Plus prompte d’ordinaire à freiner des quatre fers les banques à utiliser Internet dans leurs relations d’affaires, – on l’a vu notamment avec la téléphonie sur Internet, bannie de la Place – l’autorité de contrôle du secteur financier montre des inclinations plutôt accommodantes pour l’usage des services de cloud computing, c’est-à-dire d’informatique dématérialisée. La crise a obligé le régulateur à davantage de pragmatisme à l’égard du secteur financier, qui cherche à réduire ses frais de fonctionnement et à faire des économies sur ses achats (très lourds) de systèmes informatiques de gestion des données. Ce qui passe forcément par la sous-traitance en « mode cloud », qui est en passe de repousser les limites de l’externalisation à des prestataires tiers. Le nuage informatique est-il désormais devenu compatible avec le modèle d’affaires luxembourgeois qui tire son fonds de commerce de la confidentialité des données ?
Il n’y aurait pas de grosse contre-indication à l’utilisation du cloud computing par le secteur financier, pour autant que certains « principes prudentiels » sont respectés. L’un des plus contestés étant sans doute la « clause » de localisation au Luxembourg. La Commission de surveillance du secteur financier (CSSF) avait rappelé ces quelques principes de base à prendre en compte dans son rapport annuel 2011 (transparence totale des prestataires sur les modalités de « mise en cloud » : localisation géographique – avec un traitement de données qui doit être situé de préférence sur le territoire luxembourgeois pour avoir une meilleure maîtrise des flux d’informations –, mécanismes de ségrégation des environnements, attribution des ressources, etc.) et est revenue une nouvelle fois à la charge en juillet avec une circulaire (12/544) à l’attention des professionnels du secteur financier spécialisés dans les traitements des données. Il s’agit de mieux encadrer juridiquement leurs risques, en raison des enjeux que ces PSF de support représentent pour le secteur financier tout entier, en cas de panne ou de défaillance de l’un d’eux. Il faut pouvoir assurer la continuité de la gestion et du traitement des données, afin que les informations n’aillent pas se perdre dans la nature et ne tombent dans les mains de personnes mal intentionnées.
La question de la sécurité du prestataire cloud se pose d’ailleurs moins si ce dernier relève de la catégorie des professionnels du secteur financier, qui tombent comme les banques sous le contrôle de la CSSF. Tous les prestataires n’opèrent pas sous ce statut très contraignant en termes d’organisation, de reporting et de capitaux à dégager. C’est d’ailleurs une des raisons qui ont poussé le ministère de l’Économie et du Commerce extérieur à soutenir un projet de création d’opérateur informatique certifié. À ce stade, le projet n’est toutefois pas encore arrivé à maturité.
Sous ses airs de rien, le projet de loi adopté vendredi 4 septembre par le Conseil du gouvernement, qui doit modifier un seul article (le 567 relatif au droit de revendication d’une marchandise en cas de faillite) du Code de commerce, va marquer un grand pas pour la « démocratisation » du cloud dans les entreprises, en les incitant à y mettre leurs données sensibles grâce à un cadre légal que l’on compare volontiers à du « béton armé » sur le plan de la sécurité des données. Le texte concerne d’ailleurs surtout le secteur financier, demandeur d’un niveau de sécurité « suboptimal » ; les jeunes pousses du secteur des communications, comme les sociétés de gaming (jeux en ligne), très en vogue, se montrant plus soucieuses d’optimiser leurs coûts que d’investir leur argent dans des systèmes compliqués de sécurisation des données sur le cloud. Une panne de serveur d’une heure ou deux, en cas de défaillance de l’hébergeur sur la toile, n’est pas aussi dramatique pour une entreprise spécialisée dans les jeux en ligne qu’une rupture de continuité des systèmes d’une entreprise du secteur médical ou d’une banque, relève Gary Kneip, administrateur de Secure IT. La réforme du code de commerce ne devrait pas provoquer une inflation spectaculaire de nouveaux acteurs dans le secteur des jeux électroniques, ces opérateurs étant davantage attirés par le traitement fiscal qui est accordé au grand-duché à la propriété intellectuelle – aussi déterminant pour leur présence au Luxembourg que le taux de TVA – autorisant un dégrèvement conséquent des revenus liés aux investissements informatiques, pourtant autant que les flux s’opèrent entre professionnels (B-to-B). Un dispositif sur lequel les autorités restent d’ailleurs discrètes, de peur d’attiser la flamme de la jalousie des grands voisins.
