Matinée 01 SaaS
Upcoming SlideShare
Loading in...5
×
 

Matinée 01 SaaS

on

  • 1,206 views

 

Statistics

Views

Total Views
1,206
Views on SlideShare
1,206
Embed Views
0

Actions

Likes
0
Downloads
35
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Matinée 01 SaaS Matinée 01 SaaS Presentation Transcript

  • le Mardi 13 mars, 2012Matinée 01 SaaSMaitrisez la facilité!
  • 9h00 – 09h15 - OUVERTURERéalité chiffrée et variété du SaaS en FranceparSylvie Chauvin, Présidente du cabinet Markess International
  • Présentation Matinées 01 Paris le 13 mars 2012 SaaS Réalité chiffrée et variété du recours au mode SaaS en France Sylvie Chauvin – President MARKESS InternationalMars 2012 © Copyright 2012 - MARKESS International 3
  • A propos de MARKESS International ETUDES Cabinet spécialisé dans l’analyse de la modernisation ANALYSES des organisations avec les technologies du numérique Des études, des services opérationnels et stratégiques PRESENTATIONS pour des clients entreprises utilisatrices et prestataires RECOMMANDATIONS Plus de 4.000 interviews de décideurs par an (MOA, DSI, directeurs de projets, directions métiers) Une connaissance des offreurs Des expertises (un monitoring des prestataires: éditeurs, SSII, opérateurs…) dédiées GESTION DE DÉMATÉRIALISATION CONFIANCE COLLABORATION CLOUD MOBILE l’INFORMATION & ARCHIVAGE NUMÉRIQUE RESEAUX SOCIAUX COMPUTING CAPITAL HUMAIN CAPITAL CLIENT CAPITAL FINANCE SECTEUR PUBLICMars 2012 © Copyright 2012 - MARKESS International 4
  • Le SaaS : l’une des composantes du cloud computing SaaS Applications Software RH, CRM/SFA, Vente, Finance/Comptabilité, Achats, Production, Logistique, Informatique… Collaboratif, Bureautique, Décisionnel, ECM… as a Service Environnement de développement / test PaaS Platform Base de Moteur Accès & Processus as a Service Données applicatif Identité collaboratifs Environnement d’Exploitation IaaS Infrastructure Serveurs Baies Réseaux as a Service Infrastructure PhysiqueMars 2012 © Copyright 2012 - MARKESS International 5
  • Evolution de la pénétration du cloud computing au sein des organisations françaises France, 2010-2013 Extrapolation à l’ensemble des entreprises privées (de 1 salarié et +) et organisations publiques (univers de + de 1,4 million d’organisations en France selon l’INSEE) à partir d’un échantillon de + de 1000 organisations interrogées depuis 2009 Le SaaS couvre des architectures de type instance unique/single -tenant et celles multi-instance/multi-tenant 50% 38% SAAS % d’organisations françaises 40% 35% 31% 30% 20% 24% IAAS 15% 10% 10% 6% PAAS 5% 2% Projections au-delà de 2013 0% 1% 4% 2% 2010 2011 2012 2013Mars 2012 © Copyright 2012 - MARKESS International 6
  • Evolution des usages SaaS depuis 2008 en France Top 10 Rang en 2008 Rang en 2010 Rang 2011 Collaboration d’entreprise Collaboration d’entreprise Collaboration d’entreprise RH RH RH Finance/Comptabilité Application sociale Finance/Comptabilité Achats Informatique Gestion de la relation client E-commerce Gestion de la relation client E-commerce Gestion de la relation client Achats Gestion commerciale Informatique Communication vocale Application bureautique Application sociale Finance / Comptabilité Application sociale Gestion commerciale E-commerce Informatique Production / Logistique Gestion commerciale Communication vocaleMars 2012 © Copyright 2012 - MARKESS International 7
  • Entre 2 et 4 applications SaaS utilisées pour près de 50% des décideurs interrogés France, 2010 (en % des réponses) Les décideurs métiers interrogés en avancent plus en moyenne que les décideurs IT Nombre d’applications SaaS différentes utilisées Echantillon : 140 décideurs ouverts au cloud computing – intervalle de confiance +/- 7%Mars 2012 © Copyright 2012 - MARKESS International 8
  • Catalyseurs du recours au SaaS pour les décideurs ouverts à ces solutions France, 2010 (liste suggérée – 23 items – multi-réponses) Profils des décideurs interrogés IT Métiers Amélioration de lagilité et de la réactivité Optimisation des coûts d’exploitation Accélération des déploiements Réduction du temps dimplémentation Accès distant possible (collaborateurs nomades, mobiles ou en télé-travail) Facilité daccès et souplesse dutilisation (notamment via un navigateur web) Pas dinvestissement dans des infrastructures (serveurs, baies...) Pas dinvestissement en licences logicielles Echantillon : 140 décideurs ouverts au cloud computingMars 2012 © Copyright 2012 - MARKESS International 9
  • Quelques exemples d’apports et bénéfices associés au SaaS (sources déclaratives) Périmètre Nature du bénéfice Estimation chiffrée Mise à jour réglementaire RH 8 500 € par an faite par le fournisseur 1 mois (contre 9 CRM Rapidité de déploiement avant) Actualisation fonctionnelle et lissage Coût récurrent Messagerie des coûts coût d’investissement sur annuel égal à collaborative un an si mise en œuvre en interne : 43 3 400 € 000 € Gestion Standardisation, efficacité, Gains de 100 000 € de projets groupe réduction des coûts Pas dacquisition de serveur 7 000 € annuels de Gestion financière (20 000 € d’investissement) et fonctionnement pas de coûts de maintenance associés Bureautique Plus de licences par poste Gain de 60 € / anMars 2012 collaborative (coûtant 600 €MARKESS International ans) © Copyright 2012 - / poste sur 2 par collaborateur 10
