SlideShare une entreprise Scribd logo

2013 02 impact juridique du cloud et bonnes pratiques contractuelles

Télécharger en tant que PPTX, PDF
Andre Meillassoux
Andre Meillassoux
1  sur  27
Impact juridique du Cloud et bonnes pratiques contractuelles Me André MEILLASSOUX ATM AVOCATS Président de l’Association Française de Droit de l’Informatique et de la Télécommunication (AFDIT) ameillassoux@atmavocats.com www.atmavocats-associes.com 18, rue Jean Goujon 75008 Paris - 01 56 91 05 05
INTRODUCTION La notion de « Cloud Computing », littéralement traduite en Français par « informatique dans les nuages » est une expression valise qui couvre plusieurs pratiques . Une définition existe toutefois et permet de déterminer ses contours « Le terme "Cloud" désigne aujourd’hui de manière générale un nouveau modèle à la fois de distribution et de consommation de l’informatique qui consiste à mettre à disposition via les réseaux de communication et à la demande (= "as a service"), un ensemble de "ressources" (puissance de calcul, stockage de données, applications, etc.) et de "services" (gestion, administration, etc.). Celles-ci seront mutualisées, dématérialisées, contractualisées, évolutives et en libre-service. » Source : Syntec numerique, « Cloud computing nouveaux modèles », Livre blanc, Mars 2012, p.6. 2
INTRODUCTION L’utilisation du Cloud en entreprise représente un enjeu économique devenu une nécessité mais qui implique de garder à l’esprit plusieurs points:  L’entreprise confie à un prestataire la fourniture de moyens informatiques à une échelle jamais atteinte : elle remet entre les mains d’un tiers une partie importante (et parfois sensible) de son activité (données, ressources, applicatifs…).  Si le prestataire est défaillant, les préjudices peuvent être importants :  préjudice financier lié à l’impossibilité/difficulté de mener son business  compromission/ ou perte du savoir-faire, de données clients ou internes, de secrets…  violation de droits de propriétés intellectuelles,  violation des obligations en matière de données personnelles (et mise en cause pénale du responsable du traitement). Préparer au mieux la phase contractuelle est la manière la plus efficace de se prémunir contre ses risques. 3
INTRODUCTION Le contrat signé avec le prestataire doit être pris au sérieux  Le contrat est la clé de voûte des relations entre le prestataire (ou « Cloud Provider ») et le client.  Souvent, il existe peu de marge de manœuvres dans la négociation : le contrat Cloud est trop souvent un contrat dit « d’adhésion » (pré-rédigé et non négociable).  Conséquence directe : la réalisation d’un audit en amont permettra à l’entreprise de cerner ses besoins et rédiger un cahier des charges qui constituera le référentiel et l’objectif contractuel de l’entreprise. La connaissance de son besoin permet de mieux cerner les risques liés à l’absence de flexibilité du contrat. Pour le client : le but est de conclure un contrat adapté et évolutif. Pour le prestataire : le but est d’imposer ses conditions générales. 4
INTRODUCTION Le choix des besoins détermine le niveau d’engagement du prestataire Source : syntec numerique. 5
PLAN DE L’INTERVENTION Le contrat Cloud comporte plusieurs points essentiels sur lesquels le Client doit focaliser son attention lors de la phase d’avant-contrat. I. PÉRIMÈTRE DES SERVICES ET PRESTATIONS II. RESPONSABILITES DE CHAQUE PARTIE III. DONNÉES – TRANSFERT ET TRAITEMENT IV. PRIX – MODES DE FIXATION V. RÉVERSIBILITÉ – ÉVOLUTIVITÉ VI. DROIT APPLICABLE - 6
I. SERVICES ET PRESTATIONS 7
I. Détermination des services et prestations 1. La détermination des services. C’est l’objet du contrat : il doit couvrir le « périmètre » des services fournis par le prestataire et le « niveau d’engagement » attendu , deux notions clé,  Le Périmètre Il permet de déterminer l’étendue et le contenu des services et prestations qui seront fournis au titre du contrat  Les services fournis par le prestataire doivent être définis précisément.  Etablissement d’un catalogue des services/prestations rendus  Anticipation par le contrat des conditions d’évolution de ce catalogue.  La précision des « Définitions » est fondamentale.  Le niveau d’engagement est le point clé de la négociation.  Qualification juridique du niveau d’engagement : maîtrise d’œuvre, obligation de résultat..  Le client cherchera à obtenir le plus haut niveau d’engagement de la part du prestataire, pour chaque prestation contractualisée.  Le prestataire cherchera à limiter ses engagements à différents niveaux (obligation 8 de moyen, limitation basse de responsabilité).
I. Services 2. La fourniture des services et prestations  Le niveau de l’engagement doit être contractualisé.  Il faut prévoir les niveaux de services techniques : disponibilité, continuité, puissance du service. Souvent dans les SLA.  Les conditions de suspension doivent être limitées aux cas les plus stricts. L’occurrence des maintenances ou mises à jour doivent être déterminées de concert entre les parties.  Exemples de clauses pertinentes ou de niveaux de services à déterminer dans le SLA:  Bande passante/Volumétrie (minimum contractuel à prévoir).  Volume de stockage du prestataire/performance des serveurs.  Contractualisation de la fonction support du prestataire (temps d’intervention minimum, délai de temps avant une réponse technique).  Contractualisation possible de « back up plans » : audit de plan de secours, réplication des données. Attention à la terminologie ! Les phrases types : « mettons en œuvre nos meilleurs efforts pour vous garantir la continuité du service » n’engagent le prestataire 9
II. RESPONSABILITÉS 10
II. RESPONSABILITÉS 1. L’organisation des responsabilités est nécessaire pour l’économie du contrat.  Le contrat sert à la prise en compte des conséquences de l’inexécution des prestations, dès la conclusion de l’engagement.  Ce sont des sujets qui fâchent en négociation, mais qui sont stratégiques  Le niveau de « responsabilité » du prestataire est essentiel, car c’est la preuve de son sérieux  Il faut aller voir, presque avant tout, cette clause qui est entre la clause 15 et la clause 18 (à la fin)  Il est indispensable de l’étudier, la négocier et la contractualiser  Et ce, à plusieurs niveaux :  La responsabilité du prestataire à l’égard du client (clause indispensable).  La responsabilité du client dans les cas litigieux  Envisager également les impacts sur les tiers (par ex : Les perte de données de tiers) Les clauses d’assurance sur les risques spécifiques au Cloud ne doivent pas perturber l’économie du contrat. 11
II. Responsabilité 2. Analyse des clauses courantes:  La responsabilité contractuelle du prestataire :  L’assiette des préjudices couverts : les prestataires cherchent à exclure certains préjudices  Attention aux clauses pré-qualifiant en dommages « indirects » certains préjudices pour les exclure (refus courant d’indemniser la perte de CA, de bénéfice, de la clientèle, les gains manqués, le préjudice d’image : attention à ne pas vider la responsabilité de toute substance).  Attention aux limitations à un montant contractuellement établi (somme fixe ou montant des redevances perçues pendant une période déterminée).  Les niveaux diffèrent selon les services fournis (Iaas, Saas, Paas).  La responsabilité contractuelle du client :  Les contrats prévoient souvent des cas prédéfinis de mise en jeu de la responsabilité du client, il s’engage généralement à assumer les conséquences de ses fautes (attention aux définitions).  Dans ce cas, les limites doivent être strictes, le Prestataire ne doit pas se défausser 12 sur son Client.
