SlideShare une entreprise Scribd logo
le Mardi 13 mars, 2012




Matinée 01 SaaS
Maitrisez la facilité!
9h00 – 09h15 - OUVERTURE




Réalité chiffrée et variété du SaaS en France
par

Sylvie Chauvin, Présidente du cabinet Markess International
Présentation Matinées 01
                      Paris le 13 mars 2012



                             SaaS
            Réalité chiffrée et variété du recours
                  au mode SaaS en France

                      Sylvie Chauvin – President
                       MARKESS International

Mars 2012              © Copyright 2012 - MARKESS International   3
A propos de MARKESS International

            ETUDES              Cabinet spécialisé dans l’analyse de la modernisation
            ANALYSES
                                des organisations avec les technologies du numérique
                                Des études, des services opérationnels et stratégiques
     PRESENTATIONS
                                pour des clients entreprises utilisatrices et prestataires
   RECOMMANDATIONS              Plus de 4.000 interviews de décideurs par an
                                (MOA, DSI, directeurs de projets, directions métiers)
                                Une connaissance des offreurs
   Des expertises
                                (un monitoring des prestataires: éditeurs, SSII, opérateurs…)
   dédiées
     GESTION DE        DÉMATÉRIALISATION       CONFIANCE           COLLABORATION                   CLOUD
                                                                                       MOBILE
   l’INFORMATION         & ARCHIVAGE           NUMÉRIQUE          RESEAUX SOCIAUX                COMPUTING


        CAPITAL HUMAIN             CAPITAL CLIENT                    CAPITAL FINANCE       SECTEUR PUBLIC



Mars 2012                                  © Copyright 2012 - MARKESS International                          4
Le SaaS : l’une des composantes du cloud
    computing


            SaaS                                        Applications
         Software          RH, CRM/SFA, Vente, Finance/Comptabilité, Achats, Production,
                       Logistique, Informatique… Collaboratif, Bureautique, Décisionnel, ECM…
        as a Service

                                Environnement de développement / test
            PaaS
        Platform        Base de                Moteur                      Accès &         Processus
       as a Service     Données               applicatif                   Identité       collaboratifs

                                         Environnement d’Exploitation
            IaaS
      Infrastructure            Serveurs                      Baies                   Réseaux
       as a Service
                                              Infrastructure Physique


Mars 2012                       © Copyright 2012 - MARKESS International                                  5
Evolution de la pénétration du cloud computing
    au sein des organisations françaises
    France, 2010-2013
    Extrapolation à l’ensemble des entreprises privées (de 1 salarié et +) et organisations publiques (univers de + de 1,4 million
    d’organisations en France selon l’INSEE) à partir d’un échantillon de + de 1000 organisations interrogées depuis 2009
    Le SaaS couvre des architectures de type instance unique/single -tenant et celles multi-instance/multi-tenant
                                   50%

                                                                                      38%                            SAAS
    % d’organisations françaises




                                   40%                            35%
                                                31%
                                   30%

                                   20%   24%                                                                          IAAS
                                                                                      15%
                                                                  10%
                                   10%                                               6%                              PAAS
                                                5%
                                         2%                                             Projections au-delà de 2013
                                   0%    1%                       4%
                                                2%
                                         2010   2011               2012               2013
Mars 2012                                          © Copyright 2012 - MARKESS International                                          6
Evolution des usages SaaS depuis 2008 en France
    Top 10

              Rang en 2008                   Rang en 2010                              Rang 2011
     Collaboration d’entreprise     Collaboration d’entreprise                 Collaboration d’entreprise
                     RH                               RH                                   RH
        Finance/Comptabilité              Application sociale                     Finance/Comptabilité
                   Achats                     Informatique                     Gestion de la relation client
                E-commerce          Gestion de la relation client                     E-commerce
    Gestion de la relation client                  Achats                         Gestion commerciale
               Informatique            Communication vocale                     Application bureautique
             Application sociale       Finance / Comptabilité                      Application sociale
            Gestion commerciale                E-commerce                             Informatique
       Production / Logistique          Gestion commerciale                      Communication vocale


Mars 2012                           © Copyright 2012 - MARKESS International                                   7
Entre 2 et 4 applications SaaS utilisées
    pour près de 50% des décideurs interrogés
    France, 2010 (en % des réponses)

                                                                                               Les décideurs métiers
                                                                                              interrogés en avancent
                                                                                                 plus en moyenne
                                                                                                que les décideurs IT




                                   Nombre d’applications SaaS différentes utilisées
    Echantillon : 140 décideurs ouverts au cloud computing – intervalle de confiance +/- 7%
Mars 2012                                         © Copyright 2012 - MARKESS International                             8
Catalyseurs du recours au SaaS pour
    les décideurs ouverts à ces solutions
    France, 2010 (liste suggérée – 23 items – multi-réponses)

      Profils des décideurs interrogés                                                   IT   Métiers

      Amélioration de l'agilité et de la réactivité

      Optimisation des coûts d’exploitation
      Accélération des déploiements
      Réduction du temps d'implémentation
      Accès distant possible
      (collaborateurs nomades, mobiles ou en télé-travail)
      Facilité d'accès et souplesse d'utilisation
      (notamment via un navigateur web)
      Pas d'investissement dans des
      infrastructures
      (serveurs, baies...)

      Pas d'investissement en licences logicielles
    Echantillon : 140 décideurs ouverts au cloud computing
Mars 2012                                         © Copyright 2012 - MARKESS International              9
Quelques exemples d’apports et bénéfices associés
   au SaaS (sources déclaratives)
        Périmètre                  Nature du bénéfice                Estimation chiffrée
                                Mise à jour réglementaire
             RH                                                        8 500 € par an
                                 faite par le fournisseur
                                                                      1 mois (contre 9
            CRM                  Rapidité de déploiement
                                                                          avant)
                           Actualisation fonctionnelle et lissage
                                                                        Coût récurrent
        Messagerie        des coûts       coût d’investissement sur
                                                                         annuel égal à
       collaborative      un an si mise en œuvre en interne : 43
                                                                            3 400 €
                                                000 €
         Gestion                Standardisation, efficacité,
                                                                      Gains de 100 000 €
    de projets groupe               réduction des coûts
                               Pas d'acquisition de serveur
                                                                      7 000 € annuels de
    Gestion financière        (20 000 € d’investissement) et
                                                                       fonctionnement
                          pas de coûts de maintenance associés
          Bureautique           Plus de licences par poste             Gain de 60 € / an
Mars 2012
          collaborative      (coûtant 600 €MARKESS International ans)
                                © Copyright 2012 -
                                                   / poste sur 2       par collaborateur 10
Exemples de bénéfices découlant du recours à des
    solutions CRM en mode SaaS (sources déclaratives)
                 Nature du bénéfice                          Estimation chiffrée
 Gestion des profils clients : réduction des coûts    Amélioration du taux de clients
 de recrutement, fidélisation                        fidèles de 10 points, soit 1 M€ de
 (tourisme – 500 à 1 999 employés)                         gains complémentaires
 Gestion des e-mails sortants : diminution du coût
                                                            CPM : de 3 à 1 euros
 pour mille (CPM)
                                                                Gain de 20 K€
 (industrie – 500 à 1 999 employés)
 Partage de contenus : gains de temps par              Gains de 3 heures par semaine
 collaborateur concerné                                      équivalent à 420 €
 (distribution – moins de 50 employés)                   par collaborateur concerné
 Référentiel interne pour la gestion des cas clients
                                                        Gain d’environ 1 ETP (expert
 : réduction des coûts salariaux
                                                         métier) équivalent à 30 K€
 (opérateur – moins de 50 employés)
                                                     Réduction de l'investissement de
 Pas d’achat de licences
                                                        300 K€ et passage en frais de
 (administration – 500 à 1 999 employés)
                                                              fonctionnement
Mars 2012                      © Copyright 2012 - MARKESS International              11
Exemples de bénéfices découlant du recours à
    des solutions RH en mode SaaS (sources
    déclaratives)


     Assurance – 2 300 coll.          Organisation publique                      Distribution - 3 800 coll.
     Gestion de la paie               +10 000 agents                             Entretiens annuels,
     • Amélioration de la rigueur     Gestion des accidents du                   carrières et compétences
       et du suivi du cycle de paie   travail                                    • Hausse du taux
     • Meilleure fluidité du          • Amélioration de la                         d'utilisation de
       processus                        traçabilité                                l'application (90% des
     • Réduction des incidents        • Avant : néant ou solution                  entretiens réalisés vs.
       d'exploitation (-70%)            ad-hoc par entité                          30%)
     • Avant : échanges et            • Après : portail partagé à                • Meilleure prise en compte
       relations compliqués avec        l'échelle de                               des items RH (mobilité,
       la DSI                           l’administration                           évolutions, etc...)
     • Après : relation contrac-                                                 • Réduction du taux de
       tuelle cadrée sur ce                                                        turnover de 2%
       processus


Mars 2012                             © Copyright 2012 - MARKESS International                                 12
Des décideurs IT plus sensibles
                                                                                à l’intégration au SI, la qualité de
    Evolution des enjeux                                                                      service
    avec le SaaS depuis 2008                                                     et la réversibilité contractuelle.
                                                                               Des décideurs métiers s’interrogeant
    France, 2008-2010 (liste suggérée – multi-réponses)                        sur la sauvegarde de leurs données.


                 Intégration au                             Confidentialité                         Confidentialité
                    système                                  des données                             des données
                 d’information                                 Garantie de                          Intégration au
                 Confidentialité                              continuité de                            système
                  des données                                    service                            d’information
        2008




                                                   2009




                                                                                            2010
                Synchronisation                                  Qualité                           Qualité de service
                  difficile avec                                de service                          et engagements
                 d’autres outils                           Problématiques                               associés
                Risque de perte                            réseaux (accès /                          Dépendance
                  de contrôle                               performance)                           aux fournisseurs
                   Complexité                                 Dépendance                              Garantie de
                   d’identifier                                   aux                                continuité de
                    les offres                                fournisseurs                              service

Mars 2012                                        © Copyright 2012 - MARKESS International                               13
Europe : évolution du marché des logiciels &
    services de cloud computing (IaaS/PaaS/SaaS)
    France, 2011-2013

                                    Europe                                                                     France
                        13 800 ME en 2011
                                                     France
                                                    2 300 ME




                                                                                            Ventilation SaaS / PaaS / IaaS

                  Evolution annuelle d’ici 2013                                              Evolution annuelle d’ici 2013
                             +22%                                                                       +20%
            Les chiffres de marché ont été établis en évitant tout double compte. Les revenus d’offreurs situés hors de l’hexagone sont compris.
                                              Ils n’incluent pas les revenus de ventes de matériel (serveurs…)
Mars 2012                                               © Copyright 2012 - MARKESS International                                                   14
Pour aller plus loin sur ce sujet

            Des Référentiels de Pratiques
              synthèses de +15 pages
             en téléchargement gratuit

                  www.markess.fr

               Des études approfondies
                    de +150 pages



Mars 2012        © Copyright 2012 - MARKESS International   15
Pour suivre nos analyses sur nos blogs


                                        blog.markess.fr


                                    knowledgecenter.markess.com


                                6 bis, rue Auguste Vitu
                                 75015 Paris l France
                               Tél : +33 (0)1 56 77 17 77




Mars 2012            © Copyright 2012 - MARKESS International     16
09h15 – 10h00 - TABLE RONDE




Nouveau modèle pour les DSI,
mais aussi pour les éditeurs

avec

Pierre Calais, Membre du Syntec Numérique
Dominique Bayle, DSI de l’ICM, CHU Pitié-Salpêtrière
Gérard Russeil, DG de Chorégie et pilote du groupe de travail Saas au CIGREF
10h00 – 10h20 - Avis d’expert




Évolution ou révolution pour la DSI ?
avec

Cédric Jean, Directeur commercial d’Agarik
Joël Bentolila, DSI TalentSoft
Votre intervenant

                                             AGARIK
                                             Hébergement, Infogérance, Cloud computing et
                                             Services web sur-mesure

                                             > 15 années d’existence

                                             > Lancement d’une offre de cloud public dès
                                               2010

                                             > 15 Datacenters dont 5 propriétaires Bull

                                             > 3 500 équipements hébergés et infogérés
             Cédric JEAN
             Directeur Commercial            > 30 000 interventions par an dont 10 000 de nuit
             cedric.jean@agarik.com
                                             > 80% d’équipes Techniques

                                             > 600 Kms de fibre optique déployée




20/03/2012                               © Agarik
                                                                                                 19
Evolution ou révolution ?
                              nos 10 années d'expérience




                       2006                                         2011
                Rachat de Soft2You                           Lancement de l’offre
                 1er ASP français                               CloudArchitek




                            Voyage dans le Cloud

            2002                              2010                        2011 - 2012
     Lancement de l’offre            Lancement de l’offre                 PaaS métier
            ROD                      Mycloudmaker.com
       (Ressource On                 Portail IaaS en ligne
          demand)




20
Retour d’expérience




                                     Joël BENTOLILA
                                          C.T.O.