  • Exemples de bénéfices découlant du recours à des solutions CRM en mode SaaS (sources déclaratives) Nature du bénéfice Estimation chiffrée Gestion des profils clients : réduction des coûts Amélioration du taux de clients de recrutement, fidélisation fidèles de 10 points, soit 1 M€ de (tourisme – 500 à 1 999 employés) gains complémentaires Gestion des e-mails sortants : diminution du coût CPM : de 3 à 1 euros pour mille (CPM) Gain de 20 K€ (industrie – 500 à 1 999 employés) Partage de contenus : gains de temps par Gains de 3 heures par semaine collaborateur concerné équivalent à 420 € (distribution – moins de 50 employés) par collaborateur concerné Référentiel interne pour la gestion des cas clients Gain d’environ 1 ETP (expert : réduction des coûts salariaux métier) équivalent à 30 K€ (opérateur – moins de 50 employés) Réduction de linvestissement de Pas d’achat de licences 300 K€ et passage en frais de (administration – 500 à 1 999 employés) fonctionnementMars 2012 © Copyright 2012 - MARKESS International 11
  • Exemples de bénéfices découlant du recours à des solutions RH en mode SaaS (sources déclaratives) Assurance – 2 300 coll. Organisation publique Distribution - 3 800 coll. Gestion de la paie +10 000 agents Entretiens annuels, • Amélioration de la rigueur Gestion des accidents du carrières et compétences et du suivi du cycle de paie travail • Hausse du taux • Meilleure fluidité du • Amélioration de la dutilisation de processus traçabilité lapplication (90% des • Réduction des incidents • Avant : néant ou solution entretiens réalisés vs. dexploitation (-70%) ad-hoc par entité 30%) • Avant : échanges et • Après : portail partagé à • Meilleure prise en compte relations compliqués avec léchelle de des items RH (mobilité, la DSI l’administration évolutions, etc...) • Après : relation contrac- • Réduction du taux de tuelle cadrée sur ce turnover de 2% processusMars 2012 © Copyright 2012 - MARKESS International 12
  • Des décideurs IT plus sensibles à l’intégration au SI, la qualité de Evolution des enjeux service avec le SaaS depuis 2008 et la réversibilité contractuelle. Des décideurs métiers s’interrogeant France, 2008-2010 (liste suggérée – multi-réponses) sur la sauvegarde de leurs données. Intégration au Confidentialité Confidentialité système des données des données d’information Garantie de Intégration au Confidentialité continuité de système des données service d’information 2008 2009 2010 Synchronisation Qualité Qualité de service difficile avec de service et engagements d’autres outils Problématiques associés Risque de perte réseaux (accès / Dépendance de contrôle performance) aux fournisseurs Complexité Dépendance Garantie de d’identifier aux continuité de les offres fournisseurs serviceMars 2012 © Copyright 2012 - MARKESS International 13
  • Europe : évolution du marché des logiciels & services de cloud computing (IaaS/PaaS/SaaS) France, 2011-2013 Europe France 13 800 ME en 2011 France 2 300 ME Ventilation SaaS / PaaS / IaaS Evolution annuelle d’ici 2013 Evolution annuelle d’ici 2013 +22% +20% Les chiffres de marché ont été établis en évitant tout double compte. Les revenus d’offreurs situés hors de l’hexagone sont compris. Ils n’incluent pas les revenus de ventes de matériel (serveurs…)Mars 2012 © Copyright 2012 - MARKESS International 14
  • Pour aller plus loin sur ce sujet Des Référentiels de Pratiques synthèses de +15 pages en téléchargement gratuit www.markess.fr Des études approfondies de +150 pagesMars 2012 © Copyright 2012 - MARKESS International 15
  • Pour suivre nos analyses sur nos blogs blog.markess.fr knowledgecenter.markess.com 6 bis, rue Auguste Vitu 75015 Paris l France Tél : +33 (0)1 56 77 17 77Mars 2012 © Copyright 2012 - MARKESS International 16
  • 09h15 – 10h00 - TABLE RONDENouveau modèle pour les DSI,mais aussi pour les éditeursavecPierre Calais, Membre du Syntec NumériqueDominique Bayle, DSI de l’ICM, CHU Pitié-SalpêtrièreGérard Russeil, DG de Chorégie et pilote du groupe de travail Saas au CIGREF
  • 10h00 – 10h20 - Avis d’expertÉvolution ou révolution pour la DSI ?avecCédric Jean, Directeur commercial d’AgarikJoël Bentolila, DSI TalentSoft
  • Votre intervenant AGARIK Hébergement, Infogérance, Cloud computing et Services web sur-mesure > 15 années d’existence > Lancement d’une offre de cloud public dès 2010 > 15 Datacenters dont 5 propriétaires Bull > 3 500 équipements hébergés et infogérés Cédric JEAN Directeur Commercial > 30 000 interventions par an dont 10 000 de nuit cedric.jean@agarik.com > 80% d’équipes Techniques > 600 Kms de fibre optique déployée20/03/2012 © Agarik 19
  • Evolution ou révolution ? nos 10 années dexpérience 2006 2011 Rachat de Soft2You Lancement de l’offre 1er ASP français CloudArchitek Voyage dans le Cloud 2002 2010 2011 - 2012 Lancement de l’offre Lancement de l’offre PaaS métier ROD Mycloudmaker.com (Ressource On Portail IaaS en ligne demand)20
  • Retour d’expérience Joël BENTOLILA C.T.O.20/03/2012 © Agarik 21
  • Le groupe TalentSoft • Leader européen de la Gestion Intégrée des + 2 de millions Talents et des Compétences en mode SaaS d’utilisateurs • No 1 en France des éditeurs en mode SaaS10 millions de candidats • 1ère solution de gestion des talents optimisée dans 100 pays pour le Cloud • 25% du CAC 40 • 100 collaborateurs dédiés • + 300 consultants certifiés TS dans le monde Paris Londres Mannheim 22
  • 20/03/2012 © Agarik 23
  • 10h00 – 10h20 - Avis d’expertÉvolution ou révolution pour la DSI ?avecCédric Jean, Directeur commercial d’AgarikJoël Bentolila, DSI TalentSoft
  • 10h20 – 10h50 - PAUSE Pause / Networking
  • 10h50 – 11h10 - Avis d’expertComment l’entreprise peut-elle bétonnerun contrat SaaS ?parMaître Garance Mathias, avocate à la Cour
  • LE SAAS Comment l’entreprise peut-elle bétonner un contrat SAAS ?Cabinet d’Avocats MATHIAS9 rue Notre Dame de Lorette 75009 PARIS garance@gmathias.com
  • ETAT DES LIEUX • Le risque légal est la conséquence du risque opérationnel • Le risque métier est de fait induit par le risque informationnel • La sécurité des systèmes d’information vise 4 grands objectifs: • Disponibilité • Intégrité des données • Confidentialité • Preuve L’évaluation des risques pesant sur les systèmes d’information permet de réduire les risques métiers et les risques légaux.