III. LES DONNÉES 13
III. Les Données 1. La sécurisation des données  Désormais, les données sont, à juste titre, au centre de l’attention : où sont elles stockées, dans quelles conditions, comment sont elles sécurisées, comment on les récupère ? Faire un audit  Prévoir, au moins en interne, un audit spécifique et préalable, qui est nécessaire afin de cerner le statut des données traitées. Problème de la sous-traitance  Il faut prévoir quelles opérations peuvent être sous-traitées et à qui (c’est une obligation légale de la loi du 31 décembre 1975 sur la sous-traitance)  liste et missions des sous-traitants au sein même du contrat.  Insertion possible dans le contrat d’une obligation pour le prestataire de répercuter ses obligations en matière de données dans les contrats passés avec les sous-traitants. 14
III. Données 2. La propriété des données  Un droit de propriété du Client sur ses données : réaffirmation nécessaire dans les termes du contrat.  La propriété intellectuelle sur les données : Déterminer l’éventualité de revendication de propriété de certains éléments confiés au prestataire et la paternité des droits de chacune des parties au contrat (difficulté possible en cas d’œuvres créées avec du matériel fourni par le prestataire). 15
III. Données 3. Le traitement des données personnelles : 3.1 La localisation des données  La législation est stricte en matière de données personnelles (sanctions pénales):  En cas de traitement de données sensibles : déclarations Cnil obligatoires.  Données stockées hors de l’UE et notion de « safe harbor »  rédaction de clauses dans le contrat mettant à la charge du prestataire des obligations supplémentaires de sécurisation des données (Possibilité également de contractualiser le maintien des données sur un Cloud « européen »).  Souvent, le Client souhaite organiser la localisation géographique du serveur 3.2 Le responsable du traitement  Aménagement contractuel possible sur l’identité du responsable du traitement des données (par principe l’entreprise cliente est systématiquement responsable mais négociation possible pour obtenir un partage de responsabilité).  Le responsable du traitement reste et demeure responsable même si les données sont externalisées (art 35 de la loi Cnil du 6 janvier 1978). 16
III. Données 3. Le traitement des données personnelles : 3.3 Clauses à prévoir  Il faut prévoir une obligation d’information du prestataire en cas de déviation ou risque de déviation par rapport au référentiel de conformité. C’est désormais une infraction pénale  Une clause de confidentialité étendue est nécessaire au contrat.  Il faut prévoir, en amont, toutes les pénalités afférentes au dépassement des services par le client et aux inexécutions par le prestataire.  Possibilité de prévoir des clauses de « devoir d’alerte » en cas d’utilisation excessive du service par le client. 17
III. Données 3. Le traitement des données personnelles (suite) Recommandation de la Cnil (25/06/12) :  Faire respecter au prestataire Cloud, par la voie du contrat, les contraintes légales (localisation des données, réglementations spécifiques à certains types de données, etc.), les contraintes pratiques (assurer la pérennité, la disponibilité, réversibilité/portabilité des données etc.) et les contraintes techniques (interopérabilité avec le système existant, etc.) afin de sécuriser au mieux les échanges de données.  Après avoir réalisé un audit spécifique sur les données concernées, la Cnil conseille aux entreprises de choisir des solutions Cloud différentes en fonction des traitements : possible donc de choisir « un service IaaS public français pour le site Internet … un SaaS européen privé pour les messages électroniques »,  En fonction des métiers prévoir des dispositions spécifiques : Par ex un hébergeur de santé homologué pour les données de santé (plus 18 sensibles) et».
III. Données Point d’actualité : réforme de la directive données personnelles Vers un Règlement Européen en 2014-2015  Volonté d’harmonisation des protections, de renforcement des devoirs d’alerte en cas de compromission, et de renforcement des sanctions (pouvoir autonome de la Cnil)  La finalité est de renforcer la sécurité des données personnelles face aux atteintes liées aux nouvelles technologies (dont le Cloud computing).  Les lobbys américains, présents au Parlement Européen, font pression pour réduire la portée de ce qui constituera le futur règlement européen. Des suggestions, proposées entre autres par Amazon ou la Chambre Américaine de Commerce sont ainsi reprises mot pour mot dans certains amendements proposés par des députés européens. 19
IV. LE PRIX 20
IV. Le Prix 1. Les conditions tarifaires  Le contrat peut fixer le prix selon différents critères :  A la consommation selon des prestations mesurables en fonction de l’utilisation. Dans ce cas, les unités de mesure qui influent sur le prix doivent être prédéfinies (bande passante, stockage, trafic mensuel),  Au forfait, en fonction d’un nombre d’utilisateurs par exemple, ou en fonction des services choisis  Mélange des deux modes de fixation. 21
IV. Le Prix 2. Le Benchmark  Négociation possible autour de l’insertion d’une clause de « benchmarking » permettant l’examen, au cours du contrat, de la qualité et du prix des prestations proposées par la concurrence. En cas d’écart trop important, la clause prévoit le sort du contrat (renégociation, résiliation)  Si un benchmark est inséré, il faut prévoir :  les prestations concernées  les outils et méthodes d’évaluation  la méthode d’analyse des résultats  les solutions applicables en cas d’écart trop important. 22
V. LA RÉVERSIBILITÉ 23
V. La Réversibilité  Objectif : permettre à l’entreprise cliente de reprendre la main sur ce qu’elle a confié au prestataire.  Ce qui doit être prévu dans le contrat (et éventuellement négocié) :  La portée de la clause : restitution des données et des informations.  Le prix éventuel de la restitution.  Les conditions de la restitution : la durée évaluée du rapatriement des informations.  La qualité des données restituées : exploitables par le client (clause de portabilité et d’interopérabilité des données).  L’aménagement de la période de transition.  La possibilité, en retour, pour le client de devoir coopérer ou d’effectuer ses meilleurs efforts pour coopérer à la réversibilité.  La contractualisation d’une modification éventuelle des prestations attendues durant le transfert. 24
VI. LE DROIT APPLICABLE 25
VI. Le droit applicable La détermination de la loi applicable :  Clause contractuelle qui permet d’attribuer le droit applicable et la juridiction compétente en cas de litiges.  Attention à la compatibilité de certaines clauses avec le droit français :  Règlementation en matière de données personnelles, notamment les données sensibles (santé, bancaire).  Le Secret bancaire français s’oppose au « Patriot act américain » qui permet aux autorités américaines d’inspecter les serveurs situés sur leur territoire. 26
Points clés.  Multiplication des audits et évaluation des besoins.  Négocier en amont les difficultés prévisibles.  Redoubler de vigilance sur le traitement des données personnelles.  Essayer d’introduire un Benchmark des engagements.  Sécuriser au maximum la réversibilité des données. 27

