La Commission souhaiterait accroître la responsabilité des fournisseurs de services sur le nuage dans le cadre de la future stratégie sur le cloud computing qui devrait être présentée l'an prochain.
Les contrôles et les clauses de responsabilité sont deux pistes envisagées par l'UE pour harmoniser les 27 régimes juridiques nationaux qui entravent le développement du nuage, selon des sources de la Commission.
Les services de cloud computing, comme l’iCloud d’Apple, Windows Live de Microsoft ou Dropbox, permettent aux utilisateurs de stocker de la musique, des photos ou d'autres documents numériques dans des centres de données. Les entreprises peuvent quant à elle externaliser toutes leurs opérations en utilisant des plateformes et des infrastructures dans le fameux nuage.
En Europe, les entreprises fournissant des services de cloud computing doivent se conformer à des accords relatifs à la sphère de sécurité qui comprennent sept principes, dont la sécurité, l'accès de l'utilisateur aux données et l'exactitude. Actuellement, quelque 2500 entreprises américaines respectent ces règles.
Toutefois, la plus grande part des entreprises en Europe considèrent toujours la sécurité des données comme l'un des plus grands obstacles à l'adoption du nuage. L'UE reconnaît d'ailleurs aujourd'hui que cette sphère de sécurité n'est pas suffisante pour apaiser les craintes exprimées.
« Dans le cadre de l'accord sur la sphère de sécurité, les organisations américaines certifient elles-mêmes adhérer à ces sept principes. Elles jouissent dès lors d'un certain statut et apparaissent sur une liste. Reste à savoir si ce système est suffisamment strict ou s'il va assez loin pour couvrir les données personnelles des citoyens de l'UE qui se déplacent dans le nuage », a expliqué une source de la Commission.
« Les contrôles envisagés concernent non seulement les pertes de données, mais aussi la qualité ou l'absence de services », a précisé cette source à EurActiv, augurant du genre de mesures que la Commission envisage de mettre en oeuvre pour que les fournisseurs soient davantage responsables face à leurs utilisateurs.
Mais des questions restent sur la table. « Est-ce que cela [la sphère de sécurité] signifie, par exemple, que le personnel administratif qui a accès à vos données doit avoir été contrôlé ? Ou est-ce que cela dépasserait les limites du raisonnable ? », se demande un fonctionnaire de l'UE.
« Lorsque vous placez vos données quelque part, en réalité, vous placez vos actifs financiers dans un centre de données. Qu'arrive-t-il à vos actifs si votre fournisseur de services de cloud computing fait faillite ? », a ajouté Ryan Heath, un porte-parole de la Commission européenne.
Les entreprises nient leur responsabilité pour les données perdues
Un rapport sur le secteur du cloud computing, rédigé par trois universitaires de la Queen Mary University de Londres, dépeint les modalités de services pour les fournisseurs de services dans le nuage de manière assez négative.
Ce rapport conclut que les entreprises américaines en particulier ont tendance à inclure des avertissements dans leurs conditions les protégeant contre une grande part de responsabilité pour la perte éventuelle de données, entre autres.
Le fournisseur américain GoGrid, par exemple, affiche les avertissements suivants : « GoGrid ne garantit pas que le Service sera ininterrompu, ne comportera pas d'erreur, de virus ou d'autres éléments néfastes. Le Service est fourni sans garanties quant à la sécurité, la fiabilité, la protection contre les attaques, l'intégrité des données ou la disponibilité des données. »
« Le Service est fourni « en l’état » et en fonction des disponibilités », peut-on lire dans le rapport de la Queen Mary University citant cet avertissement.
Des coûts supplémentaires
Même si le secteur admet que des contrôles sont nécessaires pour instaurer une certaine confiance et encourager les utilisateurs à avoir recours à ces services, certains estiment que de nouveaux contrôles pourraient entraîner des coûts supplémentaires pour une technologie qui dépend justement de son caractère bon marché pour attirer les clients.
De nouvelles exigences en matière de contrôles génèreraient des dépenses qui pourraient être payées par le consommateur, a expliqué une source du secteur, insistant sur le fait qu'ils n'étaient pas contre l'idée des contrôles.
Contrôler le nuage pourrait se révéler difficile, dans la mesure où l'argument de vente pour ces services réside dans le fait de disposer de multiples copies réparties dans différents centres de données dans différentes parties du monde, selon cette source.
« Le nuage dépend de la création d'économies d'échelle sans intervention humaine. »