  • Définition du Cloud Computing Le Cloud Computing fait référence à l’utilisation des capacités de mémoire et de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Le Cloud Computing peut donc se définir comme une accessibilité à des « services » qui permettent daccéder à des applications, une puissance de calcul, des moyens de stockage, etc.
  • Intérêt du Cloud Computing L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté. Permet de s’affranchir des contraintes traditionnelles et d’avoir une approche modulaire selon le besoin.
  • Les composantes du CloudComputing De manière générale, les solutions Cloud Computing reposent sur des technologies de virtualisation et d’automatisation. Le Cloud Computing peut être représenté en trois composantes principales dont il est indifféremment l’une, les deux ou encore les trois combinées: le PaaS, le IaaS et le SaaS.
  • Le SaaS Sofware as a Service: Il sagit de la mise à disposition dun logiciel, non pas sous la forme dun produit que le client installe en interne sur ses serveurs mais en tant quapplication accessible à distance comme un service, par le biais dInternet et du web. Les clients payent pour utiliser ces applications. Lutilisation reste transparente pour les utilisateurs qui ne se soucient ni de la plate-forme, ni du matériel qui sont mutualisés avec dautres entreprises. Les principales applications actuelles de ce modèle sont la relation client (CRM), la vidéoconférence, la gestion des Ressources Humaines, etc.
  • Les caractéristiquesclés du SaaS
  • Les caractéristiques clés du SaaS Différences avec les solutions informatiques traditionnelles: des services à la place de produit technologiques avec mise à jour en continue et automatique; un self-service et un paiement à l’usage (en fonction de ce que l’on consomme), ce qui induit des économies budgétaires conséquentes; une mutualisation et une allocation dynamique de capacité (indépendant de toutes contingences matérielles, logicielles).
  • Les caractéristiques clés du SaaS Les utilisateurs restent propriétaires des données qui y sont hébergées. En revanche, ils ne sont pas propriétaires des applications ou de l’architecture qui permet leur utilisation ou leur hébergement.
  • Enjeux juridiques du SaaS Contrôle, sécurité et traçabilité des données: Nécessaire mise en place de procédures dhabilitation et de contrôle daccès aux données. Les entreprises doivent donc définir clairement leur rôle et responsabilité, tout en recherchant des solutions leur permettant de sécuriser lexternalisation de leurs données. Le contrat Cloud doit aborder la responsabilité de chaque partie et définir le périmètre de la prestation.
  • Les risques juridiques du SaaS L’externalisation est un choix stratégique de l’entreprise. Ce choix doit prendre en compte les règles juridiques applicables Notamment celles concernant les données à caractère personnel. La loi n°78-17 du 6 janvier 1978 dispose en son article 2 que « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble dopérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction »
  • La problématique des donnéespersonnelles Dautant plus importante que les nouvelles dispositions issues de lordonnance du 24 août 2011 transposant le paquet télécoms impliquent une protection renforcée de la vie privée et, plus précisément, des données personnelles. Désormais, larticle 38 de lordonnance prévoit une procédure spécifique de notification à la Cnil et à lutilisateur en cas de « faille de sécurité »
  • Les failles de sécurité Article 38 de l’ordonnance du 24 août 2011 : l’obligation d’une notification des failles de sécurité « En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de linformatique et des libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée dun abonné ou dune autre personne physique, le fournisseur avertit également, sans délai, lintéressé. » Notion de « fournisseur de services de communications électroniques »? Nécessaires précisions par les Tribunaux. Exceptions:« La notification dune violation des données à caractère personnel à lintéressé nest toutefois pas nécessaire si la Commission nationale de linformatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. » Sanctions en cas de violation de l’obligation de notifications du ressort de la CNIL: 150.000 € 300.000 € en cas de récidive Risque d’image: Possibilité de publication de la décision de la CNIL
  • Une solution: la contractualisationCabinet d’Avocats MATHIAS9 rue Notre Dame de Lorette 75009 PARIS garance@gmathias.com
  • Négociations et sensibilisation auxenjeux La négociation contractuelle est impérative et requiert lintervention du juriste dès la phase de conception du projet Cloud et ce, afin de circonscrire le périmètre de responsabilité. Lentreprise est chargée de la protection de ses informations qui constituent une valeur patrimoniale, convoitée par ses concurrents. La nouvelle menace vise également lintégrité et lauthentification de lidentité. Dans ce contexte, outre la négociation du contrat, lentreprise doit sensibiliser son personnel à ces nouveaux risques. Le Cloud Computing devenant une solution incontournable au sein de lentreprise, la protection des données, de quelque nature quelles soient, passe obligatoirement par une responsabilisation et une formation des utilisateurs. En effet, dans ce domaine, la prévention s’avérera beaucoup plus constructive pour lentreprise que des éventuels contentieux.
  • Contexte international mutualisé Le contrat SaaS nécessite la rédaction de contrats: afin dappréhender les responsabilités de chacun des intervenants; ainsi que la prise en compte des formalités imposées par la CNIL.
