Le Cloud Computing et la Dématérialisation

DCG — UE8 Systèmes d'information de gestion
Niveau licence L3 — Chapitre transversal SI et transformation numérique

---

Introduction

Le cloud computing et la dématérialisation constituent deux piliers de la transformation numérique des organisations. Au-delà d'une simple évolution technologique, ils modifient en profondeur l'architecture des systèmes d'information, les processus métiers et les obligations légales des entreprises. Pour le gestionnaire, leur maîtrise est indispensable : ils conditionnent les choix d'investissement, la gouvernance des données, la conformité réglementaire et la compétitivité de l'organisation.

Ce chapitre s'inscrit dans le référentiel de l'UE8 « Systèmes d'information de gestion » du DCG et articule les dimensions techniques, organisationnelles, juridiques et stratégiques de ces deux phénomènes.

---

1. Le Cloud Computing : définition, modèles et enjeux

1.1 Définition institutionnelle

Le cloud computing (informatique en nuage) est formellement défini par le National Institute of Standards and Technology (NIST) dans sa publication SP 800-145 (2011) comme « un modèle permettant un accès réseau ubiquitaire, pratique et à la demande à un ensemble partagé de ressources informatiques configurables (réseaux, serveurs, stockage, applications et services) pouvant être rapidement provisionnées et libérées avec un minimum d'effort de gestion ou d'interaction avec le fournisseur de services ».

Cette définition du NIST, référence mondiale, identifie cinq caractéristiques essentielles :

1. Le libre-service à la demande (on-demand self-service) : l'utilisateur peut accéder aux ressources sans interaction humaine avec le fournisseur
2. L'accès réseau large (broad network access) : disponibilité depuis tout type de terminal connecté
3. La mise en commun des ressources (resource pooling) : mutualisation entre plusieurs clients (modèle multi-tenant)
4. L'élasticité rapide (rapid elasticity) : adaptation quasi instantanée aux besoins
5. Le service mesuré (measured service) : facturation à l'usage réel

1.2 Les modèles de service (XaaS)

Modèle	Signification	Ce que gère le client	Ce que gère le fournisseur	Exemples
--------	--------------	----------------------	---------------------------	---------
IaaS	Infrastructure as a Service	OS, middleware, applications, données	Virtualisation, serveurs, stockage, réseau	AWS EC2, Microsoft Azure, Google Cloud
PaaS	Platform as a Service	Applications, données	Tout ce que gère le fournisseur IaaS + OS + middleware	Heroku, Google App Engine, Azure App Service
SaaS	Software as a Service	Uniquement les données métier	Tout, y compris l'application	Microsoft 365, Salesforce, SAP S/4HANA Cloud

> Méthode d'examen : Retenez la règle de responsabilité croissante du fournisseur : IaaS < PaaS < SaaS. Plus on monte dans la pile, plus le fournisseur prend en charge, et moins l'entreprise cliente garde la maîtrise technique.

1.3 Les modèles de déploiement

Modèle	Caractéristiques	Usage typique
--------	-----------------	--------------
Cloud public	Infrastructure partagée, hébergée chez un tiers	PME, startups, applications non sensibles
Cloud privé	Infrastructure dédiée à une seule organisation	Grandes entreprises, secteur bancaire, santé
Cloud hybride	Combinaison public + privé avec orchestration	Entreprises ayant des contraintes réglementaires et des besoins de flexibilité
Cloud communautaire	Partagé entre organisations ayant des intérêts communs	Administrations publiques, groupes sectoriels

1.4 Analyse stratégique : avantages et risques

Avantages organisationnels et financiers :

• Passage de CAPEX à OPEX : les dépenses d'investissement (achat de serveurs) sont remplacées par des dépenses opérationnelles (abonnements), améliorant la flexibilité financière


• Scalabilité : l'entreprise adapte ses ressources à la demande sans immobilisation


• Time-to-market réduit : déploiement d'une application en heures plutôt qu'en semaines


• Mutualisation des coûts de maintenance entre les clients du fournisseur

Risques à maîtriser :

Risque	Nature	Mesures d'atténuation
--------	--------	-----------------------
Dépendance fournisseur (vendor lock-in)	Stratégique	Contrats réversibilité, approche multi-cloud
Souveraineté des données	Juridique	Localisation des serveurs en UE, RGPD
Disponibilité du service	Opérationnel	SLA contractuels, plans de continuité
Sécurité et confidentialité	Technique	Chiffrement, authentification forte
Risque de conformité	Réglementaire	Audit fournisseur, clauses contractuelles

---

2. Le cadre juridique et réglementaire

2.1 Le Règlement Général sur la Protection des Données (RGPD)

Le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD, entré en application le 25 mai 2018) constitue le cadre réglementaire central pour toute utilisation du cloud impliquant des données personnelles.

Principes clés applicables au cloud :

• Article 5 RGPD : principes de minimisation, de finalité, d'exactitude et de limitation de conservation des données


• Article 24 RGPD : responsabilité du responsable de traitement — l'entreprise cliente reste responsable même si elle délègue le traitement à un hébergeur cloud


• Article 28 RGPD : obligation de conclure un contrat de sous-traitance avec le fournisseur cloud définissant précisément les obligations de traitement des données


• Articles 44 à 49 RGPD : encadrement des transferts hors UE — un fournisseur cloud dont les serveurs sont situés aux États-Unis doit garantir un niveau de protection adéquat (clauses contractuelles types, décision d'adéquation)

> Point d'attention : L'invalidation du Privacy Shield en 2020 (arrêt Schrems II, CJUE, 16 juillet 2020) a renforcé les exigences pour les transferts vers les États-Unis. Les entreprises doivent vérifier les mécanismes de transfert utilisés par leurs fournisseurs cloud américains.

2.2 La loi Informatique et Libertés et le rôle de la CNIL

La loi n° 78-17 du 6 janvier 1978, modifiée pour intégrer le RGPD, confie à la CNIL le rôle d'autorité de contrôle nationale. La CNIL publie des recommandations spécifiques sur la sécurité des systèmes d'information et l'usage du cloud.

2.3 La qualification de sous-traitant

En droit français, le fournisseur de services cloud est généralement un sous-traitant au sens de l'article 28 RGPD et un prestataire de services au sens du droit des contrats (articles 1708 et suivants du Code civil). Le contrat cloud doit prévoir :

• La nature et la finalité du traitement


• La durée de conservation


• Les mesures de sécurité (article 32 RGPD)


• Les conditions de restitution et de suppression des données