More Related Content Similar to CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL (20) CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL2. ©BEAM avocats - 2014
Introduction
• Si les avantages du Cloud sont indéniables, le recours à ces
solutions d’externalisation implique une augmentation du risque
pour les entreprises compte tenu de la dispersion géographique
des données et de l’absence de réglementation internationale.
• Pour cette raison, le contrat de Cloud a une importance
primordiale.
• Sa négociation et sa rédaction nécessitent une étroite
collaboration entre les équipes techniques, commerciales et
juridiques
• L’implication des juristes et/ou avocats en amont de la
négociation du contrat est essentielle
2
3. ©BEAM avocats - 2014
3
Les étapes clés
1. LE CHOIX DU
PRESTATAIRE
2. LA NEGOCIATION ET LA
REDACTION DU CONTRAT
3. L’ANTICIPATION DE LA
FIN DU CONTRAT
4.LA MISE EN ŒUVRE DU
CONTRAT
4. ©BEAM avocats - 2014
4
1. Le choix du prestataire
LES PREREQUIS
• Refuser les offres standardisées avec des contrats d’adhésion sans
possibilité de négociation. A défaut, comparer les conditions
contractuelles offertes par chaque prestataire pour déterminer les plus
protectrices
• Effectuer une analyse des risques en amont pour déterminer les mesures
de sécurité essentielles en fonction de la sensibilité des données
hébergées dans le Cloud
• S’assurer des garanties offertes par le prestataire en termes de sécurité
et confidentialité des données
• Exiger la transparence totale concernant la localisation des serveurs et
les mesures de sécurité
• Insérer une clause d’intuitu personae qui empêchera le prestataire de
céder le contrat de Cloud à un autre prestataire sans votre accord
préalable et écrit
5. ©BEAM avocats - 2014
5
2. La négociation et la rédaction du contrat
Toutes les clauses du contrat sont importantes, mais certaines
nécessitent une attention toute particulière:
Description du
traitement
Fin du contrat
et réversibilité
Attention à la
clause de loi
applicable et de
juridiction
compétente en
cas de litige
Garanties et
partage de
responsabilité
Mesures de
sécurité
Localisation et
transfert des
données
6. ©BEAM avocats - 2014
3. L’anticipation de la fin du contrat
La clause de réversibilité ou de « backsourcing »
• Elle est capitale dans le contrat
• Contexte: elle est souvent mise en œuvre à un moment où les
relations entre les parties sont altérées (non renouvellement,
résiliation, faute etc.), il convient donc de prévoir dés la rédaction du
contrat un vrai plan de réversibilité plutôt que de prévoir une
rédaction ultérieure
• Elle doit être précise et détailler toutes les modalités de transfert des
services vers d’autres prestataires : à minima, elle prévoit la
restitution des données dans un format adéquat au moment de la
résiliation ou du non renouvellement du contrat et un délai ferme
• En fonction des cas, elle pourra prévoir un transfert de connaissance
ou de contrat ou encore même un transfert de propriété des
infrastructures informatiques physiques
6
7. ©BEAM avocats - 2014
4.La mise en œuvre du contrat
La vigilance s’impose bien après la signature du contrat!
• Mettre à jour la politique de sécurité interne de l’entreprise
• Mettre à jour les outils internes pour gérer les nouveaux risques:
Charte des systèmes d’information
PSSI
Autres politiques de confidentialité
Etc.
• En cas d’activité de sous-traitance, élaborer des documents clairs sur la
gestion du Cloud pour rassurer les clients (Informatique et libertés)
• Audit périodique des mesures de sécurité du prestataire
• Prévoir une surveillance dans le temps des évolutions du service de
Cloud et des risques!!!
7
8. ©BEAM avocats - 2014
8
MERCI POUR VOTRE ATTENTION!
Contact:
Maître Amina KHALED
15 rue de Téhéran
75008 Paris
Tél +33(0)1 84 18 01 20
Fax +33(0)9 72 30 52 76
http://www.beam-avocats.com
E-mail: ak@beam-avocats.com
Editor's Notes La description précise du traitement (moyens du traitement, destinataires, sous-traitance, existence d’un système de remontée des plaintes et des failles de sécurité etc.)Le détail des mesures techniques et organisationnelles permettant d’assurer la sécurité et la confidentialité des données: sécurité physique et logique, certifications, traçabilité et journalisation, continuité de service, sauvegardes, engagement de niveaux de services…La localisation et le transfert des données, lieux d’hébergement des serveurs, possibilité des les transférer, etc.Prévoir le partage de responsabilité en cas de dommages consécutifs à une faille de sécurité et les garanties générales offertes par le prestataire: durée de conservation des données, restitution ou destruction à la fin, coopération avec les autorités de protection etc.La fin du contrat et la réversibilité (slide d’après) Le Cloud introduit de nouveaux risques pour le Client liés aux transmissions par internet et à l’utilisation de terminaux mobiles et nomades. Il est donc impératif de revoir et mettre à jour les politiques et documents internes