Presentation du contrat SaaS

766 vues

Publié le

Contrat SaaS en matière de cloud computing par Sybille PECHENART, Avocate au Barreau de Marseille spécialisée en Droit informatique. Son cabinet intervient autant dans le domaine du conseil que dans le domaine contentieux. Créateur d’économies et de mobilité, le cloud computing répond à des besoins informatiques tant matériels que logiciels mais est aussi source de risques opérationnels et juridiques. La confidentialité, la disponibilité et la sécurité des données et des applications mises en ligne doivent être encadrées par des clauses contractuelles intégrant les particularités de chaque activité dont le « Software as a Service » (fourniture de logiciel en ligne).

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
766
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Presentation du contrat SaaS

  1. 1. LE CONTRAT SaaS Intervention du 10 octobre 2014
  2. 2. Introduction Définition du CLOUD La commission de terminologie a défini l'informatique en nuage comme le "mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire''. Elle constitue "une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients'' (JORF du 6 juin 2010). UN CLOUD AVEC PLUSIEURS FORMES UN CLOUD AVEC PLUSIEURS FONCTIONS 1
  3. 3. Nous limitons l’intervention au contrat « Software as a Service » (Saas) SaaS = fourniture de logiciel en ligne ≠ PaaS : « Platform as a Service » ou fourniture d’une plateforme de développement d’applications en ligne IaaS : « Infrastructure as a Service » ou fourniture d’infrastructures de calculs et de stockage en ligne Introduction 2
  4. 4. I.Le contrat SaaS obéit aux grandes règles du contrat informatique 1.Définir ses besoins 2.Identifier ses risques L’entrepreneur n’est pas seul dans cette évaluation : •L'ANSSI (Agence nationale de sécurité des systèmes d'information) a établi une méthode dite EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) qui permet de guider l’entrepreneur dans la prévention des risques de l’entreprise ; •Les normes ISO 27001 à ISO 27005 définissent les normes de sécurité applicables aux systèmes d’informations. Liste de risques établie par l’ENISA (Agence Européenne chargée de la sécurité des réseaux et de l’information) 3
  5. 5. 1.La conclusion du contrat n’implique pas nécessairement un transfert de responsabilité du client 2.Qui est le deuxième ? a.Identification de sa nationalité et de la loi applicable au contrat b.Lieu d’implantation des données •L'ANSSI (Agence nationale de sécurité des systèmes d'information) a établi un guide « externalisation et sécurité des systèmes d’information » •Directive communautaire 95/46/CE du 24 octobre 1995 : relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données •PATRIOT ACT 2008 aux Etats-Unis : permet d’accéder aux données stockées sur les serveurs situés sur le territoire américain c.Identification de la viabilité financière du partenaire II.Un contrat implique au moins deux personnes 4
  6. 6. 1.Détermination de l’objet du contrat Quels sont le/les logiciels utilisés ? Quelle est la fréquence de mise à jour ? 2.Durée du contrat Renouvellement tacite ou non Préavis raisonnable ou non compte tenu de votre activité Cas de déchéance du contrat III.Un guide de lecture des contrats 5
  7. 7. 3.Prix de la prestation Forfait ? Evolutif ? Si oui : selon quels critères ? Ces critères sont-ils vérifiables par l’entreprise ou seulement par le prestataire ? Prévoir des modalités de contrôle 4.Détermination des données transférées Données transférées en une seule fois ou de manière évolutive ? Si de manière évolutive : avec surcout ou non ? III.Un guide de lecture des contrats 6
  8. 8. 5.Réversibilité des données Conditions techniques de la réversibilité des données sont-elles acceptables et compatibles avec votre entreprise ? (notion de format structuré et couramment utilisé) Quel est le prix de cette réversibilité ? Varie-t-il selon les causes de rupture du contrat ? 6.Localisation des données Détermination du pays d’hébergement des données Limitation du transfert des données vers des pays membres de l’Espace Economique Européen III.Un guide de lecture des contrats 7
  9. 9. 7.Traitement des données personnelles Respect des principes européens en matière de protection des données personnelles (notion de principe de proportionnalité et de respect des finalités) Détermination de la durée de conservation des données (limitée et raisonnable au regard des finalités pour lesquelles les données ont été collectées) Qui assume les obligations de déclaration auprès des autorités compétentes ? Obligation de coopération dans l’accomplissement de ces formalités de déclaration III.Un guide de lecture des contrats 8
  10. 10. 7.Traitement des données personnelles (suite) Affirmation du devoir de coopération avec les autorités compétentes de protection des données Obligation d’information pesant sur le prestataire en cas de requête provenant d’une autorité administrative ou judiciaire étrangère Mise en place de procédures de respect du droit des personnes vis-à-vis de leurs données (droits d’accès, modification ou suppression, etc.) III.Un guide de lecture des contrats 9
  11. 11. 8.Recours à la sous-traitance Interdiction pure et simple Ou Nécessité d’accord du client en cas d’utilisation de tiers ou de sous contractants La responsabilité doit rester sur l’exécutant principal III.Un guide de lecture des contrats 10
  12. 12. 9.Politique de sécurité Demande de preuve de certification telle que ISO 27001 Autorisation d’audit du prestataire par le client Définition d’une politique de sécurité à respecter par le prestataire : Mesures techniques (pare feu, antivirus, détection d’intrusion, gestion des mises à jour, redondances des serveurs, système de sauvegarde) Mesures de sécurité physique sur le centre d’hébergement Mesures permettant d’assurer la disponibilité, l’intégrité et la confidentialité des données Traçabilité des données : accès aux journaux de traçabilité Mise en place d’un système de remontées des plaintes et des failles de sécurité III.Un guide de lecture des contrats 11
  13. 13. 10.Qualité de service Détermination d’un temps maximum d’indisponibilité du service Pénalités prévues au-delà de ce temps Attention aux clauses limitatives de responsabilité : valides à quelques exceptions près Assurances souscrites par le prestataire ? 11.Loi applicable et tribunaux compétents III.Un guide de lecture des contrats 12

×