fait, si c'est du cloud privé, si c'est service à l'entreprise ou autre.
Il y a une autre question aussi, Romain a attaqué sous l'angle de données personnelles et Jérémy aussi, mais qui est aussi en fait les droits que l'on a ou que l'on perd sur des fichiers qui ne sont pas considérés par les données personnelles. Si j'utilise le coud pour stocker mes e-books, mes films, ma musique ou pour faire du travail collaboratif et que je suis en partie privé de mes droits ou que je dois payer aussi en fait parce que je fais en ligne des choses que j'aurais pu faire précédemment dans mon salon et du coup je suis assujetti à d'autres taxes, par exemple c'est compliqué. On a une décision en France relative au magnétoscope numérique Wizzgo. Si j'enregistre dans mon salon, sur mon disque dur de salon, je n'ai aucun droit à payer, enfin pas de disque dur, ce n'est pas tout à fait vrai, ceci étant, sur ma cassette VHS, c'est rapide, mais l'idée c'est que si, par contre, je confie à un à prestataire l’enregistrement dans le cloud, le droit français aujourd'hui ne permet pas à ce prestataire d'exercer son activité. On l'a vu Wizzgo. Cette société a été sanctionnée pour contrefaçon par des chaînes de télévision. Ces enjeux-là aussi, en fait c'est la question.
Je reviens en fait à ton analogie entre le contrat numérique - contrat papier de l'équivalence fonctionnelle. Si on ne pas faire des choses dans le cloud qu'on peut faire dans la vie réelle, c'est dommage aussi et c'est aussi en fait la question justement du contrôle que soit en fait s'arroge le prestataire, soit justement de l'extension de l'assiette de redevance copie privée ou autre que va prévoir l'état. Il y a d'autres enjeux ici.
On parlait de cloud souverain. Si on n'est pas capable aujourd'hui de faire un cloud qui ne soit pas cher, on ne sera pas compétitif aussi. Il y a aussi ces questions-là. Je voulais dire tout ça aussi. Le sujet me paraît plus large. Ce n'est pas la question juste de vous, vos droits. C'est aussi où est-ce qu'on va avec tout ça. Où est-ce qu'il faut réguler ? Quel est le point d'entrée ? Combien ça coûte ? Est-ce que la France peut vraiment être compétitive face aux acteurs ? On n’arrête pas de critiquer Google, Apple, Amazon et autre, mais si on veut que Numergy par exemple en fait émerge, il faut aussi se demander s'il est en mesure de le faire. Il y a toutes ces questions-là aussi qui sont derrière. Ce n'est pas juste du micro économique, c'est aussi en fait la question de macro qui est derrière.
1 h 11' 09[modifier]
Guillaume Jahan : Oui. vous allez tous vous enrichir avec de la publicité, Vous avez tous parlé de plein de choses, dont acte. Oui effectivement je ne l'ai pas dit parce que je n'ai pas préparé sur Numergy, mais puisqu'on me donne l'occasion Bien évidemment, si une société de cloud comme Numergy en France veut être compétitive il faut qu'elle soit commercialement agressive avec des prix intéressants et techniquement irréprochable notamment en terme de sécurité. Ça c'est une évidence que je n'ai pas évoquée, mais oui.
Au-delà des aspects juridiques, l’intérêt à avoir la loi française qui s'applique et une localisation en France, notamment pour les données à caractère personnel. Au-delà de ça il y a évidemment aussi il y a tous ces aspects, toutes ces dimensions. Ce que des gens ont de plus, Google, Amazon, ils ont dix, douze ans d'avance sur le marché. Ce sont des gens qui sont quand même très compétents. Donc oui, il faut faire ces démonstrations-là. Je ne sais pas si Jérémy voulait intervenir ! Je n'ose pas lui donner le micro je crois que c'est interdit ! Romain !
Romain Perray : Merci Judith. Ça en fait déjà deux, ça va être compliqué je pense. Je vais juste revenir sur deux choses aussi rapidement que possible. Ce qu'a dit Cédric, à mon avis, est tout à fait pertinent et même d'une réalité totale puisque la difficulté, je ne partage pas du tout le point de vue de Jérémy sur cet aspect, que, le consentement explicite, en toutes circonstances, je ne suis pas certain que ce soit la solution à tout, en tout cas du point de vue de la protection des données à caractère personnel.
