Les contrats cloud Microsoft rattrapés par le RGPD

contrats cloud MicrosoftDepuis l’application du RGPD, les acteurs du cloud sont contraints à la fois de repenser leurs outils et de revoir leurs contrats.

Le dernier exemple en date concerne Microsoft. Le Contrôleur européen s’alarme des conditions contractuelles signées par l’Union européenne. Microsoft s’engage à réagir promptement (1).

La position du Contrôleur européen sur les contrats cloud Microsoft

Dans un contexte marqué par des menaces toujours plus fortes d’accès par des États à la donnée numérique directement chez le prestataire cloud, en particulier le Cloud Act pour les États-Unis d’Amérique, le Contrôleur européen a lancé en avril 2019 un audit complet des contrats cloud signés par les institutions de l’Union européenne (2).

Même si les institutions européennes disposent de leur « propre RGPD », à savoir le règlement 2018/1725 du 11 décembre 2018, les principes et leur mise en œuvre sont en très grande partie les mêmes.

Le contrôleur Giovanni Buttarelli et le contrôleur adjoint Wojciech Wiewiórowsk ont donc mis en œuvre un audit pour s’assurer que les clauses applicables respectent la réglementation et que les droits des personnes soient effectifs.

Ces travaux ont été menés en coopération avec le ministre néerlandais de la justice qui, au même moment, s’était engagé dans la réalisation d’une étude d’impact sur le service bureautique phare de Microsoft, Office 365, hébergé dans le cloud « maison », Azure.

Le Contrôleur européen fait siennes toutes les réserves figurant dans cette analyse d’impact et, en particulier :

  • l’absence de transparence sur la circulation des données personnelles, notamment hors de l’Union européenne ;
  • l’impossibilité de « prendre le contrôle total » de ses données, notamment du fait de l’activation automatique d’outils de traçabilité des actions utilisateurs et de statistiques ;
  • la difficulté pour l’utilisateur à pouvoir faire valoir ses droits dans les interfaces actuellement disponibles.

Pour proposer plus concrètement des clauses types pouvant s’appliquer à toute administration publique, un forum dit de la Haye a été mis en place pour réunir les parties intéressées, utilisateurs et prestataires mais aussi toute partie concernée, à se joindre à ces travaux.

Dès 2012, l’Agence européenne de cybersécurité, l’Enisa avait déjà formulé ses recommandations sur la contractualisation des services dans le cloud (3). Avec les travaux du forum, il s’agit désormais d’aller bien au-delà des préconisations de l’Enisa, alors que le cadre réglementaire est de plus en plus précis et contraignant. Il est d’ailleurs possible de considérer, au moins pour la gestion des données personnelles, que le contrat cloud est désormais un contrat nommé (4).

Les contrats cloud de Microsoft revus par le RGPD

Microsoft a pris publiquement l’engagement formel de revoir ses contrats. La nouvelle version des Online Services Terms (OST) devrait intervenir pour début 2020 (5). A la lumière des critiques formulées par le contrôleur, outre les travaux du ministre néerlandais de la justice, les dispositions suivantes devraient être revues :

  • Une clause doit garantir la possibilité pour le responsable de traitement d’assurer leurs droits effectifs aux utilisateurs. Ces personnes concernées doivent ainsi disposer de toute information utile sur l’usage de leurs données et pouvoir directement exercer leurs droits dans les outils utilisés.
  • La clause d’audit sur site devrait être désormais présente au contrat selon des conditions à préciser. Elle était jusqu’alors refusée par Microsoft au prétexte que les certifications à diverses normes, dont la norme ISO 27001 complétée de la norme ISO 27018 sur l’hébergement de données personnelles, devaient suffire en soi.
  • On devrait aussi avoir des précisions sur la directive NIS et l’obligation de notifier les failles de sécurité affectant tout type de données et système auprès de l’Agence nationale de cybersécurité (l’ANSSI en France).
  • Enfin, dans la mesure où le Contrôleur européen et le CEPD ont déjà exprimé leur inquiétude sur le Cloud Act (6), il devrait être prévu que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager à en contester la mise en œuvre auprès du juge compétent.

Si Microsoft a explicitement pris cette position après l’avis du Contrôleur européen, ces nouvelles mesures contractuelles ne devraient pas se limiter aux seules institutions européennes mais bien à tout client, responsable de traitement soumis au RGPD.