Recommandé

Microsoft Techdays 2012 France - BPOS301 la réversibilité des données dans le...
Microsoft Techdays 2012 France - BPOS301 la réversibilité des données dans le...Microsoft Techdays 2012 France - BPOS301 la réversibilité des données dans le...
Microsoft Techdays 2012 France - BPOS301 la réversibilité des données dans le...Arnaud A.
 
La réversibilité des données dans le Cloud : Coexistence on premise/online
La réversibilité des données dans le Cloud : Coexistence on premise/onlineLa réversibilité des données dans le Cloud : Coexistence on premise/online
La réversibilité des données dans le Cloud : Coexistence on premise/onlineMicrosoft Technet France
 
Du catalogue de service à l'automatisation des processus (ser207)
Du catalogue de service à l'automatisation des processus (ser207)Du catalogue de service à l'automatisation des processus (ser207)
Du catalogue de service à l'automatisation des processus (ser207)Jean-François BERENGUER
 
Bâtir son catalogue de services : 22 conseils pour ne pas se tromper
Bâtir son catalogue de services : 22 conseils pour ne pas se tromperBâtir son catalogue de services : 22 conseils pour ne pas se tromper
Bâtir son catalogue de services : 22 conseils pour ne pas se tromperaucoeurducloud
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Enjeux Juridiques / SaaS et Cloud
Enjeux Juridiques / SaaS et CloudEnjeux Juridiques / SaaS et Cloud
Enjeux Juridiques / SaaS et CloudClub Alliances
 
2010.11.26 Atelier Aspaway Impact des modeles SaaS et Cloud sur les dispositi...
2010.11.26 Atelier Aspaway Impact des modeles SaaS et Cloud sur les dispositi...2010.11.26 Atelier Aspaway Impact des modeles SaaS et Cloud sur les dispositi...
2010.11.26 Atelier Aspaway Impact des modeles SaaS et Cloud sur les dispositi...Club Alliances
 
Livre blanc cloud economics
Livre blanc cloud economicsLivre blanc cloud economics
Livre blanc cloud economicsMicrosoft Décideurs IT
 

Recommandé

Microsoft Techdays 2012 France - BPOS301 la réversibilité des données dans le...
Microsoft Techdays 2012 France - BPOS301 la réversibilité des données dans le...Microsoft Techdays 2012 France - BPOS301 la réversibilité des données dans le...
Microsoft Techdays 2012 France - BPOS301 la réversibilité des données dans le...Arnaud A.
 
La réversibilité des données dans le Cloud : Coexistence on premise/online
La réversibilité des données dans le Cloud : Coexistence on premise/onlineLa réversibilité des données dans le Cloud : Coexistence on premise/online
La réversibilité des données dans le Cloud : Coexistence on premise/onlineMicrosoft Technet France
 
Du catalogue de service à l'automatisation des processus (ser207)
Du catalogue de service à l'automatisation des processus (ser207)Du catalogue de service à l'automatisation des processus (ser207)
Du catalogue de service à l'automatisation des processus (ser207)Jean-François BERENGUER
 
Bâtir son catalogue de services : 22 conseils pour ne pas se tromper
Bâtir son catalogue de services : 22 conseils pour ne pas se tromperBâtir son catalogue de services : 22 conseils pour ne pas se tromper
Bâtir son catalogue de services : 22 conseils pour ne pas se tromperaucoeurducloud
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Enjeux Juridiques / SaaS et Cloud
Enjeux Juridiques / SaaS et CloudEnjeux Juridiques / SaaS et Cloud
Enjeux Juridiques / SaaS et CloudClub Alliances
 
2010.11.26 Atelier Aspaway Impact des modeles SaaS et Cloud sur les dispositi...
2010.11.26 Atelier Aspaway Impact des modeles SaaS et Cloud sur les dispositi...2010.11.26 Atelier Aspaway Impact des modeles SaaS et Cloud sur les dispositi...
2010.11.26 Atelier Aspaway Impact des modeles SaaS et Cloud sur les dispositi...Club Alliances
 
