Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Cloud : la perte totale des données est possible. La preuve par 2e2 et megauplaod.

Publié le par

L’affaire 2e2 a violemment secoué le secteur informatique anglais. Du jour au lendemain, de très grosses sociétés se sont trouvées privées de leurs données en raison de la faillite du prestataire cloud. Elles ont eu le choix entre payer des sommes importantes pour récupérer leurs données, ou acheter une tonne de Kleenex pour pleurer. Analyse d’un risque insuffisamment pris en compte dans les projets de cloud.

On l’a déjà dit et on ne le répétera jamais assez : basculer son infrastructure informatique en mode cloud n’est pas un acte anodin.

Il y a évidemment les aspects économiques de la décision. Les économies escomptées à court terme sont-elles réellement des économies si on les compare aux coûts récurrents qu’implique cette architecture ? L’exercice doit être réalisé au cas par cas, car la réponse qu’apportera mon voisin n’est pas nécessairement la même que la mienne.

Il y a évidemment aussi les aspects juridiques, liés notamment à la protection des données à caractère personnel. Ce point a déjà fait l’objet de nombreuses études auxquelles nous renvoyons.

Il y a également l’aspect « risque » à prendre en compte, et c’est sur ce point que nous voudrions attirer l’attention aujourd’hui. En effet, le cloud implique une perte de contrôle sur la localisation des données, mais aussi sur les données elles-mêmes. Cette perte de contrôle n’est pas toujours totale, mais on comprend bien que la société qui héberge sur ses propres serveurs l’ensemble de ses données et les sauvegarde régulièrement, exerce un contrôle plus proche sur celles-ci que son concurrent qui bascule en mode cloud.

Et si je perdais toutes mes données ?

La perte totale des données d’une entreprise est le cauchemar de l’équipe IT et, au-delà, de l’ensemble des utilisateurs.

On cite traditionnellement le risque de vol, de destruction du serveur, d’incendie, de problème technique, etc. Contre ces risques, on recommande généralement une sauvegarde régulière et bien conçue, c’est-à-dire notamment une copie des données conservée en dehors de l’entreprise et dont on vérifie régulièrement non seulement l’intégrité mais aussi l’efficacité (puis-je effectivement réinjecter mes données dans le système et les utiliser à partir de cette copie ?).

Dans l’architecture cloud, le risque principal est lié à la pérennité du fournisseur. Si celui-ci vient à disparaître, peu importe le motif, que vont devenir mes données ?

Le calvaire des clients 2e2

Au Royaume-Uni, 2e2 faisait partie des plus gros fournisseurs de services IT outsourcés et de cloud.

Le mois passé, la société s’est retrouvée en cessation de paiement.

Le liquidateur a pris les mesures habituelles dans ce genre de situation, mais les clients ont souffert.

Il y a d’une part tous les clients dont une partie des services IT étaient outsourcés à 2e2. Les consultants de la société en faillite, qui n’étaient plus payés par leur employeur, ont cessé de travailler chez le client final. Le client final s’est donc retrouvé du jour au lendemain sans informaticien. Certains ont pu trouver une solution de remplacement via des contrats intérimaires, en engageant eux-mêmes leurs consultants habituels, ou en s’arrangeant pour qu’ils soient engagés par un prestataire concurrent.

Mais il y a pire.

En effet, les clients finaux dont les données étaient hébergées en cloud on reçu un courrier assez clair le 7 février, leur signalant que les serveurs allaient être éteints et qu’ils perdraient leurs données saufs s’ils payaient un supplément qui pouvait aller de 5.000 € à presque 50.000 €.

On imagine que les plus gros clients ont cédé la mort dans l’âme à ce racket, se disant que tout ceci était finalement un moindre mal par rapport au risque de perte pure et simple des données.

L’affaire a fait grand bruit dans le pays, car 2e2 avait parmi ses clients de très grosses sociétés, ou des institutions publiques. Finalement, les choses sont plus ou moins rentrées dans l’ordre puisque le géant des télécoms O2 a repris l’intégralité du personnel 2e2 travaillant pour lui. Quant à l’activité de data center, elle a été reprise aussi par un nouvel investisseur qui assure donc la pérennité des activités.

Mais cette affaire a surtout mis en lumière l’aspect « risques » des projets d’outsourcing et de cloud.

Le précédent méga

Ce n’est pas la première fois que ce type d’incident survient. Il y a notamment le précédent mega upload, du nom de ce site extrêmement controversé qui a été arrêté manu militari par les autorités américaines.

Mega faisait notamment appel à des sous-traitants (Carpathia et Cogent) qui, n’étant plus payés suite à l’arrêt du site de mega, n’avaient plus de raison de maintenir connectés des serveurs très coûteux.

Il a fallu de nombreuses interventions des avocats de mega, et une mobilisation générale des utilisateurs légitimes pour sensibiliser le public, les médias et les décideurs sur leur sort peu enviable.

Nous signalions à l’époque que par un curieux effet de ricochet, l’affaire mega pourrait poser un problème majeur au cloud. En effet, cette affaire démontre que tout service fondé sur ce modèle peut aisément être de facto arrêté d’une seconde à l’autre (surtout s’il implique des fournisseurs américains) et que la pérénité des données n’est pas toujours assurée. Or, tant la continuité du service que la sécurité et la disponibilité des données sont les principales craintes des utilisateurs du cloud.

La gestion du risque

Face à cette situation, il n’y a pas de solution miracle.

Du côté des équipes techniques, il faut toutefois prendre en compte ce risque et s’assurer que malgré le cloud, l’entreprise dispose régulièrement d’une sauvegarde complète, intègre et exploitable des données.

Du côté des équipes juridiques, il faut intégrer ce point sur la checklist des négociations.

Plus que jamais, le recours au cloud doit être associé à une clause de réversibilité qui permet, à chaque instant, de disposer des outils techniques et juridiques pour revenir en arrière et reprendre la main sur les données.

 

Droit & Technologies

Publié dans

Thèmes
Tags #

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK