Le « Cloud Computing » est un concept plus technique que juridique, et peut-être aussi plus commercial que technique. En principe, le Cloud désigne une infrastructure virtuelle mutualisée, accessible « partout et à tout moment », et payée à la consommation.

media_file_157

Il se caractérise, pour le client utilisateur, par le fait de déporter vers des serveurs distants les données et applications traditionnellement stockées sur ses serveurs locaux. On parle alors « d’informatique dans les nuages » pour symboliser le fait que les données utilisées et les logiciels de traitement ne sont plus physiquement hébergés au sein de l’entreprise, mais répartis sur des serveurs distants et utilisés via une connexion internet.

Pourtant, les données ne sont évidemment pas vaporisées dans le ciel : à toute donnée correspond un disque dur quelque part. L’entreprise cliente, dont le DSI connaît bien l’ensemble des problèmes liés aux infrastructures informatiques (maintenance technique, protection des fichiers de l’entreprise, dispositifs anti-intrusion), doit donc comprendre que ces problèmes ne sont pas effacés comme par magie : ils sont juste déplacés dans l’espace. De ce fait, les précautions internes du DSI doivent devenir des stipulations contractuelles à la charge du prestataire (ou « Cloud Provider »).

1. Qu’est-ce que le « Cloud Computing » ?

Il importe d’abord de rappeler qu’il n’y a pas ici de révolution technologique : la notion de « serveur distant » existe depuis longtemps, puisque l’internet lui-même est conçu dans son ensemble comme un maillage de points nodaux communiquant entre eux (lien client-serveur).

De même, la notion d’utilisation distante d’un logiciel n’est pas neuve, comme le prouve le modèle « ASP » (« application service provider ») qui a connu son apogée dans les années 90 avec de grands mouvements d’externalisation (« outsourcing ») proposés par des prestataires spécialisés dans l’administration d’environnements informatiques. Le Cloud n’est que la généralisation du principe d’externalisation.

Plus précisément, le Cloud est en réalité une approche de l’informatique fondée sur la virtualisation, qui remplace l’équipement local par l’interconnexion de postes et serveurs distants dialoguant via le protocole internet. Il s’agit avant tout d’une « formule » proposée aux entreprises qui souhaitent comprimer leurs coûts informatiques et/ou consommer un service en ligne plutôt que commander un logiciel ou une solution hardware / software à un intégrateur. De surcroît, en passant par internet pour utiliser ses logiciels, l’entreprise n’expose plus les coûts parfois élevés d’infogérance, puisqu’elle s’appuie désormais sur un réseau non dédié et préexistant.

Ainsi, au crédit du Cloud Computing viennent sa grande flexibilité et son authentique « légèreté » d’exploitation : une infrastructure de production ou un progiciel de gestion intégrée, dématérialisés, permettent à l’entreprise de faire de substantielles économies au moment de lancer son projet : l’investissement hardware est considérablement réduit voire supprimé, les coûts de déploiement sont inexistants et s’analysent plutôt en modalités de paramétrage. De même, plus besoin de maintenance ou de télémaintenance : l’infrastructure est chez le prestataire, qui fait son affaire de la maintenir en condition opérationnelle.

A la place, l’entreprise passe commande d’un service en ligne, qui fournit à distance l’énergie informatique, les fonctionnalités logicielles, l’espace de stockage, et doit répondre à des niveaux de service. Il va sans dire que le coût de la maintenance informatique dont on fait l’économie en n’installant ni serveur ni logiciel se retrouve sous une certaine forme dans le prix du service, puisque les données et logiciels étant bien hébergés quelque part, il y a nécessairement une maintenance technique à payer.

Mais affirmer cela, c’est n’avoir encore rien dit sur la localisation des données et des applicatifs. « L’informatique dans les nuages » s’appuie sur des serveurs le plus souvent mutualisés, qui sont soit centralisés à de grandes distances (comme les serveurs de Google qui abritent l’ensemble de ses services) ou disséminés sur une nuée de datacenters dans le monde. Le « vrai » Cloud s’appuie d’ailleurs en principe sur un grand nombre de serveurs disséminés, puisque c’est cette dissémination qui caractérise l’aspect « dématérialisé ».