20/03/2012                © Agarik
                                                      21
Le groupe TalentSoft

                           •   Leader européen de la Gestion Intégrée des
    + 2 de millions            Talents et des Compétences en mode SaaS
     d’utilisateurs        •   No 1 en France des éditeurs en mode SaaS
10 millions de candidats   •   1ère solution de gestion des talents optimisée
    dans 100 pays              pour le Cloud
                           •   25% du CAC 40
                           •   100 collaborateurs dédiés
                           •   + 300 consultants certifiés TS dans le monde
                                                                   Paris



   Londres




  Mannheim                                                                  22
20/03/2012   © Agarik
                        23
10h00 – 10h20 - Avis d’expert




Évolution ou révolution pour la DSI ?
avec

Cédric Jean, Directeur commercial d’Agarik
Joël Bentolila, DSI TalentSoft
10h20 – 10h50 - PAUSE




                Pause / Networking
10h50 – 11h10 - Avis d’expert



Comment l’entreprise peut-elle bétonner
un contrat SaaS ?

par

Maître Garance Mathias, avocate à la Cour
LE SAAS
                  Comment l’entreprise peut-elle
                   bétonner un contrat SAAS ?
Cabinet d’Avocats MATHIAS
9 rue Notre Dame de Lorette
       75009 PARIS
  garance@gmathias.com
ETAT DES LIEUX

   • Le risque légal est la conséquence du risque
     opérationnel
   • Le risque métier est de fait induit par le risque
     informationnel
   • La sécurité des systèmes d’information vise 4 grands
     objectifs:
       •   Disponibilité
       •   Intégrité des données
       •   Confidentialité
       •   Preuve




 L’évaluation des risques pesant sur les systèmes d’information permet de
               réduire les risques métiers et les risques légaux.
Définition du Cloud Computing
 Le Cloud Computing fait référence à
 l’utilisation des capacités de mémoire et de
 calcul des ordinateurs et des serveurs
 répartis dans le monde entier et liés par un
 réseau.
 Le Cloud Computing peut donc se définir
 comme une accessibilité à des « services »
 qui permettent d'accéder à des applications,
 une puissance de calcul, des moyens de
 stockage, etc.
Intérêt du Cloud Computing
 L’accès     aux    données      et   aux
 applications peut ainsi se faire à partir
 de     n’importe    quel    périphérique
 connecté.
 Permet de s’affranchir des contraintes
 traditionnelles et d’avoir une approche
 modulaire selon le besoin.
Les  composantes           du     Cloud
Computing
 De manière générale, les solutions Cloud
 Computing reposent sur des technologies
 de virtualisation et d’automatisation.
 Le Cloud Computing peut être représenté
 en trois composantes principales dont il
 est indifféremment l’une, les deux ou
 encore les trois combinées: le PaaS, le
 IaaS et le SaaS.
Le SaaS
 Sofware as a Service:
   Il s'agit de la mise à disposition d'un logiciel, non pas sous la
   forme d'un produit que le client installe en interne sur ses
   serveurs mais en tant qu'application accessible à distance
   comme un service, par le biais d'Internet et du web.
   Les clients payent pour utiliser ces applications.
   L'utilisation reste transparente pour les utilisateurs qui ne se
   soucient ni de la plate-forme, ni du matériel qui sont mutualisés
   avec d'autres entreprises.
   Les principales applications actuelles de ce modèle sont la
   relation client (CRM), la vidéoconférence, la gestion des
   Ressources Humaines, etc.
Les caractéristiques
clés du SaaS
Les caractéristiques clés du SaaS
 Différences avec les solutions informatiques
 traditionnelles:
   des services à la place de produit technologiques
   avec mise à jour en continue et automatique;
   un self-service et un paiement à l’usage (en fonction
   de ce que l’on consomme), ce qui induit des
   économies budgétaires conséquentes;
   une mutualisation et une allocation dynamique de
   capacité (indépendant de toutes contingences
   matérielles, logicielles).
Les caractéristiques clés du SaaS

 Les utilisateurs restent propriétaires des
 données qui y sont hébergées.

 En revanche, ils ne sont pas propriétaires
 des applications ou de l’architecture qui
 permet    leur    utilisation  ou     leur
 hébergement.
Enjeux juridiques du SaaS
 Contrôle, sécurité et traçabilité des données:
   Nécessaire mise en place de procédures d'habilitation
   et de contrôle d'accès aux données.
   Les entreprises doivent donc définir clairement leur
   rôle et responsabilité, tout en recherchant des
   solutions leur permettant de sécuriser l'externalisation
   de leurs données.
   Le contrat Cloud doit aborder la responsabilité de
   chaque partie et définir le périmètre de la prestation.
Les risques juridiques du SaaS
 L’externalisation est un choix stratégique de l’entreprise.
 Ce choix doit prendre en compte les règles juridiques
 applicables
    Notamment      celles   concernant      les   données     à    caractère
    personnel.
       La loi n°78-17 du 6 janvier 1978 dispose en son article 2 que
       « Constitue un traitement de données à caractère personnel toute
       opération ou tout ensemble d'opérations portant sur de telles
       données, quel que soit le procédé utilisé, et notamment la collecte,
       l'enregistrement, l'organisation, la conservation, l'adaptation ou la
       modification,      l'extraction, la   consultation,   l'utilisation, la
       communication par transmission, diffusion ou toute autre forme de
       mise à disposition, le rapprochement ou l'interconnexion, ainsi que
       le verrouillage, l'effacement ou la destruction »
La problématique des données
personnelles
 D'autant plus importante que les nouvelles
 dispositions issues de l'ordonnance du 24 août
 2011 transposant le paquet télécoms impliquent
 une protection renforcée de la vie privée et, plus
 précisément, des données personnelles.
 Désormais, l'article 38 de l'ordonnance prévoit
 une procédure spécifique de notification à la Cnil
 et à l'utilisateur en cas de « faille de sécurité »
Les failles de sécurité
    Article 38 de l’ordonnance du 24 août 2011 : l’obligation d’une notification des failles de sécurité

    « En cas de violation de données à caractère personnel, le fournisseur de services de communications
    électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des
    libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée
    d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai,
    l'intéressé. »

    Notion de « fournisseur de services de communications électroniques »?
          Nécessaires précisions par les Tribunaux.

    Exceptions:

« La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire
    si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection
    appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à
    toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite
    violation. »

    Sanctions en cas de violation de l’obligation de notifications du ressort de la CNIL:
         150.000 €
         300.000 € en cas de récidive

    Risque d’image:
         Possibilité de publication de la décision de la CNIL
Une solution: la
                              contractualisation

Cabinet d’Avocats MATHIAS
9 rue Notre Dame de Lorette
       75009 PARIS
  garance@gmathias.com
Négociations et sensibilisation aux
enjeux
 La négociation contractuelle est impérative et requiert l'intervention
 du juriste dès la phase de conception du projet Cloud et ce, afin de
 circonscrire le périmètre de responsabilité.
 L'entreprise est chargée de la protection de ses informations qui
 constituent une valeur patrimoniale, convoitée par ses concurrents.
 La nouvelle menace vise également l'intégrité et l'authentification de
 l'identité. Dans ce contexte, outre la négociation du contrat,
 l'entreprise doit sensibiliser son personnel à ces nouveaux risques.
 Le Cloud Computing devenant une solution incontournable au sein
 de l'entreprise, la protection des données, de quelque nature
 qu'elles soient, passe obligatoirement par une responsabilisation et
 une formation des utilisateurs.
 En effet, dans ce domaine, la prévention s’avérera beaucoup plus
 constructive pour l'entreprise que des éventuels contentieux.
Contexte international mutualisé

  Le contrat SaaS nécessite la rédaction de
  contrats:

    afin d'appréhender les responsabilités de chacun
    des intervenants;
    ainsi que la prise en compte des formalités
    imposées par la CNIL.
La notion de contrat
Différentes possibilités: mise à disposition à distance de
matériel:
            Applications (SaaS)

Simplicité: un contrat unique / pas de gestion
d’ensembles contractuels lourds (licence, maintenance,
achat/crédit-bail, etc.)

Dangers du contrat de prestation de services:
   Pas de régime légal supplétif (garanties, etc.)
   Absence d’obligations de résultat et de conseil renforcé
   Nécessaire exhaustivité du contrat:
       Clauses juridiques (obligations de résultat et de conseil) et
      opérationnelles (intégrité des données, conformité des traitements,
      réactivité de la maintenance, etc.)
Le contrat de SaaS
 Le contrat devra avant tout fixer les
 frontières de la responsabilité de chacun.
 Cette répartition sera définie notamment
 au regard des documents réalisés en
 amont du projet comme le cahier des
 charges ou l'expression des besoins tant
 fonctionnels que techniques du client
 (responsable du traitement).
Délimitation de la prestation dans le cadre
contractuel
 Nécessité d’une description exhaustive de la prestation
    Ne pas se limiter à une expression de besoins fonctionnels
    Mentionner les capacités de stockage et de traitement, la bande passante, etc.
    Anticiper l’évolution du service : évolution des besoins du client, des logiciels mis
    à disposition, etc.

 Remarques :
    Définir le processus de retour des données et les événements initiateurs
    En cas d’applications stratégiques ou d’éditeurs vulnérables : mise en séquestre
    des codes sources pour assurer la continuité de l’exploitation par le client en cas
    de défaut du prestataire

 Prévoir une garantie maison-mère ou une garantie bancaire à première
 demande en cas d’envoi d’informations sensibles dans le Cloud
Les contrats dits « miroirs »
 En outre, des contrats dits « miroirs » devront
 être mis en place avec les sous-traitants.
 Au sein de ses contrats, les contraintes et les
 engagements assumés par le prestataire
 devront être repris dans leur intégralité.
 Les sous-traitants devront également assister
 aux réunions des différents comités pilotant le
 projet Cloud.
L’engagement de disponibilité et de
performance
 L'engagement de disponibilité et de performance du
 prestataire est un enjeu conséquent en terme de
 responsabilité.
 Plus précisément, cet engagement permet de mettre en
 place des niveaux de service (délais d'intervention,
 garantie de service, etc.) avec des éventuelles pénalités
 à la charge du prestataire en cas de manquement à son
 obligation.
 Ces niveaux de service sont également considérés
 comme des outils permettant, au fil de la relation
 contractuelle, d'améliorer le service fourni par le
 prestataire.
La sécurité et la confidentialité des
données
 La sécurité et la confidentialité des données emporte des enjeux
 considérables.
 Il s'avère nécessaire de les aborder dans le contrat, notamment
 pour ce qui est de la confidentialité des données personnelles et du
 secret médical ou bancaire puisque dans ces hypothèses
 particulières, il s'agit d'obligations imposées par la loi.
 Le responsable du traitement devra donc s'assurer via les clauses
 contractuelles – et il en va de sa responsabilité – que le prestataire
 de Cloud respectera son obligation de confidentialité et de sécurité.
 Il sera également nécessaire de délimiter strictement les cas de
 force majeure (à titre d'illustration, un prestataire peut souhaiter
 inclure les pannes de réseaux, d'électricité, etc.).
 De même, une clause prévoyant l'obligation pour le prestataire de
 Cloud de contracter une assurance pourra s'avérer intéressante en
 cas de pertes d'exploitation pour le responsable du traitement.
La problématique des données
personnelles
Identification des parties et responsabilité
   Il est indispensable d'identifier les parties et de les
   qualifier en termes de responsabilité.
     Le prestataire de Cloud Computing doit-il être considéré comme
     un sous-traitant ou comme le responsable du traitement?
        Le responsable du traitement se caractérise par son autonomie
        dans la mise en place et la gestion du traitement, c'est la personne
        qui détermine les finalités et les moyens du traitement et ce
        conformément à l'article 3 de la loi du 6 janvier 1978.
     Cette qualification va entraîner un engagement de responsabilité
     différent pour le prestataire ou pour l'utilisateur.
        Si des services supplémentaires sont fournis par l'hébergeur, lui
        donnant ainsi la faculté de contrôler la manière dont les données
        personnelles sont traitées, cela pourrait avoir pour conséquence de
        modifier son statut de sous-traitant au profit de celui de responsable
        de traitement.
La problématique des données
personnelles
Le responsable du traitement et le sous-traitant

   La responsabilité première en matière de données personnelles
   (sécurité, confidentialité, etc.) pèse sur le responsable du traitement
   et non sur le sous-traitant.
   Le sous-traitant, en application de l'article 35 de la loi n°78-17 du 6
   janvier 1978, n'est tenu que par des obligations contractuelles de
   confidentialité et de sécurité visant à protéger les données
   personnelles contre la destruction accidentelle ou illicite, l'altération,
   la diffusion ou l'accès non autorisés.
      Article 35 de la loi du 6 janvier 1978 : « (...) Le contrat liant le sous-
      traitant au responsable du traitement comporte l'indication des
      obligations incombant au sous-traitant en matière de protection de la
      sécurité et de la confidentialité des données et prévoit que le sous-
      traitant ne peut agir que sur instruction du responsable du traitement. »
La problématique des données
personnelles
Le responsable du traitement et le sous-traitant
  Le droit français à l'instar de la majorité des lois
  nationales relatives à la protection des données
  personnelles au sens de la directive n°   95/46/CE
  du 24 octobre 1995, considère en principe ce
  prestataire tiers (hébergeur du système de
  Cloud Computing) comme un sous-traitant des
  données       agissant       conformément       aux
  instructions d'un responsable des données.
Les critères dégagés par la CNIL
 Le groupe de travail de la CNIL, afin de faciliter l'appréciation de la
 fonction de prestataire, a dégagé plusieurs critères. Le faisceau
 d'indices élaboré par la CNIL repose sur les critères suivants:
    le niveau des instructions préalables données par le responsable du
    traitement.
        Il s'agit d'apprécier si le niveau d'instruction donné par le client au prestataire
        dans le cadre du contrat d'externalisation est général ou précis.
    le niveau du contrôle de l'exécution des prestations.
        Il s'agit de vérifier le degré de supervision du client en tant que responsable
        de traitement sur la prestation de son prestataire.
    la transparence.
        Il s'agit d'apprécier le degré de transparence du responsable de traitement
        au niveau de la prestation de service.
    l'expertise.
        Il s'agit d'apprécier le degré d'expertise du prestataire par rapport au client.
Les critères dégagés par la CNIL
 Ces critères doivent être appréciés dans leur
 ensemble: seule la réalisation de plusieurs de
 ces critères permettra de qualifier le prestataire.
 Il convient d'aborder plus particulièrement la
 question du transfert des données personnelles
 dans le Cloud.
   En effet, l'article 5 de la loi de 1978 modifiée soumet
   à la loi française les traitements de données à
   caractère personnel dont le responsable du
   traitement est établi sur le territoire français ou dont
   les moyens de traitement sont situés sur le territoire
   français.
Les grands principes du transfert
des données
 Dans le cadre de l'externalisation, le responsable du traitement devra donc
 s'assurer que le transfert de ses données dans ou via un pays s'effectue
 dans un pays ayant un niveau de protection adéquat. Ce transfert doit
 s’opérer dans le cadre des grands principes prévus par la loi Informatique et
 Libertés :