Il n’est pas précisé si ces nouvelles dispositions auront un effet rétroactif. En tout cas, tout contract manager devra veiller à ce que les contrats cloud Microsoft dont il dispose dans son organisation,seront bien soumis aux nouvelles OST plus favorables.

Eric Le Quellenec, Avocat
Lexing Informatique conseil

(1) Post du Contrôleur européen du 21 octobre 2019.
(2) Post du Contrôleur européen du 8 avril 2019.
(3) Guide achat cloud, Enisa, 2012.
(4) Eric Le Quellenec, Les contrats informatiques et la protection des données à caractère personnel : aspects pratiques, AJ contrat, Dalloz, octobre 2019, p.420.
(5) Post Microsoft du 18 novembre 2019.
(6) Lettre de couverture sur le Cloud Act du 10 juillet 2019.




Les impacts de la norme ISO/IEC 19086 dans les contrats cloud

19086Développée conjointement par l’International Standard Organisation et l’International Electronical Commission, la norme ISO/IEC 19086 n’a pas de caractère obligatoire et ne permet pas la certification par un tiers habilité. Il serait plus approprié de parler d’un ensemble d’outils à la disposition des parties à un contrat cloud.

Les normes ISO 19086-1 à 4

La norme 19086 comprend en réalité quatre déclinaisons :

  • ISO/IEC 19086-1:2016 pose les bases sémantiques et conceptuelles pour établir une convention de services ;
  • ISO/IEC 19086-2:2018 est la dernière en date et elle pose les modèles de métriques sur la base des concepts standard du cloud ;
  • ISO/IEC 19086-3:2017 spécifie les exigences de conformité pour les niveaux de service établis dans 19086-1 ;
  • ISO/IEC 19086-4 n’est encore qu’à l’état de projet et va apporter des réponses sur la sécurité et le respect des données personnelles grâce aux niveaux de service.

Si l’ensemble constitué de ces quatre volets n’est pas encore totalement achevé, il n’en demeure pas moins que les parties au contrat cloud peuvent déjà, en tout ou partie, les exploiter utilement.

Les points du contrat cloud impactés

En 2016, Microsoft a commandé au cabinet Forrester (1) une étude pour évaluer dans les contrats cloud les points absents ou mal traités dans les contrats cloud et auxquels la seule norme IECO/IEC19086 pouvait déjà apporter des réponses.

467 utilisateurs du cloud situés sur les cinq continents ont été sondés. Les écarts constatés entre le contrat et ladite norme ont porté, par ordre décroissant d’importance, sur :

  • la fiabilité du service ;
  • la performance du service ;
  • la sécurité ;
  • la supervision ;
  • la disponibilité ;
  • la protection des données personnelles ;
  • l’accessibilité ;
  • la titularité des données ;
  • le support ;
  • les rôles et responsabilités.

Tous ces sujets peuvent être couverts dans le corps du contrat cloud et dans les annexes dédiées. Microsoft a tiré de cette étude une « check list » qui peut être appliquée à tout projet cloud au titre des « due diligences » (2).

En conclusion, si tous les acteurs du cloud ne peuvent ou veulent se soumettre aux recommandations de la famille des normes ISO 19086, il n’en demeure pas moins qu’elles constituent un fort encouragement à standardiser les services du cloud et partant à sécuriser les utilisateurs. Avant même sa publication, le Syntec appelait déjà à leur intégration dans le référentiel incontournable du cloud (3). A sa lumière, les parties au contrat cloud disposent de nouveaux outils pour en préciser et clarifier les termes.

Eric Le Quellenec
Lexing Informatique conseil

(1) Infographie étude Forrester, juin 2016.
(2) Cloud services due diligence checklist.
(3) Note du Syntec sur le référentiel d’exigences à l’informatique en nuages, 2015.




Cloud computing world expo 2018 : réversible et souverain

Cloud computing world expo 2018Les 20 et 21 mars, Eric Le Quellenec et Daniel Korabelnikov sont intervenus lors du Cloud computing world expo 2018.

Ces interventions, sous forme de tables rondes, ont permis d’échanger, avec des sociétés, du secteur privé comme du secteur public, clientes récurrentes des fournisseurs de cloud computing, des bonnes pratiques dans le cloud computing sur les sujets suivants :

  • la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs ;
  • les clouds « souverains » de 2e génération s’affichent publiquement.