Il y a le consentement sur des données, qui souvent est lié au consentement avec le contrat, d'où la difficulté de bien sûr des terrains minés, des clauses qui vont s'appliquer, on va les choisir, on va les sélectionner, on va discuter, ça ne me semble pas, en tout cas, se conformer à la réalité économique et notamment les clauses qui sont standardisées.
Cédric parlait tout à l'heure des contrats de transport. Mais si on est dans un consentement total vous imaginez bien que la relation et le poids économique et le conflit économique entre d'un côté l’utilisateur lambda et de l'autre Google effectivement qui est un mastodonte ou Facebook, étant précisé qu'on va se dire « Ah ben non, en fait je ne veux pas accéder au service, mais j'ai quand même tous mes petits potes qui sont dessus, donc je vais aller regarder parce que c'est sympa et ainsi de suite » . Donc je suis très sceptique sur le fait qu'on puisse considérer le consentement comme le rempart ultime sur la protection des données à caractère personnel. En tout cas que le consentement explicite soit la seule solution, je n'y suis pas favorable.
Après je voulais juste revenir aussi très rapidement sur la question de la donnée pseudonimisée et l'évolution de la réglementation. Il est très certain que ça pose un problème cette donnée pseudonimisée. A mon sens ce n'est pas tant le caractère pseudonimisé qui pose difficulté, puisque, dans l'exemple que donnait Jérémy, j'aurais plutôt tendance à l’interpréter de façon à ce que en réalité il s'agit d'une donnée indirectement à caractère personnel et que donc la loi s'applique. Là où ça pose une difficulté, là je vais rentrer dans la sphère un tout petit peu technique, puisque c'est ce point-là sur les méthodes d'identification de ce qu'est une donnée à caractère personnel, il est évident que les propositions du rapport Albrecht, sur la proposition de règlement européen, sur son évolution, indiquent en fait qu'une donnée devient anonyme au fur et à mesure du temps, c'est-à-dire qu'il y a plusieurs sous-traitants qui pourraient intervenir et le fait que chacun de ces sous-traitants n'ont pas eux-mêmes accès à la donnée initiale ça donnerait l’impression qu'elle est pseudonyme. C'est faux ! Et évidemment c'est un risque considérable et à mon sens s'il y a un aspect de régulation qui doit être envisagé et je pense que c'est tout l’intérêt de la lutte de la Quadrature du Net, parce qu'heureusement il n'y a pas que les mastodontes de l'internet qui font du lobbying et qui luttent aussi pour défendre la protection, enfin, il faut parler justement, les mastodontes ne le font pas pour la protection des données, mais il y a la possibilité dans ce règlement d'envisager aussi une protection qui est renforcée. Alors, c'est là où il y a peut-être une différence que j'ai avec Jérémy, c'est que je ne partage pas ce point que le consentement explicite serait une solution appropriée et donc pas utile.
Émilie : Oui donc vous avez évoqué les risques liés aux prestations de Cloud Computing et la nécessité, si on lit entre les lignes, de renforcer la protection de l'utilisateur. Ne faudrait-il pas dans ce cas s'intéresser au contrat même de cloud et à la qualification des parties, notamment en terme de responsabilité ? Ne peut-on pas considérer que plus l'on intègre d'intervenants dans la chaîne contractuelle, plus il est possible d'avoir une dilution des responsabilités ? A ce titre que pensez-vous de la rédaction actuelle des contrats de cloud ? Ne présentent-ils pas un certain déséquilibre pour l'une des deux parties ? Également ne faudrait-il pas renforcer l'obligation donc du prestataire, peut-être, je ne sais pas, lorsque l'on parle de piratage, vol ou perte des données ?
Guillaume Jahan : Voila. Alors je ne suis pas le représentant de tous les prestataires cloud, de tous les services au monde, donc je ne réponds pas pour tout le monde. Je vais répondre.
Mme R. : On en a quand même un sous la main donc on en profite.
Guillaume Jahan : Je vais répondre sur deux dimensions. La dimension qui me touche au quotidien parce que je m'adresse à des entreprises. Effectivement, nous l'idée dans nos contrats, ce n'est pas d'avoir à chaque fois du sur mesure pour chaque entreprise parce que plus on aura de clients, plus ça va être compliqué de faire à chaque fois du sur mesure. Après moins sur le cas particulier c'est que nous on utilise des réseaux de partenaires qui distribuent nos services, on passe par eux et ils ajoutent leur service.
