Les enjeux juridiques du Everything-as-a-Service et du Cloud - Gérald Sadde

Transcript

1. Les enjeux juridiques du Everything-as-a-Service et du Cloud Maître Gérald

   SADDE Cabinet ROCHE & ASSOCIES - Avocat associé - Docteur en droit Lawyer as a Service [email protected] 04 78 928 928 06 87 13 52 35 Blog : http://www.sadde.com Twitter : http://twitter.com/SaddeGerald Site : http://www.roche-avocats.com Clamart – 23 mai 2012

2. Le Everything as a Service

3. Objectifs Quelles sont les points juridiques à surveiller ? Comment

   prononcer l’acronyme EaaS ? Comment ne pas rester bloquer dans le SaaS ?

4. I – Quel encadrement légal ?

5. Il y a-t-il un encadrement légal spécifique au EaaS ?

   Aucun texte légal ne concerne spécifiquement le EaaS Mais il n’y a aucun vide juridique Le droit commun s’applique Une offre complexe => des réglementations connexes peuvent s’appliquer. Eventuellement la loi pour la Confiance dans l’Economie Numérique Principalement la loi informatique fichiers et libertés Avant tout une question contractuelle Une grande liberté dans le contenu du contrat Un contrat capable d’encadrer la diversité des services proposé à l’entreprise

6. Est-ce un nouveau problème en matière de données personnelles ?

   Pas directement L’hébergement de données par un tiers a toujours été géré par la loi Une obligation de prévoir au contrat le transfert de certaines obligations imposées par la loi au prestataire de EaaS. Ex : sécurité Indirectement L’hébergement en solution Cloud peut poser un problème de localisation des données. La loi va interdire que certaines données puissent être transférées hors des frontières françaises, européennes ou vers certains pays. Avec le Cloud, on ne sait pas trop où est la donnée.

7. transfert de données : Non défini par la directive 95/46/CE

   Pour la CNIL : Est un « transfert de données vers un pays tiers toute communication, copie ou déplacement de données d’un support à un autre quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataires » Or la simple conservation constitue un traitement. => l’hébergement de données sur des serveurs extracommunautaires sera considéré comme un transfert Y compris si le siège de l’hébergeur et dans l’UE ! La notion de transfert de données

8. La notion de transfert de données => Le passage en

   SaaS nécessite certaines démarches : 1/ l’analyse des flux de données 2/ la mise en place des garanties et obligations contractuelles adéquates vis-à-vis de l’hébergeur 3/ l’information des personnes titulaires des données s’il y a transfert (sauf si déjà le cas avant) 4/ la modification de la déclaration ou de l’autorisation CNIL Un problème demeure : Sur une vraie offre Cloud, on ne sait pas exactement comment et où la donnée est dupliquée. Le suivi juridique demande beaucoup de réactivité en interne s’il est seulement possible … Solution de prudence : la localisation de la donnée en EU en attendant une prise de position de la CNIL.

9. Il y a-t-il une obligation de sécurité informatique renforcée en

   matière de EaaS ? Oui car le risque est plus grand. De manière générale, en tant que professionnel diligent le prestataire doit assurer un niveau de sécurité compatible avec le risque => mais le niveau risque dépend de la nature de l’application (ERP > qu’un service de conservation de photos) L’activité du client (Collecte de données de santé > gestion d’une exploitation agricole) Mais difficile de définir les limites de l’obligation de sécurité Ex : loi informatique fichier et liberté : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

10. II - Quelles sont les particularités du contrat EAAS ?

11. A – Impact de l’activité EaaS sur le contrat

12. Une influence de la relation client sur la rédaction du

    contrat ? Certainement ! Car c’est bien plus le résultat du service qui compte Et le prestataire / éditeur va faire un effort d’investissement à la place des clients. (un argument marketing) Un contrat qui peut être plus standardisé entre les clients Conséquences : => un rapport de dépendance plus équilibré entre les parties. L’exécution du contrat peut être plus simple pour le Client D’où une modification de la façon de rédiger : un assouplissement possible car le client est moins tenu par ses investissements, il a moins de garanties à prendre et de précisions à avoir.

