Your SlideShare is downloading. ×
0
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
2013 02 impact juridique du cloud et bonnes pratiques contractuelles
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

2013 02 impact juridique du cloud et bonnes pratiques contractuelles

1,064

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,064
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
47
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Impact juridique du Cloud et bonnes pratiques contractuelles Me André MEILLASSOUX ATM AVOCATS Président de l’Association Française de Droit de l’Informatique et de la Télécommunication (AFDIT) ameillassoux@atmavocats.com www.atmavocats-associes.com 18, rue Jean Goujon 75008 Paris - 01 56 91 05 05
  • 2. INTRODUCTIONLa notion de « Cloud Computing », littéralement traduite en Français par« informatique dans les nuages » est une expression valise qui couvre plusieurspratiques . Une définition existe toutefois et permet de déterminer ses contours « Le terme "Cloud" désigne aujourd’hui de manière générale un nouveau modèle à la fois de distribution et de consommation de l’informatique qui consiste à mettre à disposition via les réseaux de communication et à la demande (= "as a service"), un ensemble de "ressources" (puissance de calcul, stockage de données, applications, etc.) et de "services" (gestion, administration, etc.). Celles-ci seront mutualisées, dématérialisées, contractualisées, évolutives et en libre-service. » Source : Syntec numerique, « Cloud computing nouveaux modèles », Livre blanc, Mars 2012, p.6. 2
  • 3. INTRODUCTIONL’utilisation du Cloud en entreprise représente un enjeu économique devenu une nécessité mais qui implique de garder à l’esprit plusieurs points: L’entreprise confie à un prestataire la fourniture de moyens informatiques à une échelle jamais atteinte : elle remet entre les mains d’un tiers une partie importante (et parfois sensible) de son activité (données, ressources, applicatifs…). Si le prestataire est défaillant, les préjudices peuvent être importants :  préjudice financier lié à l’impossibilité/difficulté de mener son business  compromission/ ou perte du savoir-faire, de données clients ou internes, de secrets…  violation de droits de propriétés intellectuelles,  violation des obligations en matière de données personnelles (et mise en cause pénale du responsable du traitement). Préparer au mieux la phase contractuelle est la manière la plus efficace de se prémunir contre ses risques. 3
  • 4. INTRODUCTIONLe contrat signé avec le prestataire doit être pris au sérieux Le contrat est la clé de voûte des relations entre le prestataire (ou « Cloud Provider ») et le client. Souvent, il existe peu de marge de manœuvres dans la négociation : le contrat Cloud est trop souvent un contrat dit « d’adhésion » (pré-rédigé et non négociable). Conséquence directe : la réalisation d’un audit en amont permettra à l’entreprise de cerner ses besoins et rédiger un cahier des charges qui constituera le référentiel et l’objectif contractuel de l’entreprise. La connaissance de son besoin permet de mieux cerner les risques liés à l’absence de flexibilité du contrat.Pour le client : le but est de conclure un contrat adapté et évolutif.Pour le prestataire : le but est d’imposer ses conditions générales. 4
  • 5. INTRODUCTIONLe choix des besoins détermine le niveau d’engagement du prestataire Source : syntec numerique. 5
  • 6. PLAN DE L’INTERVENTIONLe contrat Cloud comporte plusieurs points essentiels sur lesquels le Client doit focaliser son attention lors de la phase d’avant-contrat. I. PÉRIMÈTRE DES SERVICES ET PRESTATIONS II. RESPONSABILITES DE CHAQUE PARTIE III. DONNÉES – TRANSFERT ET TRAITEMENT IV. PRIX – MODES DE FIXATION V. RÉVERSIBILITÉ – ÉVOLUTIVITÉ VI. DROIT APPLICABLE - 6
  • 7. I. SERVICES ET PRESTATIONS 7
  • 8. I. Détermination des services et prestations1. La détermination des services.C’est l’objet du contrat : il doit couvrir le « périmètre » des services fournis par leprestataire et le « niveau d’engagement » attendu , deux notions clé, Le PérimètreIl permet de déterminer l’étendue et le contenu des services et prestations qui serontfournis au titre du contrat  Les services fournis par le prestataire doivent être définis précisément.  Etablissement d’un catalogue des services/prestations rendus  Anticipation par le contrat des conditions d’évolution de ce catalogue.  La précision des « Définitions » est fondamentale. Le niveau d’engagement est le point clé de la négociation.  Qualification juridique du niveau d’engagement : maîtrise d’œuvre, obligation de résultat..  Le client cherchera à obtenir le plus haut niveau d’engagement de la part du prestataire, pour chaque prestation contractualisée.  Le prestataire cherchera à limiter ses engagements à différents niveaux (obligation 8 de moyen, limitation basse de responsabilité).
