Avant de signer un contrat avec un prestataire qui propose ses services en mode Cloud Computing, des précautions s’imposent. En particulier pour gérer le périmètre, la sécurité, les transferts et la localisation des données. Les conseils de Me Benjamin May, avocat à la Cour, associé de la société d’avocats Aramis (*).
La nature du contrat Cloud Computing recouvre des réalités diverses. Il peut s’agir, par exemple, de mise à disposition à distance de matériel, tels que des datacenters (IaaS : Infrastructure as a Service), de plates-formes informatiques (PaaS : Platform as a Service) ou d’applications (SaaS : Software as a Service).
De fait, un contrat avec un prestataire pour des services de type Cloud Computing paraît plus simple qu’un contrat classique : « Un seul contrat évite d’avoir à gérer des ensembles contractuels lourds (licences, maintenance, achat/crédit-bail/location financière, intégration, etc.) », précise Benjamin May.
Mais ce type de contrat est aussi plus dangereux : « Il ne s’agit pas d’un contrat de maîtrise d’œuvre donc sans obligation de résultat, ni d’obligation de conseil », précise Benjamin May. Tout doit donc être écrit : clauses juridiques (obligation de résultat, obligation de conseil) et opérationnelles (intégrité des données, conformité des traitements, réactivité de la maintenance, disponibilité de l’espace disque, etc.).
En tenant compte de la notion juridique de « gardien de la chose », telle qu’elle est précisée dans l’article 1384 du Code civil : « On est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l’on a sous sa garde. »
Autrement dit, souligne Benjamin May, « le client confie « une chose » au prestataire, celui-ci s’oblige à la conserver, sans vol, perte ou détérioration (sécurité), et s’engage à la restituer à première demande (disponibilité) ». le contrat Cloud Computing peut se comparer d’une part aux contrats ASP (mode proche du SaaS), avec un accès à distance à une solution logicielle.
« La différence est que le contrat ASP n’implique pas forcément de migration et de stockage de données du client par le prestataire », précise Benjamin May. D’autre part aux contrats d’infogérance, avec la prise en charge partielle ou totale du système d’information d’une entreprise. « La différence réside dans le fait que dans un contrat d’outsourcing, le client externalise une fonction interne, d’où la question du transfert de personnel », souligne Benjamin May.
Le périmètre du service et la vie du contrat
Il convient de décrire précisément le service attendu. Il ne faut pas se limiter à une expression de besoins fonctionnels. « Il faut également définir, entre autres, les capacités de stockage et de traitement, la bande passante, et prendre en compte l’évolution du service : évolution des besoins du client, des logiciels mis à disposition, etc. », conseille Benjamin May.
Trois points doivent aussi retenir l’attention : d’abord, la définition du processus de reprise des données et les événements déclencheurs. Ensuite, prévoir une garantie maison mère ou une « garantie bancaire à première demande » si des informations sensibles sont « envoyées dans le Cloud ».
Enfin, si des applications stratégiques sont en jeu et face à des éditeurs vulnérables, « prévoyez la mise en séquestre des codes sources pour que l’entreprise puisse continuer à exploiter l’application en cas de défaut du prestataire », propose Benjamin May.
La continuité du service : quels engagements ?
Dans ce domaine, deux éléments sont importants. Le premier concerne le niveau de service. Il faut élaborer des indicateurs de qualité : définition (qualité et performance, temps de réponse), outils de mesure et droit d’audit… Il convient également de « prévoir des éléments préventifs et curatifs tels que l’audit des plans de back-up et de continuité, en essayant d’y avoir accès », conseille Benjamin May.
Le second concerne la responsabilité de la connexion : « Qui prend la responsabilité de la connexion, de sa performance et de sa sécurité ? Cela a des conséquences sur les engagements de services : si le prestataire exclut toute responsabilité en matière de connexion, il n’est plus lié par aucun engagement de service ».
De fait, le prestataire peut prendre en charge la partie privée (accès à travers un réseau privé virtuel) et ne peut exclure sa responsabilité que pour la partie strictement publique (Internet). De même, le prestataire peut mettre en œuvre des moyens pour sécuriser l’accès, par exemple en prévoyant des procédures d’alerte (détection immédiate des défauts de connexion) et une redondance en cas de panne. « Prévoyez un audit technique et contractuel des solutions de connexions », conseille Benjamin May.