Livre blanc cloud economics
Livre blanc cloud economicsLivre blanc cloud economics
Livre blanc cloud economicsMicrosoft Décideurs IT
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ahanthonyhemond
 
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...Club Alliances
 
La propriété dans les nuages ou lorsque le droit se saisit du Cloud
La propriété dans les nuages ou lorsque le droit se saisit du Cloud La propriété dans les nuages ou lorsque le droit se saisit du Cloud
La propriété dans les nuages ou lorsque le droit se saisit du Cloud Michèle Battisti
 
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service ProviderOVHcloud
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
Le contrat de services agile, Livre blanc itSMF france
Le contrat de services agile, Livre blanc itSMF franceLe contrat de services agile, Livre blanc itSMF france
Le contrat de services agile, Livre blanc itSMF franceitSMF France
 
Presentation du contrat SaaS
Presentation du contrat SaaSPresentation du contrat SaaS
Presentation du contrat SaaSMarseille Innovation
 
m213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfm213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfFootballLovers9
 
Livre blanc - SaaS : définir le bon contrat
Livre blanc - SaaS : définir le bon contratLivre blanc - SaaS : définir le bon contrat
Livre blanc - SaaS : définir le bon contratglobalsp
 
Cyproj16 formation-gestion-client-fournisseur
Cyproj16 formation-gestion-client-fournisseurCyproj16 formation-gestion-client-fournisseur
Cyproj16 formation-gestion-client-fournisseurCERTyou Formation
 
Synthese Reponses Consultation publique Cloud et analyse cnil
Synthese Reponses Consultation publique Cloud et analyse cnilSynthese Reponses Consultation publique Cloud et analyse cnil
Synthese Reponses Consultation publique Cloud et analyse cnilMarc Bourhis
 
Ctrit formation-contrats-informatiques
Ctrit formation-contrats-informatiquesCtrit formation-contrats-informatiques
Ctrit formation-contrats-informatiquesCERTyou Formation
 
La fin du contrat, et après ? [2010]
La fin du contrat, et après ? [2010]La fin du contrat, et après ? [2010]
La fin du contrat, et après ? [2010]François Coppens
 
NéGociations Contractuelles
NéGociations ContractuellesNéGociations Contractuelles
NéGociations ContractuellesProf. Jacques Folon (Ph.D)
 
Avec votre agence web, mettez les points sur les i
Avec votre agence web, mettez les points sur les iAvec votre agence web, mettez les points sur les i
Avec votre agence web, mettez les points sur les iRetis be
 
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012Le Moulin Digital
 
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUELCLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUELLeadGroup
 
Choix d'un prestataire web
Choix d'un prestataire webChoix d'un prestataire web
Choix d'un prestataire webRetis be
 
Formation fibrenoire
Formation fibrenoireFormation fibrenoire
Formation fibrenoireSimon Hénault
 
Enjeux Assurance RC / SaaS et Cloud
Enjeux Assurance RC / SaaS et CloudEnjeux Assurance RC / SaaS et Cloud
Enjeux Assurance RC / SaaS et CloudClub Alliances
 
Negociation contractuelle
Negociation contractuelleNegociation contractuelle
Negociation contractuelleProf. Jacques Folon (Ph.D)
 

Contenu connexe

En vedette

Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ahanthonyhemond
 
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...Club Alliances
 
La propriété dans les nuages ou lorsque le droit se saisit du Cloud
La propriété dans les nuages ou lorsque le droit se saisit du Cloud La propriété dans les nuages ou lorsque le droit se saisit du Cloud
La propriété dans les nuages ou lorsque le droit se saisit du Cloud Michèle Battisti
 
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service ProviderOVHcloud
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
Le contrat de services agile, Livre blanc itSMF france
Le contrat de services agile, Livre blanc itSMF franceLe contrat de services agile, Livre blanc itSMF france
Le contrat de services agile, Livre blanc itSMF franceitSMF France
 

En vedette (8)

Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité
 
111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah
 
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...
2010.11.26 Atelier SAB Impact des modeles SaaS et Cloud sur les dispositions ...
 
La propriété dans les nuages ou lorsque le droit se saisit du Cloud
La propriété dans les nuages ou lorsque le droit se saisit du Cloud La propriété dans les nuages ou lorsque le droit se saisit du Cloud
La propriété dans les nuages ou lorsque le droit se saisit du Cloud
 
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider
[FR] OVH Webinar : 10 questions à poser à votre Cloud Service Provider
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
Le contrat de services agile, Livre blanc itSMF france
Le contrat de services agile, Livre blanc itSMF franceLe contrat de services agile, Livre blanc itSMF france
Le contrat de services agile, Livre blanc itSMF france
 
Presentation du contrat SaaS
Presentation du contrat SaaSPresentation du contrat SaaS
Presentation du contrat SaaS
 

Similaire à 2013 02 impact juridique du cloud et bonnes pratiques contractuelles

m213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfm213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfFootballLovers9
 
Livre blanc - SaaS : définir le bon contrat
Livre blanc - SaaS : définir le bon contratLivre blanc - SaaS : définir le bon contrat
Livre blanc - SaaS : définir le bon contratglobalsp
 
Cyproj16 formation-gestion-client-fournisseur
Cyproj16 formation-gestion-client-fournisseurCyproj16 formation-gestion-client-fournisseur
Cyproj16 formation-gestion-client-fournisseurCERTyou Formation
 
Synthese Reponses Consultation publique Cloud et analyse cnil
Synthese Reponses Consultation publique Cloud et analyse cnilSynthese Reponses Consultation publique Cloud et analyse cnil
Synthese Reponses Consultation publique Cloud et analyse cnilMarc Bourhis
 
Ctrit formation-contrats-informatiques
Ctrit formation-contrats-informatiquesCtrit formation-contrats-informatiques
Ctrit formation-contrats-informatiquesCERTyou Formation
 