Pour faire simple, vis-à-vis d'une entreprise et de professionnels effectivement l'idée et l'avantage pour un prestataire c'est d'avoir un contrat standard, de ne pas sortir de choses qui ont été faites. Nous on a la bonté d'avoir un contrat équilibré. Il y a toujours possibilité de faire au cas par cas, parce que comme on s'adresse au monde des entreprises, les entreprises ont des exigences. Ça c'est un point. Effectivement le contrat, en tout cas dans le monde des entreprises, il essaye d’être équilibré. Après tout dépend de la relation qu'on a avec son prestataire. Quand son prestataire est un mastodonte, qu'on est une petite entreprise et que dans la négociation on représente potentiellement un client qui ne va pas représenter un chiffre d'affaires assez important, qui ne va pas représenter beaucoup d'argent, évidemment dans une négociation, on a quasiment aucun poids. Il faut être lucide. C'est à sens unique. Et plus on a d'importance, plus on représente une opportunité commerciale pour le prestataire, plus effectivement on va être entendu. Mais ça c'est la loi du commerce.
Après l'autre dimension que je voulais aborder, c'est effectivement vis-à-vis de chacun d'entre nous en tant qu'utilisateur, particulier, quand on utilise les services cloud. On parle beaucoup de Facebook, parce que c'est vraiment le porte-drapeau de service de cloud gratuit. Là effectivement la problématique est encore plus flagrante puisque tout se fait par souscription en ligne. Je défie quiconque de s'amuser, moi j'ai dû le faire comme avocat, d'aller sur Facebook et de lire toutes les conditions auxquelles on a souscrit, c'est un véritable jeu de poupées russes, puisque vous commencez à prendre les conditions générales d'utilisation qu'on est censé accepter, qu'on coche et dedans, quasiment tous les paragraphes renvoient vers un autre document qui est situé ailleurs sur le site, et qui lui-même est déjà un grand document de vingt trente pages qui vous explique que si vous créez une page avec une thématique pour un groupe ou autre, c'est d'autres règles à suivre. En tant qu'utilisateur, vous en avez certaines. On parlait des droits des utilisateurs, vous avez souvent des clauses qui vont vous expliquer qu'en tant qu'auteur des documents que vous pouvez mettre en ligne, photographies, textes ou autre, vous cédez tous vos droits, bien souvent, à l'entreprise prestataire qui vous propose ce service. Donc c'est totalement, en tout cas vis-à-vis de nous utilisateurs particuliers, à sens unique. Effectivement on n'a aucune marge de négociation. On se contente de cocher une case. D'où effectivement l’intérêt parfois d'avoir des réglementations, sans que ça n'aille dans les excès, mais effectivement sur certains principes forts et importants pour chacun d'entre nous il est bon d'avoir une réglementation.
Après la problématique qui se pose c'est qu'on est face à des services qui sont sur internet, donc de dimension internationale, et la question se pose, on l'a déjà posée en filigrane, quelle loi va s'appliquer ? Quel droit on peut avoir ? Souvent la loi qui va s'appliquer c'est celle qui sera dans les conditions d’utilisation qu'on coche, dans le contrat auquel on souscrit qui va vous dire vous êtes soumis à telle droit, donc Californie ou autre. Après on peut avoir, heureusement grâce à la législation, des droits en tant que consommateurs par exemple vis-à-vis de certains services commerciaux qu'on utilise.
Mme R. : Vous avez peu parlé du sous-traitants. On a vu le rapport.
Guillaume Jahan : Effectivement le risque c'est qu'il y a souvent dans ce type de service une chaîne de personnes qui interviennent tout en cascade. Donc oui la responsabilité peut se diluer parce que finalement l'utilisateur, le client, lui il a un prestataire qu'il voit en frontal, qui est responsable directement vis-à-vis de lui, mais après effectivement il n'y a pas de lien avec toute la cascade de prestataires derrière et souvent chacun va se renvoyer la balle en disant « Ce n'est pas moi, ce que j'apporte dans le service qui pose problème, ce n'est pas mon logiciel en ligne que vous utilisez, non, c'est la personne qui fournit l'hébergement ou c'est la personne qui m'a fourni les contenus pour mon site, c'est de la contrefaçon, elle a tout repris sur des auteurs très connus, elle n'avait pas le droit de le faire. C'est de la contrefaçon ». Donc oui il y a cette difficulté-là.