Cloud computing world expo 2018 : la réversibilité des contrats cloud

La table ronde de ce Cloud computing world expo 2018, concernant la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs posait les questions suivantes : Le changement de ‘sourcing’ n’est pas un scénario théorique. Que faut-il exiger des ‘providers’ ? Peut-on pratiquer le multi-sourcing sur le Cloud ? Comment s’organiser ? Quelles sont les clauses importantes ?

Monsieur Pierre Mangin, animateur de cette table ronde au Coud computing world expo 2018, était accompagné de Monsieur Jean-Marie Simonin (clouds automation Team Leader, Radio France), Monsieur Carlo Uzan (DSI transition, Infortive), Cyril Bartolo, (Directeur des applications, Groupe Lagardère) et Daniel Korabelnikov (avocat, Lexing Alain Bensoussan Avocats).

Ces échanges centrés sur les bonnes pratiques et les retours d’expérience n’ont pour autant pas occulté l’état des forces en négociation contractuelle entre les différents acteurs d’un projet cloud.

Les bonnes pratiques doivent être méthodologiquement intégrées par les clients pour user des bons leviers de négociation notamment avant la conclusion du contrat et éviter surtout d’être « captif ». Le mot d’ordre pour le client étant d’être autonome et de sortir du contrat le plus facilement possible, sans coût ou impossibilité technique (mise en œuvre de la portabilité des données par exemple).

Une clause de benchmark, sous condition de résiliation ou de réévaluation du prix du contrat, est une bonne pratique permettant de renégocier son contrat cloud tous les trois-quatre ans et d’analyser l’état économique et technique du marché.

Les questions d’un point de vue juridique, de la prévision contractuelle d’un plan de réversibilité à mettre à jour pendant l’exécution du contrat (en termes de tâches et de livrables attendus par le prestataire pour délimiter contractuellement le périmètre technique de la réversibilité), du planning de réversibilité et de son coût, doivent nécessairement se poser dès lors que l’on soulève les bonnes pratiques de la réversibilité dans le cloud.

La réversibilité doit faire l’objet d’une recette précise, sur la base d’un procès-verbal.

Il ne faut pas omettre un des nouveaux leviers de négociation des contrats cloud, au titre du RGPD, qui porte sur l’obligation du fournisseur Cloud de supprimer les données qu’il héberge à l’issue du contrat.

Cloud computing world expo 2018 : les opportunités du cloud souverain

Eric Le Quellenec (avocat, Lexing Alain Bensoussan Avocats) intervenait quant à lui à une table ronde portant sur les enjeux du cloud souverain et plus précisément sur les problématiques de localisation de la donnée et autres exigences du RGPD et de la directive NIS. À ses côtés Alain Merle, Directeur du programme de Transformation des Centres Informatiques, DINSIC et Christophe Boitiaux, Directeur marketing, T-SYSTEMS France apportaient leur témoignage côté client d’une part, prestataire dans l’Union européenne d’autre part.

L’intérêt d’un cloud souverain se renforce dans un contexte international instable et marqué par l’exacerbation de la compétition économique, donc d’un risque d’espionnage industriel renforcé.

Si les menaces liées au Patriot Act sont connues mais restent limitées, ce sont surtout les conséquences d’une éventuelle nouvelle loi américaine intitulée « cloud act » qui ont occupé les débats. « Cloud » signifie ici « clarifying lawful overseas use of data« . Ce texte d’opportunité autoriserait la justice américaine à obtenir des principaux acteurs du cloud toutes données peu importe leur localisation même hors des Etats-Unis d’Amérique dès lors qu’elles concernent une affaire jugée dans ce pays.

Eric Le Quellenec a rappelé les enjeux des transferts internationaux de données hors de l’Union européenne et les faiblesses du système de l’EU-US Privacy Shield venu en remplacement du Safe Harbour.

Il a ensuite conclu sur les futures certifications et codes de conduite sous-traitants prévues par le RGPD et qui devraient renforcer l’émergence d’un cloud souverain européen.

Alain Bensoussan Avocats
Lexing Département conseil informatique

Programme des conférences.




Cloud computing et fintech, recommandations des autorités de tutelle

Cloud computing et fintech

Cloud computing et fintech : la sensibilité des données bancaires justifie que les autorités de tutelles s’y soient intéressées.

L’enjeu est d’abord celui de la sécurité et de la confidentialité des données bancaires, financières et assurantielles, cible privilégiée des pirates informatiques. Or, il n’existe pas de fintech sans cloud. C’est donc au plus haut niveau que la problématique a été envisagée.

