Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Les enjeux juridiques du Everything-as-a-Servic...

SysFera
June 27, 2012
310

Les enjeux juridiques du Everything-as-a-Service et du Cloud - Gérald Sadde

Les enjeux juridiques du Everything-as-a-service et du Cloud
Présentation de Gérald Sadde (Avocat associé, Docteur en droit - Cabinet ROCHE & ASSOCIES) lors des Rencontres SaaS, Cloud & innovation organisées par SysFera le 23 mai à Clamart.

SysFera

June 27, 2012
Tweet

Transcript

  1. Les enjeux juridiques du Everything-as-a-Service et du Cloud Maître Gérald

    SADDE Cabinet ROCHE & ASSOCIES - Avocat associé - Docteur en droit Lawyer as a Service [email protected] 04 78 928 928 06 87 13 52 35 Blog : http://www.sadde.com Twitter : http://twitter.com/SaddeGerald Site : http://www.roche-avocats.com Clamart – 23 mai 2012
  2. Objectifs Quelles sont les points juridiques à surveiller ? Comment

    prononcer l’acronyme EaaS ? Comment ne pas rester bloquer dans le SaaS ?
  3. Il y a-t-il un encadrement légal spécifique au EaaS ?

    Aucun texte légal ne concerne spécifiquement le EaaS Mais il n’y a aucun vide juridique Le droit commun s’applique Une offre complexe => des réglementations connexes peuvent s’appliquer. Eventuellement la loi pour la Confiance dans l’Economie Numérique Principalement la loi informatique fichiers et libertés Avant tout une question contractuelle Une grande liberté dans le contenu du contrat Un contrat capable d’encadrer la diversité des services proposé à l’entreprise
  4. Est-ce un nouveau problème en matière de données personnelles ?

    Pas directement L’hébergement de données par un tiers a toujours été géré par la loi Une obligation de prévoir au contrat le transfert de certaines obligations imposées par la loi au prestataire de EaaS. Ex : sécurité Indirectement L’hébergement en solution Cloud peut poser un problème de localisation des données. La loi va interdire que certaines données puissent être transférées hors des frontières françaises, européennes ou vers certains pays. Avec le Cloud, on ne sait pas trop où est la donnée.
  5. transfert de données : Non défini par la directive 95/46/CE

    Pour la CNIL : Est un « transfert de données vers un pays tiers toute communication, copie ou déplacement de données d’un support à un autre quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataires » Or la simple conservation constitue un traitement. => l’hébergement de données sur des serveurs extracommunautaires sera considéré comme un transfert Y compris si le siège de l’hébergeur et dans l’UE ! La notion de transfert de données
  6. La notion de transfert de données => Le passage en

    SaaS nécessite certaines démarches : 1/ l’analyse des flux de données 2/ la mise en place des garanties et obligations contractuelles adéquates vis-à-vis de l’hébergeur 3/ l’information des personnes titulaires des données s’il y a transfert (sauf si déjà le cas avant) 4/ la modification de la déclaration ou de l’autorisation CNIL Un problème demeure : Sur une vraie offre Cloud, on ne sait pas exactement comment et où la donnée est dupliquée. Le suivi juridique demande beaucoup de réactivité en interne s’il est seulement possible … Solution de prudence : la localisation de la donnée en EU en attendant une prise de position de la CNIL.
  7. Il y a-t-il une obligation de sécurité informatique renforcée en

    matière de EaaS ? Oui car le risque est plus grand. De manière générale, en tant que professionnel diligent le prestataire doit assurer un niveau de sécurité compatible avec le risque => mais le niveau risque dépend de la nature de l’application (ERP > qu’un service de conservation de photos) L’activité du client (Collecte de données de santé > gestion d’une exploitation agricole) Mais difficile de définir les limites de l’obligation de sécurité Ex : loi informatique fichier et liberté : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
  8. Une influence de la relation client sur la rédaction du