  • La notion de contratDifférentes possibilités: mise à disposition à distance dematériel: Applications (SaaS)Simplicité: un contrat unique / pas de gestiond’ensembles contractuels lourds (licence, maintenance,achat/crédit-bail, etc.)Dangers du contrat de prestation de services: Pas de régime légal supplétif (garanties, etc.) Absence d’obligations de résultat et de conseil renforcé Nécessaire exhaustivité du contrat: Clauses juridiques (obligations de résultat et de conseil) et opérationnelles (intégrité des données, conformité des traitements, réactivité de la maintenance, etc.)
  • Le contrat de SaaS Le contrat devra avant tout fixer les frontières de la responsabilité de chacun. Cette répartition sera définie notamment au regard des documents réalisés en amont du projet comme le cahier des charges ou lexpression des besoins tant fonctionnels que techniques du client (responsable du traitement).
  • Délimitation de la prestation dans le cadrecontractuel Nécessité d’une description exhaustive de la prestation Ne pas se limiter à une expression de besoins fonctionnels Mentionner les capacités de stockage et de traitement, la bande passante, etc. Anticiper l’évolution du service : évolution des besoins du client, des logiciels mis à disposition, etc. Remarques : Définir le processus de retour des données et les événements initiateurs En cas d’applications stratégiques ou d’éditeurs vulnérables : mise en séquestre des codes sources pour assurer la continuité de l’exploitation par le client en cas de défaut du prestataire Prévoir une garantie maison-mère ou une garantie bancaire à première demande en cas d’envoi d’informations sensibles dans le Cloud
  • Les contrats dits « miroirs » En outre, des contrats dits « miroirs » devront être mis en place avec les sous-traitants. Au sein de ses contrats, les contraintes et les engagements assumés par le prestataire devront être repris dans leur intégralité. Les sous-traitants devront également assister aux réunions des différents comités pilotant le projet Cloud.
  • L’engagement de disponibilité et deperformance Lengagement de disponibilité et de performance du prestataire est un enjeu conséquent en terme de responsabilité. Plus précisément, cet engagement permet de mettre en place des niveaux de service (délais dintervention, garantie de service, etc.) avec des éventuelles pénalités à la charge du prestataire en cas de manquement à son obligation. Ces niveaux de service sont également considérés comme des outils permettant, au fil de la relation contractuelle, daméliorer le service fourni par le prestataire.
  • La sécurité et la confidentialité desdonnées La sécurité et la confidentialité des données emporte des enjeux considérables. Il savère nécessaire de les aborder dans le contrat, notamment pour ce qui est de la confidentialité des données personnelles et du secret médical ou bancaire puisque dans ces hypothèses particulières, il sagit dobligations imposées par la loi. Le responsable du traitement devra donc sassurer via les clauses contractuelles – et il en va de sa responsabilité – que le prestataire de Cloud respectera son obligation de confidentialité et de sécurité. Il sera également nécessaire de délimiter strictement les cas de force majeure (à titre dillustration, un prestataire peut souhaiter inclure les pannes de réseaux, délectricité, etc.). De même, une clause prévoyant lobligation pour le prestataire de Cloud de contracter une assurance pourra savérer intéressante en cas de pertes dexploitation pour le responsable du traitement.
  • La problématique des donnéespersonnellesIdentification des parties et responsabilité Il est indispensable didentifier les parties et de les qualifier en termes de responsabilité. Le prestataire de Cloud Computing doit-il être considéré comme un sous-traitant ou comme le responsable du traitement? Le responsable du traitement se caractérise par son autonomie dans la mise en place et la gestion du traitement, cest la personne qui détermine les finalités et les moyens du traitement et ce conformément à larticle 3 de la loi du 6 janvier 1978. Cette qualification va entraîner un engagement de responsabilité différent pour le prestataire ou pour lutilisateur. Si des services supplémentaires sont fournis par lhébergeur, lui donnant ainsi la faculté de contrôler la manière dont les données personnelles sont traitées, cela pourrait avoir pour conséquence de modifier son statut de sous-traitant au profit de celui de responsable de traitement.
  • La problématique des donnéespersonnellesLe responsable du traitement et le sous-traitant La responsabilité première en matière de données personnelles (sécurité, confidentialité, etc.) pèse sur le responsable du traitement et non sur le sous-traitant. Le sous-traitant, en application de larticle 35 de la loi n°78-17 du 6 janvier 1978, nest tenu que par des obligations contractuelles de confidentialité et de sécurité visant à protéger les données personnelles contre la destruction accidentelle ou illicite, laltération, la diffusion ou laccès non autorisés. Article 35 de la loi du 6 janvier 1978 : « (...) Le contrat liant le sous- traitant au responsable du traitement comporte lindication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous- traitant ne peut agir que sur instruction du responsable du traitement. »
  • La problématique des donnéespersonnellesLe responsable du traitement et le sous-traitant Le droit français à linstar de la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considère en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions dun responsable des données.
  • Les critères dégagés par la CNIL Le groupe de travail de la CNIL, afin de faciliter lappréciation de la fonction de prestataire, a dégagé plusieurs critères. Le faisceau dindices élaboré par la CNIL repose sur les critères suivants: le niveau des instructions préalables données par le responsable du traitement. Il sagit dapprécier si le niveau dinstruction donné par le client au prestataire dans le cadre du contrat dexternalisation est général ou précis. le niveau du contrôle de lexécution des prestations. Il sagit de vérifier le degré de supervision du client en tant que responsable de traitement sur la prestation de son prestataire. la transparence. Il sagit dapprécier le degré de transparence du responsable de traitement au niveau de la prestation de service. lexpertise. Il sagit dapprécier le degré dexpertise du prestataire par rapport au client.
