Le cloud computing, une nouvelle ère pour la douane et le commerce ?
mercredi 6 avril 2011
Le « cloud computing » pourrait provoquer une vraie révolution dans le secteur informatique. Pour beaucoup d’acteurs, il implique un changement complet de modèle économique. Jusqu’à présent, c’est la vente - de logiciels et de matériel - qui prévalait. Avec cette technique, c’est la location qui s’impose. Des positions concurrentielles pourraient dès lors être remises en cause. Pour autant, cette nouvelle technique préfigure t-elle une nouvelle ère pour la douane et le commerce ?
Le « cloud computing », littéralement « l’informatique dans les nuages », est une notion apparue assez récemment, mais dont les prémices remontent à quelques années, notamment à la technologie des grilles de calcul, utilisée pour l’évaluation scientifique .
Rupture technologique ou simple effet de mode ?
En tout état de cause, le « cloud computing » n’est plus un concept brumeux, il a déjà connu ses premières applications.
La solution « cloud » propose de mutualiser les systèmes de traitement et de stockage, afin de répondre à tous les besoins informatiques sous forme de services. C’est un ensemble de prestations informatiques, accessibles via Internet, qui peuvent aller du simple stockage de données jusqu’à l’externalisation de pans entiers de l’infrastructure informatique.
Plus précisément, il peut être défini comme le « mode de traitement des données d’un client, dont l’exploitation s’effectue par l’Internet, sous la forme de services fournis par un prestataire.
L’informatique en nuage est une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients . »
Pour les entreprises, le « cloud computing » consiste à externaliser les ressources numériques qu’elles stockent. Ces ressources - serveurs offrant des capacités de calcul, du stockage, logiciels de messagerie électronique, de paie - sont mises à disposition par des sociétés tierces et accessibles, grâce à un système d’identification, via un ordinateur et une connexion à Internet.
En simplifiant, il s’agit d’externaliser complètement son informatique. La puissance de calcul, les capacités de stockage et les applications sont proposées sous forme de « services », généralement en location. Les serveurs et les unités de stockage se trouvent « quelque part » dans le monde, peu importe le lieu. L’utilisateur n’a plus à s’en préoccuper, à condition d’avoir pleinement confiance en son prestataire.
Il ressort de ces acceptions que la technique du « cloud computing » nécessite trois conditions cumulatives : Internet, une externalisation et une incertitude quant à l’emplacement et au fonctionnement du service.
Par ailleurs, il existe des « cloud computing » publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet, sur une base d’utilisation sans abonnement. Il y a aussi des « cloud » privés dont l’accès peut être limité à une seule entreprise ou à une partie de celle-ci.
En définitive, la seule spécificité du « cloud computing » est constituée par l’incertitude quant à l’emplacement et au fonctionnement du nuage.
L’apparente facilité de cette offre en explique le développement pour les particuliers (messagerie électronique, stockage de photos, etc.) et les entreprises (applications, logiciels professionnels, archivage de données...).
Compte tenu des avantages certains liés à cette technique, sa mise en oeuvre par le service des douanes contribuerait à une amélioration notable du traitement des échanges commerciaux.
Cependant, la concentration de données dans le « nuage » pourrait générer de nouveaux risques, notamment pour la Douane et les opérateurs économiques.
Une amélioration du traitement douanier et des échanges commerciaux
Le « cloud computing » est basé sur une offre de service dynamique et modulable qui elle-même, repose sur le fait que l’information est stockée et accessible dans n’importe quel point du nuage et non nécessairement sur un serveur parfaitement identifié. Par conséquent, à la différence des solutions précédentes d’externalisation, le « cloud » induit une dispersion de l’information.
Le recours à cette technique pourrait permettre de renforcer l’interopérabilité entre la Douane et ses partenaires et contribuer à la rationalisation du contrôle.
Le renforcement de l’interopérabilité entre la Douane et ses partenaires
Le dédouanement repose, dans les administrations des douanes modernes, sur un réseau informatique qui assure l’essentiel des opérations d’amont en aval. Ce réseau assure, dans certains pays, une connexion des différents acteurs qui interviennent dans le processus de dédouanement.
Avec le « cloud », les applications n’ont plus besoin d’être déployées sur chaque poste utilisateur. La mise à jour des applications se fait en un seul endroit. Les administrations des douanes ne sont plus, désormais, dans l’obligation de disposer d’une capacité importante de stockage en interne. Les applications et les données sont stockées sur des serveurs extérieurs.
Les applications et les données sont disponibles sur l’Internet donc, pouvant être « attaquées » à partir de n’importe quel périphérique (ordinateur portable, smartphone...).
