2013 02 impact juridique du cloud et bonnes pratiques contractuelles
DESCRIPTION
TRANSCRIPT
Impact juridique du Cloud et bonnes pratiques contractuelles
Me André MEILLASSOUXATM AVOCATS
Président de l’Association Française de Droit de l’Informatique et de la Télécommunication
(AFDIT)
[email protected], rue Jean Goujon 75008 Paris - 01 56 91 05 05
INTRODUCTION
La notion de « Cloud Computing », littéralement traduite en Français par « informatique dans les nuages » est une expression valise qui couvre plusieurs pratiques . Une définition existe toutefois et permet de déterminer ses contours
« Le terme "Cloud" désigne aujourd’hui de manière générale un nouveau modèle à la fois de distribution et de consommation de l’informatique qui consiste à mettre à disposition via les réseaux de communication et à la demande (= "as a service"), un ensemble de "ressources" (puissance de calcul, stockage de données, applications, etc.) et de "services" (gestion, administration, etc.). Celles-ci seront mutualisées, dématérialisées, contractualisées, évolutives et en libre-service. »
Source : Syntec numerique, « Cloud computing nouveaux modèles », Livre blanc, Mars 2012, p.6.
2
INTRODUCTION
L’utilisation du Cloud en entreprise représente un enjeu économique devenu une nécessité mais qui implique de garder à l’esprit plusieurs points:
L’entreprise confie à un prestataire la fourniture de moyens informatiques à une échelle jamais atteinte : elle remet entre les mains d’un tiers une partie importante (et parfois sensible) de son activité (données, ressources, applicatifs…).
Si le prestataire est défaillant, les préjudices peuvent être importants : préjudice financier lié à l’impossibilité/difficulté de mener son business compromission/ ou perte du savoir-faire, de données clients ou internes, de secrets… violation de droits de propriétés intellectuelles, violation des obligations en matière de données personnelles (et mise en cause pénale du
responsable du traitement).
Préparer au mieux la phase contractuelle est la manière la plus efficace de se prémunir contre ses risques.
3
INTRODUCTION
Le contrat signé avec le prestataire doit être pris au sérieux
Le contrat est la clé de voûte des relations entre le prestataire (ou « Cloud Provider ») et le client.
Souvent, il existe peu de marge de manœuvres dans la négociation : le contrat Cloud est trop souvent un contrat dit « d’adhésion » (pré-rédigé et non négociable).
Conséquence directe : la réalisation d’un audit en amont permettra à l’entreprise de cerner ses besoins et rédiger un cahier des charges qui constituera le référentiel et l’objectif contractuel de l’entreprise. La connaissance de son besoin permet de mieux cerner les risques liés à l’absence de flexibilité du contrat.
Pour le client : le but est de conclure un contrat adapté et évolutif.
Pour le prestataire : le but est d’imposer ses conditions générales.
4
INTRODUCTION
Source : syntec numerique.
5
Le choix des besoins détermine le niveau d’engagement du prestataire
6
Le contrat Cloud comporte plusieurs points essentiels sur lesquels le Client doit focaliser son attention lors de la phase d’avant-contrat.
PLAN DE L’INTERVENTION
I. PÉRIMÈTRE DES SERVICES ET PRESTATIONSII. RESPONSABILITES DE CHAQUE PARTIEIII. DONNÉES – TRANSFERT ET TRAITEMENTIV. PRIX – MODES DE FIXATIONV. RÉVERSIBILITÉ – ÉVOLUTIVITÉVI. DROIT APPLICABLE -
I. SERVICES ET PRESTATIONS
7
I. Détermination des services et prestations1. La détermination des services.
C’est l’objet du contrat : il doit couvrir le « périmètre » des services fournis par le prestataire et le « niveau d’engagement » attendu , deux notions clé, Le Périmètre
Il permet de déterminer l’étendue et le contenu des services et prestations qui seront fournis au titre du contrat
Les services fournis par le prestataire doivent être définis précisément. Etablissement d’un catalogue des services/prestations rendus Anticipation par le contrat des conditions d’évolution de ce catalogue. La précision des « Définitions » est fondamentale.
Le niveau d’engagement est le point clé de la négociation. Qualification juridique du niveau d’engagement : maîtrise d’œuvre, obligation de
résultat.. Le client cherchera à obtenir le plus haut niveau d’engagement de la part du
prestataire, pour chaque prestation contractualisée. Le prestataire cherchera à limiter ses engagements à différents niveaux (obligation
de moyen, limitation basse de responsabilité). 8
I. Services
2. La fourniture des services et prestations Le niveau de l’engagement doit être contractualisé. Il faut prévoir les niveaux de services techniques : disponibilité, continuité,
puissance du service. Souvent dans les SLA. Les conditions de suspension doivent être limitées aux cas les plus stricts.