L’Autorité de contrôle prudentiel et de résolution (ACPR) en juillet 2013 (1) a publié ses recommandations dans la foulée de celles de la Cnil en juin 2012 (2).

Beaucoup plus récemment, le 20 décembre 2017, l’Autorité bancaire européenne (ABE), après une large consultation, a émis son rapport final (3). Les recommandations qu’elle émet devant avoir un effet contraignant au 1er juillet 2018 pour les institutions qu’elle contrôle.

Cloud computing et fintech : recommandations de l’ACPR

L’ACPR retient trois principaux risques sur le cloud computing et fintech :

  • la confidentialité des données ;
  • la disponibilité des données, notamment en cas de réversibilité de sorte de se prémunir de ce qu’elle qualifie d’un « enfermement » ;
  • pouvoir disposer de la preuve de la correcte exécution des prestations du prestataire de cloud et le contrôle de ce dernier.

Pour l’ACPR, ces risques s’encadrent d’abord et avant tout par un contrat adapté avec des engagements « impératifs ». Ce contrat doit notamment prévoir :

  • la faculté pour le client mais aussi l’ACPR d’auditer les services fournis et contrôler les engagements souscrits ;
  • prévoir des engagements de service avec une garantie de continuité d’exploitation ;
  • les conditions de réversibilité des services ;
  • des engagements au titre de la sécurité des systèmes et, en particulier, le chiffrement lors du transport et du stockage des données.

Cloud computing et fintech : recommandations de l’ABE

Toutes les recommandations de l’ACPR se retrouvent dans les travaux de l’ABE qui y ajoute :

  • la transparence du prestataire de cloud sur la localisation des données ;
  • la nécessité pour le prestataire de cloud computing et fintech de reporter les exigences contractuelles pesant sur lui vers ses propres sous-traitants en mode « back to back » (même chose pour les sous-traitants de rang ultérieur) ;
  • des plan de reprise et continuité d’activité mais aussi de réversibilité en fin de contrat.

Les exigences de l’ACPR et de l’ABE ne diffèrent pas fondamentalement des exigences de l’article 28 du Règlement général sur la protection des données (RGPD) (4). A ce titre, il y a convergence des exigences et il ne serait pas inopportun, pour une fintech, de mettre la gestion de toutes ses données dans le cloud (et pas uniquement celles à caractère personnel) au niveau de protection exigé par le RGPD.

Eric Le Quellenec
Lexing Informatique conseil

(1) Rapport ACP, « Risques associés au cloud computing », Analyse et synthèses n° 16, juillet 2017.
(2) Recommandations Cnil pour les entreprises qui envisagent de souscrire à des services de Cloud computing, Cnil, juin 2012.
(3) ABE Final report: Recommendations on outsourcing to cloud service providers, EBA/REC/2017/03, 20 December 2017.
(4) « Contrat cloud : les impacts du RGPD sur la sous-traitance »,  Post du 30 janvier 2017.




Serverless computing, enjeux juridiques de l’avenir du cloud

Serverless ComputingLe serverless computing présenté comme l’avenir du cloud computing pose des questions juridiques particulières.

Cette notion peut toutefois être déceptive. Elle ne repose pas sur une absence de serveurs. L’état de l’art ne le permet pas encore. En revanche, la promesse de ce nouveau service c’est de libérer totalement le développeur des contraintes liées aux serveurs, leur puissance, capacité et performance. Pour l’entreprise cliente d’un tel service, l’intérêt est de pouvoir disposer d’une plateforme scalable sur laquelle pouvoir librement développer des outils métiers.

Serverless computing : le cadre technique

Il n’existe pas de norme définissant le serverless computing. Techniquement, le serverless computing et encore moins de loi. Ce service rapproche plutôt d’une plateforme d’exécution en complément d’un espace d’hébergement dans le cloud. Comparé à un service de type Plateform as a Service (« PaaS »), le serverless computing permet directement de mettre en production l’application ou la fonctionnalité métier développée avec mise en production souple, rapide et sereine.

Les problématiques d’exécution et de montée en charge (« ramp up ») sont sous la responsabilité du prestataire serverless computing. Le management des serveurs et la gestion de leur capacité ne sont pas visibles du développeur utilisateur de la plateforme (1). On peut donc parler d’un service PaaS grandement amélioré.

Serverless computing : localisation des serveurs et protection des données personnelles

Le serverless computing ne fait pas exception aux exigences du RGPD incombant à tout responsable du traitement et du sous-traitant.

L’article 28 §3 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement (2).