L’accès aux mêmes informations par tous les acteurs du commerce extérieur, à partir de la même application et en temps réel, permet une nouvelle forme de collaboration entre la douane et ses partenaires. Ainsi, par exemple plusieurs pôles peuvent travailler simultanément sur un même programme. Les modifications apportées par les différents acteurs apparaissent en temps réel sur chaque écran.
Les usagers peuvent accéder à différents services et prestations de la douane dans des délais plus rapides que ceux traditionnellement en vigueur.
Les opérateurs économiques, les commissionnaires en douane agréés pourront bénéficier des applications logicielles dans leur version optimale.
Il en découle des bénéfices, au plan financier, pour la douane et pour les autres acteurs intervenant dans l’encadrement du commerce extérieur. Les investissements en terme de matériel et de logiciel informatique sont réduits.
L’intérêt du "cloud », de ce point de vue, est évident. Au lieu d’acheter des serveurs et des logiciels, qui ne sont pas totalement utilisés, la douane, de concert avec quelques partenaires, peut les louer et alors ne payer que pour l’usage qu’elle en fait. Elle peut aussi, en quelques minutes, accéder à des capacités de stockage et de calcul supplémentaires, auxquelles elle n’aurait pu prétendre si elle avait dû se les acheter seule.
La rationalisation du contrôle douanier
Le principal atout sécuritaire du « cloud » est potentiellement une centralisation des mesures et audits de sécurité. Les services « cloud » se fondent, avant tout, sur la centralisation des données dans ce nuage composé de serveurs. Ce faisant, leur adoption permet aussi de centraliser le stockage de données qui, avant, étaient dispersées sur un grand nombre de matériels ou de périphériques portables. Ainsi, les fournisseurs de solutions « cloud » garantiront généralement des niveaux de sécurité bien supérieurs à ceux des méthodes informatiques plus traditionnelles. Cela sert également à réduire considérablement le risque de perte ou de vol de données. En outre, il permet de partager des infrastructures, des technologies (applications et services basés sur le web) et de diminuer les dépenses et la consommation énergétique.
De ce point de vue, la solution « cloud » favorise un regroupement ou plutôt une rationalisation du contrôle douanier. De façon classique, le contrôle exercé par l’administration des douanes, à l’occasion des mouvements internationaux de marchandises, occupe une séquence temporelle assez large, qui sera substantiellement réduite avec l’adoption de ce système. Cette technique permet de concentrer le circuit du dédouanement en un pôle unique de dédouanement. Par conséquent, le schisme établi entre le contrôle dit immédiat et le contrôle a posteriori perd de sa pertinence. Un contrôle unique et simultané suffit.
Cependant ces avantages s’accompagnent de nouvelles menaces.
Des risques pour la douane et pour les opérateurs économiques
Le recours au « cloud computing » peut susciter un certain nombre d’interrogations.
Que fait le fournisseur de solution « cloud » avec les données fournies ?
Que deviennent les données et les applications si le fournisseur tombe en faillite ?
Quid de l’utilisation de ces outils avec des partenaires installés dans des pays très éloignés et disposant d’un ordre juridique radicalement différent ?
Ces questions revêtent un cachet particulier en matière douanière où les données sont souvent très sensibles et relèvent de la souveraineté intrinsèque des Etats.
Ces interrogations permettent de mettre en perspective un ensemble de risques, pour la Douane et pour les opérateurs économiques, occasionnés par l’adoption de la technique de « l’informatique dans les nuages ».
Les risques liés à la confidentialité et la sécurité des données
Le recours à une solution de type « cloud » soulève immédiatement des questions sur la confidentialité, la sécurité et la disponibilité des moyens informatiques.
Quid des données stratégiques de la douane ou de celles d’une entreprise, dès lors qu’elles sont stockées par une société tierce ?
L’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Leur mutualisation et la délocalisation de ceux-ci multiplient donc les risques. L’accès aux services induira des connexions sécurisées et une authentification des utilisateurs, posant alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, etc.).
Pour les mêmes raisons, on peut noter également un risque de perte de données qu’il faut évaluer et anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.) De même, il existe également des risques, au regard de la confidentialité des données (fuites), compte tenu du nombre de serveurs et la délocalisation de ceux-ci.
Les risques liés au traitement des données à caractère personnel
La mise en place de services de « cloud computing » fait naître un certain nombre de risques ar rapport aux données à caractère personnel. Ces risques sont aggravés en cas de transferts transfrontaliers de données.
Les dispositions législatives et réglementaires relatives au traitement des données à caractère personnel imposent au traitant un ensemble d’obligations, et notamment des formalités déclaratives, des astreintes en matière de collecte et de durée de conservation. En outre, il est tenu de mettre en œuvre des mesures de sécurité proportionnées à la nature des données. Ce qui signifie que les inexécutions potentielles pourront entraîner la mise en jeu de sa responsabilité, dans le cadre de procédures administratives ou pénales, et naturellement générer un risque d’atteinte à son image et sa réputation.