Après, comme le disait Jérémy, il faut savoir être vigilant à ce qu'on coche, à ce qu'on accepte, même s'il y a des avantages à un service, c'est toujours bon de lire ce qu'on nous demande de cocher, après effectivement on pourra toujours négocier mais au moins on sait pourquoi on signe. Pour les prestataires, les différents échelons, en terme de données à caractère personnel on a évoqué qu'il y avait des choses qui étaient envisagées vis-à-vis d'un sous-traitant et d'un sous sous-traitant, en tout cas dans la nouvelle réglementation ça va être plus appréhendé. Aujourd’hui une loi comme la loi Informatique et Libertés appréhende une seule relation, le responsable de traitements, l'entreprise, le service qui utilise vos données, à qui vous les confiez, qui les collecte et son sous-traitant, la personne qui intervient amonder dans le traitement, donc la personne qui les héberge ou qui se charge de les traiter, traiter l'information pour le compte d'un prestataire de service. Il n'y a que ces deux échelons et on ne descend pas plus bas sur le sous sous-traitent et tout le bas de la chaîne. Ce n'est pas appréhendé aujourd'hui par cette loi Informatique et Libertés donc c'est une problématique et c'est vrai que souvent la transparence n'est pas toujours de mise sur l'ensemble des intervenants dans un service.
Je parle, on va dire global, parce que de mon côté, en tout cas mon expérience, c'est que nous sommes une entreprise qui pour l'instant n'existe qu'en France et n'a pas de sous-traitant et n’aura pas de sous-traitant. C'est un cas particulier. Mais effectivement la généralité c'est qu'on est face, non plus à un interlocuteur, mais à un ensemble d'intervenants dont on est plus ou moins averti. Ça pose effectivement le problème des dilutions de responsabilité et de, comme on le disait, fragmentation des données qui peut avoir un intérêt en terme de protection, parce que toutes les données ne sont pas rassemblées et accessibles, mais en même temps elles sont éparpillées et on en perd le contrôle d'une certaine manière.
Cédric Manara : La question portait sur le risque du contrat de cloud. La question c'est quel contrat de cloud, parce qu'il y en a beaucoup. Si je suis une entreprise et que je vais chez Numergy par exemple, Numergy me promet donc que mes données seront en France. C'est une promesse ? Si jamais je découvre que ce n'est pas le cas, Guillaume vient de dire à l'instant « on n'aura jamais de sous-traitant », attention ça peut changer, mais en tout cas si la promesse c'est celle-là et que ce n'est pas respecté, on peut imaginer que, par hasard en fait les données se retrouvent ailleurs, je pense que j’irais plutôt en publicité mensongère contre la société plutôt qu'en.. Non, non au pénal, c'est plus intéressant. Ça permet d'aller plus loin dans la ???.
C'est la question d'entreprise qui suppose aussi qu'elle a les moyens d'attaquer. Si on se pose la question, si on se place du côté du particulier et pour un contrat d'hébergement de base, j'ai envie de dire que la réponse est peut-être moins dans les clauses du contrat que peut-être dans l'institution qu'on a choisi. On a beaucoup parlé de Google qui est souvent présenté comme le vilain petit canard, je pense que si, comme Jérémy, je faisais un sondage dans la salle, est-ce que vous êtes plutôt prêts à confier vos données à Google ou à Méga, à mon avis, vous les stockeriez peut-être plutôt chez Google que chez Méga, parce que vous avez peut-être, je suis peut-être en train de présumer l'opinion de la salle, mais peut-être plus confiance. J'ai l'impression que c'est plus la promesse commerciale que les arguments en terme du contrat qui importe. Je vais aller chez Numergy en tant qu'entreprise parce qu'effectivement je suis convaincu que ce qui compte c'est que les données soient en France, peu importent les termes du contrat que je peux à peine négocier.
