Réponse de l'April à la consultation européenne sur le cloud computing
Submitted by fcouchet on 2 September, 2011 - 11:04
L'April a répondu le 31 août 2011 à la consultation européenne relative au Cloud computing faisant suite au rapport sur l'avenir du cloud1. Cette consultation prenait la forme d'un formulaire avec une liste de questions, avec des réponses limitées à 2 000 caractères. Les pages relatives à la consultation ont été désactivées sur le site de la Commission, mais le questionnaire reste disponible en version pdf.
Le texte de la réponse :
Consultation publique sur l'informatique en nuage
Votre profil
Répondez-vous pour une société ? Non
Appartenez-vous à une administration publique ? Non
Si vous ne faites partie ni d'une société ni d'une administration, êtes-vous… Autre
Si autre, expliquez…(1 à 50 caractères)
L'April est une association du Logiciel Libre
Si vous êtes un utilisateur de services informatiques en nuage: pourriez-vous décrire votre utilisation actuelle de l’informatique en nuage. Quels types de problèmes rencontrez-vous lors de l'utilisation des solutions de l’informatique en nuage dans l'UE ? Ailleurs ?
Si vous êtes un utilisateur potentiel, mais pas encore actif: quelles sont les principales raisons pour ne pas (ou pas encore) utiliser l’informatique en nuage ?
Si vous êtes un fournisseur de services d’informatique en nuage: pourriez-vous décrire votre offre. A quel genre d'obstacles devez-vous faire face dans la prestation de vos services d’informatique en nuage au sein de l'UE? Ailleurs ?
Si vous n'êtes ni un utilisateur, ni un utilisateur potentiel, ni un fournisseur, pourriez-vous décrire votre intérêt pour ce sujet et la source de vos connaissances ?
L'April, association de plus de 5 400 adhérents, est depuis 1996 un acteur majeur de la démocratisation et de la diffusion du logiciel libre et des standards ouverts auprès du grand public, des professionnels et des institutions. Elle sensibilise aux dangers d'une appropriation exclusive de l'information et du savoir par des intérêts privés. La défense des droits des utilisateurs et des auteurs de logiciels libres ainsi que le partage du savoir et des connaissances sont parmi ses priorités.
Disposant d'une longue expertise concernant les pratiques sur Internet, l'April considère que l'informatique « en nuage » est un ensemble vague de services, pouvant regrouper une multitude de pratiques, renvoyant, comme le signale la Commission européenne, non pas « à une technologie spécifique mais à un paradigme général de prestation de service avec une capacité améliorée »2. La définition retenue par la Commission est celle « d'un environnement de ressources d'exécution élastique, qui implique des parties prenantes multiples, et qui fournit un service mesuré à des niveaux de finesse multiples pour un niveau de qualité de service spécifié ». Cependant, cette définition coïncide avec la plupart des activités client / serveur sur Internet, ce qui ne permet pas d'en déterminer avec exactitude les contours. La mise en avant des services en ligne ne doit cependant pas faire oublier le risque de recul des libertés de leurs utilisateurs. En effet, si l'externalisation de l'infrastructure technique peut sembler avantageuse pour ceux-ci, elle peut aussi avoir pour conséquence la perte de la maîtrise de leurs systèmes d'information, de communication et de leurs données. La liberté des utilisateurs des services ne doit ainsi pas être sacrifiée au profit d'une informatique « en nuage » favorable à une seule poignée d'acteurs.
L’informatique en nuage pour les utilisateurs
Pensez-vous que dans les services d’informatique en nuage que vous utilisez actuellement, ou que vous avez évalués ou bien que vous fournissez, les droits et les responsabilités des utilisateurs et des fournisseurs sont clairs ? Non
Commentaires.
Le concept d'informatique « en nuage » n'étant pas précisément défini dans les textes européens, il n'a pas de périmètre juridique clair dans lequel utilisateurs et fournisseurs seraient à même de déterminer leurs droits et responsabilités. Par ailleurs, les conditions d'utilisation et les obligations auxquelles les utilisateurs sont soumis ne sont que rarement claires, et leur complexité fait que les utilisateurs n'ont que rarement conscience de ce à quoi ils s'engagent. Les utilisateurs peuvent se voir par exemple refuser l'exercice de droits comme la libre réutilisation ou la destruction de leurs propres données, par le simple fait que le service ne le leur permet pas. La commodité du service peut inciter les utilisateurs à souscrire à des conditions d'utilisation qu'ils ne souhaitent pas. Il pourrait donc être pertinent de leur offrir un choix en termes de conditions d'usage. Ainsi, les conditions d'utilisation pourraient être clarifiées, et notamment le régime juridique applicable à la protection des données, sur le cas de pertes accidentelles, en cas de données compromises ainsi que sur la possibilité de leur récupération et sur l'obligation d'information lorsque de telles pertes se produisent. La responsabilité des fournisseurs de services en cas de perte de données devrait également être précisée. Ces conditions devraient être indiquées dans un langage simple et compréhensible par le grand public. Les souscripteurs des services seraient alors plus à même de choisir le prestataire qui leur convient le mieux.