L’occurrence des maintenances ou mises à jour doivent être déterminées de concert entre les parties.
Exemples de clauses pertinentes ou de niveaux de services à déterminer dans le SLA: Bande passante/Volumétrie (minimum contractuel à prévoir). Volume de stockage du prestataire/performance des serveurs. Contractualisation de la fonction support du prestataire (temps d’intervention minimum,
délai de temps avant une réponse technique). Contractualisation possible de « back up plans » : audit de plan de secours, réplication des
données.
Attention à la terminologie ! Les phrases types : « mettons en œuvre nos meilleurs efforts pour vous garantir la continuité du service » n’engagent le prestataire
qu’à une obligation de moyen.9
II. RESPONSABILITÉS
10
II. RESPONSABILITÉS
1. L’organisation des responsabilités est nécessaire pour l’économie du contrat. Le contrat sert à la prise en compte des conséquences de l’inexécution des
prestations, dès la conclusion de l’engagement. Ce sont des sujets qui fâchent en négociation, mais qui sont stratégiques Le niveau de « responsabilité » du prestataire est essentiel, car c’est la preuve
de son sérieux Il faut aller voir, presque avant tout, cette clause qui est entre la clause 15 et
la clause 18 (à la fin) Il est indispensable de l’étudier, la négocier et la contractualiser Et ce, à plusieurs niveaux :
La responsabilité du prestataire à l’égard du client (clause indispensable). La responsabilité du client dans les cas litigieux Envisager également les impacts sur les tiers (par ex : Les perte de données de tiers)
Les clauses d’assurance sur les risques spécifiques au Cloud ne doivent pas perturber l’économie du contrat. 11
II. Responsabilité
2. Analyse des clauses courantes: La responsabilité contractuelle du prestataire :
L’assiette des préjudices couverts : les prestataires cherchent à exclure certains préjudices
Attention aux clauses pré-qualifiant en dommages « indirects » certains préjudices pour les exclure (refus courant d’indemniser la perte de CA, de bénéfice, de la clientèle, les gains manqués, le préjudice d’image : attention à ne pas vider la responsabilité de toute substance).
Attention aux limitations à un montant contractuellement établi (somme fixe ou montant des redevances perçues pendant une période déterminée).
Les niveaux diffèrent selon les services fournis (Iaas, Saas, Paas). La responsabilité contractuelle du client :
Les contrats prévoient souvent des cas prédéfinis de mise en jeu de la responsabilité du client, il s’engage généralement à assumer les conséquences de ses fautes (attention aux définitions).
Dans ce cas, les limites doivent être strictes, le Prestataire ne doit pas se défausser sur son Client.
12
III. LES DONNÉES
13
III. Les Données
1. La sécurisation des données Désormais, les données sont, à juste titre, au centre de l’attention : où sont
elles stockées, dans quelles conditions, comment sont elles sécurisées, comment on les récupère ?
Faire un audit Prévoir, au moins en interne, un audit spécifique et préalable, qui est
nécessaire afin de cerner le statut des données traitées.
Problème de la sous-traitance Il faut prévoir quelles opérations peuvent être sous-traitées et à qui (c’est
une obligation légale de la loi du 31 décembre 1975 sur la sous-traitance) liste et missions des sous-traitants au sein même du contrat. Insertion possible dans le contrat d’une obligation pour le prestataire de
répercuter ses obligations en matière de données dans les contrats passés avec les sous-traitants.
14
III. Données
2. La propriété des données
Un droit de propriété du Client sur ses données : réaffirmation nécessaire dans les termes du contrat.
La propriété intellectuelle sur les données : Déterminer l’éventualité de revendication de propriété de certains éléments confiés au prestataire et la paternité des droits de chacune des parties au contrat (difficulté possible en cas d’œuvres créées avec du matériel fourni par le prestataire).
15
III. Données
3. Le traitement des données personnelles : 3.1 La localisation des données La législation est stricte en matière de données personnelles (sanctions pénales):
En cas de traitement de données sensibles : déclarations Cnil obligatoires. Données stockées hors de l’UE et notion de « safe harbor » rédaction de clauses dans le contrat mettant à la charge du prestataire des obligations
supplémentaires de sécurisation des données (Possibilité également de contractualiser le maintien des données sur un Cloud « européen »).
Souvent, le Client souhaite organiser la localisation géographique du serveur
3.2 Le responsable du traitement Aménagement contractuel possible sur l’identité du responsable du traitement des
données (par principe l’entreprise cliente est systématiquement responsable mais négociation possible pour obtenir un partage de responsabilité). Le responsable du traitement reste et demeure responsable même si les données
sont externalisées (art 35 de la loi Cnil du 6 janvier 1978). 16
III. Données
3. Le traitement des données personnelles :
3.3 Clauses à prévoir
Il faut prévoir une obligation d’information du prestataire en cas de déviation ou risque de déviation par rapport au référentiel de conformité.