  • Les critères dégagés par la CNIL Ces critères doivent être appréciés dans leur ensemble: seule la réalisation de plusieurs de ces critères permettra de qualifier le prestataire. Il convient daborder plus particulièrement la question du transfert des données personnelles dans le Cloud. En effet, larticle 5 de la loi de 1978 modifiée soumet à la loi française les traitements de données à caractère personnel dont le responsable du traitement est établi sur le territoire français ou dont les moyens de traitement sont situés sur le territoire français.
  • Les grands principes du transfertdes données Dans le cadre de lexternalisation, le responsable du traitement devra donc sassurer que le transfert de ses données dans ou via un pays seffectue dans un pays ayant un niveau de protection adéquat. Ce transfert doit s’opérer dans le cadre des grands principes prévus par la loi Informatique et Libertés : les transferts en dehors de l’Union européenne sont interdits, les exceptions à cette interdiction sont prévues par l’article 69 de la loi : ainsi, les transferts en dehors de l’Union européenne sont autorisés si le pays ou l’entreprise destinataire assure un niveau de protection adéquat aux données transférées. Cette protection adéquate peut être apportée de plusieurs manières : légalement, si le pays destinataire des données personnelles a une législation reconnue par la commission européenne comme offrant une protection adéquate , de manière contractuelle, par la signature de Clauses Contractuelles Types, adoptées par la Commission européenne, entre l’entité exportatrice et l’entité importatrice de données personnelles, ou par l’adoption de Règles Internes d’entreprises (Binding Corporates Rules), qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des pays tiers ou, lorsque l’entité importatrice est basée aux Etats-Unis et qu’elle adhère aux principes du Safe Harbor.
  • Le niveau de protection suffisante Article 68 de la loi Informatiques et Libertés : « Le responsable dun traitement ne peut transférer des données à caractère personnel vers un Etat nappartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à légard du traitement dont ces données font lobjet ou peuvent faire lobjet. Le caractère suffisant du niveau de protection assuré par un Etat sapprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de lorigine et de la destination des données traitées. »
  • Les transferts dans les situationsexceptionnelles L’article 69 permet également d’opérer des transferts dans des situations exceptionnelles. Ces autres dérogations s’opèrent néanmoins avec un contrôle strict de la CNIL qui délivre, le cas échéant, une autorisation. A titre d’illustration, l’exception en cas de consentement exprès de la personne est prévue dans le cadre de l’article 69. Toutefois, la CNIL, se fondant sur la définition posée par la directive, rappelle que ce consentement exprès doit être une manifestation positive de volonté (ce qui exclut, par exemple, de recueillir le consentement des personnes sur un site avec une case pré-cochée). Ce consentement doit également être donné et pouvoir être retiré librement, ce qui a pour conséquence d’invalider, en principe, le consentement de salariés donné à l’employeur, compte tenu de la dépendance hiérarchique dans laquelle ils se trouvent. Le consentement de la personne doit enfin être spécifique. Ainsi, seront considérés comme non valables les consentements donnés par anticipation à des transferts futurs non définis. Par ailleurs, l’intégralité des informations disponibles concernant le niveau de protection assuré par le pays destinataire devra être communiquée aux personnes concernées.
  • Les autorisations et informationspréalables au transfert Ces procédures de transfert doivent préalablement: recueillir lautorisation de la CNIL; Et être soumises pour information aux institutions représentatives du personnel.
  • Les éventuelles réglementationssectorielles Indépendamment de respecter les procédures, des réglementations sectorielles peuvent permettre à des autorités nationales locales daccéder aux données. Aux États-Unis, le Patriot Act permet au gouvernement américain daccéder à toute donnée stockée sur son territoire, en cas durgence ou en cas de nécessité pour la sécurité nationale.
  • Sécurité (conservation de la chose) Le prestataire doit conserver la chose, sans vol, perte ou détérioration Nécessaire obligation de transparence Informations techniques notamment la localisation du serveur Informations en cas de sous-traitance Communication des engagements de performance et de sécurité auxquels le sous-traitant est soumis à l’égard du prestataire Sécurité physique (surveillance) et logique (anti-virus, cryptage, etc.) Détermination des conditions d’archivage Durée de conservation conformément aux obligations légales Conditions de conservation
  • L’obligation de conseil Lentreprise (responsable du traitement) devra mettre en place des outils nécessaires au bon suivi du projet afin de ne pas perdre le contrôle des données dont elle demeure responsable. Dans ce cadre, il est nécessaire dinsister sur le fait que le prestataire (hébergeur) est soumis à une obligation de conseil envers son client, et doit linformer de tout manquement par rapport au projet initialement défini. Cette obligation de transparence doit se retrouver quant à linformation sur la localisation des données.
  • La propriété intellectuelle La titularité des droits de propriété devra être clairement précisée dans le contrat. Il sera nécessaire dintégrer une clause de cession des droits de propriété sur les développements spécifiques réalisés par le prestataire pour les besoins de lentreprise décidant de recourir au Cloud. Cette cession pourra également concerner les modalités effectives daccès par le responsable du traitement aux codes sources des applications mises en place par le prestataire à loccasion déventuelles défaillances de ce dernier.
  • Continuité du service Définition de la qualité de la prestation de service Qualité et performance : délai de réalisation des obligations, hors défauts de connexion), outils de mesure et droit d’audit Convention de niveau de service (SLA) Éléments préventifs et curatifs : audit des plans de back up et de continuité La responsabilité de la connexion Sur qui porte la responsabilité de la connexion, de sa performance et de sa sécurité ? Le prestataire ne pourra exclure sa responsabilité que pour la partie strictement publique (Internet) Il incombera au prestataire de sécuriser l’accès (procédures d’alerte et redondance en cas de panne) Audit technique et contractuel des solutions de connexions La phase de test
  • Plan de réversibilité Organisation du transfert de données vers un tiers prestataire : TRANSFERABILITE Organisation du transfert de données chez le client: REINTERNALISATION Carence du prestataire Délais de préavis Libre choix du client Coût Mise à jour régulière du plan de réversibilité tenant compte de l’évolution du périmètre de la prestation Transfert de responsabilité
  • La clause de réversibilité Cette clause de réversibilité doit organiser la possibilité de revenir à une situation antérieure si celle-ci est toujours viable. La conception de la réversibilité doit être envisagée largement, notamment en prévoyant, le cas échéant, le transfert du système chez un autre prestataire. De manière usuelle, la clause de réversibilité est fonction de la durée du contrat ou de ses modes de résiliation. À titre dillustration, cette clause peut être définie sur le plan technique dans le cadre dune annexe qui précisera indépendamment du coût, le format des données et applications qui seront restituées.
