Si le recours à certains services en ligne peut paraître aisé, il faut s'assurer de pouvoir à tout moment, comme dans n'importe quelle externalisation, récupérer ses données. Le cas MegaUpload est symptomatique : des données tout à fait légales sont devenues inaccessibles suite à la fermeture brutale du service par décision de justice. Celle-ci ne s'est pas préoccupée de séparer le bon grain de l'ivraie. Un cas similaire peut très bien se reproduire avec d'autres services.

Les risques de l'infobésité et de la non-reversabilité

Les services de cloud computing ont également axé leur marketing sur la facilité à accroître les capacités informatiques, notamment de stockage. Et, de fait, les utilisateurs n'hésitent plus à stocker des données sans veiller à effacer des données anciennes. Outre le coût marginal que cette infobésité provoque (le stockage est tout de même facturé), il peut y avoir des données à effacement obligatoire au bout d'un certain temps qui ne sont plus effectivement effacées, notamment en lien avec les autorisations de la CNIL souvent sévères en matière de limitation des délais de conservation.

De même, l'infobésité peut être dangereuse pour l'entreprise subissant un contrôle des autorités. Il pourrait en effet traîner quelques informations pouvant intéresser le fisc ou une autorité de contrôle quelconque. Si le droit de garder le silence est effectif en garde à vue, un espace de stockage l'ignore et parle à la moindre requête, au grand regret des avocats de la défense.

Les acteurs devant acheter selon les règles des marchés publics (administrations, collectivités, établissements publics...) affrontent un risque juridique supplémentaire. En effet, la loi exige une remise en concurrence régulière alors que la réversibilité d'un cloud computing mal géré est loin d'être assurée. Et la mise en place d'un cloud privé ou communautaire se heurte à des difficultés sur la nature du contrat.

La négociation impossible



Isabelle Renard a également pointé une grande différence entre les externalisations classiques et le cloud : « le cloud computing relève de contrats d'adhésions, c'est à dire que l'on ne peut que signer en l'état, sans négociation. » Cela n'est pas liée à une mauvaise volonté ou un rapport de force entre le fournisseur et le client mais est lié intrinsèquement à la nature de « service industriel » du cloud. Or des clauses assez standards des contrats d'externalisation sont généralement absentes des contrats de cloud computing : mesure des niveaux de service, engagements de niveaux de service avec pénalités, capacité d'audit...


Et même si le contrat pouvait être négocié, un litige pourrait s'engluer rapidement. « On se demande parfois si un contrat n'est pas fait pour être violé » dénonce Isabelle Renard. Ainsi, les contrats sont signés avec des entreprises étrangères, avec des clauses de compétence attribuant un litige à un tribunal lointain, rendant toute procédure judiciaire illusoire. Malgré tout, il reste parfois possible de négocier des clauses non-techniques, notamment celles autour de la responsabilité civile ou de la compétence territoriale des tribunaux. « Les arrêts Chronopost ou Faurecia/Oracle ont cependant validé les clauses limitatives de responsabilité incluses dans les contrats des fournisseurs informatiques » rappelle Isabelle Renard.