Lors de la conférence IDC Cloud Computing 2010 « Le cloud dans tous ses états » Maître Benjamin May, Avocat à la cour et associé ARAMIS Société d’Avocats, explique ce qui est important quand on signe un contrat pour bénéficier de services en cloud.Un « contrat Cloud » est à la fois plus simple et plus dangereux à rédiger qu’un contrat traditionnel de prestation de service. Plus simple car tout est service, il suffit donc de suivre le cheminement d’un contrat dit de services. On est en plus débarrassé de la multitude de licences (garanties, machines, versions applicatives…) qui sont autant de contrats à gérer. Plus dangereux car les contrats de services ne bénéficie pas de garanties supplétive. C’est-à-dire non écrite dans le contrat mais tout de même active légalement. En effet, les contrats de prestation de services aux entreprises comme on les connait par exemple lors de l’intégration d’un ERP sont des contrats dit de maitrise d’œuvre. Ces derniers contiennent de nombreuses garanties supplétives. De plus, il n’y a pas encore de jurisprudence ! Pour notre contrat de service, il faudra donc analyser les différents problèmes auxquels on risque d’être confronté et expliciter les conséquences dans le contrat
.
On retrouvera nos points problématiques récurrents.
Performance, Qualité de service, Disponibilité, Portabilité&Transfert des données, Sécurité
NB : Aujourd’hui, ces points sont souvent explicités dans les contrats type maitrise d’ouvrage même s’ils sont légalement sous-entendu. Les normes type ITIL poussent naturellement à procéder ainsi.
Des problèmes de droit international.
Si les données sont dans un autres pays. Les lois de celui-ci s’appuient. (Le patriot act aux USA peut, par exemple, rentrer en conflit avec des exigences de sécurité sur les données)
Et bien sûr les besoins fonctionnels.
Comment adresser une partie de ces points?
Renforcez les obligations de résultats et de conseil et appliquez la notion de « gardien de la chose »
– Capacité à restituer la chose à la demande
– Conservation intègre de la chose
Pour le Saas, on s’appuiera sur les contrats ASP avec des clauses spéciales concernant les données et leur portabilité. Les contrats régissant l’outsourcing seront aussi utiles pour concevoir ces nouveaux « contrat Cloud ». En particulier, pour les impacts sociaux de ce nouveau modèle. A titre informatif, aujourd’hui, les salariés suivent la fonction. Donc passe de l’entreprise clients au fournisseur. Mais le cloud est délocalisé sur plusieurs zones géographiques ce qui complique une application direct d’un tel principe. Le problème n’est pas encore vraiment résolu.
Concernant la « restitution de la chose ».
On accordera une attention particulière aux capacités de stockage, à la bande passante, aux SLA (attention les SLA n’incluent pas les temps de réponses coté client, simplement jusqu’à l’entrée sur le réseau du client), aux tests d’exploitations et au disaster recovery plan.
On confie ses données à un tiers distant, il faut donc définir tout ce qui est en rapport avec la reprise des données ou la réclamation immédiate de celles-ci. Par exemple, après un dépôt de bilan il est complexe d’agir. En surveillant la santé financière du fournisseur, il est possible d’agir à temps.
Pour les données sensibles, le système de garantie provisionné est efficace. Au moindre problème, le client touche une forte somme d’argent. En contrepartie, ces sommes bloquées par le fournisseur augmente le coût de sa prestation.
Concernant la conservation de la chose.
On notera les problématiques de sécurité, de transparence, de délais d’archivage et de condition de conservation.
L’intervention de Maitre Benjamin May attire l’attention sur la gestion des données.
Il faut suivre la réglementation française (secret médical, numéro de sécurité sociale…) alors que ce sont les lois d’autre pays qui régissent vos données si elles sont stocké physiquement dans d’autres pays. On ne peut donc à priori pas tout monter en cloud !
Le client doit répercuter sur son prestataire les points de sécurité. Si le contrat n’est pas suffisant, la faute incombe au client, pas au prestataire (face a la CNIL par exemple).
Si les données clients sont sur des serveurs européens pour répondre aux problématiques de droits évoquées ci-dessus mais que le prestataire décide de transférer les données clients vers une autre région du monde, il y a rupture de contrat. Cela reste extrêmement compliqué à gérer, contrôler et récupérer. D’ailleurs le client s’en rendra-t-il seulement compte ?
Michael Dan