  • Article 97 du Code de ProcédurePénale Larticle 97 du Code de Procédure Pénale indique que lhébergeur doit être en mesure dextraire de son Cloud les éléments recherchés ou lensemble des informations concernant un client particulier. « Lorsquil y a lieu, en cours dinformation, de rechercher des documents ou des données informatiques et sous réserve des nécessités de linformation et du respect, le cas échéant, de lobligation stipulée par lalinéa 3 de larticle précédent, le juge dinstruction ou lofficier de police judiciaire par lui commis a seul le droit den prendre connaissance avant de procéder à la saisie. (…) Il est procédé à la saisie des données informatiques nécessaires à la manifestation de la vérité en plaçant sous main de justice soit le support physique de ces données, soit une copie réalisée en présence des personnes qui assistent à la perquisition. »
  • La compétence territoriale et ledroit applicable au contrat Le droit choisi et le tribunal compétent doivent être expressément mentionnés au contrat. A défaut, en cas de litige, la juridiction compétente et le droit applicable seront déterminés par application des règles de droit international privé. Ces règles sont dune grande complexité et leur application peut difficilement être anticipée, ce qui génère une insécurité juridique.
  • Le droit applicable au contrat Même si le bloc européen tend à sharmoniser, pour autant, chaque système de droit conserve ses spécificités. En effet, les lois impératives, cest-à-dire celles qui se superposent aux dispositions du contrat, sont différentes dun pays à lautre. Aussi, une disposition valable par exemple en droit anglo-saxon comme une exclusion de responsabilité se révélera non conforme au droit français. En outre, la jurisprudence varie dun pays à lautre et sa prise en compte permet de mieux appréhender linterprétation du contrat.
  • La compétence territoriale Dès lors que les parties noptent pas pour larbitrage, il est indispensable de la mettre en cohérence avec le droit choisi. Le choix du droit et de la juridiction résulte dune véritable réflexion stratégique, qui commande de prendre en compte la taille respective des contractants, lexistence ou non dimplantations de lun ou de lautre dans le pays où la décision sera rendue et la facilité dobtention de lexéquatur de la décision dans le pays de lautre partie.
  • Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à légard du traitement des données à caractèreCabinet d’Avocats MATHIAS personnel et à la libre circulation de ces données9 rue Notre Dame de Lorette (règlement général sur la protection des 75009 PARIS garance@gmathias.com données)
  • Un champ d’application étendu au-delà des frontières européennes Article 3 – Champ d’application territorial : extension du champ du règlement à tout traitement visant un citoyen de l’UE, que le responsable du traitement ou le traitement soit ou non établi sur le sol européen. abolition de la notion de frontières géographiques dès lors qu’il s’agit de flux de données prise en compte explicite des échanges via internet et de l’utilisation de services basés à l’étranger, comme des réseaux sociaux, des moteurs de recherche, etc. qui en cas de litiges se retranchent derrière des juridictions nationales parfois très laxistes
  • Des définitions élargies Article 4 - Définitions : renforcement des définitions de la Directive 95/45/EC du 25 octobre 1995. « ’’personne concernée’’: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles dêtre utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; ». Cela fait explicitement rentrer dans le champ du règlement « l’adresse IP », les « coordonnées GPS », « l’adresse MAC » d’un équipement, etc. La notion de "consentement" est précisée comme étant « toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent lobjet dun traitement; ». Ce consentement ne peut être valable lorsqu’il est donné par un mineur sans l’accord d’un de ses parents ni lorsqu’il est donné dans le cadre d’une relation déséquilibrée de dépendance entre la personne concernée et le responsable de traitement (on pense évidemment à la relation de travail). Nouvelles définitions : il y a en tout 19 définitions.
  • Des « grands » principes renforcéset étendus Article 5 - Principes relatifs au traitement des données à caractère personnel 1(c) : principe de « minimisation » des données collectées : les données à caractère personnel doivent être adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées 1(f) : principe de « responsabilité » du Responsable de traitement qui doit veiller à la conformité de chaque opération de traitement avec les dispositions du présent règlement et en apporter la preuve .
  • Les droits des personnesconcernées sont complétés Article 17 - Droit à loubli numérique et à leffacement: introduction d’une nouvelle vision du droit à l’oubli : la non-diffusion des données à caractère personnel d’une Personne concernée qui pourra, en cas de diffusion publique, demander au Responsable de traitement une suppression des informations concernées ainsi que des copies et des liens pointant vers ces informations accessibles depuis tout moteur de recherche. Article 18 – Droit à la portabilité des données : introduction d’un droit à la portabilité des données qui doit permettre à la Personne concernée de pouvoir disposer de ses données dans un « format électronique structuré » que le Responsable de traitement lui fournit, sur demande.
  • La protection des données à caractèrepersonnel par conception et par défautdevient un pré-requis Article 23 – Protection des données dès la conception et protection des données par défaut: introduction dans les obligations du Responsable de traitement qui doit dès la conception d’un traitement inclure les mesures techniques et organisationnelles nécessaires à la protection des données à caractère personnel traitées et, également, mettre à jour et adapter ces mesures tout au long de l’existence du traitement.
  • La notification des failles de sécurité devientobligatoire dans un délai de 24h Article 31 - Notification à lautorité de contrôle dune violation de données à caractère personnel : en cas d’une « violation de données à caractère personnel », le Responsable de traitement doit en informer l’Autorité de contrôle nationale (CNIL) sans délai et d’une façon générale pas au-delà de 24 h après la découverte de la défaillance. Si cette défaillance est susceptible d’affecter les personnes concernées, alors l’Article 32 - Communication à la personne concernée dune violation de données à caractère personnel dispose que le Responsable de traitement doit aussi en informer les personnes concernées « sans retard indu ».
