Cloud computing : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le cloud computing, traduit en français par informatique en nuage, désigne le mode de fourniture de services informatiques (puissance de calcul, stockage, applications, plateformes de développement) à la demande, accessibles via internet et facturés en fonction de la consommation effective.

Le cloud computing, traduit en français par informatique en nuage, désigne le mode de fourniture de services informatiques (puissance de calcul, stockage, applications, plateformes de développement) à la demande, accessibles via internet et facturés en fonction de la consommation effective. Cette technologie a profondément transformé l'écosystème informatique des organisations depuis les années 2010, en remplaçant progressivement les infrastructures internes par des services externalisés mutualisés.

L'enjeu juridique du cloud computing est central pour les opérations contemporaines des organisations européennes. Les données traitées via les services cloud relèvent du RGPD lorsqu'elles concernent des personnes physiques, ce qui impose la mise en place de contrats de sous-traitance au sens de l'article 28 du règlement, l'analyse des transferts internationaux lorsque les serveurs sont situés hors UE, et la mise en œuvre de mesures de sécurité appropriées.

Les services cloud sont structurés en trois grandes catégories correspondant aux niveaux d'externalisation : IaaS (Infrastructure as a Service - serveurs et stockage virtualisés), PaaS (Platform as a Service - environnements de développement et d'exécution applicatifs), SaaS (Software as a Service - applications complètes accessibles via le web). À ces trois catégories s'ajoutent des services spécialisés (CaaS pour les conteneurs, FaaS pour les fonctions, BaaS pour les bases de données managées) qui adaptent le modèle aux besoins spécifiques.

Vous souhaitez sécuriser vos opérations cloud ? Le Cabinet Aurore Bonavia accompagne la rédaction des contrats cloud et la mise en conformité RGPD. → Voir l'accompagnement en droit du numérique

Les modèles de service cloud

La pratique distingue trois modèles principaux de services cloud, à la complexité juridique croissante :

  • IaaS (Infrastructure as a Service) : le fournisseur met à disposition des ressources d'infrastructure virtualisées (serveurs, stockage, réseau) sur lesquelles le client déploie ses propres applications ; exemples : AWS EC2, Microsoft Azure VM, Google Compute Engine, OVH Public Cloud ;
  • PaaS (Platform as a Service) : le fournisseur met à disposition une plateforme complète de développement et d'exécution incluant systèmes d'exploitation, bases de données, middleware ; exemples : AWS Elastic Beanstalk, Microsoft Azure App Service, Google App Engine, Heroku ;
  • SaaS (Software as a Service) : le fournisseur met à disposition des applications complètes accessibles via le web ; exemples : Microsoft 365, Google Workspace, Salesforce, Slack, Zoom, Dropbox.

Chaque modèle implique une répartition différente des responsabilités entre fournisseur et client en matière de sécurité, de conformité et de gestion opérationnelle. La matrice de responsabilité partagée publiée par les principaux fournisseurs documente cette répartition pour chaque service spécifique.

Les modèles de déploiement complètent cette typologie :

  • cloud public : services mutualisés accessibles à tous les clients via internet ;
  • cloud privé : services dédiés à une seule organisation, soit hébergés en interne, soit chez un fournisseur externe ;
  • cloud hybride : combinaison de cloud public et de cloud privé, avec orchestration des charges de travail entre les deux environnements ;
  • multi-cloud : utilisation de plusieurs fournisseurs cloud publics en parallèle pour réduire les dépendances et optimiser les services.

La qualification de sous-traitant au sens du RGPD

Les fournisseurs de services cloud sont en principe qualifiés de sous-traitants au sens de l'article 4 paragraphe 8 du RGPD, lorsque leurs clients leur confient le traitement de données personnelles dans le cadre d'un contrat de service. Cette qualification déclenche l'application de l'article 28 du RGPD, qui impose un contrat écrit comportant plusieurs clauses obligatoires.

Le contrat de sous-traitance au sens de l'article 28 paragraphe 3 du RGPD doit notamment prévoir :

  • l'objet et la durée du traitement ;
  • la nature et la finalité du traitement ;
  • le type de données et les catégories de personnes concernées ;
  • les obligations et les droits du responsable de traitement ;
  • les mesures de sécurité mises en œuvre par le sous-traitant (article 32 du RGPD) ;
  • les conditions de sous-traitance ultérieure (sous-sous-traitants) ;
  • les modalités de coopération dans la gestion des demandes des personnes concernées ;
  • les modalités de gestion des violations de données (article 33 paragraphe 2 du RGPD) ;
  • la restitution ou la destruction des données à la fin du contrat ;
  • la mise à disposition des informations nécessaires aux audits par le responsable de traitement.

Les contrats standards des grands fournisseurs cloud (AWS Data Processing Addendum, Microsoft Online Services DPA, Google Cloud DPA) intègrent généralement ces clauses obligatoires, mais leur négociation reste souvent limitée pour les clients non stratégiques. La rédaction sur mesure des annexes (description précise des traitements, mesures de sécurité spécifiques) reste possible pour les contrats à enjeux significatifs.

Les enjeux des transferts internationaux

La majorité des fournisseurs cloud opèrent des infrastructures globales avec des centres de données dans plusieurs juridictions. Cette architecture peut conduire à des transferts internationaux de données soumis au chapitre V du RGPD, particulièrement lorsque :

  • les serveurs sont localisés hors UE ;
  • la maintenance est assurée par des équipes situées hors UE (Inde, États-Unis, Asie-Pacifique) ;
  • les opérations de support impliquent l'accès aux données depuis des juridictions tierces ;
  • les transferts internes entre régions sont effectués pour des raisons d'optimisation technique.