  • 9. I. Services2. La fourniture des services et prestations Le niveau de l’engagement doit être contractualisé. Il faut prévoir les niveaux de services techniques : disponibilité, continuité, puissance du service. Souvent dans les SLA. Les conditions de suspension doivent être limitées aux cas les plus stricts. L’occurrence des maintenances ou mises à jour doivent être déterminées de concert entre les parties. Exemples de clauses pertinentes ou de niveaux de services à déterminer dans le SLA:  Bande passante/Volumétrie (minimum contractuel à prévoir).  Volume de stockage du prestataire/performance des serveurs.  Contractualisation de la fonction support du prestataire (temps d’intervention minimum, délai de temps avant une réponse technique).  Contractualisation possible de « back up plans » : audit de plan de secours, réplication des données. Attention à la terminologie ! Les phrases types : « mettons en œuvre nos meilleurs efforts pour vous garantir la continuité du service » n’engagent le prestataire 9
  • 10. II. RESPONSABILITÉS 10
  • 11. II. RESPONSABILITÉS1. L’organisation des responsabilités est nécessaire pour l’économie du contrat. Le contrat sert à la prise en compte des conséquences de l’inexécution des prestations, dès la conclusion de l’engagement. Ce sont des sujets qui fâchent en négociation, mais qui sont stratégiques Le niveau de « responsabilité » du prestataire est essentiel, car c’est la preuve de son sérieux Il faut aller voir, presque avant tout, cette clause qui est entre la clause 15 et la clause 18 (à la fin) Il est indispensable de l’étudier, la négocier et la contractualiser Et ce, à plusieurs niveaux :  La responsabilité du prestataire à l’égard du client (clause indispensable).  La responsabilité du client dans les cas litigieux  Envisager également les impacts sur les tiers (par ex : Les perte de données de tiers) Les clauses d’assurance sur les risques spécifiques au Cloud ne doivent pas perturber l’économie du contrat. 11
  • 12. II. Responsabilité2. Analyse des clauses courantes: La responsabilité contractuelle du prestataire :  L’assiette des préjudices couverts : les prestataires cherchent à exclure certains préjudices  Attention aux clauses pré-qualifiant en dommages « indirects » certains préjudices pour les exclure (refus courant d’indemniser la perte de CA, de bénéfice, de la clientèle, les gains manqués, le préjudice d’image : attention à ne pas vider la responsabilité de toute substance).  Attention aux limitations à un montant contractuellement établi (somme fixe ou montant des redevances perçues pendant une période déterminée).  Les niveaux diffèrent selon les services fournis (Iaas, Saas, Paas). La responsabilité contractuelle du client :  Les contrats prévoient souvent des cas prédéfinis de mise en jeu de la responsabilité du client, il s’engage généralement à assumer les conséquences de ses fautes (attention aux définitions).  Dans ce cas, les limites doivent être strictes, le Prestataire ne doit pas se défausser 12 sur son Client.
  • 13. III. LES DONNÉES 13
  • 14. III. Les Données1. La sécurisation des données Désormais, les données sont, à juste titre, au centre de l’attention : où sont elles stockées, dans quelles conditions, comment sont elles sécurisées, comment on les récupère ?Faire un audit Prévoir, au moins en interne, un audit spécifique et préalable, qui est nécessaire afin de cerner le statut des données traitées.Problème de la sous-traitance Il faut prévoir quelles opérations peuvent être sous-traitées et à qui (c’est une obligation légale de la loi du 31 décembre 1975 sur la sous-traitance)  liste et missions des sous-traitants au sein même du contrat.  Insertion possible dans le contrat d’une obligation pour le prestataire de répercuter ses obligations en matière de données dans les contrats passés avec les sous-traitants. 14
  • 15. III. Données2. La propriété des données Un droit de propriété du Client sur ses données : réaffirmation nécessaire dans les termes du contrat. La propriété intellectuelle sur les données : Déterminer l’éventualité de revendication de propriété de certains éléments confiés au prestataire et la paternité des droits de chacune des parties au contrat (difficulté possible en cas d’œuvres créées avec du matériel fourni par le prestataire). 15
  • 16. III. Données3. Le traitement des données personnelles :3.1 La localisation des données La législation est stricte en matière de données personnelles (sanctions pénales):  En cas de traitement de données sensibles : déclarations Cnil obligatoires.  Données stockées hors de l’UE et notion de « safe harbor »  rédaction de clauses dans le contrat mettant à la charge du prestataire des obligations supplémentaires de sécurisation des données (Possibilité également de contractualiser le maintien des données sur un Cloud « européen »). Souvent, le Client souhaite organiser la localisation géographique du serveur3.2 Le responsable du traitement Aménagement contractuel possible sur l’identité du responsable du traitement des données (par principe l’entreprise cliente est systématiquement responsable mais négociation possible pour obtenir un partage de responsabilité).  Le responsable du traitement reste et demeure responsable même si les données sont externalisées (art 35 de la loi Cnil du 6 janvier 1978). 16