La fin du contrat, et après ? [2010]
La fin du contrat, et après ? [2010]La fin du contrat, et après ? [2010]
La fin du contrat, et après ? [2010]François Coppens
 
Avec votre agence web, mettez les points sur les i
Avec votre agence web, mettez les points sur les iAvec votre agence web, mettez les points sur les i
Avec votre agence web, mettez les points sur les iRetis be
 
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012Le Moulin Digital
 
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUELCLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUELLeadGroup
 
Choix d'un prestataire web
Choix d'un prestataire webChoix d'un prestataire web
Choix d'un prestataire webRetis be
 
Enjeux Assurance RC / SaaS et Cloud
Enjeux Assurance RC / SaaS et CloudEnjeux Assurance RC / SaaS et Cloud
Enjeux Assurance RC / SaaS et CloudClub Alliances
 
Cloud computing contracts b. docquir
Cloud computing contracts b. docquirCloud computing contracts b. docquir
Cloud computing contracts b. docquirbenjamindocquir
 
Externalisation
ExternalisationExternalisation
ExternalisationSaaS Guru
 
Microsoft TechDays 2012 France - BPOS301 La réversibilité des données dans le...
Microsoft TechDays 2012 France - BPOS301 La réversibilité des données dans le...Microsoft TechDays 2012 France - BPOS301 La réversibilité des données dans le...
Microsoft TechDays 2012 France - BPOS301 La réversibilité des données dans le...Arnaud A.
 

Similaire à 2013 02 impact juridique du cloud et bonnes pratiques contractuelles (20)

m213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfm213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdf
 
Livre blanc - SaaS : définir le bon contrat
Livre blanc - SaaS : définir le bon contratLivre blanc - SaaS : définir le bon contrat
Livre blanc - SaaS : définir le bon contrat
 
Cyproj16 formation-gestion-client-fournisseur
Cyproj16 formation-gestion-client-fournisseurCyproj16 formation-gestion-client-fournisseur
Cyproj16 formation-gestion-client-fournisseur
 
Synthese Reponses Consultation publique Cloud et analyse cnil
Synthese Reponses Consultation publique Cloud et analyse cnilSynthese Reponses Consultation publique Cloud et analyse cnil
Synthese Reponses Consultation publique Cloud et analyse cnil
 
Ctrit formation-contrats-informatiques
Ctrit formation-contrats-informatiquesCtrit formation-contrats-informatiques
Ctrit formation-contrats-informatiques
 
La fin du contrat, et après ? [2010]
La fin du contrat, et après ? [2010]La fin du contrat, et après ? [2010]
La fin du contrat, et après ? [2010]
 
NéGociations Contractuelles
NéGociations ContractuellesNéGociations Contractuelles
NéGociations Contractuelles
 
Avec votre agence web, mettez les points sur les i
Avec votre agence web, mettez les points sur les iAvec votre agence web, mettez les points sur les i
Avec votre agence web, mettez les points sur les i
 
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012
Cloud et impacts juridiques - Pôle Numérique - Raphael Peuchot - septembre 2012
 
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUELCLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL
CLOUD COMPUTING: GERER ET ANTICIPER LE RISQUE CONTRACTUEL
 
Choix d'un prestataire web
Choix d'un prestataire webChoix d'un prestataire web
Choix d'un prestataire web
 
Formation fibrenoire
Formation fibrenoireFormation fibrenoire
Formation fibrenoire
 
Enjeux Assurance RC / SaaS et Cloud
Enjeux Assurance RC / SaaS et CloudEnjeux Assurance RC / SaaS et Cloud
Enjeux Assurance RC / SaaS et Cloud
 
Negociation contractuelle
Negociation contractuelleNegociation contractuelle
Negociation contractuelle
 
Cloud computing contracts b. docquir
Cloud computing contracts b. docquirCloud computing contracts b. docquir
Cloud computing contracts b. docquir
 
Cours CRM 1
Cours CRM 1Cours CRM 1
Cours CRM 1
 
Externalisation
ExternalisationExternalisation
Externalisation
 
Microsoft TechDays 2012 France - BPOS301 La réversibilité des données dans le...
Microsoft TechDays 2012 France - BPOS301 La réversibilité des données dans le...Microsoft TechDays 2012 France - BPOS301 La réversibilité des données dans le...
Microsoft TechDays 2012 France - BPOS301 La réversibilité des données dans le...
 
Ihecs NéGociations Contractuelles
Ihecs NéGociations ContractuellesIhecs NéGociations Contractuelles
Ihecs NéGociations Contractuelles
 
Négociation Contractuelle
Négociation ContractuelleNégociation Contractuelle
Négociation Contractuelle
 

Plus de Andre Meillassoux

20150604 AFDIT Conf A Meillassoux BIG DATA VF
20150604 AFDIT Conf A Meillassoux BIG DATA VF20150604 AFDIT Conf A Meillassoux BIG DATA VF
20150604 AFDIT Conf A Meillassoux BIG DATA VFAndre Meillassoux
 
2015 III A Meillassoux cv avocat IT (F) complet
2015 III A Meillassoux cv avocat IT (F) complet2015 III A Meillassoux cv avocat IT (F) complet
2015 III A Meillassoux cv avocat IT (F) completAndre Meillassoux
 
IFCLA Slides A Meillassoux SEO SEM TM & Unfair Competition 05 06 2014
IFCLA Slides A Meillassoux SEO SEM TM & Unfair Competition 05 06 2014IFCLA Slides A Meillassoux SEO SEM TM & Unfair Competition 05 06 2014
IFCLA Slides A Meillassoux SEO SEM TM & Unfair Competition 05 06 2014Andre Meillassoux
 
2012 06 - Réferencements sur internet French Case Law
2012 06 - Réferencements sur internet French Case Law2012 06 - Réferencements sur internet French Case Law
2012 06 - Réferencements sur internet French Case LawAndre Meillassoux
 