Les risques liés à la propriété intellectuelle
La propriété intellectuelle des créations de l’établissement, intégrées dans le système d’information hébergé dans le « cloud », représente également une question délicate. Les créations peuvent être de différentes natures, notamment logiciels, éléments protégés par les droits d’auteur, par le droit des marques, des brevets, par la protection intuitu personae des bases de données ou le savoir-faire.
Les risques liés à la souveraineté des Etats
Les données hébergées par un serveur relèvent de la législation du pays où se trouve physiquement ce serveur.
Que se passe-t-il dans un « cloud » constitué de plusieurs centres de données, répartis dans différents pays ?
La question ne présente pas seulement un intérêt théorique. Un pays comme le Luxembourg impose de conserver certaines données dans un serveur situé sur son sol. D’autres pays ont des législations restrictives sur le chiffrement.
La localisation des données pourra déterminer le droit applicable au patrimoine informationnel de l’entreprise, sachant que les données hébergées sur des serveurs informatiques peuvent être transférées dans un pays ou un autre, voire dans plusieurs pays, en fonction des choix techniques du prestataire. Les procédures administratives ou judiciaires étrangères peuvent être méconnues, différentes, voire contradictoires avec les procédures nationales.
Quelques recommandations
Le « cloud computing » pose aujourd’hui des questions nouvelles. La première est celle de la légalité de l’opération, elle-même. Non pas que le « cloud » soit illégal en soit, mais il n’est pas certain que toutes les données soient « cloudables ». Certaines données font, en effet, l’objet de protections particulières et il n’est pas sûr qu’elles puissent être disséminées et traitées par un tiers, sauf à prendre des précautions particulières. On peut ainsi s’interroger sur le caractère « cloudable » ou non, des données bancaires, par exemple.
Une fois traitée cette question primordiale, une autre ne manquera pas de se poser : quel type de contrat conclure et avec qui ?
Le contrat « cloud », de ce point de vue, n’est pas une convention comme une autre. Certes, il s’agit d’un contrat d’externalisation et, en ce sens, il comportera toutes les dispositions relatives à ce type de prestations, mais là encore, la spécificité du « cloud computing » impose une rédaction adaptée de chacune de ces clauses.
A titre d’exemple, la clause de « sécurité » devra nécessairement être renforcée, compte tenu des risques particuliers, liés au fait que la maîtrise technique repose essentiellement sur le prestataire et qu’il conviendra de traiter très spécifiquement les conditions d’accès aux données de la douane ou de l’entreprise. Les clauses de « garantie », elles aussi, devront être renforcées car dès lors que les données seront externalisées, la moindre difficulté, en terme d’accès aux applications ou aux données, sonnera l’arrêt d’activité du client ou un fonctionnement en mode pour le moins dégradé.
Les moindres clauses devront être revues, y compris les plus classiques comme celles de la compétence juridictionnelle et de la loi applicable, car le fait que les données soient traitées ici ou là, aux quatre coins du monde, pourraient induire, sans que le client n’en soit conscient, l’application d’un autre droit que celui naturellement applicable.
Un autre point de vigilance porte sur la durée de conservation et la destruction des documents, en conformité avec les exigences légales.
Quel que soit le lieu de stockage des données, l’entreprise doit être capable, à tout moment, de répondre favorablement à une demande émanant d’une autorité administrative (douane, commerce...), voire d’une autorité judiciaire, qui souhaite consulter les informations.
En ce qui concerne le transfert transfrontalier des données à caractère personnel, il ne peut être effectué que « si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ».
Par ailleurs, pour assurer une pérennité des services de « cloud computing », il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires. Il faudra donc prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), et ses conditions, ainsi que son coût.
En cas de perte de données, il est recommandé de prévoir la réplication de celles-ci sur plusieurs sites ou l’obligation de résultat de restauration des données dans des délais contractuels définis.
Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire pas de prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.
Enfin, pour ce qui est de l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, ainsi qu’une clause de responsabilité dont il faudra s’assurer de la rigueur, pour encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.
Le « cloud computing » reste complexe. C’est pourquoi un cadre contractuel adapté est nécessaire pour prévenir les risques liés à ce service, qui permettra à la douane et aux entreprises, dans un proche avenir, de faire migrer l’essentiel de leurs applications dans les « nuages » en toute sécurité.
Alioune Dione
Docteur en droit
Inspecteur des Finances
(Source : ITMag, 6 avril 2011)