La sécurité : physique, logique et conditions d’archivage
Le traitement de la problématique sécurité dans un contrat Cloud Computing concerne d’abord le besoin de transparence, notamment avec la sécurité physique (climatisation, contrôle des accès), la sécurité logique (antivirus, cryptographie…) et la communication des informations techniques : localisation du serveur, serveur dédié/mutualisé…
« Le prestataire doit indiquer les prestations qu’il sous-traite (hébergement, réseau, éditeurs, etc.) et quels engagements de performance et de sécurité qu’il a obtenu », précise Benjamin May. Il s’agit ensuite de déterminer les conditions d’archivage des informations. La durée de conservation doit être conforme aux délais de prescription et aux obligations légales (par exemple dix ans pour les documents comptables).
« La conservation des données signées électroniquement, par exemple les factures électroniques ou transmises par EDI, peut être impactée par le Cloud Computing », souligne Benjamin May.
Les transferts de données : une question délicate
Les aspects réglementaires sont une composante essentielle dans le cadre contractuel, qu’il s’agisse du secret bancaire ou médical, de la loi Informatique et libertés, applicable notamment aux données des salariés ou d’éléments de droit social. Par exemple, l’employeur est tenu de consulter le comité d’entreprise en cas d’introduction d’une nouvelle technologie dans l’entreprise.
Il en est de même pour les aspects réglementaires à l’étranger : « La localisation des données peut entraîner l’application de lois de police étrangères, même si l’on stipule un autre droit applicable au contrat », précise Benjamin May. à noter qu’une entreprise ne peut transférer n’importe quelle donnée : « La Cnil exige une sélection, toutes les données ne pouvant être transférées sans nécessité (notamment le NIR, les coordonnées bancaires, la situation familiale, etc.) », ajoute Benjamin May.
Concernant les transferts de données personnelles, il existe un risque si le prestataire est sous-traitant du client. Pour ce dernier, il y a un risque de responsabilité au titre du transfert de données irrégulier à un responsable de traitement, auquel s’ajoute un risque pénal en cas de transfert irrégulier de données hors de l’Union européenne.
De même, pour le prestataire, la qualification de responsable l’expose à un fort risque de non-conformité. « Il faut orienter la rédaction du contrat pour éviter que le prestataire puisse devenir responsable du traitement », conseille Benjamin May. En effet, selon la loi Informatique et libertés, l’obligation de sécurité pèse sur le responsable du traitement qui est « tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Le sous-traitant doit donc se conformer aux instructions du responsable du traitement. Le contrat doit donc comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. « La loi s’applique au client et/ou au prestataire, quelles que soient les stipulations du contrat, dès lors que les critères d’application sont remplis », précise Benjamin May.
Le contexte international complique tous ces aspects contractuels, d’abord pour déterminer la loi applicable et le juge compétent. « à défaut de choix des parties, le rattachement principal des contrats de prestation de services se situe dans le pays du prestataire », souligne Benjamin May.
Ensuite, à supposer que le premier point soit résolu, se pose le problème de l’exécution des jugements. « Dans l’Union européenne, le jugement acquiert force exécutoire dans l’état membre d’exécution sous réserve de l’accomplissement de formalités : une copie authentique de la décision et un certificat du caractère exécutoire de la décision », résume Benjamin May.
En dehors de l’Union européenne, c’est la procédure dite « d’exequatur » qui s’applique, procédure visant à donner dans un État force exécutoire à un jugement rendu à l’étranger. Faut-il dès lors agir en France ou à l’étranger ? Que faire en cas de faillite du prestataire et/ou de saisie des serveurs par des créanciers ? « Il n’y a pas de solution miracle, estime Benjamin May, mais la transparence est vivement conseillée pour savoir où sont les données et quelle est la situation du prestataire. »
(*) Les éléments de cet article ont été recueillis lors de la conférence « Cloud Computing » organisée par IDC France le 11 février 2010. www.idc.fr – www.aramis-law.com