13. Le EaaS est bien un contrat de service La qualification

    juridique sera celle d’un contrat de prestation de service. Un contrat complexe car il mêle une multitude de prestations différentes Mais un contrat « juridiquement homogène » Tout n’y est que service ! Un contrat à périmètre variable avec une forte évolutivité.

14. A quoi peut ressembler le contrat SAAS standard? Fusion de

    plusieurs contrats classiques en droit de l’informatique: Le contrat de licence client / serveur Le contrat ASP Le contrat d’infogérance partiel Le contrat de maintenance Le contrat d’hébergement Les conditions d’utilisation d’un extranet Un contrat résolument tourné vers le résultat final et non la mise en œuvre => importance du SLA

15. Est-ce un contrat complexe ? Oui parce que le prestataire

    EAAS peut être un guichet unique pour un grand nombre de prestations : Editeur du logiciel Responsable sécurité Gestion sauvegarde Hébergement Fournisseur d’une Plateforme web Fournisseur d’infrastructures / matériel Services Télécom

16. Est-ce un contrat complexe ? Le « Contract as a

    Service » ? Encadrer un catalogue de prestations possibles demande de la souplesse: Un contrat qui doit prévoir de nombreuses possibilités dés le départ. 1 service – 1 contrat : contrat cadre avec des contrats d’application pour chaque « nouveau service » Le contrat est là mais doit se faire oublier : Le backoffice de gestion des services doit intégrer la dimension contractuel et la sécuriser. L’accord cadre doit définir une « convention de preuve » Authenticité, sécurité et non-répudiation doivent être acceptés par le client pour les actes accomplis dans le cadre de la plateforme de gestion

17. Quelles conséquences à la centralisation des services ? Evite le

    risque de dilution de la responsabilité entre les intervenants… L’éditeur, le prestataire SAAS, l’hébergeur, l’opérateur Télécom… 1 interlocuteur, 1 cocontractant, un responsable: Soit un contrat de maîtrise d’œuvre Soit une solution clé en main intégralement maîtrisée Soit un système prestataire principal responsable + sous- traitants agréés. Tout dépend du modèle aussi du modèle économique. Ex : l’avantage disparait dans un modèle Prestataire principal qui offre une « market place » (PaaS) à des fournisseurs de services qui contractualisent en leur propre nom.

18. Quelles conséquences en matière de risque pour le fournisseur du

    service ? Une augmentation du risque du fait de la concentration des multiplication des prestation et la mutualisation des ressources Le moindre incident peur être démultiplié Le fournisseur peut difficilement rejeter la responsabilité. Risque élevé car la prestation sera souvent critique : Nécessité de mettre en place des clauses limitatives de responsabilités efficaces mais pas trop (compatibilité avec le SLA) L’exigence d’une solide police d’assurance « sinistre informatique » du fournisseur EaaS semble indispensable. RC PRO + soins particuliers aux Dommages immatériels consécutifs et non- consécutifs. La définition du niveau de sécurité doit être contractualisée. Importance du PAQ (Plan d’Assurance Qualité) et le PAS (Plan d’Assurance Sécurité) : répartition des responsabilités dans la relation quotidienne .

19. B - Questions propres au SaaS

20. Parle-t-on de licence quand on parle de contrat SaaS ?

    Non, un contrat de prestation de service Un droit d’accès On peut trouver la notion discutable de « droit d’utilisation » Mais surtout l’occasion de dire ce que l’on n’a pas le droit de faire Mais l’éditeur peut ne concéder aucun droit de propriété intellectuelle car il n’y a pas autorisation de reproduction. Eventuellement on peut préciser à qui revient la propriété du logiciel objet du contrat Peut rester la propriété de l’éditeur Peut être cédée au client si le logiciel a été réalisé sur mesure pour le client