Afdit Colloque 29 Juin 2012 RéFerencements Internet A Meillassoux
Afdit Colloque 29 Juin 2012 RéFerencements Internet A MeillassouxAfdit Colloque 29 Juin 2012 RéFerencements Internet A Meillassoux
Afdit Colloque 29 Juin 2012 RéFerencements Internet A MeillassouxAndre Meillassoux
 
2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)Andre Meillassoux
 
Liability Clauses In Joint Venture Agreements Barcelona 2008
Liability Clauses In Joint Venture Agreements Barcelona 2008Liability Clauses In Joint Venture Agreements Barcelona 2008
Liability Clauses In Joint Venture Agreements Barcelona 2008Andre Meillassoux
 
Prerequisites In ERP Projects Paris Mines 2002
Prerequisites In ERP Projects Paris Mines 2002Prerequisites In ERP Projects Paris Mines 2002
Prerequisites In ERP Projects Paris Mines 2002Andre Meillassoux
 
Legal Aspects of Application Software Providers Mexico 2005
Legal Aspects of Application Software Providers Mexico 2005Legal Aspects of Application Software Providers Mexico 2005
Legal Aspects of Application Software Providers Mexico 2005Andre Meillassoux
 
Legal Risks In Erp Projects Paris 2007
Legal Risks In Erp Projects Paris 2007Legal Risks In Erp Projects Paris 2007
Legal Risks In Erp Projects Paris 2007Andre Meillassoux
 

Plus de Andre Meillassoux (10)

20150604 AFDIT Conf A Meillassoux BIG DATA VF
20150604 AFDIT Conf A Meillassoux BIG DATA VF20150604 AFDIT Conf A Meillassoux BIG DATA VF
20150604 AFDIT Conf A Meillassoux BIG DATA VF
 
2015 III A Meillassoux cv avocat IT (F) complet
2015 III A Meillassoux cv avocat IT (F) complet2015 III A Meillassoux cv avocat IT (F) complet
2015 III A Meillassoux cv avocat IT (F) complet
 
IFCLA Slides A Meillassoux SEO SEM TM & Unfair Competition 05 06 2014
IFCLA Slides A Meillassoux SEO SEM TM & Unfair Competition 05 06 2014IFCLA Slides A Meillassoux SEO SEM TM & Unfair Competition 05 06 2014
IFCLA Slides A Meillassoux SEO SEM TM & Unfair Competition 05 06 2014
 
2012 06 - Réferencements sur internet French Case Law
2012 06 - Réferencements sur internet French Case Law2012 06 - Réferencements sur internet French Case Law
2012 06 - Réferencements sur internet French Case Law
 
Afdit Colloque 29 Juin 2012 RéFerencements Internet A Meillassoux
Afdit Colloque 29 Juin 2012 RéFerencements Internet A MeillassouxAfdit Colloque 29 Juin 2012 RéFerencements Internet A Meillassoux
Afdit Colloque 29 Juin 2012 RéFerencements Internet A Meillassoux
 
2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)
 
Liability Clauses In Joint Venture Agreements Barcelona 2008
Liability Clauses In Joint Venture Agreements Barcelona 2008Liability Clauses In Joint Venture Agreements Barcelona 2008
Liability Clauses In Joint Venture Agreements Barcelona 2008
 
Prerequisites In ERP Projects Paris Mines 2002
Prerequisites In ERP Projects Paris Mines 2002Prerequisites In ERP Projects Paris Mines 2002
Prerequisites In ERP Projects Paris Mines 2002
 
Legal Aspects of Application Software Providers Mexico 2005
Legal Aspects of Application Software Providers Mexico 2005Legal Aspects of Application Software Providers Mexico 2005
Legal Aspects of Application Software Providers Mexico 2005
 
Legal Risks In Erp Projects Paris 2007
Legal Risks In Erp Projects Paris 2007Legal Risks In Erp Projects Paris 2007
Legal Risks In Erp Projects Paris 2007
 