     les transferts en dehors de l’Union européenne sont interdits,
     les exceptions à cette interdiction sont prévues par l’article 69 de la loi : ainsi, les
     transferts en dehors de l’Union européenne sont autorisés si le pays ou
     l’entreprise destinataire assure un niveau de protection adéquat aux données
     transférées. Cette protection adéquate peut être apportée de plusieurs
     manières :
         légalement, si le pays destinataire des données personnelles a une législation
         reconnue par la commission européenne comme offrant une protection adéquate ,
         de manière contractuelle, par la signature de Clauses Contractuelles Types, adoptées
         par la Commission européenne, entre l’entité exportatrice et l’entité importatrice de
         données personnelles, ou par l’adoption de Règles Internes d’entreprises (Binding
         Corporates Rules), qui constituent un code de conduite en matière de transferts de
         données personnelles depuis l’Union européenne vers des pays tiers ou,
         lorsque l’entité importatrice est basée aux Etats-Unis et qu’elle adhère aux principes du
         Safe Harbor.
Le niveau de protection suffisante
 Article 68 de la loi Informatiques et Libertés : « Le
 responsable d'un traitement ne peut transférer des
 données à caractère personnel vers un Etat
 n'appartenant pas à la Communauté européenne que si
 cet Etat assure un niveau de protection suffisant de la
 vie privée et des libertés et droits fondamentaux des
 personnes à l'égard du traitement dont ces données font
 l'objet ou peuvent faire l'objet.
 Le caractère suffisant du niveau de protection assuré par
 un Etat s'apprécie en fonction notamment des
 dispositions en vigueur dans cet Etat, des mesures de
 sécurité qui y sont appliquées, des caractéristiques
 propres du traitement, telles que ses fins et sa durée,
 ainsi que de la nature, de l'origine et de la destination
 des données traitées. »
Les transferts dans les situations
exceptionnelles
 L’article 69 permet également d’opérer des transferts dans des situations
 exceptionnelles.
 Ces autres dérogations s’opèrent néanmoins avec un contrôle strict de la
 CNIL qui délivre, le cas échéant, une autorisation.
    A titre d’illustration, l’exception en cas de consentement exprès de la personne
    est prévue dans le cadre de l’article 69.
    Toutefois, la CNIL, se fondant sur la définition posée par la directive, rappelle
    que ce consentement exprès doit être une manifestation positive de volonté (ce
    qui exclut, par exemple, de recueillir le consentement des personnes sur un site
    avec une case pré-cochée).
    Ce consentement doit également être donné et pouvoir être retiré librement, ce
    qui a pour conséquence d’invalider, en principe, le consentement de salariés
    donné à l’employeur, compte tenu de la dépendance hiérarchique dans laquelle
    ils se trouvent.
    Le consentement de la personne doit enfin être spécifique. Ainsi, seront
    considérés comme non valables les consentements donnés par anticipation à
    des transferts futurs non définis. Par ailleurs, l’intégralité des informations
    disponibles concernant le niveau de protection assuré par le pays destinataire
    devra être communiquée aux personnes concernées.
Les autorisations et informations
préalables au transfert
 Ces procédures          de    transfert   doivent
 préalablement:

   recueillir l'autorisation de la CNIL;

   Et être soumises pour information aux
   institutions représentatives du personnel.
Les éventuelles               réglementations
sectorielles
 Indépendamment de respecter les procédures,
 des réglementations sectorielles peuvent
 permettre à des autorités nationales locales
 d'accéder aux données.
   Aux États-Unis, le Patriot Act permet au
   gouvernement américain d'accéder à toute donnée
   stockée sur son territoire, en cas d'urgence ou en cas
   de nécessité pour la sécurité nationale.
Sécurité (conservation de la chose)
 Le prestataire doit conserver la chose, sans vol, perte ou
 détérioration

 Nécessaire obligation de transparence
    Informations techniques notamment la localisation du serveur
    Informations en cas de sous-traitance
       Communication des engagements de performance et de sécurité
       auxquels le sous-traitant est soumis à l’égard du prestataire
    Sécurité physique (surveillance) et logique (anti-virus, cryptage,
    etc.)

 Détermination des conditions d’archivage
    Durée de conservation conformément aux obligations légales
    Conditions de conservation
L’obligation de conseil
 L'entreprise (responsable du traitement) devra mettre en
 place des outils nécessaires au bon suivi du projet afin
 de ne pas perdre le contrôle des données dont elle
 demeure responsable.
 Dans ce cadre, il est nécessaire d'insister sur le fait que
 le prestataire (hébergeur) est soumis à une obligation de
 conseil envers son client, et doit l'informer de tout
 manquement par rapport au projet initialement défini.
 Cette obligation de transparence doit se retrouver quant
 à l'information sur la localisation des données.
La propriété intellectuelle
 La titularité des droits de propriété devra être clairement
 précisée dans le contrat.
 Il sera nécessaire d'intégrer une clause de cession des
 droits de propriété sur les développements spécifiques
 réalisés par le prestataire pour les besoins de
 l'entreprise décidant de recourir au Cloud.
 Cette cession pourra également concerner les modalités
 effectives d'accès par le responsable du traitement aux
 codes sources des applications mises en place par le
 prestataire à l'occasion d'éventuelles défaillances de ce
 dernier.
Continuité du service
 Définition de la qualité de la prestation de service

     Qualité et performance : délai de réalisation des obligations, hors défauts de
     connexion), outils de mesure et droit d’audit
         Convention de niveau de service (SLA)
     Éléments préventifs et curatifs : audit des plans de back up et de continuité

 La responsabilité de la connexion

     Sur qui porte la responsabilité de la connexion, de sa performance et de sa
     sécurité ?

         Le prestataire ne pourra exclure sa responsabilité que pour la partie
         strictement publique (Internet)
         Il incombera au prestataire de sécuriser l’accès (procédures d’alerte et
         redondance en cas de panne)
         Audit technique et contractuel des solutions de connexions

 La phase de test
Plan de réversibilité

  Organisation du transfert de données vers un tiers prestataire :
  TRANSFERABILITE
  Organisation du transfert de données chez le client:
  REINTERNALISATION

     Carence du prestataire
     Délais de préavis
     Libre choix du client
     Coût
     Mise à jour régulière du plan de réversibilité tenant compte de
     l’évolution du périmètre de la prestation
     Transfert de responsabilité
La clause de réversibilité
 Cette clause de réversibilité doit organiser la possibilité
 de revenir à une situation antérieure si celle-ci est
 toujours viable.
 La conception de la réversibilité doit être envisagée
 largement, notamment en prévoyant, le cas échéant, le
 transfert du système chez un autre prestataire.
 De manière usuelle, la clause de réversibilité est fonction
 de la durée du contrat ou de ses modes de résiliation.
 À titre d'illustration, cette clause peut être définie sur le
 plan technique dans le cadre d'une annexe qui précisera
 indépendamment du coût, le format des données et
 applications qui seront restituées.
Article 97 du Code de Procédure
Pénale
 L'article 97 du Code de Procédure Pénale indique que
 l'hébergeur doit être en mesure d'extraire de son Cloud
 les éléments recherchés ou l'ensemble des informations
 concernant un client particulier.
   « Lorsqu'il y a lieu, en cours d'information, de rechercher des
   documents ou des données informatiques et sous réserve des
   nécessités de l'information et du respect, le cas échéant, de
   l'obligation stipulée par l'alinéa 3 de l'article précédent, le juge
   d'instruction ou l'officier de police judiciaire par lui commis a seul
   le droit d'en prendre connaissance avant de procéder à la saisie.
   (…) Il est procédé à la saisie des données informatiques
   nécessaires à la manifestation de la vérité en plaçant sous main
   de justice soit le support physique de ces données, soit une
   copie réalisée en présence des personnes qui assistent à la
   perquisition. »
La compétence territoriale et le
droit applicable au contrat
 Le droit choisi et le tribunal compétent doivent
 être expressément mentionnés au contrat.
 A défaut, en cas de litige, la juridiction
 compétente et le droit applicable seront
 déterminés par application des règles de droit
 international privé.
 Ces règles sont d'une grande complexité et leur
 application peut difficilement être anticipée, ce
 qui génère une insécurité juridique.
Le droit applicable au contrat
 Même si le bloc européen tend à s'harmoniser, pour
 autant, chaque système de droit conserve ses
 spécificités.
 En effet, les lois impératives, c'est-à-dire celles qui se
 superposent aux dispositions du contrat, sont différentes
 d'un pays à l'autre.
 Aussi, une disposition valable par exemple en droit
 anglo-saxon comme une exclusion de responsabilité se
 révélera non conforme au droit français.
 En outre, la jurisprudence varie d'un pays à l'autre et sa
 prise en compte permet de mieux appréhender
 l'interprétation du contrat.
La compétence territoriale
 Dès lors que les parties n'optent pas pour
 l'arbitrage, il est indispensable de la mettre en
 cohérence avec le droit choisi.
 Le choix du droit et de la juridiction résulte d'une
 véritable réflexion stratégique, qui commande de
 prendre en compte la taille respective des
 contractants, l'existence ou non d'implantations
 de l'un ou de l'autre dans le pays où la décision
 sera rendue et la facilité d'obtention de
 l'exéquatur de la décision dans le pays de l'autre
 partie.
Proposition de
                              RÈGLEMENT DU
                              PARLEMENT EUROPÉEN
                              ET DU CONSEIL
                              relatif à la protection des personnes physiques à
                              l'égard du traitement des données à caractère
Cabinet d’Avocats MATHIAS     personnel et à la libre circulation de ces données
9 rue Notre Dame de Lorette   (règlement général sur la protection des
       75009 PARIS
  garance@gmathias.com
                              données)
Un champ d’application étendu au-
delà des frontières européennes
 Article 3 – Champ d’application territorial : extension du
 champ du règlement à tout traitement visant un citoyen
 de l’UE, que le responsable du traitement ou le
 traitement soit ou non établi sur le sol européen.
 abolition de la notion de frontières géographiques dès
 lors qu’il s’agit de flux de données
 prise en compte explicite des échanges via internet
 et de l’utilisation de services basés à l’étranger,
 comme des réseaux sociaux, des moteurs de recherche,
 etc. qui en cas de litiges se retranchent derrière des
 juridictions nationales parfois très laxistes
Des définitions élargies
 Article 4 - Définitions : renforcement des définitions de la Directive 95/45/EC du 25
 octobre 1995.
 « ’’personne concernée’’: une personne physique identifiée ou une personne
 physique qui peut être identifiée, directement ou indirectement, par des moyens
 raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par
 toute autre personne physique ou morale, notamment par référence à un numéro
 d’identification, à des données de localisation, à un identifiant en ligne ou à un ou
 plusieurs éléments spécifiques, propres à son identité physique, physiologique,
 génétique, psychique, économique, culturelle ou sociale; ».
     Cela fait explicitement rentrer dans le champ du règlement « l’adresse IP », les
     « coordonnées GPS », « l’adresse MAC » d’un équipement, etc.
 La notion de "consentement" est précisée comme étant « toute manifestation de
 volonté, libre, spécifique, informée et explicite par laquelle la personne concernée
 accepte, par une déclaration ou par un acte positif univoque, que des données à
 caractère personnel la concernant fassent l'objet d'un traitement; ».
     Ce consentement ne peut être valable lorsqu’il est donné par un mineur sans l’accord d’un
     de ses parents ni lorsqu’il est donné dans le cadre d’une relation déséquilibrée de
     dépendance entre la personne concernée et le responsable de traitement (on pense
     évidemment à la relation de travail).
 Nouvelles définitions : il y a en tout 19 définitions.
Des « grands » principes renforcés
et étendus
 Article 5 - Principes relatifs au traitement des données à
 caractère personnel
 1(c) : principe de « minimisation » des données
 collectées : les données à caractère personnel doivent
 être adéquates, pertinentes et limitées au minimum
 nécessaire au regard des finalités pour lesquelles elles
 sont traitées
 1(f) : principe de « responsabilité » du Responsable de
 traitement qui doit veiller à la conformité de chaque
 opération de traitement avec les dispositions du présent
 règlement et en apporter la preuve .
Les    droits   des    personnes
concernées sont complétés
 Article 17 - Droit à l'oubli numérique et à l'effacement: introduction
 d’une nouvelle vision du droit à l’oubli : la non-diffusion des données
 à caractère personnel d’une Personne concernée qui pourra, en cas
 de diffusion publique, demander au Responsable de traitement une
 suppression des informations concernées ainsi que des copies et
 des liens pointant vers ces informations accessibles depuis tout
 moteur de recherche.
 Article 18 – Droit à la portabilité des données : introduction d’un
 droit à la portabilité des données qui doit permettre à la Personne
 concernée de pouvoir disposer de ses données dans un « format
 électronique structuré » que le Responsable de traitement lui fournit,
 sur demande.
La protection des données à caractère
personnel par conception et par défaut
devient un pré-requis
 Article 23 – Protection des données dès la
 conception et protection des données par
 défaut: introduction dans les obligations du
 Responsable de traitement qui doit dès la
 conception d’un traitement inclure les mesures
 techniques et organisationnelles nécessaires à
 la protection      des données à caractère
 personnel traitées et, également, mettre à jour et
 adapter ces mesures tout au long de l’existence
 du traitement.
La notification des failles de sécurité devient
obligatoire dans un délai de 24h
  Article 31 - Notification à l'autorité de contrôle d'une violation de
  données à caractère personnel : en cas d’une « violation de
  données à caractère personnel », le Responsable de traitement
  doit en informer l’Autorité de contrôle nationale (CNIL) sans
  délai et d’une façon générale pas au-delà de 24 h après la
  découverte de la défaillance.
  Si cette défaillance est susceptible d’affecter les personnes
  concernées, alors l’Article 32 - Communication à la personne
  concernée d'une violation de données à caractère personnel
  dispose que le Responsable de traitement doit aussi en informer les
  personnes concernées « sans retard indu ».
L’étude d’impact
 Article 33 – Analyse d’impact relative à la protection des
 données: introduction de la réalisation d’étude
 d’impact dans les obligations du Responsable de
 traitement lorsque les traitements concernés sont
 susceptibles de faire naître des risques particuliers pour
 les droits et les libertés des personnes concernées.
 Parmi ces traitements à risque figurent :
    les traitements de données sensibles
    la surveillance des espaces publics
    et des traitements utilisés pour faire du profilage automatique.
Le « Correspondant Informatique et Libertés »
devient obligatoire et la fonction est renforcée

  Article 35 - Désignation du délégué à la protection des
  données: confirmation de la fonction de data protection
  officer introduite par la Directive et traduite en français
  par « Correspondant Informatique et Libertés » (CIL).