L'arrêt CJUE Schrems II du 16 juillet 2020 (C-311/18) a fortement durci les exigences applicables aux transferts vers les États-Unis et autres pays tiers, en imposant l'évaluation des risques liés aux lois locales de surveillance et la mise en place de mesures supplémentaires lorsque les garanties contractuelles ne suffisent pas. Cette jurisprudence a déclenché une révision massive des architectures cloud des organisations européennes.

Plusieurs stratégies structurent la pratique post-Schrems II :

  • le chiffrement des données avec conservation des clés par le client (Bring Your Own Key - BYOK) ou par un tiers indépendant (Hold Your Own Key - HYOK) ;
  • le recours à des régions européennes garanties (zones de disponibilité dédiées avec engagement contractuel de localisation) ;
  • la certification SecNumCloud pour les opérations sensibles soumises à des exigences de souveraineté renforcées ;
  • les architectures de cloud souverain (cloud GAIA-X, OVH, Scaleway, Outscale) pour les données les plus sensibles ;
  • la gestion granulaire des accès et la limitation stricte des administrateurs susceptibles d'accéder aux données.

La certification SecNumCloud et la souveraineté

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) a élaboré le référentiel SecNumCloud qui constitue le standard français pour les services cloud répondant à des exigences renforcées de sécurité et de souveraineté. La version 3.2 du référentiel publiée en 2022 intègre notamment des exigences sur :

  • la localisation des données et des opérations dans l'Union européenne ;
  • l'immunité vis-à-vis des législations extraterritoriales (Cloud Act, FISA, Executive Order 12333) ;
  • l'indépendance capitalistique des fournisseurs vis-à-vis d'opérateurs soumis à des juridictions extraterritoriales ;
  • les mesures techniques de sécurité (chiffrement, contrôles d'accès, journalisation, supervision) ;
  • les mesures organisationnelles (gouvernance, personnel, conformité) ;
  • l'audit régulier par des organismes accrédités.

Plusieurs fournisseurs ont obtenu la certification SecNumCloud : OVH, 3DS Outscale, Bleu (joint-venture Microsoft-Capgemini-Orange), S3NS (joint-venture Google-Thales). La stratégie cloud au centre annoncée par le gouvernement français en 2021 impose aux administrations publiques et aux opérateurs d'importance vitale l'usage prioritaire de services certifiés SecNumCloud pour les données sensibles.

L'EU Cloud Code of Conduct approuvé par les autorités de protection des données européennes en 2021 constitue un instrument complémentaire au niveau européen, qui précise les obligations des fournisseurs cloud agissant comme sous-traitants au sens de l'article 28 du RGPD. L'adhésion à ce code permet aux fournisseurs de bénéficier d'une présomption de conformité pour les éléments couverts.

Spécificité juridique sur les contrats cloud et la portabilité

La rédaction des contrats cloud doit anticiper plusieurs enjeux juridiques structurants :

  • la réversibilité : conditions de récupération des données à la fin du contrat, formats d'export, durée de mise à disposition, coûts associés ; le règlement européen Data Act (Règlement (UE) 2023/2854) entré en application progressive en 2024 impose des exigences renforcées sur la portabilité entre fournisseurs cloud ;
  • les niveaux de service (Service Level Agreements - SLA) : engagements de disponibilité, temps de réponse, garanties de performance, indemnisation en cas de manquement ;
  • la localisation des données : engagements contractuels sur les régions de stockage et de traitement, restrictions sur les transferts intra-réseau ;
  • la gestion des incidents : procédures de notification, délais de résolution, communication aux clients, articulation avec les obligations de notification du RGPD ;
  • la propriété intellectuelle : droits sur les données déposées, droits sur les développements effectués sur la plateforme, conditions de réutilisation ;
  • les conditions tarifaires : transparence des prix, clauses d'évolution, limites des facturations à l'usage, plafonds de consommation.

L'EDPB a publié plusieurs lignes directrices sur les services cloud (notamment Lignes directrices 1/2018 et travaux ultérieurs), qui guident l'analyse de conformité au RGPD. La CNIL publie également des guides sectoriels sur le cloud computing et les exigences applicables aux secteurs réglementés (santé via certification HDS, services financiers, secteur public).

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de cloud computing

  • la rédaction et la négociation des contrats cloud (DPA, SLA, conditions générales) ;
  • l'analyse de la conformité au RGPD des services cloud envisagés ;
  • la rédaction des Transfer Impact Assessments (TIA) post-Schrems II ;
  • la mise en place de mesures supplémentaires (chiffrement, BYOK, séparation logique) ;
  • l'accompagnement des certifications SecNumCloud, HDS et autres référentiels sectoriels ;
  • la défense face aux contrôles CNIL portant sur les opérations cloud ;
  • les actions civiles en cas de manquement contractuel des fournisseurs cloud (perte de données, indisponibilité prolongée, violation de sécurité) ;
  • l'analyse de la portabilité des données dans le cadre du Data Act ;
  • la formation des équipes juridiques et techniques aux exigences cloud et RGPD.

En savoir plus sur l'accompagnement du cabinet : avocat en contrats informatiques.

Sources : Règlement (UE) 2016/679 (RGPD) art. 28, 32, 44 et suivants, Règlement (UE) 2023/2854 (Data Act), jurisprudence CJUE 16 juillet 2020 (Schrems II C-311/18), EDPB Lignes directrices 1/2018 sur la certification, référentiel SecNumCloud ANSSI v3.2 (2022), EU Cloud Code of Conduct 2021, stratégie cloud au centre (2021), guide CNIL sur le cloud computing. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.