DossierCloud : quel impact pour la direction administrative et financière ?
6 - Négocier son contrat cloud, de la haute couture
Confidentialité, réversibilité, localisation... Le cloud soulève des points juridiques à ne pas négliger. Le Daf doit, avec le DSI, passer les contrats au peigne fin. Et négocier âprement...
Avant de se lancer dans le cloud, il faut passer les contrats à la loupe. Une lecture qui doit se faire en partenariat avec le DSI, pour s'assurer que la partie technique est conforme. Surtout, il s'agit de négocier fermement les conditions afin d'éviter toute mauvaise surprise. Cet aspect contractuel est nécessaire pour bien choisir son prestataire cloud : il doit donc être mis en oeuvre pendant la phase d'appel d'offres, bien en amont.
Le cloud est une prestation de service. Le contrat doit s'engager sur les services mis à disposition par le prestataire (SLA, ou service level agreement) : disponibilité, temps de réaction, continuité de service... Si ce dernier n'est pas en mesure d'assurer cette prestation de service, une contrepartie financière doit être versée. " S'il n'y a pas de pénalités prévues, l'offre n'est sans doute pas sérieuse ", estime maître Alexandre Diehl, avocat spécialisé en droit de l'informatique et des nouvelles technologies.
Attention à la confidentialité des données
Le service délivré par le prestataire doit également être sécurisé, notamment en termes de protection et de confidentialité des données. D'autant plus que la loi ne définit pas clairement qui est responsable des données hébergées sur Internet, entre l'entreprise cliente ou le prestataire. La responsabilité d'une société utilisant des services cloud peut donc être engagée en cas de problème de confidentialité ou de sécurité : le non-respect de l'obligation de sécurité est sanctionné de cinq ans d'emprisonnement et de 300 000 euros d'amende, tandis que la divulgation d'informations commise par imprudence ou négligence est punie de trois ans d'emprisonnement et de 100 000 euros d'amende.
" Les responsabilités sont à déterminer contractuellement ", prévient maître Hervé Gabadou, associé du département informatique et réseaux du cabinet Courtois Lebel. Il est généralement impossible de faire peser l'entière responsabilité sur le prestataire, mais il faut au moins veiller à ce qu'elle soit répartie entre les deux parties prenantes. Une négociation difficile, selon maître Alexandre Diehl, qui rapporte que la perte de données est toujours exclue des contrats types.
Vérifier les normes de sécurité
Après avoir réglé ce problème de responsabilité, il s'agit de s'assurer que la sécurité est un réel souci pour le prestataire. " Il doit pouvoir justifier du fait que les normes de sécurité sont bien mises en place ", avertit maître Hervé Gabadou. La norme ISO 27001, par exemple, garantit un certain niveau de sécurité et notamment que les données sont bien détruites après utilisation.
Une autre problématique est la localisation des données, un élément d'importance au regard de la confidentialité des informations. " Il faut s'assurer que le prestataire respecte le droit français en la matière ", insiste maître Mahasti Razavi, avocate spécialisée dans les questions liées aux technologies de l'information. Si certains prestataires du cloud privé sont en mesure de faire visiter leurs data centers à leurs clients, d'autres, surtout dans le cloud public, ne savent pas exactement où se situent les données. Il faut alors s'assurer qu'elles sont bien hébergées dans la communauté européenne ou dans un pays considéré comme équivalent.
Mieux vaut éviter d'héberger ses datas en Chine, en Inde et même aux États-Unis. Maître Mahasti Razavi conseille de s'assurer que le prestataire cloud intègre les modèles de clauses élaborées par l'Union européenne en matière de données à caractère personnelles : " Des clauses types sont publiées par la Commission européenne. Elles doivent figurer dans les contrats cloud. C'est essentiel. " Pour Éric Pigal, fondateur de la société de conseil en informatique Kognitis, rien ne vaut un prestataire français ou européen pour s'assurer que la confidentialité soit respectée. " En plus, en cas de litige, c'est la loi du pays du fournisseur qui s'applique ", insiste-t-il.
Changer de prestataire dans de bonnes conditions
Le contrat doit également prévoir les conditions d'un changement de prestataire. En effet, il est parfois difficile de récupérer ses données. " Lors du rapatriement, le réseau peut être fortement limité ", rapporte Renaud Brosse, cofondateur et associé de Timspirit, cabinet de conseil en optimisation des performances des directions informatiques, qui recommande de faire également attention aux coûts de rapatriement.
Autre point délicat : la réversibilité. Le contrat doit faire état de l'obligation de restituer les données, sous un format précis. " Certains fournisseurs renvoient des fichiers PDF qui sont totalement inexploitables ", pointe Jérôme Brun, fondateur de Basep, société de conseil en transformation numérique. Un point d'autant plus délicat que l'on ne sait pas quel format exigera le nouveau prestataire. " On peut s'entendre sur des principes, mais on ne pourra pas passer sans problème sur un autre cloud ", tranche Jérôme Brun.
Enfin, il faut envisager le cas de la liquidation judiciaire du prestataire. " Le Code du commerce prévoit que l'administrateur judiciaire doit répondre aux créanciers pendant dix ans, que ce soit en termes de sommes financières ou de services. Il y a donc une obligation de restituer les données ", rassure maître Alexandre Diehl. Avant de nuancer : " Cela peut prendre du temps et la structure des données a toutes les chances de ne pas être respectée. " Maître Olivia Flipo pense pour sa part qu'une solution peut être trouvée lors de la période de redressement : " Le client peut être formé à la reprise du service ou l'activité transférée vers une société tierce. "
Un lien de confiance doit donc exister entre l'entreprise cliente et le prestataire cloud, lien qui doit se traduire à travers les contrats. Il faut veiller à ce que les différents métiers ne souscrivent pas à des applications en ligne sans concertation.