C’est désormais une infraction pénale
Une clause de confidentialité étendue est nécessaire au contrat.
Il faut prévoir, en amont, toutes les pénalités afférentes au dépassement des services par le client et aux inexécutions par le prestataire.
Possibilité de prévoir des clauses de « devoir d’alerte » en cas d’utilisation excessive du service par le client.
17
III. Données
3. Le traitement des données personnelles (suite)
Recommandation de la Cnil (25/06/12) :
Faire respecter au prestataire Cloud, par la voie du contrat, les contraintes légales (localisation des données, réglementations spécifiques à certains types de données, etc.), les contraintes pratiques (assurer la pérennité, la disponibilité, réversibilité/portabilité des données etc.) et les contraintes techniques (interopérabilité avec le système existant, etc.) afin de sécuriser au mieux les échanges de données.
Après avoir réalisé un audit spécifique sur les données concernées, la Cnil conseille aux entreprises de choisir des solutions Cloud différentes en fonction des traitements : possible donc de choisir « un service IaaS public français pour le site Internet … un SaaS européen privé pour les messages électroniques »,
En fonction des métiers prévoir des dispositions spécifiques :
Par ex un hébergeur de santé homologué pour les données de santé (plus sensibles) et».
18
III. Données
Point d’actualité : réforme de la directive données personnelles
Vers un Règlement Européen en 2014-2015 Volonté d’harmonisation des protections, de renforcement des devoirs d’alerte en
cas de compromission, et de renforcement des sanctions (pouvoir autonome de la Cnil)
La finalité est de renforcer la sécurité des données personnelles face aux atteintes liées aux nouvelles technologies (dont le Cloud computing).
Les lobbys américains, présents au Parlement Européen, font pression pour réduire la portée de ce qui constituera le futur règlement européen. Des suggestions, proposées entre autres par Amazon ou la Chambre Américaine de Commerce sont ainsi reprises mot pour mot dans certains amendements proposés par des députés européens.
19
IV. LE PRIX
20
IV. Le Prix
1. Les conditions tarifaires
Le contrat peut fixer le prix selon différents critères :
A la consommation selon des prestations mesurables en fonction de l’utilisation. Dans ce cas, les unités de mesure qui influent sur le prix doivent être prédéfinies (bande passante, stockage, trafic mensuel),
Au forfait, en fonction d’un nombre d’utilisateurs par exemple, ou en fonction des services choisis
Mélange des deux modes de fixation.
21
IV. Le Prix
2. Le Benchmark
Négociation possible autour de l’insertion d’une clause de « benchmarking » permettant l’examen, au cours du contrat, de la qualité et du prix des prestations proposées par la concurrence. En cas d’écart trop important, la clause prévoit le sort du contrat (renégociation, résiliation)
Si un benchmark est inséré, il faut prévoir : les prestations concernées les outils et méthodes d’évaluation la méthode d’analyse des résultats les solutions applicables en cas d’écart trop important.
22
V. LA RÉVERSIBILITÉ
23
V. La Réversibilité
Objectif : permettre à l’entreprise cliente de reprendre la main sur ce qu’elle a confié au prestataire.
Ce qui doit être prévu dans le contrat (et éventuellement négocié) : La portée de la clause : restitution des données et des informations. Le prix éventuel de la restitution. Les conditions de la restitution : la durée évaluée du rapatriement des
informations. La qualité des données restituées : exploitables par le client (clause de portabilité
et d’interopérabilité des données). L’aménagement de la période de transition. La possibilité, en retour, pour le client de devoir coopérer ou d’effectuer ses
meilleurs efforts pour coopérer à la réversibilité. La contractualisation d’une modification éventuelle des prestations attendues
durant le transfert.
24
VI. LE DROIT APPLICABLE
25
VI. Le droit applicable
La détermination de la loi applicable :
Clause contractuelle qui permet d’attribuer le droit applicable et la juridiction compétente en cas de litiges.
Attention à la compatibilité de certaines clauses avec le droit français : Règlementation en matière de données personnelles, notamment les données
sensibles (santé, bancaire). Le Secret bancaire français s’oppose au « Patriot act américain » qui permet aux
autorités américaines d’inspecter les serveurs situés sur leur territoire.
26
Points clés.
Multiplication des audits et évaluation des besoins.
Négocier en amont les difficultés prévisibles.
Redoubler de vigilance sur le traitement des données personnelles.
Essayer d’introduire un Benchmark des engagements.
Sécuriser au maximum la réversibilité des données.
27