  Le CIL devient obligatoire dans trois cas :
     pour les autorités ou organismes publics;
     pour les entreprises employant 250 personnes ou plus;
     et pour tout organisme dont les activités de base du responsable
     du traitement ou du sous-traitant consistent en des traitements
     qui, du fait de leur nature, de leur portée et/ou de leurs finalités,
     exigent un suivi régulier et systématique des personnes
     concernées.
Les transmissions d’informations dans le cadre de
procédures de « discovery » devront recevoir une
autorisation préalable
  Article 42 - Disclosures not authorized by
  Union law : toutes les demandes de
  transmission d’informations à des pays
  tiers (non membres de l’UE) dans le cadre
  de procédures judiciaires de type
  « discovery » ou autres seront soumises à
  l’autorisation préalable de l’Autorité de
  contrôle nationale (CNIL).
Merci pour votre attention !
        Questions




        Cabinet d’Avocats MATHIAS
        9 rue Notre Dame de Lorette
               75009 PARIS
          garance@gmathias.com
11h10 – 11h30 - Avis d’expert



La DSI fournisseur de services SaaS ?

par

Benoît Huard, Directeur commercial, Navaho
Patrice Salsa, DSI de la CFDT
LA DSI FOURNISSEUR DE
                             SERVICES SAAS
                                                   Mardi 13 mars 2012
                                                     Benoit HUARD




Navaho est une marque de Risc Group IT Solutions
CLOUD = IAAS + PAAS + SAAS

               Modèle classique                                    IAAS                                  PAAS                                 SAAS




                                                                                 L’Entreprise
                  APPLICATION                                   APPLICATION                           APPLICATION                           APPLICATION



                                           L’Entreprise
                   RUNTIMES                                      RUNTIMES                              RUNTIMES                              RUNTIMES

                INTEGRATION SOA                               INTEGRATION SOA                       INTEGRATION SOA                       INTEGRATION SOA




                                                                                                                       Partenaire CLOUD
                BASE DE DONNEES                               BASE DE DONNEES                       BASE DE DONNEES                       BASE DE DONNEES




                                                                                 Partenaire CLOUD
L’Entreprise




                LOGICIEL SERVEUR                              LOGICIEL SERVEUR                      LOGICIEL SERVEUR                      LOGICIEL SERVEUR
                                           Partenaire CLOUD




                VIRTUALISATION                                 VIRTUALISATION                        VIRTUALISATION                        VIRTUALISATION

               MATERIEL SERVEUR                               MATERIEL SERVEUR                      MATERIEL SERVEUR                      MATERIEL SERVEUR

                   STOCKAGE                                      STOCKAGE                              STOCKAGE                              STOCKAGE

                    RESEAU                                         RESEAU                                RESEAU                                RESEAU




                     Navaho est une marque de Risc Group IT Solutions
INFRASTRUCTURE AS A SERVICE (IAAS)


                                                      VIRTUALISATION

                                                      HYPERVISION
                              APPLICATION
             L’Entreprise

                               RUNTIMES               HÉBERGEMENT

                            INTEGRATION SOA


                            BASE DE DONNEES

                            LOGICIEL SERVEUR          SAN ON DEMAND

                             VIRTUALISATION           WAN – MPLS - VPN

                            MATERIEL SERVEUR


                               STOCKAGE
                                                      ACCÈS INTERNET
                                 RESEAU



   Navaho est une marque de Risc Group IT Solutions
PLATFORM AS A SERVICE (PAAS)




                  L’Entreprise
                                   APPLICATION

                                    RUNTIMES
                                                      INFOGÉRANCE
                                 INTEGRATION SOA


                                 BASE DE DONNEES

                                 LOGICIEL SERVEUR     WEB TECHNOLOGIES
                                                      WEB SERVICES
                                  VIRTUALISATION

                                 MATERIEL SERVEUR


                                    STOCKAGE

                                      RESEAU




   Navaho est une marque de Risc Group IT Solutions
SOFTWARE AS A SERVICE (SAAS)




                          APPLICATION

                                                     MICROSOFT
                            RUNTIMES


                       INTEGRATION SOA
                                                     CONFIANCE NUMERIQUE

                       BASE DE DONNEES               SIGNATURE ÉLÉCTRONIQUE
                                                     HORODATAGE
                                                     COFFRE FORT ÉLÉCTRONIQUE
                       LOGICIEL SERVEUR              LETTRE RECOMMANDÉE ELECTRONIQUE
                                                     ARCHIVAGE A VALEUR PROBANTE

                        VIRTUALISATION
                                                     TÉLÉPHONIE IP
                                                     CENTREX IP
                      MATERIEL SERVEUR               BUSINESS TRUNKING


                            STOCKAGE
                                                     TELESAUVEGARDE
                                                     PC / LAPTOP
                              RESEAU                 SERVEURS




  Navaho est une marque de Risc Group IT Solutions
NAVAHO EN
OPÉRATEUR GLOBAL DE SERVICES MANAGÉS


Date Création                       1990                                                  Evolution du Chiffre d’Affaire en K€


Activité                           Fédérateur de services IP


Chiffre d’Affaires                 25 M€


Effectif                           150


Nombre de clients                  + 1.200


Nombre de contrats                 + 3.000




                                                 • Certification ISO 9001:2008

                                         • Agrément archiviste intermédiaire SIAF
                                      (Service Interministériel des Archives de France)




       Navaho est une marque de Risc Group IT Solutions
NOS OFFRES DE SERVICE




           Navaho                                     Navaho
           Network                                    Hosting



           Navaho                                     Navaho
           Telephony                                  Collaborative



           Navaho                                     Navaho
           Backup                                     Digital Trust




   Navaho est une marque de Risc Group IT Solutions
Navaho est une marque de Risc Group IT Solutions
Navaho, une marque de Risc Group IT Solutions
11h30 – 12h15 - Table Ronde




La phobie sécuritaire liée au SaaS
est-elle justifiée ?

avec

Mahmoud Denfer, Group Information Security Officer , Vallourec
Jean-Marc Grémy , membre du Clusif
12h15 – 12h35 - Avis d’expert



Mythes et légendes
des aspects financiers du SaaS

par

Laurent Gasser, CEO Revevol
The Game Changer in Cloud Business
The Game Changer in Cloud Business




 Mythes et légendes des aspects
       financiers du SaaS.
Maitrise des coûts, économies et
   retour sur investissement.
Que gagne la DSI, et qu’est-ce qui
       profite aux métiers ?
   par Laurent Gasser - CEO Revevol
Prévisions Forrester: Le marché du SaaS 132 Mil$ 2020
Métiers versus DSI: le SaaS à la croisée des chemins
Multitenant = la clé des économies

      CA= 15 Milliards$     CA= 2 Milliards$
Multitenant = la clé des économies

Quelle version avez vous ?
Coût de la prochaine montée de version ?
Datacenter - Industrialisation

Google - Microsoft - Amazon : 500 Millions à 1 Milliard$



Apple : 1 Milliard $
Facebook: 600 Millions $


Seul Investissement "privé"
équivalent: NSA aux US
Cyber Security Center

1,5 Milliard $
Datacenter - Industrialisation

Comparaison entre 1.000 serveurs et 1.000 parmi 100K serveurs

•   Efficiency ratio for Networks = 7,3
•   Efficiency ratio for Storage = 5,7
•   Efficiency ratio for administration (people/server) = 7,1
Datacenter - Industrialisation

Coût de ces 1.000 serveurs : 4 X moins cher


AWS vient
de diviser
ses prix par 2
ROI - Concur - Travel expenses management - Forrester




                           Payback = 10 mois
ROI - Salesforce - CRM - par Nucleus Research



        ROI
        entre
    108% et 216%




                                  Payback period
                                      entre
                                  7 mois et 2 ans
Quel poste d'accès = La question des années à venir

Avec quelle politique de BYOD ?
Avec quelle politique de choix ?
Maîtrise des coûts ?
  Tout en OPEX
  Fini les CAPEX
  OPEX variable par user
  Fini les montées de version
  Migration facilitée grâce aux standards du web

Retour sur investissement ?
   ROI en mode "green field" sont un acquis
   Vos Capex sont ils amortis ?
   Votre personnel administrant les infra & applications ?

Gains métiers ?
   Evolution plus rapide
   Quick win for the business
   Quels sont vos temps de réponse aux demandes des
   métiers
Que gagne la DSI ?

Qu'est ce qui profite aux
métiers ?
12h35 – 12h50 - Conclusion


Le SaaS va-t-il réellement bouleverser le secteur
informatique ?
par

Henry-Michel Rozenblum, Directeur délégué, Eurocloud
107
EuroCloud France est la branche française de
l’organisation européenne EuroCloud, premier
réseau d’acteurs du Cloud en Europe avec une
présence dans 28 pays européens



              www.eurocloud.fr
EuroCloud France
• Objectif : aider au développement du Cloud en
  France
• Des commissions, forces de proposition
• Les Etats Généraux du Cloud, chaque année depuis
  2006

• Un lieu de rencontre et de partenariats




                          109
140 sociétés adhérentes

                                   Hébergeur
          Grossistes
                                Cloud providers

Intégrateurs          Editeurs de
                                         Constructeurs
    VARs               logiciels


               SSII                 Telecom




                          110
Nos initiatives récentes
• Le livre blanc « Le Cloud et la distribution »
• 17 propositions pour « Gagner les 3 batailles de
  l’informatique en nuage » remises au ministre Eric
  Besson
• Le livre blanc « L’évolution maitrisée vers le
  IaaS/PaaS »




                                        111
7èmes Etats Généraux du Cloud : 21
                   mars
• 5 Conférences
• 12 tables rondes
• 3 moments forts :
  – Remise des 6èmes trophées EuroCloud
  – Débat UMP - PS sur l’Economie numérique et le Cloud
  – Annonce d’un programme très ambitieux en direction de
    la « distribution informatique »
• Lieu : CCIP
• Etats-generaux.eurocloud.fr

                           112
113
Le SaaS va-t-il réellement bouleverser
      le secteur informatique ?


 Bouleversement ?

   Révolution ?

    Tsunami ?



                    114
Le SaaS va-t-il réellement bouleverser
      le secteur informatique ?

           Bouleversement ?

              Révolution ?

               Tsunami ?



                  115
Evolution

Arrêtons de se faire peur.
Les fondamentaux demeurent.

• Informatique =
  – Unités de traitement
  – Unités de stockage
  – Unités d’interface humaine



                          116
Le « bouleversement » a lieu…
         …Mais pas chez vous !

• Regardez ce qui se passe dans les PME /
  TPE

• Panique chez les éditeurs de gestion
  « traditionnels »

• Grosse fatigue chez les intégrateurs et SSII

                       117
Les éditeurs « métiers »

• Redistribution des cartes
  – Disparition

  – Rachat

  – Réorganisation

• Mondialisation rapide

                      118
Les grands éditeurs « IaaS »

• Font ce qu’ils font
  depuis quelques années
• Accélération avec
  Microsoft
• Arrivée des Telecom



                        119
Un bug chez les intermédiaires

• Indispensables pour intégrer
• Le dernier kilomètre
• Le chainon manquant au modèle




                         120
Un bug chez les intermédiaires ?

• Indispensables pour intégrer
• Le dernier kilomètre
• Le chainon manquant au modèle




                         121
DSI – D comme Disparition


Combien de fois n’a-t-on pas
prédit la disparition des DSI ?

Cloud could not !



                       122
DSI – I comme Increvable

Vous résistez à tous les virus :
• PC
• Client/serveur
• Internet
• BYOD



                        123
DSI – S comme…Services

Nous ne voyons pas de changement
fondamental de la mission d’un DSI.
• Comparable à un avionneur (r)assembleur
• Penser « en avance de phase » comment
l’informatique peut améliorer le fonction-
nement de l’entreprise



                      124
Ca va devenir méchamment compliqué

• La maîtrise de l’information et non de
  l’informatique
• Gérer le savoir partagé
• Société du « Savoir » ou du « voir » ?




                       125
Merci


Henry-Michel ROZENBLUM
     06 15 04 58 79
   hmr@eurocloud.fr




          126
12h50 – 13h00 - JEU



TIRAGE AU SORT iPad


                      Et le gagnant est……?
13h00– 14h00 - COCKTAIL DEJEUNATOIRE




              Cocktail / Networking

        MERCI DE VOTRE PARTICIPATION !