La révision du Code de commerce passe par une reformulation de l’article 567 traitant du sort des « marchandises » que leurs propriétaires peuvent revendiquer dans le cas de leur mise en dépôt ou en consignation auprès d’une entreprise tierce tombant en faillite. Comme le résume dans un entretien au Land, Jean-Paul Zens, le directeur du Service des médias qui fut une des chevilles ouvrières du projet de loi, si un cordonnier fait faillite, les chaussures qu’un de ses clients lui ont confiées en réparation ne lui appartiennent pas. Pour éviter que le liquidateur désigné par le tribunal pour la faillite les prenne en considération dans la masse, c’est-à-dire l’ensemble des actifs susceptibles d’être distribués aux créanciers ordinaires de manière égalitaire, le client doit intenter une action en revendication, puisque juridiquement, les chaussures lui appartiennent. Rien alors ne peut s’opposer à ce que le propriétaire récupère son bien auprès du curateur d’un cordonnier en faillite. Idem pour des appareils ménagers ou une voiture mis en réparation.
Or, la question de la restitution et de la propriété est moins évidente pour les données informatiques qu’une société aurait fait héberger auprès d’un prestataire extérieur. Le législateur à l’époque n’avait pas prévu d’autres cas de restitution que des biens tangibles. Ainsi que le signale dans un entretien au Land Amal Choury, présidente de l’association Eurocloud Luxembourg et administratrice déléguée de E-Kenz, le premier geste du curateur d’une société d’hébergement de données informatiques sera de couper l’alimentation des serveurs puis de chercher à les vendre sans trop se préoccuper de la valeur ni du contenu ou même de l’origine des données qui y sont stockées. La réforme annoncée, résume-t-elle, vise donc à protéger les données en les plaçant dans la même catégorie juridique que des marchandises et des biens meubles et en leur reconnaissant enfin une valeur.
La refonte du Code de commerce passe ainsi par une adaptation cosmétique du texte, qui ne parle actuellement que des « marchandises » consignées, pour y intégrer des biens immatériels telles que les données confiées à un hébergeur par son propriétaire ou par une entreprise spécialisée dans le traitement des données de tiers (un PSF de support auquel une banque ou une compagnie d’assurance a confié la gestion des données de leurs clients). Le droit à la revendication s’applique tant à celui qui a confié les données qu’à leur propriétaire. Il ne s’agit pas toujours des mêmes personnes. Pour chacune d’elle, le dispositif prévoit une action en revendication. Aussi, en cas de faillite d’un hébergeur, un liquidateur ne pourra pas couper le courant des serveurs et « vendre la quincaillerie au kilo » pour récupérer un peu d’argent afin de payer les créanciers et se rémunérer lui-même. Les tiers ayant stocké des données chez l’hébergeur défaillant pourront exercer leur droit de revendication sur ces données, avec la même facilité que s’il s’agissait d’une machine à laver.
La réforme cachant quelques subtilités juridiques liées à la revendication dans le domaine incorporel, il a quand même fallu que des experts fassent travailler leurs neurones pour faire en sorte que les biens visés (données informatiques par exemple) puissent être séparables d’autres biens meubles incorporels non fongibles au moment de la faillite : dans le cas du cloud computing, un curateur devra donc pouvoir séparer les données et les fichiers de celui qui revendique leur propriété de toutes les autres données, un hébergeur gérant par nature plus d’un client dans ses racks. Ce « tri » sélectif du liquidateur se fera au moyen des infrastructures et logiciels de gestion de l’hébergeur défaillant, ce sera à celui qui en revendique la restitution de payer les frais de séparation des données, précise le projet de loi. Le texte prévoit aussi des aménagements de la charge de la preuve, histoire de ne pas alourdir trop le dispositif pour les professionnels travaillant avec des documents dématérialisés. Des avancées sont attendues pour inverser la charge de la preuve en cas de litige entre les parties, l’une disposant d’un document écrit et l’autre d’un document dématérialisé : la partie contestant la validité d’une pièce et disposant d’un écrit devra ainsi prouver que le document dématérialisé qu’elle met en cause est un faux.
