Le document traite des contrats SaaS (Software as a Service) et des règles à suivre lors de leur élaboration, notamment l'identification des besoins et des risques associés. Il couvre également des considérations sur la localisation des données, le transfert de données personnelles, et les obligations de sécurité à respecter par le prestataire. Des recommandations sont fournies pour garantir une gestion sécurisée et efficace des services cloud.

1. LE CONTRAT SaaS
Intervention du 10 octobre 2014

2. Introduction
Définition du CLOUD
La commission de terminologie a défini l'informatique en nuage comme le "mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire''. Elle constitue "une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients'' (JORF du 6 juin 2010).
UN CLOUD AVEC PLUSIEURS FORMES
UN CLOUD AVEC PLUSIEURS FONCTIONS
1

3. Nous limitons l’intervention au contrat « Software as a Service » (Saas)
SaaS = fourniture de logiciel en ligne
≠
PaaS : « Platform as a Service »
ou fourniture d’une plateforme de développement d’applications en ligne
IaaS : « Infrastructure as a Service »
ou fourniture d’infrastructures de calculs et de stockage en ligne
Introduction
2

4. I.Le contrat SaaS obéit aux grandes règles du contrat informatique
1.Définir ses besoins
2.Identifier ses risques
L’entrepreneur n’est pas seul dans cette évaluation :
•L'ANSSI (Agence nationale de sécurité des systèmes d'information) a établi une méthode dite EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) qui permet de guider l’entrepreneur dans la prévention des risques de l’entreprise ;
•Les normes ISO 27001 à ISO 27005 définissent les normes de sécurité applicables aux systèmes d’informations.
Liste de risques établie par l’ENISA (Agence Européenne chargée de la sécurité des réseaux et de l’information)
3

5. 1.La conclusion du contrat n’implique pas nécessairement un transfert de responsabilité du client
2.Qui est le deuxième ?
a.Identification de sa nationalité et de la loi applicable au contrat
b.Lieu d’implantation des données
•L'ANSSI (Agence nationale de sécurité des systèmes d'information) a établi un guide « externalisation et sécurité des systèmes d’information »
•Directive communautaire 95/46/CE du 24 octobre 1995 : relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
•PATRIOT ACT 2008 aux Etats-Unis : permet d’accéder aux données stockées sur les serveurs situés sur le territoire américain
c.Identification de la viabilité financière du partenaire
II.Un contrat implique au moins deux personnes
4

6. 1.Détermination de l’objet du contrat
Quels sont le/les logiciels utilisés ?
Quelle est la fréquence de mise à jour ?
2.Durée du contrat
Renouvellement tacite ou non
Préavis raisonnable ou non compte tenu de votre activité
Cas de déchéance du contrat
III.Un guide de lecture des contrats
5

7. 3.Prix de la prestation
Forfait ?
Evolutif ? Si oui : selon quels critères ? Ces critères sont-ils vérifiables par l’entreprise ou seulement par le prestataire ? Prévoir des modalités de contrôle
4.Détermination des données transférées
Données transférées en une seule fois ou de manière évolutive ?
Si de manière évolutive : avec surcout ou non ?
III.Un guide de lecture des contrats
6

8. 5.Réversibilité des données
Conditions techniques de la réversibilité des données sont-elles acceptables et compatibles avec votre entreprise ? (notion de format structuré et couramment utilisé)
Quel est le prix de cette réversibilité ? Varie-t-il selon les causes de rupture du contrat ?
6.Localisation des données
Détermination du pays d’hébergement des données
Limitation du transfert des données vers des pays membres de l’Espace Economique Européen
III.Un guide de lecture des contrats
7

9. 7.Traitement des données personnelles
Respect des principes européens en matière de protection des données personnelles (notion de principe de proportionnalité et de respect des finalités)
Détermination de la durée de conservation des données (limitée et raisonnable au regard des finalités pour lesquelles les données ont été collectées)
Qui assume les obligations de déclaration auprès des autorités compétentes ?
Obligation de coopération dans l’accomplissement de ces formalités de déclaration
III.Un guide de lecture des contrats
8

10. 7.Traitement des données personnelles (suite)
Affirmation du devoir de coopération avec les autorités compétentes de protection des données
Obligation d’information pesant sur le prestataire en cas de requête provenant d’une autorité administrative ou judiciaire étrangère
Mise en place de procédures de respect du droit des personnes vis-à-vis de leurs données (droits d’accès, modification ou suppression, etc.)
III.Un guide de lecture des contrats
9

11. 8.Recours à la sous-traitance
Interdiction pure et simple
Ou
Nécessité d’accord du client en cas d’utilisation de tiers ou de sous contractants
La responsabilité doit rester sur l’exécutant principal
III.Un guide de lecture des contrats
10

12. 9.Politique de sécurité
Demande de preuve de certification telle que ISO 27001
Autorisation d’audit du prestataire par le client
Définition d’une politique de sécurité à respecter par le prestataire :
Mesures techniques (pare feu, antivirus, détection d’intrusion, gestion des mises à jour, redondances des serveurs, système de sauvegarde)
Mesures de sécurité physique sur le centre d’hébergement
Mesures permettant d’assurer la disponibilité, l’intégrité et la confidentialité des données
Traçabilité des données : accès aux journaux de traçabilité
Mise en place d’un système de remontées des plaintes et des failles de sécurité
III.Un guide de lecture des contrats
11

13. 10.Qualité de service
Détermination d’un temps maximum d’indisponibilité du service
Pénalités prévues au-delà de ce temps
Attention aux clauses limitatives de responsabilité : valides à quelques exceptions près
Assurances souscrites par le prestataire ?
11.Loi applicable et tribunaux compétents
III.Un guide de lecture des contrats
12