En tant que particulier je vais peut-être avoir plus confiance envers tel acteur ou tel autre et j'ai l'impression que c'est plutôt là que ça se joue dans la promesse d'image et peut-être que justement plus il y aura de catastrophes industrielles, Jérémy a donné l'exemple de Sony plusieurs fois, il y a plein toutes les semaines, ça ruisselle des éléments comme ceux-là, plus il y aura de prise de conscience et d’éducation, et tu y participes aussi, ce soir, en fait en éduquant les gens, mais peut-être effectivement à la longue on aura compris qu'il y a peut-être des acteurs plus responsables que d'autres et que c'est peut-être ça qui peut compter plus que les termes du contrat qui sont substituels de l'un à l'autre.
Le contrat, oui, il est déséquilibré, quoi qu'on en dise. Je ne suis pas certain que vous fassiez le contrat équilibré, vous faites du business ! Ceci étant la question encore une fois, c'est est-ce qu'on attaque, même si on lit que le contrat est déséquilibré est-ce qu'on attaque vraiment? Je répète il y a quand même un fossé énorme entre le fait qu'entre France il y a 12 millions d’utilisateurs et il n'y en a qu'un seul qui a agi contre Facebook. Il y a aussi la question de la réalité des moyens des personnes qui sont lésées par le contrat. C'est une des questions en fait en terme d'économie du droit ou d’approche des comportements. C'est peut-être lié à la confiance béate qu'on a dans ces outils ou à l'ignorance dans laquelle on vit mais je me pose la question, en fait, finalement est-ce que c'est vraiment important de se poser la question des termes du contrat plutôt que se poser la question des pouvoirs des internautes, encore une fois je reviens à la remarque de Jérémy, ou est-ce qu'il faut rééquilibrer le pouvoir, est-ce qu'il faut redonner le contrôle aux internautes ou est-ce qu'il faut agir autrement ?
Il y a aussi la question, j'aime bien les débats sur les termes du règlement, mais moi la vraie question que je me pose c'est quels sont les moyens des autorités ou quels seront les moyens des autorités pour les mettre en œuvre. Pendant des années la CNIL, en France, s'est battue pour avoir un peu plus de moyens. Les exemples de violation du droit, positive, des données personnelles sont légions ou ont été légion. Si on se bagarre beaucoup sur le règlement et qu'après en fait, en définitive, l'autorité qui sera saisie a peu de moyens, je trouve le débat pas non plus très important.
J'ai l'impression en fait que finalement c'est moins la question des termes du contrat que les questions des pouvoirs de ceux qui sont en charge d'appliquer les règles, les autorités, et ceux qui sont sensibilisés, les entreprises ou les particuliers qui importent.
Guillaume Jahan : Juste pour vous donner un chiffre, la CNTL, Commission Nationale d'Informatique et Libertés, c'est vrai qu'aujourd'hui elle a pris beaucoup de pouvoir en terme d'image et dans le public, mais aussi elle a de plus en plus de moyens, mais elle assez lucide sur son rôle, puisqu'il n'y a pas si longtemps que ça, elle avait produit une espèce de sondage anonyme auprès d’entreprises. On constatait que 85 % d’entre elles n'appliquent pas la Loi Informatique et Libertés et ne savent même pas qu'elles ont des déclarations à faire. Ça donne la mesure de la réalité des choses. Effectivement les autorités existent, mais dans les faits, ce n'est pas parce qu'il y a une loi que tout devient parfait et qu'on est chez les Bisounours.
1 h 26' 56[modifier]
Mme R. : Je passe la parole. Il y a peut-être un progrès, dans la future action collective. On est ciblé ??? et que ça, par exemple ce type de dommage collectif n'ait pas été compris, parce que là, à mon avis, ça peut donner un petit plus.
Romain Perray : C'est vrai que ça aurait été beaucoup plus rentable pour nous autres avocats, en tout cas.
Mme R. : Il y a les associations de consommateurs.