2013 02 impact juridique du cloud et bonnes pratiques contractuelles

  • 1. Impact juridique du Cloud et bonnes pratiques contractuelles Me André MEILLASSOUX ATM AVOCATS Président de l’Association Française de Droit de l’Informatique et de la Télécommunication (AFDIT) ameillassoux@atmavocats.com www.atmavocats-associes.com 18, rue Jean Goujon 75008 Paris - 01 56 91 05 05
  • 2. INTRODUCTION La notion de « Cloud Computing », littéralement traduite en Français par « informatique dans les nuages » est une expression valise qui couvre plusieurs pratiques . Une définition existe toutefois et permet de déterminer ses contours « Le terme "Cloud" désigne aujourd’hui de manière générale un nouveau modèle à la fois de distribution et de consommation de l’informatique qui consiste à mettre à disposition via les réseaux de communication et à la demande (= "as a service"), un ensemble de "ressources" (puissance de calcul, stockage de données, applications, etc.) et de "services" (gestion, administration, etc.). Celles-ci seront mutualisées, dématérialisées, contractualisées, évolutives et en libre-service. » Source : Syntec numerique, « Cloud computing nouveaux modèles », Livre blanc, Mars 2012, p.6. 2
  • 3. INTRODUCTION L’utilisation du Cloud en entreprise représente un enjeu économique devenu une nécessité mais qui implique de garder à l’esprit plusieurs points:  L’entreprise confie à un prestataire la fourniture de moyens informatiques à une échelle jamais atteinte : elle remet entre les mains d’un tiers une partie importante (et parfois sensible) de son activité (données, ressources, applicatifs…).  Si le prestataire est défaillant, les préjudices peuvent être importants :  préjudice financier lié à l’impossibilité/difficulté de mener son business  compromission/ ou perte du savoir-faire, de données clients ou internes, de secrets…  violation de droits de propriétés intellectuelles,  violation des obligations en matière de données personnelles (et mise en cause pénale du responsable du traitement). Préparer au mieux la phase contractuelle est la manière la plus efficace de se prémunir contre ses risques. 3
  • 4. INTRODUCTION Le contrat signé avec le prestataire doit être pris au sérieux  Le contrat est la clé de voûte des relations entre le prestataire (ou « Cloud Provider ») et le client.  Souvent, il existe peu de marge de manœuvres dans la négociation : le contrat Cloud est trop souvent un contrat dit « d’adhésion » (pré-rédigé et non négociable).  Conséquence directe : la réalisation d’un audit en amont permettra à l’entreprise de cerner ses besoins et rédiger un cahier des charges qui constituera le référentiel et l’objectif contractuel de l’entreprise. La connaissance de son besoin permet de mieux cerner les risques liés à l’absence de flexibilité du contrat. Pour le client : le but est de conclure un contrat adapté et évolutif. Pour le prestataire : le but est d’imposer ses conditions générales. 4
  • 5. INTRODUCTION Le choix des besoins détermine le niveau d’engagement du prestataire Source : syntec numerique. 5
  • 6. PLAN DE L’INTERVENTION Le contrat Cloud comporte plusieurs points essentiels sur lesquels le Client doit focaliser son attention lors de la phase d’avant-contrat. I. PÉRIMÈTRE DES SERVICES ET PRESTATIONS II. RESPONSABILITES DE CHAQUE PARTIE III. DONNÉES – TRANSFERT ET TRAITEMENT IV. PRIX – MODES DE FIXATION V. RÉVERSIBILITÉ – ÉVOLUTIVITÉ VI. DROIT APPLICABLE - 6
  • 7. I. SERVICES ET PRESTATIONS 7
  • 8. I. Détermination des services et prestations 1. La détermination des services. C’est l’objet du contrat : il doit couvrir le « périmètre » des services fournis par le prestataire et le « niveau d’engagement » attendu , deux notions clé,  Le Périmètre Il permet de déterminer l’étendue et le contenu des services et prestations qui seront fournis au titre du contrat  Les services fournis par le prestataire doivent être définis précisément.  Etablissement d’un catalogue des services/prestations rendus  Anticipation par le contrat des conditions d’évolution de ce catalogue.  La précision des « Définitions » est fondamentale.  Le niveau d’engagement est le point clé de la négociation.  Qualification juridique du niveau d’engagement : maîtrise d’œuvre, obligation de résultat..  Le client cherchera à obtenir le plus haut niveau d’engagement de la part du prestataire, pour chaque prestation contractualisée.  Le prestataire cherchera à limiter ses engagements à différents niveaux (obligation 8 de moyen, limitation basse de responsabilité).
  • 9. I. Services 2. La fourniture des services et prestations  Le niveau de l’engagement doit être contractualisé.  Il faut prévoir les niveaux de services techniques : disponibilité, continuité, puissance du service. Souvent dans les SLA.  Les conditions de suspension doivent être limitées aux cas les plus stricts. L’occurrence des maintenances ou mises à jour doivent être déterminées de concert entre les parties.  Exemples de clauses pertinentes ou de niveaux de services à déterminer dans le SLA:  Bande passante/Volumétrie (minimum contractuel à prévoir).  Volume de stockage du prestataire/performance des serveurs.  Contractualisation de la fonction support du prestataire (temps d’intervention minimum, délai de temps avant une réponse technique).  Contractualisation possible de « back up plans » : audit de plan de secours, réplication des données. Attention à la terminologie ! Les phrases types : « mettons en œuvre nos meilleurs efforts pour vous garantir la continuité du service » n’engagent le prestataire 9
  • 11. II. RESPONSABILITÉS 1. L’organisation des responsabilités est nécessaire pour l’économie du contrat.  Le contrat sert à la prise en compte des conséquences de l’inexécution des prestations, dès la conclusion de l’engagement.  Ce sont des sujets qui fâchent en négociation, mais qui sont stratégiques  Le niveau de « responsabilité » du prestataire est essentiel, car c’est la preuve de son sérieux  Il faut aller voir, presque avant tout, cette clause qui est entre la clause 15 et la clause 18 (à la fin)  Il est indispensable de l’étudier, la négocier et la contractualiser  Et ce, à plusieurs niveaux :  La responsabilité du prestataire à l’égard du client (clause indispensable).  La responsabilité du client dans les cas litigieux  Envisager également les impacts sur les tiers (par ex : Les perte de données de tiers) Les clauses d’assurance sur les risques spécifiques au Cloud ne doivent pas perturber l’économie du contrat. 11
  • 12. II. Responsabilité 2. Analyse des clauses courantes:  La responsabilité contractuelle du prestataire :  L’assiette des préjudices couverts : les prestataires cherchent à exclure certains préjudices  Attention aux clauses pré-qualifiant en dommages « indirects » certains préjudices pour les exclure (refus courant d’indemniser la perte de CA, de bénéfice, de la clientèle, les gains manqués, le préjudice d’image : attention à ne pas vider la responsabilité de toute substance).  Attention aux limitations à un montant contractuellement établi (somme fixe ou montant des redevances perçues pendant une période déterminée).  Les niveaux diffèrent selon les services fournis (Iaas, Saas, Paas).  La responsabilité contractuelle du client :  Les contrats prévoient souvent des cas prédéfinis de mise en jeu de la responsabilité du client, il s’engage généralement à assumer les conséquences de ses fautes (attention aux définitions).  Dans ce cas, les limites doivent être strictes, le Prestataire ne doit pas se défausser 12 sur son Client.
