Contrat SaaS en matière de cloud computing par Sybille PECHENART, Avocate au Barreau de Marseille spécialisée en Droit informatique. Son cabinet intervient autant dans le domaine du conseil que dans le domaine contentieux. Créateur d’économies et de mobilité, le cloud computing répond à des besoins informatiques tant matériels que logiciels mais est aussi source de risques opérationnels et juridiques. La confidentialité, la disponibilité et la sécurité des données et des applications mises en ligne doivent être encadrées par des clauses contractuelles intégrant les particularités de chaque activité dont le « Software as a Service » (fourniture de logiciel en ligne).
2. Introduction
Définition du CLOUD
La commission de terminologie a défini l'informatique en nuage comme le "mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire''. Elle constitue "une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients'' (JORF du 6 juin 2010).
UN CLOUD AVEC PLUSIEURS FORMES
UN CLOUD AVEC PLUSIEURS FONCTIONS
1
3. Nous limitons l’intervention au contrat « Software as a Service » (Saas)
SaaS = fourniture de logiciel en ligne
≠
PaaS : « Platform as a Service »
ou fourniture d’une plateforme de développement d’applications en ligne
IaaS : « Infrastructure as a Service »
ou fourniture d’infrastructures de calculs et de stockage en ligne
Introduction
2
4. I.Le contrat SaaS obéit aux grandes règles du contrat informatique
1.Définir ses besoins
2.Identifier ses risques
L’entrepreneur n’est pas seul dans cette évaluation :
•L'ANSSI (Agence nationale de sécurité des systèmes d'information) a établi une méthode dite EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) qui permet de guider l’entrepreneur dans la prévention des risques de l’entreprise ;
•Les normes ISO 27001 à ISO 27005 définissent les normes de sécurité applicables aux systèmes d’informations.
Liste de risques établie par l’ENISA (Agence Européenne chargée de la sécurité des réseaux et de l’information)
3
5. 1.La conclusion du contrat n’implique pas nécessairement un transfert de responsabilité du client
2.Qui est le deuxième ?
a.Identification de sa nationalité et de la loi applicable au contrat
b.Lieu d’implantation des données
•L'ANSSI (Agence nationale de sécurité des systèmes d'information) a établi un guide « externalisation et sécurité des systèmes d’information »
•Directive communautaire 95/46/CE du 24 octobre 1995 : relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
•PATRIOT ACT 2008 aux Etats-Unis : permet d’accéder aux données stockées sur les serveurs situés sur le territoire américain
c.Identification de la viabilité financière du partenaire
II.Un contrat implique au moins deux personnes
4
6. 1.Détermination de l’objet du contrat
Quels sont le/les logiciels utilisés ?
Quelle est la fréquence de mise à jour ?
2.Durée du contrat
Renouvellement tacite ou non
Préavis raisonnable ou non compte tenu de votre activité
Cas de déchéance du contrat
III.Un guide de lecture des contrats
5
7. 3.Prix de la prestation
Forfait ?
Evolutif ? Si oui : selon quels critères ? Ces critères sont-ils vérifiables par l’entreprise ou seulement par le prestataire ? Prévoir des modalités de contrôle
4.Détermination des données transférées
Données transférées en une seule fois ou de manière évolutive ?
Si de manière évolutive : avec surcout ou non ?
III.Un guide de lecture des contrats
6
8. 5.Réversibilité des données
Conditions techniques de la réversibilité des données sont-elles acceptables et compatibles avec votre entreprise ? (notion de format structuré et couramment utilisé)
Quel est le prix de cette réversibilité ? Varie-t-il selon les causes de rupture du contrat ?
6.Localisation des données
Détermination du pays d’hébergement des données
Limitation du transfert des données vers des pays membres de l’Espace Economique Européen
III.Un guide de lecture des contrats
7
9. 7.Traitement des données personnelles
Respect des principes européens en matière de protection des données personnelles (notion de principe de proportionnalité et de respect des finalités)
Détermination de la durée de conservation des données (limitée et raisonnable au regard des finalités pour lesquelles les données ont été collectées)
Qui assume les obligations de déclaration auprès des autorités compétentes ?
Obligation de coopération dans l’accomplissement de ces formalités de déclaration
III.Un guide de lecture des contrats
8
10. 7.Traitement des données personnelles (suite)
Affirmation du devoir de coopération avec les autorités compétentes de protection des données
Obligation d’information pesant sur le prestataire en cas de requête provenant d’une autorité administrative ou judiciaire étrangère
Mise en place de procédures de respect du droit des personnes vis-à-vis de leurs données (droits d’accès, modification ou suppression, etc.)
III.Un guide de lecture des contrats
9
11. 8.Recours à la sous-traitance
Interdiction pure et simple
Ou
Nécessité d’accord du client en cas d’utilisation de tiers ou de sous contractants
La responsabilité doit rester sur l’exécutant principal
III.Un guide de lecture des contrats
10
12. 9.Politique de sécurité
Demande de preuve de certification telle que ISO 27001
Autorisation d’audit du prestataire par le client
Définition d’une politique de sécurité à respecter par le prestataire :
Mesures techniques (pare feu, antivirus, détection d’intrusion, gestion des mises à jour, redondances des serveurs, système de sauvegarde)
Mesures de sécurité physique sur le centre d’hébergement
Mesures permettant d’assurer la disponibilité, l’intégrité et la confidentialité des données
Traçabilité des données : accès aux journaux de traçabilité
Mise en place d’un système de remontées des plaintes et des failles de sécurité
III.Un guide de lecture des contrats
11
13. 10.Qualité de service
Détermination d’un temps maximum d’indisponibilité du service
Pénalités prévues au-delà de ce temps
Attention aux clauses limitatives de responsabilité : valides à quelques exceptions près
Assurances souscrites par le prestataire ?
11.Loi applicable et tribunaux compétents
III.Un guide de lecture des contrats
12