Êtes-vous au courant de la juridiction applicable dans les différents types de différends qui pourraient surgir pendant votre prestation ou l'utilisation (ou l'utilisation future éventuelle) d’offres d’informatique en nuage spécifiques ?
Voyez-vous une meilleure façon de déterminer la juridiction compétente en cas de différend ? Oui
Si oui, commentez.
Si le professionnel dirige ses activités, donnant lieu à un engagement contractuel du consommateur, vers l'État de ce dernier ou vers plusieurs États (dont celui du consommateur), le consommateur pourra bénéficier du régime protecteur européen lui donnant la possibilité de saisir la juridiction de son domicile (art. 15 et 16 Règlement CE n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale). L'usage de services dématérialisés ne doit pas venir remettre en cause cette compétence de la juridiction du domicile du consommateur. De même, s'agissant de la fourniture de services, la juridiction compétente doit demeurer celle du lieu où, en vertu du contrat, les services ont été ou auraient dû être fournis au demandeur (art 5 1° b) règlement n° 44/2001) Seul le maintien d'un contrôle par le juge judiciaire garantit le droit à un recours effectif à une juridiction indépendante et impartiale (art. 6 & 13 Convention européenne des droits de l'Homme).
L'April attire l'attention de la Commission sur l'importance pour les citoyens et les PME européens de prendre des mesures garantissant des recours effectifs au sens de l'article 13 de la CESDH afin de rééquilibrer les droits des utilisateurs face à aux fournisseurs de services dématérialisés. Ces mesures permettraient en plus de ne pas entraver l'innovation en Europe.
Commentaires.
L'utilisateur ayant un sentiment d'impuissance face aux pratiques des entreprises dominantes du secteur, il renonce souvent à défendre ses droits. Afin de regrouper les intérêts des utilisateurs et de garantir les droits de tout justiciable, le développement de possibilités d'accès à l'action de groupe doit être favorisé. La question avait d'ailleurs été posée par la Commission dans le cadre de la consultation « renforcer la cohérence de l'approche européenne en matière de recours collectifs » à laquelle l'April avait répondu publiquement3. Une action de groupe efficace pour permettre le respect des droits des consommateurs doit notamment permettre des actions sans restriction quant au montant présumé du préjudice afin de ne pas restreindre son accès. Une telle action de groupe offrirait aux consommateurs un moyen de recours bien plus simple et efficace dans des domaines technologiques où les montants des préjudices sont souvent faibles et devant lesquels ils se sentent démunis.
Pensez-vous que la question de la responsabilité dans les situations transfrontalières est claire pour les utilisateurs et les fournisseurs d’informatique en nuage? Non
Pourquoi ?
Au vu du caractère international des services dématérialisés fournis via Internet et des interdépendances qu'ils peuvent parfois entretenir, la localisation juridique du traitement des données à caractère personnel ou plus généralement des opérations réalisées sur les données des utilisateurs peut s'avérer très complexe. La détermination par l'utilisateur ou le fournisseur de la loi applicable, et par voie de conséquence du régime de responsabilité applicable n'est donc pas chose évidente. La question de la responsabilité du fournisseur de service en cas de perte ou de compromission des données est ainsi une question complexe à régler. Il est par ailleurs difficile de s'assurer du respect de dispositions légales et réglementaires françaises ou européennes pour un traitement de données à l'autre bout du monde.
Cadre légal
Pensez-vous qu’il devrait y avoir des mises à jour de l'actuelle directive sur la protection des données de l'UE qui pourraient faciliter l’informatique en nuage , tout en préservant le niveau de protection ? Oui
Si oui, pourriez-vous décrire de telles mises à jour ?
La personne responsable d'un traitement au sens de l'article 10 Directive 95/46/CE a une obligation d'information. Celle-ci devrait être complétée par
i) une obligation d'information, dans un langage simple et compréhensible par tous, sur les possibilités de récupération ou de sauvegarde en local des données lorsqu'il s'agit d'un service distant ;
ii) d'une proposition effective de sauvegarde des données sur le support de son choix, dans un format ouvert et interopérable ;
iii)d' une obligation d'information et une proposition effective de destruction des données introduites dans le service en ligne.