    contrat ? Certainement ! Car c’est bien plus le résultat du service qui compte Et le prestataire / éditeur va faire un effort d’investissement à la place des clients. (un argument marketing) Un contrat qui peut être plus standardisé entre les clients Conséquences : => un rapport de dépendance plus équilibré entre les parties. L’exécution du contrat peut être plus simple pour le Client D’où une modification de la façon de rédiger : un assouplissement possible car le client est moins tenu par ses investissements, il a moins de garanties à prendre et de précisions à avoir.
  9. Le EaaS est bien un contrat de service La qualification

    juridique sera celle d’un contrat de prestation de service. Un contrat complexe car il mêle une multitude de prestations différentes Mais un contrat « juridiquement homogène » Tout n’y est que service ! Un contrat à périmètre variable avec une forte évolutivité.
  10. A quoi peut ressembler le contrat SAAS standard? Fusion de

    plusieurs contrats classiques en droit de l’informatique: Le contrat de licence client / serveur Le contrat ASP Le contrat d’infogérance partiel Le contrat de maintenance Le contrat d’hébergement Les conditions d’utilisation d’un extranet Un contrat résolument tourné vers le résultat final et non la mise en œuvre => importance du SLA
  11. Est-ce un contrat complexe ? Oui parce que le prestataire

    EAAS peut être un guichet unique pour un grand nombre de prestations : Editeur du logiciel Responsable sécurité Gestion sauvegarde Hébergement Fournisseur d’une Plateforme web Fournisseur d’infrastructures / matériel Services Télécom
  12. Est-ce un contrat complexe ? Le « Contract as a

    Service » ? Encadrer un catalogue de prestations possibles demande de la souplesse: Un contrat qui doit prévoir de nombreuses possibilités dés le départ. 1 service – 1 contrat : contrat cadre avec des contrats d’application pour chaque « nouveau service » Le contrat est là mais doit se faire oublier : Le backoffice de gestion des services doit intégrer la dimension contractuel et la sécuriser. L’accord cadre doit définir une « convention de preuve » Authenticité, sécurité et non-répudiation doivent être acceptés par le client pour les actes accomplis dans le cadre de la plateforme de gestion
  13. Quelles conséquences à la centralisation des services ? Evite le

    risque de dilution de la responsabilité entre les intervenants… L’éditeur, le prestataire SAAS, l’hébergeur, l’opérateur Télécom… 1 interlocuteur, 1 cocontractant, un responsable: Soit un contrat de maîtrise d’œuvre Soit une solution clé en main intégralement maîtrisée Soit un système prestataire principal responsable + sous- traitants agréés. Tout dépend du modèle aussi du modèle économique. Ex : l’avantage disparait dans un modèle Prestataire principal qui offre une « market place » (PaaS) à des fournisseurs de services qui contractualisent en leur propre nom.
  14. Quelles conséquences en matière de risque pour le fournisseur du

    service ? Une augmentation du risque du fait de la concentration des multiplication des prestation et la mutualisation des ressources Le moindre incident peur être démultiplié Le fournisseur peut difficilement rejeter la responsabilité. Risque élevé car la prestation sera souvent critique : Nécessité de mettre en place des clauses limitatives de responsabilités efficaces mais pas trop (compatibilité avec le SLA) L’exigence d’une solide police d’assurance « sinistre informatique » du fournisseur EaaS semble indispensable. RC PRO + soins particuliers aux Dommages immatériels consécutifs et non- consécutifs. La définition du niveau de sécurité doit être contractualisée. Importance du PAQ (Plan d’Assurance Qualité) et le PAS (Plan d’Assurance Sécurité) : répartition des responsabilités dans la relation quotidienne .
  15. Parle-t-on de licence quand on parle de contrat SaaS ?

    Non, un contrat de prestation de service Un droit d’accès On peut trouver la notion discutable de « droit d’utilisation » Mais surtout l’occasion de dire ce que l’on n’a pas le droit de faire Mais l’éditeur peut ne concéder aucun droit de propriété intellectuelle car il n’y a pas autorisation de reproduction. Eventuellement on peut préciser à qui revient la propriété du logiciel objet du contrat Peut rester la propriété de l’éditeur Peut être cédée au client si le logiciel a été réalisé sur mesure pour le client
  16. La propriété intellectuelle intervient-elle néanmoins dans un contrat SAAS ?