  • 17. III. Données3. Le traitement des données personnelles :3.3 Clauses à prévoir Il faut prévoir une obligation d’information du prestataire en cas de déviation ou risque de déviation par rapport au référentiel de conformité.C’est désormais une infraction pénale Une clause de confidentialité étendue est nécessaire au contrat. Il faut prévoir, en amont, toutes les pénalités afférentes au dépassement des services par le client et aux inexécutions par le prestataire. Possibilité de prévoir des clauses de « devoir d’alerte » en cas d’utilisation excessive du service par le client. 17
  • 18. III. Données3. Le traitement des données personnelles (suite)Recommandation de la Cnil (25/06/12) : Faire respecter au prestataire Cloud, par la voie du contrat, les contraintes légales (localisation des données, réglementations spécifiques à certains types de données, etc.), les contraintes pratiques (assurer la pérennité, la disponibilité, réversibilité/portabilité des données etc.) et les contraintes techniques (interopérabilité avec le système existant, etc.) afin de sécuriser au mieux les échanges de données. Après avoir réalisé un audit spécifique sur les données concernées, la Cnil conseille aux entreprises de choisir des solutions Cloud différentes en fonction des traitements : possible donc de choisir « un service IaaS public français pour le site Internet … un SaaS européen privé pour les messages électroniques », En fonction des métiers prévoir des dispositions spécifiques : Par ex un hébergeur de santé homologué pour les données de santé (plus 18sensibles) et».
  • 19. III. Données Point d’actualité : réforme de la directive données personnelles Vers un Règlement Européen en 2014-2015 Volonté d’harmonisation des protections, de renforcement des devoirs d’alerte en cas de compromission, et de renforcement des sanctions (pouvoir autonome de la Cnil) La finalité est de renforcer la sécurité des données personnelles face aux atteintes liées aux nouvelles technologies (dont le Cloud computing). Les lobbys américains, présents au Parlement Européen, font pression pour réduire la portée de ce qui constituera le futur règlement européen. Des suggestions, proposées entre autres par Amazon ou la Chambre Américaine de Commerce sont ainsi reprises mot pour mot dans certains amendements proposés par des députés européens. 19
  • 20. IV. LE PRIX 20
  • 21. IV. Le Prix1. Les conditions tarifaires Le contrat peut fixer le prix selon différents critères :  A la consommation selon des prestations mesurables en fonction de l’utilisation. Dans ce cas, les unités de mesure qui influent sur le prix doivent être prédéfinies (bande passante, stockage, trafic mensuel),  Au forfait, en fonction d’un nombre d’utilisateurs par exemple, ou en fonction des services choisis  Mélange des deux modes de fixation. 21
  • 22. IV. Le Prix2. Le Benchmark Négociation possible autour de l’insertion d’une clause de « benchmarking » permettant l’examen, au cours du contrat, de la qualité et du prix des prestations proposées par la concurrence. En cas d’écart trop important, la clause prévoit le sort du contrat (renégociation, résiliation) Si un benchmark est inséré, il faut prévoir :  les prestations concernées  les outils et méthodes d’évaluation  la méthode d’analyse des résultats  les solutions applicables en cas d’écart trop important. 22
  • 23. V. LA RÉVERSIBILITÉ 23
  • 24. V. La Réversibilité Objectif : permettre à l’entreprise cliente de reprendre la main sur ce qu’elle a confié au prestataire. Ce qui doit être prévu dans le contrat (et éventuellement négocié) :  La portée de la clause : restitution des données et des informations.  Le prix éventuel de la restitution.  Les conditions de la restitution : la durée évaluée du rapatriement des informations.  La qualité des données restituées : exploitables par le client (clause de portabilité et d’interopérabilité des données).  L’aménagement de la période de transition.  La possibilité, en retour, pour le client de devoir coopérer ou d’effectuer ses meilleurs efforts pour coopérer à la réversibilité.  La contractualisation d’une modification éventuelle des prestations attendues durant le transfert. 24
  • 25. VI. LE DROIT APPLICABLE 25
  • 26. VI. Le droit applicableLa détermination de la loi applicable : Clause contractuelle qui permet d’attribuer le droit applicable et la juridiction compétente en cas de litiges. Attention à la compatibilité de certaines clauses avec le droit français :  Règlementation en matière de données personnelles, notamment les données sensibles (santé, bancaire).  Le Secret bancaire français s’oppose au « Patriot act américain » qui permet aux autorités américaines d’inspecter les serveurs situés sur leur territoire. 26
  • 27. Points clés. Multiplication des audits et évaluation des besoins. Négocier en amont les difficultés prévisibles. Redoubler de vigilance sur le traitement des données personnelles. Essayer d’introduire un Benchmark des engagements. Sécuriser au maximum la réversibilité des données. 27

×