Les professionnels attendent de lire le projet de loi qui n’était pas encore disponible cette semaine au greffe de la Chambre des députés. À l’expérimentation, ce dispositif pourrait en outre se révéler plus complexe que prévu, notamment en raison des formats des fichiers et de leurs supports, ainsi que leur compatibilité en cas de transfert d’un hébergeur à l’autre. Le texte, au nom de la neutralité technologique, est muet sur les détails techniques.
Reste que sur le principe, le fait de vouloir légiférer sur le sort des données stockées chez en hébergeur en cas de défaillance de ce dernier apporte la démonstration de deux choses : d’abord que le stockage de données sensibles sur le cloud, compte tenu de son potentiel de développement, ne pouvait pas être laissé au hasard et méritait des clarifications sur le plan juridique, ensuite que cette avancée du droit donne la mesure de la « sensibilité » et de l’implication du gouvernement à se montrer à la pointe de l’évolution du secteur de l’information et des communications et à l’écoute des besoins des professionnels qui ont inspiré la réforme. Faire du Luxembourg un hub international du cloud computing est dans toutes les têtes. Il ne faut pas tirer à l’aveuglette pour se faire une place dans un monde où les pays de l’Europe de l’Est affichent de grandes ambitions et des coûts compétitifs. La stratégie des Luxembourgeois est bien dessinée : il s’agit de se positionner sur le créneau de la sécurité et de la protection des données, le fonds de commerce du secteur financier.
« À l’origine de notre réflexion, précise Jean-Paul Zens, nous avions en tête une stratégie de positionnement du Luxembourg dans l’IT, l’e-commerce et les communications, nous avons cherché ce que nous pouvions faire pour aider au développement de ces secteurs et sécuriser juridiquement les services émergeants ». L’aménagement du droit de revendication et son élargissement aux données informatiques sur Internet faisait partie d’une des 19 recommandations qu’un groupe de travail réunissant les professionnels (regroupés au sein de Eurocloud Luxembourg), le Centre de recherche public Henri Tudor et des représentants du gouvernement (service des médias, ministères des Finances et de l’Économie, entre autres) avait formulées en 2011 pour donner un coup de booster au secteur ICT au Luxembourg. Le cadre juridique devrait encore évoluer, la réforme du Code de commerce étant présentée comme une première étape du développement du Luxembourg en une plateforme dédié notamment à l’archivage et au contenu numérique, le tout avec « une logique de coffre-fort » dans le traitement et la valorisation des données.
Comme le souligne Romain Lanners, conseiller à la Fedil et membre d’Eurocloud, l’idée derrière le renforcement du cadre légal pour le cloud computing est à la fois de sécuriser le business existant, d’attirer de nouveaux acteurs et surtout d’inciter les entreprises, notamment les PME, à se mettre sur le cloud et ne plus hésiter à dématérialiser leur système informatique pour gagner en compétitivité : « Nous avons l’avantage, dit-il, d’être les first movers », avec en prime cette forte culture de la protection des données. « Peu de gens se rendent compte aujourd’hui des enjeux du cloud computing en termes de sécurité des données et les confient à des prestataires sans se soucier de savoir si des tiers y auront accès, ni de connaître la localisation géographique de l’hébergeur », constate pour sa part Gary Kneip de Secure IT.
L’activité de cloud a pourtant connu une croissance à deux chiffres au Luxembourg en 2011 et devrait afficher un taux identique en 2012. Gérard Hoffmann, administrateur délégué de Telindus Luxembourg voit dans ce domaine un potentiel important pour le positionnement du Luxembourg, mais il ne sait pas pour autant ce que l’évolution du cadre légal apportera en termes de croissance : « Un peu comme le fait Apple avec ses produits, nous créons l’offre, assure-t-il, la demande devrait suivre ».