Contenu connexe

Similaire à Matinée 01 SaaS

Enquête sur les usages open source en entreprise
Enquête sur les usages open source en entreprise Enquête sur les usages open source en entreprise
Enquête sur les usages open source en entreprise
Ideo - Groupe Netapsys
 
MARKESS International - Stratégies & Potentiels avec l’Open Source 2009
MARKESS International - Stratégies & Potentiels avec l’Open Source 2009MARKESS International - Stratégies & Potentiels avec l’Open Source 2009
MARKESS International - Stratégies & Potentiels avec l’Open Source 2009
MARKESS
 
Matinée01 e commerce
Matinée01 e commerceMatinée01 e commerce
Matinée01 e commerce
Evenements01
 
Valtech - Adobe - Résultats du Baromètre Digital Marketing 2012
Valtech - Adobe - Résultats du Baromètre Digital Marketing 2012Valtech - Adobe - Résultats du Baromètre Digital Marketing 2012
Valtech - Adobe - Résultats du Baromètre Digital Marketing 2012
Valtech
 
Offre mobile SRM par Business & Decision et Microstrategy
Offre mobile SRM par Business & Decision et MicrostrategyOffre mobile SRM par Business & Decision et Microstrategy
Offre mobile SRM par Business & Decision et Microstrategy
Jean-Michel Franco
 
Forum numérique poitiers 300611
Forum numérique poitiers  300611Forum numérique poitiers  300611
Forum numérique poitiers 300611
SaaS Guru
 
Etude SaaS/Cloud et Transformation Numérique 2015 - Volet DSI
Etude SaaS/Cloud et Transformation Numérique 2015 - Volet DSIEtude SaaS/Cloud et Transformation Numérique 2015 - Volet DSI
Etude SaaS/Cloud et Transformation Numérique 2015 - Volet DSI
SaaS Guru
 
Zoom sur l'iPhone en Entreprise : un nouveau challenger?
Zoom sur l'iPhone en Entreprise : un nouveau challenger?Zoom sur l'iPhone en Entreprise : un nouveau challenger?
Zoom sur l'iPhone en Entreprise : un nouveau challenger?
Thibault Dégieux
 
Session USI 2012 : les SI composites
Session USI 2012 : les SI compositesSession USI 2012 : les SI composites
Session USI 2012 : les SI composites
Joseph Glorieux
 
Résultats baromètre investissements IT - Vox Di 2015
Résultats baromètre investissements IT -  Vox Di 2015Résultats baromètre investissements IT -  Vox Di 2015
Résultats baromètre investissements IT - Vox Di 2015
Adelanto
 
Congrès des DAF 2012 : Vers l’entreprise numérique, les défis du DAF
Congrès des DAF 2012 : Vers l’entreprise numérique, les défis du DAFCongrès des DAF 2012 : Vers l’entreprise numérique, les défis du DAF
Congrès des DAF 2012 : Vers l’entreprise numérique, les défis du DAF
Sage france
 
Slideshare open source en business intelligence
Slideshare   open source en business intelligenceSlideshare   open source en business intelligence
Slideshare open source en business intelligence
axx-it
 
A2 partner pres atelier f1 club alliances ibm 090211
A2 partner pres atelier f1 club alliances ibm 090211A2 partner pres atelier f1 club alliances ibm 090211
A2 partner pres atelier f1 club alliances ibm 090211
A2Partner
 
Qui est synergie fevrier 2013
Qui est synergie fevrier 2013Qui est synergie fevrier 2013
Qui est synergie fevrier 2013
Synergie Informatique France
 
Offre onepoint - Data science et big data
Offre onepoint  - Data science et big data Offre onepoint  - Data science et big data
Offre onepoint - Data science et big data
GroupeONEPOINT
 
Introduction aux ERP s par Arnaud GERARD pour Telecom ParisTech
Introduction aux ERP s par Arnaud GERARD pour Telecom ParisTechIntroduction aux ERP s par Arnaud GERARD pour Telecom ParisTech
Introduction aux ERP s par Arnaud GERARD pour Telecom ParisTech
Arnaud Gerard
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
Antoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
polenumerique33
 

Similaire à Matinée 01 SaaS (20)

Enquête sur les usages open source en entreprise
Enquête sur les usages open source en entreprise Enquête sur les usages open source en entreprise
Enquête sur les usages open source en entreprise
 
MARKESS International - Stratégies & Potentiels avec l’Open Source 2009
MARKESS International - Stratégies & Potentiels avec l’Open Source 2009MARKESS International - Stratégies & Potentiels avec l’Open Source 2009
MARKESS International - Stratégies & Potentiels avec l’Open Source 2009
 
Matinée01 e commerce
Matinée01 e commerceMatinée01 e commerce
Matinée01 e commerce
 
Valtech - Adobe - Résultats du Baromètre Digital Marketing 2012
Valtech - Adobe - Résultats du Baromètre Digital Marketing 2012Valtech - Adobe - Résultats du Baromètre Digital Marketing 2012
Valtech - Adobe - Résultats du Baromètre Digital Marketing 2012
 
Offre mobile SRM par Business & Decision et Microstrategy
Offre mobile SRM par Business & Decision et MicrostrategyOffre mobile SRM par Business & Decision et Microstrategy
Offre mobile SRM par Business & Decision et Microstrategy
 
Forum numérique poitiers 300611
Forum numérique poitiers  300611Forum numérique poitiers  300611
Forum numérique poitiers 300611
 
Etude SaaS/Cloud et Transformation Numérique 2015 - Volet DSI
Etude SaaS/Cloud et Transformation Numérique 2015 - Volet DSIEtude SaaS/Cloud et Transformation Numérique 2015 - Volet DSI
Etude SaaS/Cloud et Transformation Numérique 2015 - Volet DSI
 
Zoom sur l'iPhone en Entreprise : un nouveau challenger?
Zoom sur l'iPhone en Entreprise : un nouveau challenger?Zoom sur l'iPhone en Entreprise : un nouveau challenger?
Zoom sur l'iPhone en Entreprise : un nouveau challenger?
 
Session USI 2012 : les SI composites
Session USI 2012 : les SI compositesSession USI 2012 : les SI composites
Session USI 2012 : les SI composites
 
Résultats baromètre investissements IT - Vox Di 2015
Résultats baromètre investissements IT -  Vox Di 2015Résultats baromètre investissements IT -  Vox Di 2015
Résultats baromètre investissements IT - Vox Di 2015
 
Congrès des DAF 2012 : Vers l’entreprise numérique, les défis du DAF
Congrès des DAF 2012 : Vers l’entreprise numérique, les défis du DAFCongrès des DAF 2012 : Vers l’entreprise numérique, les défis du DAF
Congrès des DAF 2012 : Vers l’entreprise numérique, les défis du DAF
 
Reussir son appli
Reussir son appliReussir son appli
Reussir son appli
 
Aicha ennaifer
Aicha ennaiferAicha ennaifer
Aicha ennaifer
 
Slideshare open source en business intelligence
Slideshare   open source en business intelligenceSlideshare   open source en business intelligence
Slideshare open source en business intelligence
 
A2 partner pres atelier f1 club alliances ibm 090211
A2 partner pres atelier f1 club alliances ibm 090211A2 partner pres atelier f1 club alliances ibm 090211
A2 partner pres atelier f1 club alliances ibm 090211
 
Qui est synergie fevrier 2013
Qui est synergie fevrier 2013Qui est synergie fevrier 2013
Qui est synergie fevrier 2013
 
Offre onepoint - Data science et big data
Offre onepoint  - Data science et big data Offre onepoint  - Data science et big data
Offre onepoint - Data science et big data
 
Introduction aux ERP s par Arnaud GERARD pour Telecom ParisTech
Introduction aux ERP s par Arnaud GERARD pour Telecom ParisTechIntroduction aux ERP s par Arnaud GERARD pour Telecom ParisTech
Introduction aux ERP s par Arnaud GERARD pour Telecom ParisTech
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 

Plus de Evenements01

Matinée 01 Innovation 2013
Matinée 01 Innovation 2013Matinée 01 Innovation 2013
Matinée 01 Innovation 2013
Evenements01
 
Bonus projet de déploiement de tablettes numériques aux agents généraux
Bonus  projet de déploiement de tablettes numériques aux agents générauxBonus  projet de déploiement de tablettes numériques aux agents généraux
Bonus projet de déploiement de tablettes numériques aux agents généraux
Evenements01
 
Matinée 01 workstation 2012
Matinée 01 workstation 2012Matinée 01 workstation 2012
Matinée 01 workstation 2012
Evenements01
 
Matinée 01 entreprise collaborative
Matinée 01 entreprise collaborativeMatinée 01 entreprise collaborative
Matinée 01 entreprise collaborative
Evenements01
 
Evénements 01 BYOD
Evénements 01 BYODEvénements 01 BYOD
Evénements 01 BYOD
Evenements01
 
Appréhender tous les enjeux de la qualité
Appréhender tous les enjeux de la qualitéAppréhender tous les enjeux de la qualité
Appréhender tous les enjeux de la qualité
Evenements01
 
Matinée 01 Big Data
Matinée 01 Big DataMatinée 01 Big Data
Matinée 01 Big Data
Evenements01
 
Matinée Prospective 2015
Matinée Prospective 2015Matinée Prospective 2015
Matinée Prospective 2015
Evenements01
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
Evenements01
 
Poste de Travail : Workplace
Poste de Travail : Workplace Poste de Travail : Workplace
Poste de Travail : Workplace
Evenements01
 
Poste de Travail : le voyage vers une informatique centrée sur l'utilisateur
Poste de Travail : le voyage vers une informatique centrée sur l'utilisateurPoste de Travail : le voyage vers une informatique centrée sur l'utilisateur
Poste de Travail : le voyage vers une informatique centrée sur l'utilisateur
Evenements01
 
Poste de Travail : 01 informatique
Poste de Travail : 01 informatiquePoste de Travail : 01 informatique
Poste de Travail : 01 informatique
Evenements01
 
Poste de Travail : Consumérisation et virtualisation
Poste de Travail : Consumérisation et virtualisationPoste de Travail : Consumérisation et virtualisation
Poste de Travail : Consumérisation et virtualisation
Evenements01
 

Plus de Evenements01 (15)

Matinée 01 Innovation 2013
Matinée 01 Innovation 2013Matinée 01 Innovation 2013
Matinée 01 Innovation 2013
 
Cloud computing
Cloud computing Cloud computing
Cloud computing
 
Bonus projet de déploiement de tablettes numériques aux agents généraux
Bonus  projet de déploiement de tablettes numériques aux agents générauxBonus  projet de déploiement de tablettes numériques aux agents généraux
Bonus projet de déploiement de tablettes numériques aux agents généraux
 
Matinée 01 workstation 2012
Matinée 01 workstation 2012Matinée 01 workstation 2012
Matinée 01 workstation 2012
 
Matinée 01 entreprise collaborative
Matinée 01 entreprise collaborativeMatinée 01 entreprise collaborative
Matinée 01 entreprise collaborative
 
Matinée 01 SIRH
Matinée 01 SIRHMatinée 01 SIRH
Matinée 01 SIRH
 
Evénements 01 BYOD
Evénements 01 BYODEvénements 01 BYOD
Evénements 01 BYOD
 
Appréhender tous les enjeux de la qualité
Appréhender tous les enjeux de la qualitéAppréhender tous les enjeux de la qualité
Appréhender tous les enjeux de la qualité
 
Matinée 01 Big Data
Matinée 01 Big DataMatinée 01 Big Data
Matinée 01 Big Data
 
Matinée Prospective 2015
Matinée Prospective 2015Matinée Prospective 2015
Matinée Prospective 2015
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
Poste de Travail : Workplace
Poste de Travail : Workplace Poste de Travail : Workplace
Poste de Travail : Workplace
 
Poste de Travail : le voyage vers une informatique centrée sur l'utilisateur
Poste de Travail : le voyage vers une informatique centrée sur l'utilisateurPoste de Travail : le voyage vers une informatique centrée sur l'utilisateur
Poste de Travail : le voyage vers une informatique centrée sur l'utilisateur
 
Poste de Travail : 01 informatique
Poste de Travail : 01 informatiquePoste de Travail : 01 informatique
Poste de Travail : 01 informatique
 
Poste de Travail : Consumérisation et virtualisation
Poste de Travail : Consumérisation et virtualisationPoste de Travail : Consumérisation et virtualisation
Poste de Travail : Consumérisation et virtualisation
 