Dans un tel dispositif, les ressources informatiques sont donc mutualisées, le client économise les frais d’infrastructure et paie l’utilisation des logiciels auxquels il accède dans le cadre d’un service via un simple navigateur web. On peut utilement comparer ce modèle avec la VOD ou le streaming, qui permettent à distance de bénéficier d’un service (ici, l’accès à une œuvre) sans reproduction locale de l’œuvre et grâce à une infrastructure technique dans laquelle l’utilisateur n’a aucun rôle.

En conséquence, l’offre Cloud s’est étoffée à mesure que les grands acteurs informatiques se sont appuyés sur leurs colossales infrastructures pour proposer trois types de services :

•    Le IaaSInfrastructure as a service »), désigne l’offre d’hébergement distant et de stockage, qui revient en dernière analyse à louer une infrastructure de stockage et réseau qui fonctionnent au sein d’une machine virtuelle chez le prestataire ;

•    Le PaaS Platform as a service »), désigne la mise à disposition à distance d’un environnement informatique à vocation plus technique qu’applicative, et prêt à l’emploi (environnement de test ou de développement d’applications à personnaliser) (ex : Google AppEngine ou Windows Azure) ;

•    Le SaaSSoftware as a service »), enfin, désigne l’offre permettant d’utiliser à distance un progiciel en ligne (ex : CRM Salesforce), qui est l’héritier direct de l’ASP. Le client ne paie plus des « droits d’utilisation » dans le cadre d’une licence, mais paie la consommation d’un service (qui inclut en réalité le droit d’utilisation, mais qui est facturé comme un abonnement ou à proportion de la consommation réelle).

Les grands acteurs de l’informatique et de la communication, qui disposaient des moyens techniques et financiers pour développer des offres de services « dématérialisés » ont proposé du Cloud dans des domaines de plus en plus variés : d’abord les messageries personnelle et professionnelle, puis les outils collaboratifs, puis le CRM et la Business Intelligence.

Aujourd’hui, les offres Cloud explosent, pour tous types d’utilisation, selon les trois axes identifiés ci-avant. Le Cloud convient aussi très bien aux applications les plus énergivores (modélisateurs 3D, CAO, supercalculs) qu’une entreprise ne peut financer elle-même. A n’en pas douter, le Cloud constitue donc un vrai progrès de l’informatique industrielle, et allège les coûts de nombreuses activités lourdes.

Mais est-ce une tendance de fond ou un effet de mode ? S’il ne peut s’agir d’une révolution technologique comme le fut le réseau internet, en revanche le Cloud constitue l’utilisation d’internet à plein rendement par les industries de l’informatique.

Les cabinets d’étude américains estiment qu’en 2010, l’informatique en Cloud a généré un chiffre d’affaires mondial de 37,8 milliards de dollars, contre seulement 7 milliards l’année précédente . Cette progression est principalement due à la conversion des marchés logiciels aux offres SaaS (73% des revenus). Cette tendance devrait se confirmer, dans la mesure où les projets Cloud permettent souvent des économies bienvenues en période de crise économique internationale.

En France, le marché du Cloud a augmenté de 25% entre 2008 et 2010 pour atteindre 1,86 milliards d’euros. Le succès des offres labellisées Cloud (5% des investissements informatiques mondiaux en 2009, ratio censé doubler à l’aube de 2013), implique de se pencher sur les problématiques juridiques associées, afin sans doute d’écarter certains faux procès faits au Cloud Computing, et d’identifier aussi ses véritables enjeux et éventuels dangers.

Car si les Cloud Providers sont prompts à décrire les nombreux avantages du Cloud, les entreprises clientes doivent conserver un recul critique et se poser les bonnes questions.

2. Impacts économique et juridique du Cloud Computing

Soyons clairs : il s’agit ici de nouvelles modalités de commercialisation de prestations informatiques, qui confirment un peu plus la dématérialisation et l’interconnexion croissantes des activités économiques. Le Cloud, qui vante la souplesse et la liberté apportées aux entreprises utilisatrices, donne une nouvelle physionomie aux systèmes d’information des entreprises, mais il n’est pas exempt de critiques.