  • 14. III. Les Données 1. La sécurisation des données  Désormais, les données sont, à juste titre, au centre de l’attention : où sont elles stockées, dans quelles conditions, comment sont elles sécurisées, comment on les récupère ? Faire un audit  Prévoir, au moins en interne, un audit spécifique et préalable, qui est nécessaire afin de cerner le statut des données traitées. Problème de la sous-traitance  Il faut prévoir quelles opérations peuvent être sous-traitées et à qui (c’est une obligation légale de la loi du 31 décembre 1975 sur la sous-traitance)  liste et missions des sous-traitants au sein même du contrat.  Insertion possible dans le contrat d’une obligation pour le prestataire de répercuter ses obligations en matière de données dans les contrats passés avec les sous-traitants. 14
  • 15. III. Données 2. La propriété des données  Un droit de propriété du Client sur ses données : réaffirmation nécessaire dans les termes du contrat.  La propriété intellectuelle sur les données : Déterminer l’éventualité de revendication de propriété de certains éléments confiés au prestataire et la paternité des droits de chacune des parties au contrat (difficulté possible en cas d’œuvres créées avec du matériel fourni par le prestataire). 15
  • 16. III. Données 3. Le traitement des données personnelles : 3.1 La localisation des données  La législation est stricte en matière de données personnelles (sanctions pénales):  En cas de traitement de données sensibles : déclarations Cnil obligatoires.  Données stockées hors de l’UE et notion de « safe harbor »  rédaction de clauses dans le contrat mettant à la charge du prestataire des obligations supplémentaires de sécurisation des données (Possibilité également de contractualiser le maintien des données sur un Cloud « européen »).  Souvent, le Client souhaite organiser la localisation géographique du serveur 3.2 Le responsable du traitement  Aménagement contractuel possible sur l’identité du responsable du traitement des données (par principe l’entreprise cliente est systématiquement responsable mais négociation possible pour obtenir un partage de responsabilité).  Le responsable du traitement reste et demeure responsable même si les données sont externalisées (art 35 de la loi Cnil du 6 janvier 1978). 16
  • 17. III. Données 3. Le traitement des données personnelles : 3.3 Clauses à prévoir  Il faut prévoir une obligation d’information du prestataire en cas de déviation ou risque de déviation par rapport au référentiel de conformité. C’est désormais une infraction pénale  Une clause de confidentialité étendue est nécessaire au contrat.  Il faut prévoir, en amont, toutes les pénalités afférentes au dépassement des services par le client et aux inexécutions par le prestataire.  Possibilité de prévoir des clauses de « devoir d’alerte » en cas d’utilisation excessive du service par le client. 17
  • 18. III. Données 3. Le traitement des données personnelles (suite) Recommandation de la Cnil (25/06/12) :  Faire respecter au prestataire Cloud, par la voie du contrat, les contraintes légales (localisation des données, réglementations spécifiques à certains types de données, etc.), les contraintes pratiques (assurer la pérennité, la disponibilité, réversibilité/portabilité des données etc.) et les contraintes techniques (interopérabilité avec le système existant, etc.) afin de sécuriser au mieux les échanges de données.  Après avoir réalisé un audit spécifique sur les données concernées, la Cnil conseille aux entreprises de choisir des solutions Cloud différentes en fonction des traitements : possible donc de choisir « un service IaaS public français pour le site Internet … un SaaS européen privé pour les messages électroniques »,  En fonction des métiers prévoir des dispositions spécifiques : Par ex un hébergeur de santé homologué pour les données de santé (plus 18 sensibles) et».
  • 19. III. Données Point d’actualité : réforme de la directive données personnelles Vers un Règlement Européen en 2014-2015  Volonté d’harmonisation des protections, de renforcement des devoirs d’alerte en cas de compromission, et de renforcement des sanctions (pouvoir autonome de la Cnil)  La finalité est de renforcer la sécurité des données personnelles face aux atteintes liées aux nouvelles technologies (dont le Cloud computing).  Les lobbys américains, présents au Parlement Européen, font pression pour réduire la portée de ce qui constituera le futur règlement européen. Des suggestions, proposées entre autres par Amazon ou la Chambre Américaine de Commerce sont ainsi reprises mot pour mot dans certains amendements proposés par des députés européens. 19
  • 21. IV. Le Prix 1. Les conditions tarifaires  Le contrat peut fixer le prix selon différents critères :  A la consommation selon des prestations mesurables en fonction de l’utilisation. Dans ce cas, les unités de mesure qui influent sur le prix doivent être prédéfinies (bande passante, stockage, trafic mensuel),  Au forfait, en fonction d’un nombre d’utilisateurs par exemple, ou en fonction des services choisis  Mélange des deux modes de fixation. 21
  • 22. IV. Le Prix 2. Le Benchmark  Négociation possible autour de l’insertion d’une clause de « benchmarking » permettant l’examen, au cours du contrat, de la qualité et du prix des prestations proposées par la concurrence. En cas d’écart trop important, la clause prévoit le sort du contrat (renégociation, résiliation)  Si un benchmark est inséré, il faut prévoir :  les prestations concernées  les outils et méthodes d’évaluation  la méthode d’analyse des résultats  les solutions applicables en cas d’écart trop important. 22
  • 24. V. La Réversibilité  Objectif : permettre à l’entreprise cliente de reprendre la main sur ce qu’elle a confié au prestataire.  Ce qui doit être prévu dans le contrat (et éventuellement négocié) :  La portée de la clause : restitution des données et des informations.  Le prix éventuel de la restitution.  Les conditions de la restitution : la durée évaluée du rapatriement des informations.  La qualité des données restituées : exploitables par le client (clause de portabilité et d’interopérabilité des données).  L’aménagement de la période de transition.  La possibilité, en retour, pour le client de devoir coopérer ou d’effectuer ses meilleurs efforts pour coopérer à la réversibilité.  La contractualisation d’une modification éventuelle des prestations attendues durant le transfert. 24
  • 25. VI. LE DROIT APPLICABLE 25
  • 26. VI. Le droit applicable La détermination de la loi applicable :  Clause contractuelle qui permet d’attribuer le droit applicable et la juridiction compétente en cas de litiges.  Attention à la compatibilité de certaines clauses avec le droit français :  Règlementation en matière de données personnelles, notamment les données sensibles (santé, bancaire).  Le Secret bancaire français s’oppose au « Patriot act américain » qui permet aux autorités américaines d’inspecter les serveurs situés sur leur territoire. 26
  • 27. Points clés.  Multiplication des audits et évaluation des besoins.  Négocier en amont les difficultés prévisibles.  Redoubler de vigilance sur le traitement des données personnelles.  Essayer d’introduire un Benchmark des engagements.  Sécuriser au maximum la réversibilité des données. 27