Romain Perray : Oui, mais bon on peut les défendre. Je n'ai pas lu les contrats de Numergy pour déterminer éventuellement s'ils sont équilibrés ou pas équilibrés, je ne me prononcerai pas en tout cas à ce sujet. La seule chose c'est que pour les quelques contrats que je vois, à l'exception de mes clients bien sûr, évidemment c'est une catastrophe. C'est-à-dire que les responsables de traitements déjà n'ont pas forcément conscience qu'ils sont responsables de traitements puisque comme Guillaume vient de le dire 85 % de la loi Informatique et Libertés n'est pas respectée, ce qui laisse aussi une marge de manœuvre considérable à nos étudiants, surtout avec la proposition de règlement européen. Mais surtout c'est que c'est la notion et la relation de sous-traitance qui pose une véritable difficulté et heureusement la loi Informatique et Libertés à la différence de la directive 95 46 prévoit cette obligation, pour un responsable de traitement, d'organiser contractuellement ses relations avec son sous-traitant en termes de sécurité et de confidentialité. La difficulté, et je pense que même si la loi ne se prononce pas sur les sous-traitants ultérieurs, elle a quand même vocation, puisqu'en fait le contactant en particulier sous-traitant doit lui-même se garantir, et il s'agit à mon sens ensuite, de transposer l'obligation légale qui pèse sur le responsable de traitement puis sur le sous-traitent, de la faire basculer ensuite dans les relations de sous-traitance. La seule chose c'est que la proposition de règlement européen effectivement apporte des clarifications et évite, en tout cas tente d'éviter, que justement cette responsabilité soit autant diluée.
Après aujourd'hui il est certain que cette relation, enfin cette responsabilité des sous-traitants, pose un problème parce qu'à mon avis ils exploitent la manière dont la loi est rédigée, puisqu'ils ne doivent intervenir que sur instruction du responsable de traitements. Donc s'ils ne prévoient pas de disposition, eh bien ils sont tranquilles, puisqu'en réalité tout re-basculera sur le responsable de traitement et ça leur permet, évidemment, d'échapper à leurs obligations. C'est la seule chose que je voulais ajouter.
Jérémie Zimmerman : Je n'ai rien à ajouter sinon qu'il va falloir forcément que je réponde à Cédric. Je vais utiliser le temps de réponse à cette question pour essayer de faire ça rapidement. Sérieusement, malgré moi je fais du droit. Je suis amateur, je n'ai presque pas de diplômes en la matière mais je ne crois pas pour autant que le droit seul va nous sauver et je continue de penser que, quel que soit le contrat et quelles que soient ces clauses que vous allez accepter, si vous ne comprenez pas les réalités qu'il y a derrière, vous me pouvez pas faire un choix éclairé.
Et donc quand Cédric je t’entends dire « Mais tout le monde n'a pas tes compétence, les gens ne peuvent pas, etc », Tu va m'en vouloir à mort, mais l'image qui m'est venue à l'esprit, c'est au moment de la décolonisation, cet argument qui disait « Non, non, ces pays, de toute façon, ne peuvent pas avoir leur autonomie, ils n'en sont pas capables » . Tu vois ! J'ai cette impression-là et en même temps m'est revenu un souvenir de la cour de récré en 95 quand j'avais un ordinateur et une connexion à internet et que je montrais ça à mes potes qui « Ouah, c'est super ton truc, mais ça a l'air tellement compliqué ». C'est un truc de merde qui n’intéressera toujours que quelques geeks binoclards et les mêmes cinq ans après étaient tous connectés à internet.
Ce dont on est en train de discuter ici, ce sont des choix politiques qui sont des choix de société et qui peuvent durablement influencer notre rapport à la technologie et influencer le marché de ces entreprises. Ce règlement il va peser pendant vingt ans et donc il va forcément durablement influencer le marché. Ce qui est important véritablement c'est cette potentialité de compréhension de la technologie. Je t'assure Cédric que tu saurais apprendre à déployer un serveur de messagerie en environ une demi-journée et je compte large. C'est vraiment facile. Toutes ces technologies.-là existent pour être auto apprises. Je ne dis pas que tu dois le faire à tout prix. Je ne dis pas que ta vas le faire. Si tu souhaites apprendre, je serai ravi de t'aider. Juste le fait que tu aies ce choix-là, que tu puisses en être conscient et te dire ben oui si Gmail m'emmerde, je peux très bien faire mon serveur de messagerie moi-même. C'est quelque chose qui est libérateur. Évidemment, je ne suis pas en train de dire que tout le monde doit développer son serveur de messagerie chez soi, encore que, ce serait la façon de véritablement décentraliser internet, nos communications et nos données qui serait en conformité avec l'esprit de ce qu'est le réseau. Tu peut très bien faire confiance au service informatique de ton entreprise, de ta fac, à une bande de potes dont le geek de service va déployer le serveur et en mutualisant les moyens, ça va te coûter peut-être cinquante centimes par mois et par personne et se dire qu'avoir le contrôle absolu sur ses données ça vaut bien ça, c'est un choix qui n'est pas complètement débile. Et véritablement je crois fondamentalement en cette intelligence collective.