21. La propriété intellectuelle intervient-elle néanmoins dans un contrat SAAS ?

    Oui, elle peut intervenir à plusieurs niveaux 1 – Le logiciel peut-être adapté pour le client (interface, charte graphique personnalisée, ajouts de fonctionnalités) => la propriété doit être répartie par le contrat 2 – La base de données apportée ou constituée par l’utilisateur est sa propriété en tant que producteur de la base. Mais autant le préciser au contrat. 3 – Une clause va toujours prévoir qu’il y a conservation de la PI du logiciel par l’Editeur

22. La notion de réversibilité a-t-elle un sens ? SaaS =

    flexibilité + légèreté théoriquement moins de modifications et d’investissements chez le client moins de dépendance technologique d’où une clause théoriquement moins critique Mais la clause de réversibilité connait un autre sens dans un contrat EaaS = la restitution

23. La notion de réversibilité a-t-elle un sens ? La dépendance

    se recrée autour de la possession / détention du patrimoine informationnel de la société. La restitution des données de l’utilisateur en fin de contrat devient crucial. Doit être définie techniquement et organisée par le contrat: Pas de norme définissant la réversibilité. Caractère ré-exploitable : prévoir le format de restitution voire l’assistance au transfert vers le nouveau prestataire Prévoir les délais de restitution Problème de l’effacement des données => complexe de prévoir des mesures de preuve et de contrôle de l’effacement. La rupture pour faute : Risque de « chantage aux données » en fin d’un contrat qui se passerait mal. Système de séquestre des sommes restant dues éventuel si possible assistée d’un expert neutre qui vérifie le contenu de la restitution

24. Quelle conséquence à la récurrence du contrat ? Le contrat

    EaaS met en place une relation forte et théoriquement durable entre le prestataire et le client. Par nature le « flux d’affaire » est ininterrompu, important, exclusif et à vocation à perdurer un certain nombre d’années. Se pose donc le problème de la rupture du contrat Risque de rupture abusive ou brutale des relations commerciales établies Article L. 442-6, I, 5° du Code de commerce Le contrat doit prendre en compte que la durée de préavis de résiliation va augmenter avec le temps. Sauf faute du prestataire Ou paiement d’une indemnité de rupture.

25. La disponibilité du service doit-elle être garantie ? Ça dépend

    !! Une obligation centrale qui va faire l’objet d’un engagement très fort car il s’agit d’un argument de vente. C’est l’une des principales causes de risque d’engagement de la responsabilité du fournisseur de services. Aussi nommée clause de « Service Level Agreement » (SLA) constitue, pour le client, la garantie « ultime » que le prestataire satisfera à un certain niveau de qualité prédéfini. Suppose la contractualisations dans un cahier des charges d’un référentiel chiffré ou d’outils de mesure de la performance

26. Quels points pratiques à définir quant au droit d’accès ?

    Conditions techniques / pré-requis Nombre d’utilisateurs simultanés Points d’accès fixes ou nomades Identification des utilisateurs et attribution des codes d’accès Hiérarchie des utilisateurs Règles de sécurité

27. BILAN Vers une uniformisation des contrats | prestataire / client

    |. Une offre de services qui tend vers l’exhaustivité Vers un enrichissement de la nature des partenariats permettant la fourniture de telles offres. Une grande variété d’accords contractuels Une concentration et une dépendance des clients qui peut amener à une réglementation. Une centralisation et une externalisation qui vont amener à des fournitures de garanties importantes car la responsabilité du fournisseur augmente

28. Sources http://datanews.levif.be/ict/actualite/opinion/le-point-d-inflexion/article-4000011078861.htm http://www.zdnet.com/blog/virtualization/servicemesh-creates-everything-as-a-service- environments/4003 www.cnil.fr

29. [email protected] 13 rue Tronchet 69006 LYON Tél.: +33 (0)4 78

    928 928 Mob.: +33 (0)6 87 135 235 Mail : [email protected] Blog : http://www.sadde.com Site internet : http://www.roche-avocats.com Twitter : http://twitter.com/SaddeGerald Me Gérald SADDE Avocat Associé Docteur en droit