  • L’étude d’impact Article 33 – Analyse d’impact relative à la protection des données: introduction de la réalisation d’étude d’impact dans les obligations du Responsable de traitement lorsque les traitements concernés sont susceptibles de faire naître des risques particuliers pour les droits et les libertés des personnes concernées. Parmi ces traitements à risque figurent : les traitements de données sensibles la surveillance des espaces publics et des traitements utilisés pour faire du profilage automatique.
  • Le « Correspondant Informatique et Libertés »devient obligatoire et la fonction est renforcée Article 35 - Désignation du délégué à la protection des données: confirmation de la fonction de data protection officer introduite par la Directive et traduite en français par « Correspondant Informatique et Libertés » (CIL). Le CIL devient obligatoire dans trois cas : pour les autorités ou organismes publics; pour les entreprises employant 250 personnes ou plus; et pour tout organisme dont les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.
  • Les transmissions d’informations dans le cadre deprocédures de « discovery » devront recevoir uneautorisation préalable Article 42 - Disclosures not authorized by Union law : toutes les demandes de transmission d’informations à des pays tiers (non membres de l’UE) dans le cadre de procédures judiciaires de type « discovery » ou autres seront soumises à l’autorisation préalable de l’Autorité de contrôle nationale (CNIL).
  • Merci pour votre attention ! Questions Cabinet d’Avocats MATHIAS 9 rue Notre Dame de Lorette 75009 PARIS garance@gmathias.com
  • 11h10 – 11h30 - Avis d’expertLa DSI fournisseur de services SaaS ?parBenoît Huard, Directeur commercial, NavahoPatrice Salsa, DSI de la CFDT
  • LA DSI FOURNISSEUR DE SERVICES SAAS Mardi 13 mars 2012 Benoit HUARDNavaho est une marque de Risc Group IT Solutions
  • CLOUD = IAAS + PAAS + SAAS Modèle classique IAAS PAAS SAAS L’Entreprise APPLICATION APPLICATION APPLICATION APPLICATION L’Entreprise RUNTIMES RUNTIMES RUNTIMES RUNTIMES INTEGRATION SOA INTEGRATION SOA INTEGRATION SOA INTEGRATION SOA Partenaire CLOUD BASE DE DONNEES BASE DE DONNEES BASE DE DONNEES BASE DE DONNEES Partenaire CLOUDL’Entreprise LOGICIEL SERVEUR LOGICIEL SERVEUR LOGICIEL SERVEUR LOGICIEL SERVEUR Partenaire CLOUD VIRTUALISATION VIRTUALISATION VIRTUALISATION VIRTUALISATION MATERIEL SERVEUR MATERIEL SERVEUR MATERIEL SERVEUR MATERIEL SERVEUR STOCKAGE STOCKAGE STOCKAGE STOCKAGE RESEAU RESEAU RESEAU RESEAU Navaho est une marque de Risc Group IT Solutions
  • INFRASTRUCTURE AS A SERVICE (IAAS) VIRTUALISATION HYPERVISION APPLICATION L’Entreprise RUNTIMES HÉBERGEMENT INTEGRATION SOA BASE DE DONNEES LOGICIEL SERVEUR SAN ON DEMAND VIRTUALISATION WAN – MPLS - VPN MATERIEL SERVEUR STOCKAGE ACCÈS INTERNET RESEAU Navaho est une marque de Risc Group IT Solutions
  • PLATFORM AS A SERVICE (PAAS) L’Entreprise APPLICATION RUNTIMES INFOGÉRANCE INTEGRATION SOA BASE DE DONNEES LOGICIEL SERVEUR WEB TECHNOLOGIES WEB SERVICES VIRTUALISATION MATERIEL SERVEUR STOCKAGE RESEAU Navaho est une marque de Risc Group IT Solutions
  • SOFTWARE AS A SERVICE (SAAS) APPLICATION MICROSOFT RUNTIMES INTEGRATION SOA CONFIANCE NUMERIQUE BASE DE DONNEES SIGNATURE ÉLÉCTRONIQUE HORODATAGE COFFRE FORT ÉLÉCTRONIQUE LOGICIEL SERVEUR LETTRE RECOMMANDÉE ELECTRONIQUE ARCHIVAGE A VALEUR PROBANTE VIRTUALISATION TÉLÉPHONIE IP CENTREX IP MATERIEL SERVEUR BUSINESS TRUNKING STOCKAGE TELESAUVEGARDE PC / LAPTOP RESEAU SERVEURS Navaho est une marque de Risc Group IT Solutions
  • NAVAHO ENOPÉRATEUR GLOBAL DE SERVICES MANAGÉSDate Création 1990 Evolution du Chiffre d’Affaire en K€Activité Fédérateur de services IPChiffre d’Affaires 25 M€Effectif 150Nombre de clients + 1.200Nombre de contrats + 3.000 • Certification ISO 9001:2008 • Agrément archiviste intermédiaire SIAF (Service Interministériel des Archives de France) Navaho est une marque de Risc Group IT Solutions
  • NOS OFFRES DE SERVICE Navaho Navaho Network Hosting Navaho Navaho Telephony Collaborative Navaho Navaho Backup Digital Trust Navaho est une marque de Risc Group IT Solutions
  • Navaho est une marque de Risc Group IT Solutions
  • Navaho, une marque de Risc Group IT Solutions
  • 11h30 – 12h15 - Table RondeLa phobie sécuritaire liée au SaaSest-elle justifiée ?avecMahmoud Denfer, Group Information Security Officer , VallourecJean-Marc Grémy , membre du Clusif
  • 12h15 – 12h35 - Avis d’expertMythes et légendesdes aspects financiers du SaaSparLaurent Gasser, CEO Revevol
  • The Game Changer in Cloud Business
  • The Game Changer in Cloud Business Mythes et légendes des aspects financiers du SaaS.Maitrise des coûts, économies et retour sur investissement.Que gagne la DSI, et qu’est-ce qui profite aux métiers ? par Laurent Gasser - CEO Revevol
  • Prévisions Forrester: Le marché du SaaS 132 Mil$ 2020
  • Métiers versus DSI: le SaaS à la croisée des chemins
  • Multitenant = la clé des économies CA= 15 Milliards$ CA= 2 Milliards$
  • Multitenant = la clé des économiesQuelle version avez vous ?Coût de la prochaine montée de version ?