D’un point de vue économique, les modèles de distribution se modifient. Il ne s’agit pas de l’ouverture d’un nouveau marché, mais de migrations progressives d’anciens canaux de commercialisation vers un modèle virtualisé. Le service est souvent facturé « à la consommation », la maintenance corrective et évolutive est intégrée au modèle locatif. Le basculement vers « l’âge de l’accès » prophétisé par Jeremy Rifkin se confirme pleinement, et le Cloud Computing séduit de plus en plus de DSI.

D’un point de vue comptable, on passe donc d’un budget d’équipement à un budget de fonctionnement : les dépenses consacrées à une solution Cloud ne sont plus considérées comme des immobilisations, mais comme des charges de fonctionnement.

D’un point de vue juridique, on passe de contrats de licence ou d’intégration à des contrats de services, ce qui entraîne un certain nombre de révisions conceptuelles et une nouvelle accentuation des différentes clauses du contrat. En effet, le passage d’un contrat d’équipement à un contrat de service se traduit d’abord concrètement par un changement de l’échelle temporelle : l’engagement qui porte sur un service est le plus souvent renouvelable, à durée indéterminée, à l’instar du service téléphonique.

Là où le contrat d’intégration se rapproche du contrat de vente, puisqu’il porte sur un ensemble hardware / software dont l’entreprise fait l’acquisition… le contrat de service se rapproche donc plutôt de la location.

Dès lors, il n’y a plus de livrable à recetter, et la recette d’un service est plus théorique que concrète. On peut penser que la notion de « conformité » du produit sera peu à peu remplacée par la seule notion de « performance » du service. Alors que, traditionnellement, un intégrateur doit livrer des produits conformes aux spécifications convenues, un prestataire Cloud propose un service (éventuellement personnalisé) et s’engage sur le respect des niveaux de service. En passant d’un modèle « installé » à un modèle « virtualisé », le client doit comprendre qu’il n’est plus vraiment en mesure de réclamer que le logiciel livré soit conforme à ses besoins, mais uniquement de s’assurer en amont que son besoin sera effectivement comblé par le service disponible.

Par ailleurs, il est très important de souligner qu’en passant à un contrat de services, le client se trouve le plus souvent confronté à un contrat d’adhésion (les fameuses « conditions générales du service » ou « Term of Use ») qu’il ne peut pratiquement jamais négocier. Certes, les licences progicielles classiques, souvent constituées de Term of Use à accepter d’un clic, sont aussi des contrats d’adhésion. En revanche, les contrats d’intégration et déploiement sont habituellement l’objet d’âpres négociations, notamment sur les conditions de recette et sur les niveaux de service.

Or, cette marge de négociation est particulièrement importante en matière de Cloud Computing, car comme l’entreprise cliente perd le contrôle matériel sur son système d’information (SI), elle doit d’autant plus s’assurer de son contrôle juridique sur le Cloud Provider.

Ainsi, si le succès du Cloud Computing traduit l’évolution générale d’une société qui abandonne peu à peu la notion de « détention » pour lui préférer celle « d’accès », les utilisateurs ne doivent pas pour autant perdre les sécurités dont ils s’entouraient précédemment, en particulier sur le plan juridique. Car outre la différence notable dans l’équilibre entre les cocontractants, le Cloud renouvelle les problématiques juridiques liées aux contrats informatiques, et pousse le juriste à réviser ses habitudes rédactionnelles.

Le juriste doit en effet comprendre qu’un service Cloud (ex : SaaS) mêle des droits d’utilisation (licence), une prestation d’hébergement, et des actions de maintenance voire d’infogérance. L’objet de droit n’est plus le logiciel en tant que tel, mais un service dématérialisé qui mêle objet incorporel (un progiciel, une architecture virtuelle) et des services associés (maintenance, hébergement, monitoring, traitements d’exploitation). Une fois ce changement de concept entériné, les priorités du rédacteur doivent évoluer, et le client doit impérativement obtenir un certain nombre de garanties s’agissant tout particulièrement de la sécurité des données et outils dont il perd, par définition, l’exclusivité du contrôle.

(à suivre)