Retour sur la conférence Cyber Sec & Solutions IA Cloud  7 octobre 2025 

Entre cloud public, infrastructures on-premise et cloud de confiance, les entreprises naviguent dans un écosystème sans définition claire. Le 7 octobre dernier, lors du salon Cyber Sec & Solutions IA Cloud à Paris, Marine Hardy, Avocate et directrice des pôles innovations et sécurité chez ITLAW Avocats, participait à une table ronde aux côtés d’experts d’Ikoula, Sigma et Infoclip. Ensemble, ils croisent regards techniques, contractuels et réglementaires pour éclairer une question essentielle : comment choisir la bonne infrastructure pour protéger ses données ? 

Des termes marketing sans ancrage juridique   

« On-premise, cloud public, cloud de confiance… Ces termes relèvent du marketing, pas du droit », rappelle d’emblée Marine Hardy. Aucune définition légale ne les encadre. Cette absence de cadre impose aux entreprises de lire attentivement les contrats et de poser les bonnes questions à leurs prestataires pour comprendre ce qu’elles achètent réellement. Pour Dũng Ly, Directeur Général d’Ikoula, la première étape consiste à cartographier ses données : « Avant de décider où héberger, il faut savoir ce qu’on héberge. Identifier les données critiques, leurs usages et leur sensibilité conditionne toute analyse de risque. »   

Maîtriser la complexité des systèmes d’information 

Les systèmes d’information se fragmentent, évoluent sans cesse, et échappent parfois au contrôle des DSI. Chaque service peut souscrire sa propre solution cloud, créant un « shadow IT » invisible pour la direction. Nicolas Millet, Responsable Cybersécurité chez Sigma, met en garde : « La multiplication des environnements on-premise et cloud augmente mécaniquement la surface d’exposition. Les données circulent davantage, les points de vulnérabilité aussi. » 

Pour Marine Hardy, cette complexité impose un changement de posture : « Les directions juridiques et IT doivent désormais raisonner en continu. La question n’est plus seulement de choisir une infrastructure, mais de piloter un ensemble mouvant, où coexistent plusieurs modèles d’hébergement, fournisseurs et juridictions. » Elle souligne l’importance d’une gouvernance claire et d’une analyse de risques dynamique, actualisée à chaque évolution du système : ajout d’un outil, migration cloud, nouveau flux de données ou sous-traitant. 

Anticiper la continuité d’activité 

Identifier les risques ne suffit pas, encore faut-il anticiper leurs conséquences. Marine Hardy insiste sur la dimension opérationnelle :« Pour les entreprises, la véritable maîtrise du risque consiste à garantir la continuité de leur activité. Elles sont devenues totalement dépendantes de leur système d’information. » Elle cite le cas d’une entreprise mondiale paralysée une semaine après une cyberattaque, lorsque les serveurs et la sauvegarde, tous deux situés en Chine, sont touchés simultanément. Un rappel concret que le cloud repose sur des serveurs physiques, localisés dans des lieux précis. En cas d’incident, cette réalité s’impose brutalement. D’où l’importance d’un plan de continuité d’activité robuste, intégrant la géolocalisation des données et les scénarios de reprise. 

Le contrat : première ligne de défense 

Face à la diversité des risques – techniques, organisationnels, géographiques -, le contrat reste l’outil pivot de la protection juridique. Certains secteurs comme la santé ou la banque bénéficient d’un encadrement strict, mais la plupart des industries doivent se créer leur propre cadre. Marine Hardy recommande de prendre le temps de la contractualisation, sans se laisser acculer par l’urgence des projets, et d’exiger des certifications reconnues (ISO 27001, HDS, SecNumCloud). Les clauses à négocier concernent notamment la responsabilité,  la confidentialité, l’audit, la réversibilité des données, la localisation et sous-traitance. 

 Pour Eric Melki, Directeur Général d’Infoclip, la confiance reste un facteur clé : « Un bon prestataire résout les problèmes, il ne se retranche pas derrière les clauses. » 

Le levier des réglementations européennes  

La réglementation européenne s’impose comme un levier efficace pour rééquilibrer les rapports de force. Marine Hardy note : « Le RGPD a eu un effet vertueux, il a permis aux entreprises d’obtenir des clauses qu’elles n’arrivaient pas à négocier auparavant. » D’autres textes poursuivent cette dynamique : DORA, pour le secteur financier, et NIS 2, pour les infrastructures critiques. Ces cadres imposent désormais des clauses obligatoires sur la sécurité, la continuité et la sous-traitance. Une contrainte, certes, mais aussi un appui juridique précieux dans les négociations. Ces textes traduisent la volonté européenne de reprendre la main sur la maîtrise des données. Mais cette ambition se heurte à une autre réalité, celle de la souveraineté numérique.   

Souveraineté et gestion raisonnée des données  

Le débat sur la souveraineté numérique reste vif. Le Cloud Act américain permet aux autorités de réquisitionner des données hébergées en Europe par un acteur américain. Mais, rappelle Marine Hardy, « Tous les pays disposent de législations similaires. La différence se joue ailleurs : dans le volume colossal de données que les géants américains ont concentré. » Au-delà du choix d’hébergeur, l’avocate préconise une stratégie simple et pragmatique, à savoir limiter la durée de conservation des données.
Elle cite le cas d’un DSI souhaitant transférer dix ans d’archives dans le cloud : « Nous avons privilégié un tri intelligent : conserver en interne, supprimer, ou héberger temporairement les données vraiment sensibles. » Résultat : coûts réduits, sécurité accrue, et exposition moindre.  

Certifications : le socle de la confiance 

Pour ITLAW Avocats, travailler avec un prestataire non certifié n’est plus envisageable pour les entreprises soucieuses de conformité. Les certifications garantissent la conformité à l’état de l’art, la documentation des processus et la continuité du service, indépendamment des individus. Ces référentiels reposent sur des pratiques éprouvées, non sur des promesses commerciales.

ITLAW Avocats accompagne les entreprises dans cette démarche : analyse de risques, négociation contractuelle, formation des équipes et mise en conformité réglementaire (RGPD, DORA, NIS 2, AI Act). 

Nous contacter