Matinée 01 SaaS

  • 1. le Mardi 13 mars, 2012 Matinée 01 SaaS Maitrisez la facilité!
  • 2. 9h00 – 09h15 - OUVERTURE Réalité chiffrée et variété du SaaS en France par Sylvie Chauvin, Présidente du cabinet Markess International
  • 3. Présentation Matinées 01 Paris le 13 mars 2012 SaaS Réalité chiffrée et variété du recours au mode SaaS en France Sylvie Chauvin – President MARKESS International Mars 2012 © Copyright 2012 - MARKESS International 3
  • 4. A propos de MARKESS International ETUDES Cabinet spécialisé dans l’analyse de la modernisation ANALYSES des organisations avec les technologies du numérique Des études, des services opérationnels et stratégiques PRESENTATIONS pour des clients entreprises utilisatrices et prestataires RECOMMANDATIONS Plus de 4.000 interviews de décideurs par an (MOA, DSI, directeurs de projets, directions métiers) Une connaissance des offreurs Des expertises (un monitoring des prestataires: éditeurs, SSII, opérateurs…) dédiées GESTION DE DÉMATÉRIALISATION CONFIANCE COLLABORATION CLOUD MOBILE l’INFORMATION & ARCHIVAGE NUMÉRIQUE RESEAUX SOCIAUX COMPUTING CAPITAL HUMAIN CAPITAL CLIENT CAPITAL FINANCE SECTEUR PUBLIC Mars 2012 © Copyright 2012 - MARKESS International 4
  • 5. Le SaaS : l’une des composantes du cloud computing SaaS Applications Software RH, CRM/SFA, Vente, Finance/Comptabilité, Achats, Production, Logistique, Informatique… Collaboratif, Bureautique, Décisionnel, ECM… as a Service Environnement de développement / test PaaS Platform Base de Moteur Accès & Processus as a Service Données applicatif Identité collaboratifs Environnement d’Exploitation IaaS Infrastructure Serveurs Baies Réseaux as a Service Infrastructure Physique Mars 2012 © Copyright 2012 - MARKESS International 5
  • 6. Evolution de la pénétration du cloud computing au sein des organisations françaises France, 2010-2013 Extrapolation à l’ensemble des entreprises privées (de 1 salarié et +) et organisations publiques (univers de + de 1,4 million d’organisations en France selon l’INSEE) à partir d’un échantillon de + de 1000 organisations interrogées depuis 2009 Le SaaS couvre des architectures de type instance unique/single -tenant et celles multi-instance/multi-tenant 50% 38% SAAS % d’organisations françaises 40% 35% 31% 30% 20% 24% IAAS 15% 10% 10% 6% PAAS 5% 2% Projections au-delà de 2013 0% 1% 4% 2% 2010 2011 2012 2013 Mars 2012 © Copyright 2012 - MARKESS International 6
  • 7. Evolution des usages SaaS depuis 2008 en France Top 10 Rang en 2008 Rang en 2010 Rang 2011 Collaboration d’entreprise Collaboration d’entreprise Collaboration d’entreprise RH RH RH Finance/Comptabilité Application sociale Finance/Comptabilité Achats Informatique Gestion de la relation client E-commerce Gestion de la relation client E-commerce Gestion de la relation client Achats Gestion commerciale Informatique Communication vocale Application bureautique Application sociale Finance / Comptabilité Application sociale Gestion commerciale E-commerce Informatique Production / Logistique Gestion commerciale Communication vocale Mars 2012 © Copyright 2012 - MARKESS International 7
  • 8. Entre 2 et 4 applications SaaS utilisées pour près de 50% des décideurs interrogés France, 2010 (en % des réponses) Les décideurs métiers interrogés en avancent plus en moyenne que les décideurs IT Nombre d’applications SaaS différentes utilisées Echantillon : 140 décideurs ouverts au cloud computing – intervalle de confiance +/- 7% Mars 2012 © Copyright 2012 - MARKESS International 8
  • 9. Catalyseurs du recours au SaaS pour les décideurs ouverts à ces solutions France, 2010 (liste suggérée – 23 items – multi-réponses) Profils des décideurs interrogés IT Métiers Amélioration de l'agilité et de la réactivité Optimisation des coûts d’exploitation Accélération des déploiements Réduction du temps d'implémentation Accès distant possible (collaborateurs nomades, mobiles ou en télé-travail) Facilité d'accès et souplesse d'utilisation (notamment via un navigateur web) Pas d'investissement dans des infrastructures (serveurs, baies...) Pas d'investissement en licences logicielles Echantillon : 140 décideurs ouverts au cloud computing Mars 2012 © Copyright 2012 - MARKESS International 9
  • 10. Quelques exemples d’apports et bénéfices associés au SaaS (sources déclaratives) Périmètre Nature du bénéfice Estimation chiffrée Mise à jour réglementaire RH 8 500 € par an faite par le fournisseur 1 mois (contre 9 CRM Rapidité de déploiement avant) Actualisation fonctionnelle et lissage Coût récurrent Messagerie des coûts coût d’investissement sur annuel égal à collaborative un an si mise en œuvre en interne : 43 3 400 € 000 € Gestion Standardisation, efficacité, Gains de 100 000 € de projets groupe réduction des coûts Pas d'acquisition de serveur 7 000 € annuels de Gestion financière (20 000 € d’investissement) et fonctionnement pas de coûts de maintenance associés Bureautique Plus de licences par poste Gain de 60 € / an Mars 2012 collaborative (coûtant 600 €MARKESS International ans) © Copyright 2012 - / poste sur 2 par collaborateur 10
  • 11. Exemples de bénéfices découlant du recours à des solutions CRM en mode SaaS (sources déclaratives) Nature du bénéfice Estimation chiffrée Gestion des profils clients : réduction des coûts Amélioration du taux de clients de recrutement, fidélisation fidèles de 10 points, soit 1 M€ de (tourisme – 500 à 1 999 employés) gains complémentaires Gestion des e-mails sortants : diminution du coût CPM : de 3 à 1 euros pour mille (CPM) Gain de 20 K€ (industrie – 500 à 1 999 employés) Partage de contenus : gains de temps par Gains de 3 heures par semaine collaborateur concerné équivalent à 420 € (distribution – moins de 50 employés) par collaborateur concerné Référentiel interne pour la gestion des cas clients Gain d’environ 1 ETP (expert : réduction des coûts salariaux métier) équivalent à 30 K€ (opérateur – moins de 50 employés) Réduction de l'investissement de Pas d’achat de licences 300 K€ et passage en frais de (administration – 500 à 1 999 employés) fonctionnement Mars 2012 © Copyright 2012 - MARKESS International 11
  • 12. Exemples de bénéfices découlant du recours à des solutions RH en mode SaaS (sources déclaratives) Assurance – 2 300 coll. Organisation publique Distribution - 3 800 coll. Gestion de la paie +10 000 agents Entretiens annuels, • Amélioration de la rigueur Gestion des accidents du carrières et compétences et du suivi du cycle de paie travail • Hausse du taux • Meilleure fluidité du • Amélioration de la d'utilisation de processus traçabilité l'application (90% des • Réduction des incidents • Avant : néant ou solution entretiens réalisés vs. d'exploitation (-70%) ad-hoc par entité 30%) • Avant : échanges et • Après : portail partagé à • Meilleure prise en compte relations compliqués avec l'échelle de des items RH (mobilité, la DSI l’administration évolutions, etc...) • Après : relation contrac- • Réduction du taux de tuelle cadrée sur ce turnover de 2% processus Mars 2012 © Copyright 2012 - MARKESS International 12
  • 13. Des décideurs IT plus sensibles à l’intégration au SI, la qualité de Evolution des enjeux service avec le SaaS depuis 2008 et la réversibilité contractuelle. Des décideurs métiers s’interrogeant France, 2008-2010 (liste suggérée – multi-réponses) sur la sauvegarde de leurs données. Intégration au Confidentialité Confidentialité système des données des données d’information Garantie de Intégration au Confidentialité continuité de système des données service d’information 2008 2009 2010 Synchronisation Qualité Qualité de service difficile avec de service et engagements d’autres outils Problématiques associés Risque de perte réseaux (accès / Dépendance de contrôle performance) aux fournisseurs Complexité Dépendance Garantie de d’identifier aux continuité de les offres fournisseurs service Mars 2012 © Copyright 2012 - MARKESS International 13
  • 14. Europe : évolution du marché des logiciels & services de cloud computing (IaaS/PaaS/SaaS) France, 2011-2013 Europe France 13 800 ME en 2011 France 2 300 ME Ventilation SaaS / PaaS / IaaS Evolution annuelle d’ici 2013 Evolution annuelle d’ici 2013 +22% +20% Les chiffres de marché ont été établis en évitant tout double compte. Les revenus d’offreurs situés hors de l’hexagone sont compris. Ils n’incluent pas les revenus de ventes de matériel (serveurs…) Mars 2012 © Copyright 2012 - MARKESS International 14
  • 15. Pour aller plus loin sur ce sujet Des Référentiels de Pratiques synthèses de +15 pages en téléchargement gratuit www.markess.fr Des études approfondies de +150 pages Mars 2012 © Copyright 2012 - MARKESS International 15
  • 16. Pour suivre nos analyses sur nos blogs blog.markess.fr knowledgecenter.markess.com 6 bis, rue Auguste Vitu 75015 Paris l France Tél : +33 (0)1 56 77 17 77 Mars 2012 © Copyright 2012 - MARKESS International 16
  • 17. 09h15 – 10h00 - TABLE RONDE Nouveau modèle pour les DSI, mais aussi pour les éditeurs avec Pierre Calais, Membre du Syntec Numérique Dominique Bayle, DSI de l’ICM, CHU Pitié-Salpêtrière Gérard Russeil, DG de Chorégie et pilote du groupe de travail Saas au CIGREF
  • 18. 10h00 – 10h20 - Avis d’expert Évolution ou révolution pour la DSI ? avec Cédric Jean, Directeur commercial d’Agarik Joël Bentolila, DSI TalentSoft
  • 19. Votre intervenant AGARIK Hébergement, Infogérance, Cloud computing et Services web sur-mesure > 15 années d’existence > Lancement d’une offre de cloud public dès 2010 > 15 Datacenters dont 5 propriétaires Bull > 3 500 équipements hébergés et infogérés Cédric JEAN Directeur Commercial > 30 000 interventions par an dont 10 000 de nuit cedric.jean@agarik.com > 80% d’équipes Techniques > 600 Kms de fibre optique déployée 20/03/2012 © Agarik 19
  • 20. Evolution ou révolution ? nos 10 années d'expérience 2006 2011 Rachat de Soft2You Lancement de l’offre 1er ASP français CloudArchitek Voyage dans le Cloud 2002 2010 2011 - 2012 Lancement de l’offre Lancement de l’offre PaaS métier ROD Mycloudmaker.com (Ressource On Portail IaaS en ligne demand) 20
  • 21. Retour d’expérience Joël BENTOLILA C.T.O. 20/03/2012 © Agarik 21
  • 22. Le groupe TalentSoft • Leader européen de la Gestion Intégrée des + 2 de millions Talents et des Compétences en mode SaaS d’utilisateurs • No 1 en France des éditeurs en mode SaaS 10 millions de candidats • 1ère solution de gestion des talents optimisée dans 100 pays pour le Cloud • 25% du CAC 40 • 100 collaborateurs dédiés • + 300 consultants certifiés TS dans le monde Paris Londres Mannheim 22
  • 23. 20/03/2012 © Agarik 23
  • 24. 10h00 – 10h20 - Avis d’expert Évolution ou révolution pour la DSI ? avec Cédric Jean, Directeur commercial d’Agarik Joël Bentolila, DSI TalentSoft
  • 25. 10h20 – 10h50 - PAUSE Pause / Networking
  • 26. 10h50 – 11h10 - Avis d’expert Comment l’entreprise peut-elle bétonner un contrat SaaS ? par Maître Garance Mathias, avocate à la Cour
  • 27. LE SAAS Comment l’entreprise peut-elle bétonner un contrat SAAS ? Cabinet d’Avocats MATHIAS 9 rue Notre Dame de Lorette 75009 PARIS garance@gmathias.com
  • 28. ETAT DES LIEUX • Le risque légal est la conséquence du risque opérationnel • Le risque métier est de fait induit par le risque informationnel • La sécurité des systèmes d’information vise 4 grands objectifs: • Disponibilité • Intégrité des données • Confidentialité • Preuve L’évaluation des risques pesant sur les systèmes d’information permet de réduire les risques métiers et les risques légaux.
  • 29. Définition du Cloud Computing Le Cloud Computing fait référence à l’utilisation des capacités de mémoire et de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Le Cloud Computing peut donc se définir comme une accessibilité à des « services » qui permettent d'accéder à des applications, une puissance de calcul, des moyens de stockage, etc.
  • 30. Intérêt du Cloud Computing L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté. Permet de s’affranchir des contraintes traditionnelles et d’avoir une approche modulaire selon le besoin.
  • 31. Les composantes du Cloud Computing De manière générale, les solutions Cloud Computing reposent sur des technologies de virtualisation et d’automatisation. Le Cloud Computing peut être représenté en trois composantes principales dont il est indifféremment l’une, les deux ou encore les trois combinées: le PaaS, le IaaS et le SaaS.
  • 32. Le SaaS Sofware as a Service: Il s'agit de la mise à disposition d'un logiciel, non pas sous la forme d'un produit que le client installe en interne sur ses serveurs mais en tant qu'application accessible à distance comme un service, par le biais d'Internet et du web. Les clients payent pour utiliser ces applications. L'utilisation reste transparente pour les utilisateurs qui ne se soucient ni de la plate-forme, ni du matériel qui sont mutualisés avec d'autres entreprises. Les principales applications actuelles de ce modèle sont la relation client (CRM), la vidéoconférence, la gestion des Ressources Humaines, etc.
  • 34. Les caractéristiques clés du SaaS Différences avec les solutions informatiques traditionnelles: des services à la place de produit technologiques avec mise à jour en continue et automatique; un self-service et un paiement à l’usage (en fonction de ce que l’on consomme), ce qui induit des économies budgétaires conséquentes; une mutualisation et une allocation dynamique de capacité (indépendant de toutes contingences matérielles, logicielles).
  • 35. Les caractéristiques clés du SaaS Les utilisateurs restent propriétaires des données qui y sont hébergées. En revanche, ils ne sont pas propriétaires des applications ou de l’architecture qui permet leur utilisation ou leur hébergement.
  • 36. Enjeux juridiques du SaaS Contrôle, sécurité et traçabilité des données: Nécessaire mise en place de procédures d'habilitation et de contrôle d'accès aux données. Les entreprises doivent donc définir clairement leur rôle et responsabilité, tout en recherchant des solutions leur permettant de sécuriser l'externalisation de leurs données. Le contrat Cloud doit aborder la responsabilité de chaque partie et définir le périmètre de la prestation.
  • 37. Les risques juridiques du SaaS L’externalisation est un choix stratégique de l’entreprise. Ce choix doit prendre en compte les règles juridiques applicables Notamment celles concernant les données à caractère personnel. La loi n°78-17 du 6 janvier 1978 dispose en son article 2 que « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction »
  • 38. La problématique des données personnelles D'autant plus importante que les nouvelles dispositions issues de l'ordonnance du 24 août 2011 transposant le paquet télécoms impliquent une protection renforcée de la vie privée et, plus précisément, des données personnelles. Désormais, l'article 38 de l'ordonnance prévoit une procédure spécifique de notification à la Cnil et à l'utilisateur en cas de « faille de sécurité »
  • 39. Les failles de sécurité Article 38 de l’ordonnance du 24 août 2011 : l’obligation d’une notification des failles de sécurité « En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé. » Notion de « fournisseur de services de communications électroniques »? Nécessaires précisions par les Tribunaux. Exceptions: « La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. » Sanctions en cas de violation de l’obligation de notifications du ressort de la CNIL: 150.000 € 300.000 € en cas de récidive Risque d’image: Possibilité de publication de la décision de la CNIL
  • 40. Une solution: la contractualisation Cabinet d’Avocats MATHIAS 9 rue Notre Dame de Lorette 75009 PARIS garance@gmathias.com