Le format ouvert devrait être défini sans ambiguïté et garantir l'interopérabilité, en rappelant par exemple les conditions posées par l'IDABC dans l'EIF V1.0 :
- « le standard est adopté et sera maintenu par une organisation sans but lucratif et ses évolutions se font sur la base d'un processus de décision ouvert accessible à toutes les parties intéressées (décision par consensus ou majorité) ;
- le standard a été publié et le document de spécification est disponible, soit gratuitement, soit au coût nominal. Chacun a le droit de le copier, de le distribuer et de l'utiliser, soit gratuitement, soit au coût nominal ;
- la propriété intellectuelle — c'est-à-dire les brevets éventuels — sur la totalité ou une partie du standard est mise à disposition irrévocablement et sans redevance ;
- il n'y a pas de restriction à la réutilisation du standard. »
L' article 12 a) de la directive pourrait être modifié comme suit :
« Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement :
a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs :
- (...) les informations relatives aux modalités de conservation des données dans un format ouvert et interopérable
- (...) les informations relatives aux modalités de destruction des données»
Êtes-vous au courant des spécificités des règles portant sur la protection des données dans différents Etats Membres, ou de toute autre loi, qui vous empêcherait d'utiliser ou de fournir des services d’informatique en nuage au sein de l'UE ?
De votre point de vue, serait-il utile d’avoir des clauses-type spécifiant des niveaux de service, de telle sorte que certaines conditions de base puissent être facilement insérées dans les contrats de service ? Oui
Si oui : avez-vous d'autres idées sur la façon dont cela pourrait / devrait fonctionner ?
Vers l’intéropérabilité
Pourriez-vous décrire des problèmes d'interopérabilité ou de portabilité de données que vous auriez rencontrés lors de la fourniture ou l'utilisation de services d’informatique en nuage, ou bien simplement décrire des problèmes de ce type dont vous seriez au courant.
Les services en ligne ne donnent souvent pas la possibilité d'échanger ses données et de les télécharger dans un format ouvert et interopérable. En effet, l'utilisateur ne peut généralement pas choisir les technologies et les formats des services « en nuage » qu'il utilise, en particulier lorsque des systèmes de communication enferment les utilisateurs dans un réseau privé centralisé. Ainsi, le changement de service est parfois impossible, comme l'a montré l'exemple récent de Facebook, où l'exportation des contacts du réseau social vers un autre exigeait l'accord du fournisseur du service4.
D'autres limitations sont également fréquentes, comme la récupération des contacts pour utilisation locale, ou l'exportation d'œuvres générées par les utilisateurs (écrits, photos, vidéos, listes de tâches, contacts, etc.) depuis le service en ligne, qui ne sont que très rarement proposés par le prestataire. De plus, pour que l'interopérabilité soit effective dans le cadre de l'informatique en nuage, il faut que cette dernière repose sur des standards ouverts. Certains services « en nuage » d'infrastructure, comme ceux fournis par Amazon par exemple, proposent bien des API d'extraction des données ou des opérations hébergées. Malheureusement, si cette API a bien été documentée, sa conception n'a pas été publiquement discutée. Dans ces conditions, aucune alternative basée sur ces API n'a pu émerger durablement. L'usage de ces API étant central dans l'usage de ces services, il devient très coûteux pour les utilisateurs de ces services à « l'interopérabilité non effective » de se mettre dans les conditions de pouvoir choisir leurs prestataires. En définitive, l'absence d'interopérabilité crée des situations de monopole de fait qui excluent la concurence et sont nuisibles à l'innovation.
Quels normes/standards existants ou émergents contribuent à l'interopérabilité entre différents nuages et la portabilité des données de l’un à l’autre?
Pourriez-vous mentionner ces standards et décrire leur importance.
La question de l'interopérabilité entre différents services et la portabilité des données sont des questions très différentes.
Concernant les données, les standards issus des organismes de normalisation tels que l'IETF et le W3C couvrent une large part des besoins nécessaires pour garantir la récupération des données par les utilisateurs. Par exemple, des formats standards ouverts et normalisés tels que vCard (échange de données personnelles, RFC 2425 et 2426), HTML, ODF, CSV (format pour les données tabulaires, RFC 4180), JSON (format textuel de données informatiques généralistes, RFC 4627) peuvent d'ores et déjà être mis en œuvre pour les services existants. Cependant ces standards permettant l'interopérabilité des données ne sont souvent pas utilisés par les fournisseurs de service, ce qui entraîne différentes possibilités d'enfermement technologique ; l'utilisateur est alors souvent dans l'impossibilité de porter ses données d'un service à un autre.