Je n'ai pas dit que le consentement explicite était l'alfa, l'oméga, était la solution absolue. Ce que je pense c'est que si cette disposition est votée dans le droit européen, juste la possibilité de retirer son consentement à tel ou tel élément du contrat, stimulera peut-être le débat public nécessaire à ce que la connaissance se partage et que sur les bancs de la fac ou ailleurs on se dise : « Dis-donc tu as accepté toiles données de géolocalisation machin ? Moi ça me semble un petit peu bizarre ! » Et on a vu déjà des débats publics sur des questions au moins aussi complexes que ça sur l'HADOPI, sur l'ACTA, sur la neutralité du net au Pays-Bas et en Allemagne et c'est en train un petit peu de venir en France.
Donc je fais confiance à cette intelligence collective parce que sinon c'est renoncer st c'est laisser les Google, etc, de ce monde, devenir les nouveaux colonisateurs de vos vies, de nos données. L'Europe a, entre les mains, moyen de faire émerger les conditions d'un marché des services internet basé sur la confiance. De nombreuses montrent qu'il y a environ 30 % des utilisateurs qui font confiance aux services en ligne. Donc dire toc, voici le label Union européenne. Notre service qui s'appelle Numerschtroumf ou autre chose il est en Union européenne donc il vous garantit que vous aurez le consentement explicite, la limitation des finalités, notification de fuites de données, possibilité de retirer vos données, dans un format, etc. mais les utilisateurs vont se ruer, les entreprises vont fleurir. Ça va devenir une nouvelle norme sociale, et les US auront l'air d'une bande de crétins, de cow-boys qui tirent des flingues en l'air. C'est le choix politique qu'il faut faire aujourd'hui plutôt que renoncer j'en suis convaincu.
Romain Perray : Je ne renonce pas. Pour préciser mon propos, je suis un peu entre Jérémy et Cédric pour faire simple. Je crois que Jérémy a complètement raison de considérer que chacun, le citoyen, de toute façon c'est une conception extrêmement républicaine et je pense qui est partagée par beaucoup, qu'évidemment le citoyen a vocation à être en pleine possession, plein pouvoir de ses capacités pour décider. Malheureusement la pratique veut que déjà tout le monde ne s'y intéresse pas . Il y a des gens qui s'en moquent complètement et puis il y aussi les difficultés et pour le coup, même si la réglementation, la proposition de règlement, a vocation à assurer une protection renforcée, a justement envisagé sur certains aspects et indépendamment des discussions à venir et de sa modification où la personne concernée et d'ailleurs la définition de données à caractère personnel a été basculée dans la notion de personne concernée, c'est-à-dire qu'on vient bien de la placer au centre de la réglementation.
Après il y a une difficulté et pour ceux qui lisent la proposition de règlement et qui travaillent dessus, elle est extrêmement difficile à lire et parfois incompréhensible, à tel point qu'il y a évidemment un certain nombre d'incohérence. C'est pour ça que même si ce but est souhaitable et que le consentement est peut-être un moyen de renforcer cet aspect-là, je reste tout de même convaincu, mais c'est une position extrêmement européenne, continentale, dans le sens de la tradition juridique continentale, que la réglementation doit protéger aussi, et ajouter un certain nombre d'autres éléments, d'autres principes qui viennent réguler cet aspect-là, parce que même si le consentement est évidemment important, je crains qu'il ne puisse pas toujours permettre à tout le monde de pouvoir choisir totalement, en tout cas librement et de manière éclairée les décisions qui le concernent dans le cas d'utilisation d'un service de Cloud Computing.
Mme R. : On va remercier nos intervenants qui ont supporté les moqueries, les attaques personnelles, les vilenies dans la joie et la bonne humeur. Merci beaucoup à vous tous. Merci à la promotion qui a préparé cette conférence et qui va nous permettre tous ensemble ??? et pour certains de continuer la discussion parce que ça ne va pas s’arrêter là évidemment.
Applaudissements