  • 41. Négociations et sensibilisation aux enjeux La négociation contractuelle est impérative et requiert l'intervention du juriste dès la phase de conception du projet Cloud et ce, afin de circonscrire le périmètre de responsabilité. L'entreprise est chargée de la protection de ses informations qui constituent une valeur patrimoniale, convoitée par ses concurrents. La nouvelle menace vise également l'intégrité et l'authentification de l'identité. Dans ce contexte, outre la négociation du contrat, l'entreprise doit sensibiliser son personnel à ces nouveaux risques. Le Cloud Computing devenant une solution incontournable au sein de l'entreprise, la protection des données, de quelque nature qu'elles soient, passe obligatoirement par une responsabilisation et une formation des utilisateurs. En effet, dans ce domaine, la prévention s’avérera beaucoup plus constructive pour l'entreprise que des éventuels contentieux.
  • 42. Contexte international mutualisé Le contrat SaaS nécessite la rédaction de contrats: afin d'appréhender les responsabilités de chacun des intervenants; ainsi que la prise en compte des formalités imposées par la CNIL.
  • 43. La notion de contrat Différentes possibilités: mise à disposition à distance de matériel: Applications (SaaS) Simplicité: un contrat unique / pas de gestion d’ensembles contractuels lourds (licence, maintenance, achat/crédit-bail, etc.) Dangers du contrat de prestation de services: Pas de régime légal supplétif (garanties, etc.) Absence d’obligations de résultat et de conseil renforcé Nécessaire exhaustivité du contrat: Clauses juridiques (obligations de résultat et de conseil) et opérationnelles (intégrité des données, conformité des traitements, réactivité de la maintenance, etc.)
  • 44. Le contrat de SaaS Le contrat devra avant tout fixer les frontières de la responsabilité de chacun. Cette répartition sera définie notamment au regard des documents réalisés en amont du projet comme le cahier des charges ou l'expression des besoins tant fonctionnels que techniques du client (responsable du traitement).
  • 45. Délimitation de la prestation dans le cadre contractuel Nécessité d’une description exhaustive de la prestation Ne pas se limiter à une expression de besoins fonctionnels Mentionner les capacités de stockage et de traitement, la bande passante, etc. Anticiper l’évolution du service : évolution des besoins du client, des logiciels mis à disposition, etc. Remarques : Définir le processus de retour des données et les événements initiateurs En cas d’applications stratégiques ou d’éditeurs vulnérables : mise en séquestre des codes sources pour assurer la continuité de l’exploitation par le client en cas de défaut du prestataire Prévoir une garantie maison-mère ou une garantie bancaire à première demande en cas d’envoi d’informations sensibles dans le Cloud
  • 46. Les contrats dits « miroirs » En outre, des contrats dits « miroirs » devront être mis en place avec les sous-traitants. Au sein de ses contrats, les contraintes et les engagements assumés par le prestataire devront être repris dans leur intégralité. Les sous-traitants devront également assister aux réunions des différents comités pilotant le projet Cloud.
  • 47. L’engagement de disponibilité et de performance L'engagement de disponibilité et de performance du prestataire est un enjeu conséquent en terme de responsabilité. Plus précisément, cet engagement permet de mettre en place des niveaux de service (délais d'intervention, garantie de service, etc.) avec des éventuelles pénalités à la charge du prestataire en cas de manquement à son obligation. Ces niveaux de service sont également considérés comme des outils permettant, au fil de la relation contractuelle, d'améliorer le service fourni par le prestataire.
  • 48. La sécurité et la confidentialité des données La sécurité et la confidentialité des données emporte des enjeux considérables. Il s'avère nécessaire de les aborder dans le contrat, notamment pour ce qui est de la confidentialité des données personnelles et du secret médical ou bancaire puisque dans ces hypothèses particulières, il s'agit d'obligations imposées par la loi. Le responsable du traitement devra donc s'assurer via les clauses contractuelles – et il en va de sa responsabilité – que le prestataire de Cloud respectera son obligation de confidentialité et de sécurité. Il sera également nécessaire de délimiter strictement les cas de force majeure (à titre d'illustration, un prestataire peut souhaiter inclure les pannes de réseaux, d'électricité, etc.). De même, une clause prévoyant l'obligation pour le prestataire de Cloud de contracter une assurance pourra s'avérer intéressante en cas de pertes d'exploitation pour le responsable du traitement.
  • 49. La problématique des données personnelles Identification des parties et responsabilité Il est indispensable d'identifier les parties et de les qualifier en termes de responsabilité. Le prestataire de Cloud Computing doit-il être considéré comme un sous-traitant ou comme le responsable du traitement? Le responsable du traitement se caractérise par son autonomie dans la mise en place et la gestion du traitement, c'est la personne qui détermine les finalités et les moyens du traitement et ce conformément à l'article 3 de la loi du 6 janvier 1978. Cette qualification va entraîner un engagement de responsabilité différent pour le prestataire ou pour l'utilisateur. Si des services supplémentaires sont fournis par l'hébergeur, lui donnant ainsi la faculté de contrôler la manière dont les données personnelles sont traitées, cela pourrait avoir pour conséquence de modifier son statut de sous-traitant au profit de celui de responsable de traitement.
  • 50. La problématique des données personnelles Le responsable du traitement et le sous-traitant La responsabilité première en matière de données personnelles (sécurité, confidentialité, etc.) pèse sur le responsable du traitement et non sur le sous-traitant. Le sous-traitant, en application de l'article 35 de la loi n°78-17 du 6 janvier 1978, n'est tenu que par des obligations contractuelles de confidentialité et de sécurité visant à protéger les données personnelles contre la destruction accidentelle ou illicite, l'altération, la diffusion ou l'accès non autorisés. Article 35 de la loi du 6 janvier 1978 : « (...) Le contrat liant le sous- traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous- traitant ne peut agir que sur instruction du responsable du traitement. »
  • 51. La problématique des données personnelles Le responsable du traitement et le sous-traitant Le droit français à l'instar de la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considère en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d'un responsable des données.
  • 52. Les critères dégagés par la CNIL Le groupe de travail de la CNIL, afin de faciliter l'appréciation de la fonction de prestataire, a dégagé plusieurs critères. Le faisceau d'indices élaboré par la CNIL repose sur les critères suivants: le niveau des instructions préalables données par le responsable du traitement. Il s'agit d'apprécier si le niveau d'instruction donné par le client au prestataire dans le cadre du contrat d'externalisation est général ou précis. le niveau du contrôle de l'exécution des prestations. Il s'agit de vérifier le degré de supervision du client en tant que responsable de traitement sur la prestation de son prestataire. la transparence. Il s'agit d'apprécier le degré de transparence du responsable de traitement au niveau de la prestation de service. l'expertise. Il s'agit d'apprécier le degré d'expertise du prestataire par rapport au client.
  • 53. Les critères dégagés par la CNIL Ces critères doivent être appréciés dans leur ensemble: seule la réalisation de plusieurs de ces critères permettra de qualifier le prestataire. Il convient d'aborder plus particulièrement la question du transfert des données personnelles dans le Cloud. En effet, l'article 5 de la loi de 1978 modifiée soumet à la loi française les traitements de données à caractère personnel dont le responsable du traitement est établi sur le territoire français ou dont les moyens de traitement sont situés sur le territoire français.
  • 54. Les grands principes du transfert des données Dans le cadre de l'externalisation, le responsable du traitement devra donc s'assurer que le transfert de ses données dans ou via un pays s'effectue dans un pays ayant un niveau de protection adéquat. Ce transfert doit s’opérer dans le cadre des grands principes prévus par la loi Informatique et Libertés : les transferts en dehors de l’Union européenne sont interdits, les exceptions à cette interdiction sont prévues par l’article 69 de la loi : ainsi, les transferts en dehors de l’Union européenne sont autorisés si le pays ou l’entreprise destinataire assure un niveau de protection adéquat aux données transférées. Cette protection adéquate peut être apportée de plusieurs manières : légalement, si le pays destinataire des données personnelles a une législation reconnue par la commission européenne comme offrant une protection adéquate , de manière contractuelle, par la signature de Clauses Contractuelles Types, adoptées par la Commission européenne, entre l’entité exportatrice et l’entité importatrice de données personnelles, ou par l’adoption de Règles Internes d’entreprises (Binding Corporates Rules), qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des pays tiers ou, lorsque l’entité importatrice est basée aux Etats-Unis et qu’elle adhère aux principes du Safe Harbor.
  • 55. Le niveau de protection suffisante Article 68 de la loi Informatiques et Libertés : « Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet. Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées. »
  • 56. Les transferts dans les situations exceptionnelles L’article 69 permet également d’opérer des transferts dans des situations exceptionnelles. Ces autres dérogations s’opèrent néanmoins avec un contrôle strict de la CNIL qui délivre, le cas échéant, une autorisation. A titre d’illustration, l’exception en cas de consentement exprès de la personne est prévue dans le cadre de l’article 69. Toutefois, la CNIL, se fondant sur la définition posée par la directive, rappelle que ce consentement exprès doit être une manifestation positive de volonté (ce qui exclut, par exemple, de recueillir le consentement des personnes sur un site avec une case pré-cochée). Ce consentement doit également être donné et pouvoir être retiré librement, ce qui a pour conséquence d’invalider, en principe, le consentement de salariés donné à l’employeur, compte tenu de la dépendance hiérarchique dans laquelle ils se trouvent. Le consentement de la personne doit enfin être spécifique. Ainsi, seront considérés comme non valables les consentements donnés par anticipation à des transferts futurs non définis. Par ailleurs, l’intégralité des informations disponibles concernant le niveau de protection assuré par le pays destinataire devra être communiquée aux personnes concernées.
  • 57. Les autorisations et informations préalables au transfert Ces procédures de transfert doivent préalablement: recueillir l'autorisation de la CNIL; Et être soumises pour information aux institutions représentatives du personnel.
  • 58. Les éventuelles réglementations sectorielles Indépendamment de respecter les procédures, des réglementations sectorielles peuvent permettre à des autorités nationales locales d'accéder aux données. Aux États-Unis, le Patriot Act permet au gouvernement américain d'accéder à toute donnée stockée sur son territoire, en cas d'urgence ou en cas de nécessité pour la sécurité nationale.
  • 59. Sécurité (conservation de la chose) Le prestataire doit conserver la chose, sans vol, perte ou détérioration Nécessaire obligation de transparence Informations techniques notamment la localisation du serveur Informations en cas de sous-traitance Communication des engagements de performance et de sécurité auxquels le sous-traitant est soumis à l’égard du prestataire Sécurité physique (surveillance) et logique (anti-virus, cryptage, etc.) Détermination des conditions d’archivage Durée de conservation conformément aux obligations légales Conditions de conservation
  • 60. L’obligation de conseil L'entreprise (responsable du traitement) devra mettre en place des outils nécessaires au bon suivi du projet afin de ne pas perdre le contrôle des données dont elle demeure responsable. Dans ce cadre, il est nécessaire d'insister sur le fait que le prestataire (hébergeur) est soumis à une obligation de conseil envers son client, et doit l'informer de tout manquement par rapport au projet initialement défini. Cette obligation de transparence doit se retrouver quant à l'information sur la localisation des données.
  • 61. La propriété intellectuelle La titularité des droits de propriété devra être clairement précisée dans le contrat. Il sera nécessaire d'intégrer une clause de cession des droits de propriété sur les développements spécifiques réalisés par le prestataire pour les besoins de l'entreprise décidant de recourir au Cloud. Cette cession pourra également concerner les modalités effectives d'accès par le responsable du traitement aux codes sources des applications mises en place par le prestataire à l'occasion d'éventuelles défaillances de ce dernier.
  • 62. Continuité du service Définition de la qualité de la prestation de service Qualité et performance : délai de réalisation des obligations, hors défauts de connexion), outils de mesure et droit d’audit Convention de niveau de service (SLA) Éléments préventifs et curatifs : audit des plans de back up et de continuité La responsabilité de la connexion Sur qui porte la responsabilité de la connexion, de sa performance et de sa sécurité ? Le prestataire ne pourra exclure sa responsabilité que pour la partie strictement publique (Internet) Il incombera au prestataire de sécuriser l’accès (procédures d’alerte et redondance en cas de panne) Audit technique et contractuel des solutions de connexions La phase de test
  • 63. Plan de réversibilité Organisation du transfert de données vers un tiers prestataire : TRANSFERABILITE Organisation du transfert de données chez le client: REINTERNALISATION Carence du prestataire Délais de préavis Libre choix du client Coût Mise à jour régulière du plan de réversibilité tenant compte de l’évolution du périmètre de la prestation Transfert de responsabilité
  • 64. La clause de réversibilité Cette clause de réversibilité doit organiser la possibilité de revenir à une situation antérieure si celle-ci est toujours viable. La conception de la réversibilité doit être envisagée largement, notamment en prévoyant, le cas échéant, le transfert du système chez un autre prestataire. De manière usuelle, la clause de réversibilité est fonction de la durée du contrat ou de ses modes de résiliation. À titre d'illustration, cette clause peut être définie sur le plan technique dans le cadre d'une annexe qui précisera indépendamment du coût, le format des données et applications qui seront restituées.
  • 65. Article 97 du Code de Procédure Pénale L'article 97 du Code de Procédure Pénale indique que l'hébergeur doit être en mesure d'extraire de son Cloud les éléments recherchés ou l'ensemble des informations concernant un client particulier. « Lorsqu'il y a lieu, en cours d'information, de rechercher des documents ou des données informatiques et sous réserve des nécessités de l'information et du respect, le cas échéant, de l'obligation stipulée par l'alinéa 3 de l'article précédent, le juge d'instruction ou l'officier de police judiciaire par lui commis a seul le droit d'en prendre connaissance avant de procéder à la saisie. (…) Il est procédé à la saisie des données informatiques nécessaires à la manifestation de la vérité en plaçant sous main de justice soit le support physique de ces données, soit une copie réalisée en présence des personnes qui assistent à la perquisition. »