La standardisation des données du nuage est donc nécessaire pour permettre le choix des utilisateurs, et sa bonne mise en place bénéficierait d'un accompagnement institutionnel. Le législateur pourrait donc veiller à la protection des droits des consommateurs par la mise à disposition des informations relatives aux modalités de conservation des données dans un format ouvert et interopérable.
Quelles sont les normes les plus importantes qui sont actuellement manquantes, mais que vous jugez nécessaires pour assurer l'interopérabilité et la portabilité ? Pourriez-vous décrire en détail les aspects qu’elles devraient couvrir.
L'interopérabilité inter-services n'est pas toujours réalisée, et les utilisateurs d'un service en ligne donné ne peuvent souvent pas échanger des informations avec d'autres services. Cela ne permet pas aux utilisateurs de pouvoir choisir leurs services, renforçant les monopoles des services pré-existants. Des modèles plus respectueux de la portabilité et des droits des utilisateurs existent pourtant : le courriel par exemple permet d'échanger librement quel que soit le fournisseur de services. S'assurer de l'amélioration de l'interopérabilité pourrait donc être un objectif des institutions européennes, par exemple , au travers de la promotion à l'interopérabilité des services par le biais d'interfaces ouvertes (API) et de standards ouverts (tels que définis par l'EIF V1.0), en concertation avec l'ensemble des acteurs du secteur (société civile, défense des consommateurs, fournisseurs de services).
L’informatique en nuage dans le secteur public
Que peut faire le secteur public en tant qu'utilisateur d’informatique en nuage pour soutenir l'émergence de meilleures pratiques ?
Le développement d'une société de l'information respectueuse des libertés publiques pourrait être favorisé par le secteur public via l'investissement dans des services basés sur des logiciels libres interopérables grâce à des interfaces ouvertes et offrant aux utilisateurs la maîtrise de leurs données et de leurs traitements, réduisant l'incompatibilité et l'enfermement technologiques. Par ailleurs, les choix technologiques des acteurs publics ont des conséquences sur le long terme, notamment s'agissant de la pérennité des données, des échanges avec les citoyens et de la bonne gestion des finances publiques. Les acteurs publics doivent de même s'assurer une résilience de leurs systèmes et éviter tout enfermement technologique afin de garder la pleine maîtrise de leur système d'information. Le choix de privilégier des logiciels libres s'est à de nombreuses reprises révélé être un atout important dans ce cadre : la possibilité de réutiliser librement l'ensemble des logiciels permet de maîtriser l'ensemble du système d'information et de s'assurer de pouvoir mettre en place sa propre solution en interne en cas de besoin, ce qui représente un atout pour la pérennité des données.
À ce titre l'April tient à rappeler qu'un certain nombre de projets libres s'inspire des avantages fonctionnels que peuvent proposer des services en ligne afin de proposer aux utilisateurs soit d'y accéder de manière distante, soit de les héberger eux-mêmes. Les pouvoirs publics pourraient par exemple participer à l'effort de la communauté du Logiciel Libre pour favoriser le développement de ces solutions et en promouvoir l'usage. Enfin, le recours à des services en ligne par les institutions se doit d'assurer l'inclusion des personnes en situation de handicap. À ce titre, le secteur public doit s'assurer de la mise en conformité de ses services en ligne avec les standards d'accessibilité numérique, en particulier les normes WCAG de l'organisme W3C.
Pourriez-vous particulièrement apporter des précisions sur les marchés publics de services informatiques en nuage ?
Pour chaque marché public de services informatiques devrait être élaboré un cahier des charges strict basé sur des spécifications fonctionnelles dépendant de besoins identifiés de l'administration. Les logiciels libres doivent être privilégiés pour leur adaptabilité et leur interopérabilité. Les acteurs publics, par leurs achats et choix stratégiques, doivent prendre en compte la pérennité et la possibilité de récupérer leurs propres données, ainsi que la pleine maîtrise de leur système d'information par des choix soutenables à long terme. Le cadre européen d'interopérabilité (EIF), dont la dernière révision5, mentionnant des « spécifications ouvertes » au détriment des standards ouverts doit être révisé, par exemple au profits des conditions retenues par l'IDABC dans l'EIF V1.0 (cf cadre légal, question n°2)6.
En particulier, le déploiement de l'administration en ligne et des infrastructures de calcul scientifique par le secteur public peuvent-ils contribuer à la création de nouveaux marchés porteurs pour les fournisseurs européens ?