  • Datacenter - IndustrialisationGoogle - Microsoft - Amazon : 500 Millions à 1 Milliard$Apple : 1 Milliard $Facebook: 600 Millions $Seul Investissement "privé"équivalent: NSA aux USCyber Security Center1,5 Milliard $
  • Datacenter - IndustrialisationComparaison entre 1.000 serveurs et 1.000 parmi 100K serveurs• Efficiency ratio for Networks = 7,3• Efficiency ratio for Storage = 5,7• Efficiency ratio for administration (people/server) = 7,1
  • Datacenter - IndustrialisationCoût de ces 1.000 serveurs : 4 X moins cherAWS vientde diviserses prix par 2
  • ROI - Concur - Travel expenses management - Forrester Payback = 10 mois
  • ROI - Salesforce - CRM - par Nucleus Research ROI entre 108% et 216% Payback period entre 7 mois et 2 ans
  • Quel poste daccès = La question des années à venirAvec quelle politique de BYOD ?Avec quelle politique de choix ?
  • Maîtrise des coûts ? Tout en OPEX Fini les CAPEX OPEX variable par user Fini les montées de version Migration facilitée grâce aux standards du webRetour sur investissement ? ROI en mode "green field" sont un acquis Vos Capex sont ils amortis ? Votre personnel administrant les infra & applications ?Gains métiers ? Evolution plus rapide Quick win for the business Quels sont vos temps de réponse aux demandes des métiers
  • Que gagne la DSI ?Quest ce qui profite auxmétiers ?
  • 12h35 – 12h50 - ConclusionLe SaaS va-t-il réellement bouleverser le secteurinformatique ?parHenry-Michel Rozenblum, Directeur délégué, Eurocloud
  • 107
  • EuroCloud France est la branche française del’organisation européenne EuroCloud, premierréseau d’acteurs du Cloud en Europe avec uneprésence dans 28 pays européens www.eurocloud.fr
  • EuroCloud France• Objectif : aider au développement du Cloud en France• Des commissions, forces de proposition• Les Etats Généraux du Cloud, chaque année depuis 2006• Un lieu de rencontre et de partenariats 109
  • 140 sociétés adhérentes Hébergeur Grossistes Cloud providersIntégrateurs Editeurs de Constructeurs VARs logiciels SSII Telecom 110
  • Nos initiatives récentes• Le livre blanc « Le Cloud et la distribution »• 17 propositions pour « Gagner les 3 batailles de l’informatique en nuage » remises au ministre Eric Besson• Le livre blanc « L’évolution maitrisée vers le IaaS/PaaS » 111
  • 7èmes Etats Généraux du Cloud : 21 mars• 5 Conférences• 12 tables rondes• 3 moments forts : – Remise des 6èmes trophées EuroCloud – Débat UMP - PS sur l’Economie numérique et le Cloud – Annonce d’un programme très ambitieux en direction de la « distribution informatique »• Lieu : CCIP• Etats-generaux.eurocloud.fr 112
  • 113
  • Le SaaS va-t-il réellement bouleverser le secteur informatique ? Bouleversement ? Révolution ? Tsunami ? 114
  • Le SaaS va-t-il réellement bouleverser le secteur informatique ? Bouleversement ? Révolution ? Tsunami ? 115
  • EvolutionArrêtons de se faire peur.Les fondamentaux demeurent.• Informatique = – Unités de traitement – Unités de stockage – Unités d’interface humaine 116
  • Le « bouleversement » a lieu… …Mais pas chez vous !• Regardez ce qui se passe dans les PME / TPE• Panique chez les éditeurs de gestion « traditionnels »• Grosse fatigue chez les intégrateurs et SSII 117
  • Les éditeurs « métiers »• Redistribution des cartes – Disparition – Rachat – Réorganisation• Mondialisation rapide 118
  • Les grands éditeurs « IaaS »• Font ce qu’ils font depuis quelques années• Accélération avec Microsoft• Arrivée des Telecom 119
  • Un bug chez les intermédiaires• Indispensables pour intégrer• Le dernier kilomètre• Le chainon manquant au modèle 120
  • Un bug chez les intermédiaires ?• Indispensables pour intégrer• Le dernier kilomètre• Le chainon manquant au modèle 121
  • DSI – D comme DisparitionCombien de fois n’a-t-on pasprédit la disparition des DSI ?Cloud could not ! 122
  • DSI – I comme IncrevableVous résistez à tous les virus :• PC• Client/serveur• Internet• BYOD 123
  • DSI – S comme…ServicesNous ne voyons pas de changementfondamental de la mission d’un DSI.• Comparable à un avionneur (r)assembleur• Penser « en avance de phase » commentl’informatique peut améliorer le fonction-nement de l’entreprise 124
  • Ca va devenir méchamment compliqué• La maîtrise de l’information et non de l’informatique• Gérer le savoir partagé• Société du « Savoir » ou du « voir » ? 125
  • MerciHenry-Michel ROZENBLUM 06 15 04 58 79 hmr@eurocloud.fr 126
  • 12h50 – 13h00 - JEUTIRAGE AU SORT iPad Et le gagnant est……?
  • 13h00– 14h00 - COCKTAIL DEJEUNATOIRE Cocktail / Networking MERCI DE VOTRE PARTICIPATION !