  • 66. La compétence territoriale et le droit applicable au contrat Le droit choisi et le tribunal compétent doivent être expressément mentionnés au contrat. A défaut, en cas de litige, la juridiction compétente et le droit applicable seront déterminés par application des règles de droit international privé. Ces règles sont d'une grande complexité et leur application peut difficilement être anticipée, ce qui génère une insécurité juridique.
  • 67. Le droit applicable au contrat Même si le bloc européen tend à s'harmoniser, pour autant, chaque système de droit conserve ses spécificités. En effet, les lois impératives, c'est-à-dire celles qui se superposent aux dispositions du contrat, sont différentes d'un pays à l'autre. Aussi, une disposition valable par exemple en droit anglo-saxon comme une exclusion de responsabilité se révélera non conforme au droit français. En outre, la jurisprudence varie d'un pays à l'autre et sa prise en compte permet de mieux appréhender l'interprétation du contrat.
  • 68. La compétence territoriale Dès lors que les parties n'optent pas pour l'arbitrage, il est indispensable de la mettre en cohérence avec le droit choisi. Le choix du droit et de la juridiction résulte d'une véritable réflexion stratégique, qui commande de prendre en compte la taille respective des contractants, l'existence ou non d'implantations de l'un ou de l'autre dans le pays où la décision sera rendue et la facilité d'obtention de l'exéquatur de la décision dans le pays de l'autre partie.
  • 69. Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à l'égard du traitement des données à caractère Cabinet d’Avocats MATHIAS personnel et à la libre circulation de ces données 9 rue Notre Dame de Lorette (règlement général sur la protection des 75009 PARIS garance@gmathias.com données)
  • 70. Un champ d’application étendu au- delà des frontières européennes Article 3 – Champ d’application territorial : extension du champ du règlement à tout traitement visant un citoyen de l’UE, que le responsable du traitement ou le traitement soit ou non établi sur le sol européen. abolition de la notion de frontières géographiques dès lors qu’il s’agit de flux de données prise en compte explicite des échanges via internet et de l’utilisation de services basés à l’étranger, comme des réseaux sociaux, des moteurs de recherche, etc. qui en cas de litiges se retranchent derrière des juridictions nationales parfois très laxistes
  • 71. Des définitions élargies Article 4 - Définitions : renforcement des définitions de la Directive 95/45/EC du 25 octobre 1995. « ’’personne concernée’’: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; ». Cela fait explicitement rentrer dans le champ du règlement « l’adresse IP », les « coordonnées GPS », « l’adresse MAC » d’un équipement, etc. La notion de "consentement" est précisée comme étant « toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement; ». Ce consentement ne peut être valable lorsqu’il est donné par un mineur sans l’accord d’un de ses parents ni lorsqu’il est donné dans le cadre d’une relation déséquilibrée de dépendance entre la personne concernée et le responsable de traitement (on pense évidemment à la relation de travail). Nouvelles définitions : il y a en tout 19 définitions.
  • 72. Des « grands » principes renforcés et étendus Article 5 - Principes relatifs au traitement des données à caractère personnel 1(c) : principe de « minimisation » des données collectées : les données à caractère personnel doivent être adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées 1(f) : principe de « responsabilité » du Responsable de traitement qui doit veiller à la conformité de chaque opération de traitement avec les dispositions du présent règlement et en apporter la preuve .
  • 73. Les droits des personnes concernées sont complétés Article 17 - Droit à l'oubli numérique et à l'effacement: introduction d’une nouvelle vision du droit à l’oubli : la non-diffusion des données à caractère personnel d’une Personne concernée qui pourra, en cas de diffusion publique, demander au Responsable de traitement une suppression des informations concernées ainsi que des copies et des liens pointant vers ces informations accessibles depuis tout moteur de recherche. Article 18 – Droit à la portabilité des données : introduction d’un droit à la portabilité des données qui doit permettre à la Personne concernée de pouvoir disposer de ses données dans un « format électronique structuré » que le Responsable de traitement lui fournit, sur demande.
  • 74. La protection des données à caractère personnel par conception et par défaut devient un pré-requis Article 23 – Protection des données dès la conception et protection des données par défaut: introduction dans les obligations du Responsable de traitement qui doit dès la conception d’un traitement inclure les mesures techniques et organisationnelles nécessaires à la protection des données à caractère personnel traitées et, également, mettre à jour et adapter ces mesures tout au long de l’existence du traitement.
  • 75. La notification des failles de sécurité devient obligatoire dans un délai de 24h Article 31 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel : en cas d’une « violation de données à caractère personnel », le Responsable de traitement doit en informer l’Autorité de contrôle nationale (CNIL) sans délai et d’une façon générale pas au-delà de 24 h après la découverte de la défaillance. Si cette défaillance est susceptible d’affecter les personnes concernées, alors l’Article 32 - Communication à la personne concernée d'une violation de données à caractère personnel dispose que le Responsable de traitement doit aussi en informer les personnes concernées « sans retard indu ».
  • 76. L’étude d’impact Article 33 – Analyse d’impact relative à la protection des données: introduction de la réalisation d’étude d’impact dans les obligations du Responsable de traitement lorsque les traitements concernés sont susceptibles de faire naître des risques particuliers pour les droits et les libertés des personnes concernées. Parmi ces traitements à risque figurent : les traitements de données sensibles la surveillance des espaces publics et des traitements utilisés pour faire du profilage automatique.
  • 77. Le « Correspondant Informatique et Libertés » devient obligatoire et la fonction est renforcée Article 35 - Désignation du délégué à la protection des données: confirmation de la fonction de data protection officer introduite par la Directive et traduite en français par « Correspondant Informatique et Libertés » (CIL). Le CIL devient obligatoire dans trois cas : pour les autorités ou organismes publics; pour les entreprises employant 250 personnes ou plus; et pour tout organisme dont les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.
  • 78. Les transmissions d’informations dans le cadre de procédures de « discovery » devront recevoir une autorisation préalable Article 42 - Disclosures not authorized by Union law : toutes les demandes de transmission d’informations à des pays tiers (non membres de l’UE) dans le cadre de procédures judiciaires de type « discovery » ou autres seront soumises à l’autorisation préalable de l’Autorité de contrôle nationale (CNIL).
  • 79. Merci pour votre attention ! Questions Cabinet d’Avocats MATHIAS 9 rue Notre Dame de Lorette 75009 PARIS garance@gmathias.com
  • 80. 11h10 – 11h30 - Avis d’expert La DSI fournisseur de services SaaS ? par Benoît Huard, Directeur commercial, Navaho Patrice Salsa, DSI de la CFDT
  • 81. LA DSI FOURNISSEUR DE SERVICES SAAS Mardi 13 mars 2012 Benoit HUARD Navaho est une marque de Risc Group IT Solutions
  • 82. CLOUD = IAAS + PAAS + SAAS Modèle classique IAAS PAAS SAAS L’Entreprise APPLICATION APPLICATION APPLICATION APPLICATION L’Entreprise RUNTIMES RUNTIMES RUNTIMES RUNTIMES INTEGRATION SOA INTEGRATION SOA INTEGRATION SOA INTEGRATION SOA Partenaire CLOUD BASE DE DONNEES BASE DE DONNEES BASE DE DONNEES BASE DE DONNEES Partenaire CLOUD L’Entreprise LOGICIEL SERVEUR LOGICIEL SERVEUR LOGICIEL SERVEUR LOGICIEL SERVEUR Partenaire CLOUD VIRTUALISATION VIRTUALISATION VIRTUALISATION VIRTUALISATION MATERIEL SERVEUR MATERIEL SERVEUR MATERIEL SERVEUR MATERIEL SERVEUR STOCKAGE STOCKAGE STOCKAGE STOCKAGE RESEAU RESEAU RESEAU RESEAU Navaho est une marque de Risc Group IT Solutions
  • 83. INFRASTRUCTURE AS A SERVICE (IAAS) VIRTUALISATION HYPERVISION APPLICATION L’Entreprise RUNTIMES HÉBERGEMENT INTEGRATION SOA BASE DE DONNEES LOGICIEL SERVEUR SAN ON DEMAND VIRTUALISATION WAN – MPLS - VPN MATERIEL SERVEUR STOCKAGE ACCÈS INTERNET RESEAU Navaho est une marque de Risc Group IT Solutions
  • 84. PLATFORM AS A SERVICE (PAAS) L’Entreprise APPLICATION RUNTIMES INFOGÉRANCE INTEGRATION SOA BASE DE DONNEES LOGICIEL SERVEUR WEB TECHNOLOGIES WEB SERVICES VIRTUALISATION MATERIEL SERVEUR STOCKAGE RESEAU Navaho est une marque de Risc Group IT Solutions
  • 85. SOFTWARE AS A SERVICE (SAAS) APPLICATION MICROSOFT RUNTIMES INTEGRATION SOA CONFIANCE NUMERIQUE BASE DE DONNEES SIGNATURE ÉLÉCTRONIQUE HORODATAGE COFFRE FORT ÉLÉCTRONIQUE LOGICIEL SERVEUR LETTRE RECOMMANDÉE ELECTRONIQUE ARCHIVAGE A VALEUR PROBANTE VIRTUALISATION TÉLÉPHONIE IP CENTREX IP MATERIEL SERVEUR BUSINESS TRUNKING STOCKAGE TELESAUVEGARDE PC / LAPTOP RESEAU SERVEURS Navaho est une marque de Risc Group IT Solutions
  • 86. NAVAHO EN OPÉRATEUR GLOBAL DE SERVICES MANAGÉS Date Création 1990 Evolution du Chiffre d’Affaire en K€ Activité Fédérateur de services IP Chiffre d’Affaires 25 M€ Effectif 150 Nombre de clients + 1.200 Nombre de contrats + 3.000 • Certification ISO 9001:2008 • Agrément archiviste intermédiaire SIAF (Service Interministériel des Archives de France) Navaho est une marque de Risc Group IT Solutions
  • 87. NOS OFFRES DE SERVICE Navaho Navaho Network Hosting Navaho Navaho Telephony Collaborative Navaho Navaho Backup Digital Trust Navaho est une marque de Risc Group IT Solutions
  • 88. Navaho est une marque de Risc Group IT Solutions
  • 89. Navaho, une marque de Risc Group IT Solutions
  • 90. 11h30 – 12h15 - Table Ronde La phobie sécuritaire liée au SaaS est-elle justifiée ? avec Mahmoud Denfer, Group Information Security Officer , Vallourec Jean-Marc Grémy , membre du Clusif
  • 91. 12h15 – 12h35 - Avis d’expert Mythes et légendes des aspects financiers du SaaS par Laurent Gasser, CEO Revevol
  • 92. The Game Changer in Cloud Business
  • 93. The Game Changer in Cloud Business Mythes et légendes des aspects financiers du SaaS. Maitrise des coûts, économies et retour sur investissement. Que gagne la DSI, et qu’est-ce qui profite aux métiers ? par Laurent Gasser - CEO Revevol
  • 94. Prévisions Forrester: Le marché du SaaS 132 Mil$ 2020
  • 95. Métiers versus DSI: le SaaS à la croisée des chemins
  • 96. Multitenant = la clé des économies CA= 15 Milliards$ CA= 2 Milliards$
  • 97. Multitenant = la clé des économies Quelle version avez vous ? Coût de la prochaine montée de version ?
  • 98. Datacenter - Industrialisation Google - Microsoft - Amazon : 500 Millions à 1 Milliard$ Apple : 1 Milliard $ Facebook: 600 Millions $ Seul Investissement "privé" équivalent: NSA aux US Cyber Security Center 1,5 Milliard $
  • 99. Datacenter - Industrialisation Comparaison entre 1.000 serveurs et 1.000 parmi 100K serveurs • Efficiency ratio for Networks = 7,3 • Efficiency ratio for Storage = 5,7 • Efficiency ratio for administration (people/server) = 7,1
  • 100. Datacenter - Industrialisation Coût de ces 1.000 serveurs : 4 X moins cher AWS vient de diviser ses prix par 2
  • 101. ROI - Concur - Travel expenses management - Forrester Payback = 10 mois
  • 102. ROI - Salesforce - CRM - par Nucleus Research ROI entre 108% et 216% Payback period entre 7 mois et 2 ans
  • 103. Quel poste d'accès = La question des années à venir Avec quelle politique de BYOD ? Avec quelle politique de choix ?
  • 104. Maîtrise des coûts ? Tout en OPEX Fini les CAPEX OPEX variable par user Fini les montées de version Migration facilitée grâce aux standards du web Retour sur investissement ? ROI en mode "green field" sont un acquis Vos Capex sont ils amortis ? Votre personnel administrant les infra & applications ? Gains métiers ? Evolution plus rapide Quick win for the business Quels sont vos temps de réponse aux demandes des métiers
  • 105. Que gagne la DSI ? Qu'est ce qui profite aux métiers ?
  • 106. 12h35 – 12h50 - Conclusion Le SaaS va-t-il réellement bouleverser le secteur informatique ? par Henry-Michel Rozenblum, Directeur délégué, Eurocloud
  • 107. 107
  • 108. EuroCloud France est la branche française de l’organisation européenne EuroCloud, premier réseau d’acteurs du Cloud en Europe avec une présence dans 28 pays européens www.eurocloud.fr
  • 109. EuroCloud France • Objectif : aider au développement du Cloud en France • Des commissions, forces de proposition • Les Etats Généraux du Cloud, chaque année depuis 2006 • Un lieu de rencontre et de partenariats 109
  • 110. 140 sociétés adhérentes Hébergeur Grossistes Cloud providers Intégrateurs Editeurs de Constructeurs VARs logiciels SSII Telecom 110
  • 111. Nos initiatives récentes • Le livre blanc « Le Cloud et la distribution » • 17 propositions pour « Gagner les 3 batailles de l’informatique en nuage » remises au ministre Eric Besson • Le livre blanc « L’évolution maitrisée vers le IaaS/PaaS » 111
  • 112. 7èmes Etats Généraux du Cloud : 21 mars • 5 Conférences • 12 tables rondes • 3 moments forts : – Remise des 6èmes trophées EuroCloud – Débat UMP - PS sur l’Economie numérique et le Cloud – Annonce d’un programme très ambitieux en direction de la « distribution informatique » • Lieu : CCIP • Etats-generaux.eurocloud.fr 112
  • 113. 113
  • 114. Le SaaS va-t-il réellement bouleverser le secteur informatique ? Bouleversement ? Révolution ? Tsunami ? 114
  • 115. Le SaaS va-t-il réellement bouleverser le secteur informatique ? Bouleversement ? Révolution ? Tsunami ? 115
  • 116. Evolution Arrêtons de se faire peur. Les fondamentaux demeurent. • Informatique = – Unités de traitement – Unités de stockage – Unités d’interface humaine 116
  • 117. Le « bouleversement » a lieu… …Mais pas chez vous ! • Regardez ce qui se passe dans les PME / TPE • Panique chez les éditeurs de gestion « traditionnels » • Grosse fatigue chez les intégrateurs et SSII 117
  • 118. Les éditeurs « métiers » • Redistribution des cartes – Disparition – Rachat – Réorganisation • Mondialisation rapide 118
  • 119. Les grands éditeurs « IaaS » • Font ce qu’ils font depuis quelques années • Accélération avec Microsoft • Arrivée des Telecom 119
  • 120. Un bug chez les intermédiaires • Indispensables pour intégrer • Le dernier kilomètre • Le chainon manquant au modèle 120
  • 121. Un bug chez les intermédiaires ? • Indispensables pour intégrer • Le dernier kilomètre • Le chainon manquant au modèle 121
  • 122. DSI – D comme Disparition Combien de fois n’a-t-on pas prédit la disparition des DSI ? Cloud could not ! 122
  • 123. DSI – I comme Increvable Vous résistez à tous les virus : • PC • Client/serveur • Internet • BYOD 123
  • 124. DSI – S comme…Services Nous ne voyons pas de changement fondamental de la mission d’un DSI. • Comparable à un avionneur (r)assembleur • Penser « en avance de phase » comment l’informatique peut améliorer le fonction- nement de l’entreprise 124
  • 125. Ca va devenir méchamment compliqué • La maîtrise de l’information et non de l’informatique • Gérer le savoir partagé • Société du « Savoir » ou du « voir » ? 125
  • 126. Merci Henry-Michel ROZENBLUM 06 15 04 58 79 hmr@eurocloud.fr 126
  • 127. 12h50 – 13h00 - JEU TIRAGE AU SORT iPad Et le gagnant est……?
  • 128. 13h00– 14h00 - COCKTAIL DEJEUNATOIRE Cocktail / Networking MERCI DE VOTRE PARTICIPATION !