Pourriez-vous mentionner des initiatives des États membres dans le domaine de l’informatique en nuage, dont vous seriez au courant ?
La communauté européenne du Logiciel Libre est très active pour proposer aux utilisateurs de profiter des avantages de l'informatique « en nuage » tout en leur offrant la possibilité d'internaliser ces services sur leur propre réseau ou la liberté de pouvoir changer de fournisseur. Parmi les projets particulièrement intéressant, nous avons remarqué :
- OpenStack, un projet de service libre d'infrastructure à la demande dans lequel de nombreux acteurs européens sont impliqués (des entreprises françaises comme Bull, des consortiums notamment financés par des fonds européens, OW2 ou des laboratoires de recherche comme l'INRIA) ;
- Grid5000 : un projet de recherche français réunissant 19 universités, basé sur du Logiciel Libre, qui a permis de financer certaines briques essentielles dans le partage et la mutualisation de ressources universitaires (INRIA/CNRS)
Pensez-vous qu'elles : ne vont pas assez loin
Pourriez-vous préciser ?
Chaque initiative des États (marchés publics, développements internes ...), dans le domaine de l'informatique devrait s'accompagner de l'exigence d'utiliser des logiciels libres, recourants à des standards ouverts assurant l'interopérabilité.
Comment les États membres pourraient-ils coopérer au mieux pour créer des solutions interopérables et partager les meilleures pratiques?
Prochains programmes de recherche et innovation
Quels sont les aspects techniques les plus importantes de l’informatique en nuage sur lesquels les chercheurs travaillent actuellement ?
Pourriez-vous expliquer l'importance de chaque exemple concret.
Au-delà de ceux-ci, voyez-vous des problèmes techniques et des limitations dont souffriraient les offres actuelles d’informatique en nuage, et qui demanderaient des recherches complémentaires dans les prochaines années?
Pourriez-vous expliquer.
Le financement public de la R&I devrait-il servir à établir des prototypes de nouvelles infrastructures de nuage?
Des solutions globales à des problèmes globaux
Quels sont les problèmes les plus importants relatifs à l’informatique en nuage qui doivent être discutés au niveau mondial ? Pour chacun d’eux, pourriez-vous expliquer pourquoi ?
L'Internet est un réseau neutre dont le développement est garanti par une pluralité d'acteurs. Avec l'informatique « en nuage », cette structure se trouve remise en cause et la confiance des utilisateurs dans le numérique est en jeu. En effet, l'informatique « en nuage », telle que majoritairement pratiquée actuellement (absence de promotion des standards ouverts des données et services), conduit à une perte de contrôle des données, une gouvernance des services, une dépendance technologique des utilisateurs, et la constitution de monopoles de services du fait d'une « économie de réseau » où le nombre d'utilisateurs en défini la richesse. Les services se comportant à l'image de réseaux fermés, les fournisseurs peuvent souvent imposer des logiciels spécifiques pour l'accès à leurs services, contrevenant alors à la nature ouverte de l'Internet, et bloquant l'usage de logiciels libres.
Il y a ainsi un risque de centralisation du réseau autour de services monopolistiques, mais contrôlés par des fournisseurs dominants à la fois les infrastructures technologiques et les services. Garantir la neutralité des réseaux est alors crucial pour éviter toute discrimination effectuée en fonction de l'émetteur, du destinataire, ou de la nature des données et des services utilisés. L'informatique « en nuage », par les besoins importants en serveurs qu'elle requiert, ne serait de plus pas si bénéfique qu'annoncée pour l'environnement7. L'impact sur l'environnement de la multiplication des data centers devrait donc faire l'objet d'une étude approfondie par un organisme indépendant.
Quelles seraient les enceintes adéquates ainsi que les meilleures approches pour y faire face ? Pourriez-vous expliquer pourquoi ?
- 1. http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en....
- 2. http://cordis.europa.eu/fp7/ict/ssai/docs/cloud-report-final.pdf p. 8 et 12
- 3. http://ec.europa.eu/competition/consultations/2011_collective_redress/in...
- 4. http://www.journaldugeek.com/2011/07/05/facebook-friend-exporter/
- 5. http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/10/689&form...
- 6. http://www.april.org/la-commission-seloigne-de-linteroperabilite-pour-le...
- 7. http://www.zdnet.fr/actualites/cloud-computing-greenpeace-epingle-apple-...
Printer-friendly version
Inscrivez-vous aujourd'hui à l'infolettre pour découvrir les enjeux du logiciel libre, des outils et des moyens d'actions. Prenez le contrôle de vos libertés informatiques. Suivez nos actions en cours et à venir.