    Oui, elle peut intervenir à plusieurs niveaux 1 – Le logiciel peut-être adapté pour le client (interface, charte graphique personnalisée, ajouts de fonctionnalités) => la propriété doit être répartie par le contrat 2 – La base de données apportée ou constituée par l’utilisateur est sa propriété en tant que producteur de la base. Mais autant le préciser au contrat. 3 – Une clause va toujours prévoir qu’il y a conservation de la PI du logiciel par l’Editeur
  17. La notion de réversibilité a-t-elle un sens ? SaaS =

    flexibilité + légèreté théoriquement moins de modifications et d’investissements chez le client moins de dépendance technologique d’où une clause théoriquement moins critique Mais la clause de réversibilité connait un autre sens dans un contrat EaaS = la restitution
  18. La notion de réversibilité a-t-elle un sens ? La dépendance

    se recrée autour de la possession / détention du patrimoine informationnel de la société. La restitution des données de l’utilisateur en fin de contrat devient crucial. Doit être définie techniquement et organisée par le contrat: Pas de norme définissant la réversibilité. Caractère ré-exploitable : prévoir le format de restitution voire l’assistance au transfert vers le nouveau prestataire Prévoir les délais de restitution Problème de l’effacement des données => complexe de prévoir des mesures de preuve et de contrôle de l’effacement. La rupture pour faute : Risque de « chantage aux données » en fin d’un contrat qui se passerait mal. Système de séquestre des sommes restant dues éventuel si possible assistée d’un expert neutre qui vérifie le contenu de la restitution
  19. Quelle conséquence à la récurrence du contrat ? Le contrat

    EaaS met en place une relation forte et théoriquement durable entre le prestataire et le client. Par nature le « flux d’affaire » est ininterrompu, important, exclusif et à vocation à perdurer un certain nombre d’années. Se pose donc le problème de la rupture du contrat Risque de rupture abusive ou brutale des relations commerciales établies Article L. 442-6, I, 5° du Code de commerce Le contrat doit prendre en compte que la durée de préavis de résiliation va augmenter avec le temps. Sauf faute du prestataire Ou paiement d’une indemnité de rupture.
  20. La disponibilité du service doit-elle être garantie ? Ça dépend

    !! Une obligation centrale qui va faire l’objet d’un engagement très fort car il s’agit d’un argument de vente. C’est l’une des principales causes de risque d’engagement de la responsabilité du fournisseur de services. Aussi nommée clause de « Service Level Agreement » (SLA) constitue, pour le client, la garantie « ultime » que le prestataire satisfera à un certain niveau de qualité prédéfini. Suppose la contractualisations dans un cahier des charges d’un référentiel chiffré ou d’outils de mesure de la performance
  21. Quels points pratiques à définir quant au droit d’accès ?

    Conditions techniques / pré-requis Nombre d’utilisateurs simultanés Points d’accès fixes ou nomades Identification des utilisateurs et attribution des codes d’accès Hiérarchie des utilisateurs Règles de sécurité
  22. BILAN Vers une uniformisation des contrats | prestataire / client

    |. Une offre de services qui tend vers l’exhaustivité Vers un enrichissement de la nature des partenariats permettant la fourniture de telles offres. Une grande variété d’accords contractuels Une concentration et une dépendance des clients qui peut amener à une réglementation. Une centralisation et une externalisation qui vont amener à des fournitures de garanties importantes car la responsabilité du fournisseur augmente
  23. [email protected] 13 rue Tronchet 69006 LYON Tél.: +33 (0)4 78

    928 928 Mob.: +33 (0)6 87 135 235 Mail : [email protected] Blog : http://www.sadde.com Site internet : http://www.roche-avocats.com Twitter : http://twitter.com/SaddeGerald Me Gérald SADDE Avocat Associé Docteur en droit