Cloud
Des contrats en retard de phase sur les prestations
Par La rédaction, publié le 13 septembre 2011
L’aspect clé en main des services de cloud computing s’accompagne d’une grande complexité de leur contractualisation. Les entreprises doivent prendre en compte le manque de maturité des engagements proposés par les prestataires.
Avec l’émergence du cloud computing, les fournisseurs informatiques font souvent évoluer leur offre sans revoir leurs contrats. Ce décalage est particulièrement manifeste dans le domaine des applications en mode Software as a Service (Saas), dont le nombre important d’intervenants tend à diluer la responsabilité vis-à-vis de l’utilisateur final. “ Depuis l’éditeur jusqu’à l’opérateur télécoms, en passant par l’hébergeur, le fournisseur de matériels ou de la solution de back up… Chacun est responsable de son pré carré. Mais où commence et se termine la responsabilité des uns et des autres ? ”, soulève Anne-Sophie Poggi, avocate et fondatrice du cabinet Derriennic Associés. De fait, même s’ils proposent un guichet unique, il est rare que les éditeurs maîtrisent la totalité de leur offre. Il est d’ailleurs fréquent qu’ils répercutent mal, auprès de leurs sous-traitants, les obligations qu’ils assument face au client.
C’est pourquoi Anne-Sophie Poggi recommande que l’ensemble des sous-traitants signent des “ contrats miroirs ”, afin qu’ils assument les mêmes contraintes et engagements que le maître d’œuvre vis-à-vis du client final. “ Quand l’offre ne permet pas de disposer d’une maîtrise d’œuvre, les contrats doivent présenter une cohérence entre eux, une clause précisant que chaque contrat s’apprécie en regard des autres et qu’ils sont interdépendants ”, précise la spécialiste en conception et en négociation de contrats informatiques.
Les entreprises ont également à être vigilantes quant à la gestion de leurs données. En s’assurant que les critères, notamment réglementaires, en matière de sécurité et de confidentialité, de traçabilité, de stockage, de sauvegarde et d’archivage et de données personnelles, sont bien respectés. “ Nombre d’entre elles ne vérifient pas comment les sauvegardes peuvent être remontées et leur intégrité, ou encore si le traitement des données est conforme à leurs attentes, note Anne-Sophie Poggi. De même, la problématique des données personnelles n’est souvent pas prise au sérieux, alors qu’un manquement peut entraîner des condamnations pénales. ”
Prévoir la réversibilité
La performance peut aussi être contractualisée. Des clauses sont alors associées à la variabilité de la volumétrie, à savoir au nombre de bénéficiaires du service, aux pics ou à la saisonnalité de l’activité, voire à la hausse ponctuelle des besoins plus réguliers (traitement de la paie…). Toutefois, “ une disponibilité de 99,9 % n’a de sens que si on met en place un outil de mesure, des métriques et les périodes de calcul, les causes d’exclusion étant examinées attentivement ”, souligne l’avocate, pour qui le contrat ne peut s’écrire sans l’expertise des responsables informatiques. En matière d’assurance, le donneur d’ordre vérifiera qu’une police le couvre notamment en cas d’incendie, de chaleur excessive ou de problèmes d’alimentation. Enfin, les processus de réversibilité et leur prise en charge financière sont généralement difficiles à construire au moment de la rédaction du contrat. Mais il est recommandé de mettre en place des lignes directrices en annexe et d’adapter progressivement le mécanisme en cours de vie du projet.
À savoir
N’externalise pas qui veut, comme il veut. Dès lors qu’il s’agit de stocker des informations à caractère personnel, et donc confidentiel, le stockage des données ne peut pas se faire sans respecter certaines conditions.
Aux Etats-Unis, les Safe Harbor Principles encadrent déjà juridiquement la situation. selon Yves Poullet, expert auprès du conseil de l’Europe, cette réglementation traite un sujet qui met “ au centre des soucis de protection des données le phénomène des flux transfrontières et les risques encourus par les citoyens du fait de la disparité, voire de l’absence des régimes de protection des données dans les pays tiers. ”
En France, l’Asip (agence des systèmes d’information partagés de santé), en charge de la préparation du DMP (Dossier médical personnel), travaille déjà dans le respect de cette future réglementation. Les données médicales, extrêmement critiques, ne peuvent, en aucun cas, se retrouver hébergées sur un serveur américain, chinois, russe, ou plus généralement dans un pays n’ayant pas le même cadre juridique.