Pour le serverless computing, la gestion des flux transfrontières de données, donc de leur localisation est cruciale car exclusivement sous la responsabilité du prestataire.

Dans la mesure où le prestataire serverless computing est seul décisionnaire des moyens alloués au traitement, il y aurait légitimement une réflexion à mener sur la qualification de responsable conjoint du traitement (3).

Serverless computing : trois clauses clés

Trois clauses doivent être particulièrement traitées dans le contrat cloud de type serverless computing : les garanties, la collaboration et la clause prix.

Au titre des garanties, le contrat pour un tel service doit prévoir une garantie de scalabilité et d’évolutivité, des garanties de performance et disponibilité de la plateforme en lien avec des SLA et pénalités associées.

La collaboration avec le partenaire doit être encadrée par une comitologie adaptée dans le sens où si la scalabilité est le point fort des offres de ce type, il n’en demeure pas moins qu’une montée en charge fulgurante nécessite, en mode projet, un minimum d’anticipation.

Le modèle économique du serverless computing repose principalement sur le code exécuté. Si cette métrique peut paraître claire, il n’en demeure pas moins qu’elle peut, dans son application, donner lieu à diverses interprétations pouvant conduire à de mauvaises surprises. Une vision claire et en temps réel du consommé par un outil de supervision facilement accessible doit être contractuellement organisée avec la faculté pour le client de discuter de la facturation en comité dédié.

Eric Le Quellenec
Lexing Droit de l’informatique

(1) Article wikipedia « serverless computing »
(2) Contrat cloud : les impacts du RGPD sur la sous-traitance, Post du 30-1-2017
(3) Contrats cloud : les impacts du RGPD et la cotraitance, Post du 2-32017




RGPD : droits et obligations du sous-traitant de rang 2

sous-traitant de rang 2Le RGPD envisage de manière claire les droits et obligations du sous-traitant de rang 2 avec des enjeux contractuels forts.

Les architectures techniques dans le cloud sont complexes et font régulièrement intervenir des sous-traitants (« data processor » en anglais) à plusieurs niveaux. Lorsque des données personnelles sont traitées dans le cloud, le RGPD (1) pose une exigence de transparence forte.

Sous-traitant de rang 2 : information – acceptation

L’article 28, §2 et 4 du RGPD traitent directement du sous-traitant de rang 2.

Le responsable du traitement (« data controller ») doit obtenir l’autorisation écrite préalable lorsque son sous-traitant entend confier tout ou partie de la mission qui lui est confiée à un sous-traitant de rang 2.

Même après acceptation formelle, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par le sous-traitant de rang 2 de ses obligations. Ces obligations sont transposables aux sous-traitants de rang supérieur (du troisième rang et au-delà).

Le contrat entre sous-traitants

Le contrat entre sous-traitants doit a minima transposer les obligations du contrat prises vis-à-vis du responsable du traitement. En pratique, cette transposition est souvent qualifiée de contrat « back to back ».

Il est donc nécessaire de retrouver les prescriptions de l’article 28, §3 du RGPD, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la sous-traitance pourront notamment se présenter comme suit :

  • un article « déclarations » dans lequel le sous-traitant de rang 2 est informé de la finalité du traitement fixée par le responsable du traitement, lequel est réalisé à partir des moyens fournis par les prestataires cloud ;
  • l’article « instructions » précise comment les directives sont transmises d’un prestataire à l’autre et les modalités selon lesquelles ils doivent les prendre en compte ;
  • l’article « sécurité » présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique déployée par les prestataires cloud outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
  • la coopération entre sous-traitants doit être prévue pour que la personne concernée par le traitement (« data subject ») puisse exercer ses droits ;
  • l’article « confidentialité » ne doit pas concerner seulement les propres salariés du prestataire mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par le prestataire cloud dans l’exécution de ses obligations ;
  • des articles sur l’obligation d’information (et pas seulement en cas d’intrusion) et les modalités d’audit sont également nécessaires au regard de l’article 28 du DPO ;
  • la localisation des données dans ou hors de l’Union européenne impliquera dans ce dernier cas, si le pays concerné n’est pas considéré comme ayant un niveau de protection adéquat (voir pour les Etats-Unis le Bouclier de protection des données EU-Etats-Unis (2)), alors il convient de conclure des clauses contractuelles types (3) ;
  • des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Le contrat entre le sous-traitant de rang 2 et de rang 3, par exemple, devra également répondre à ces prescriptions.

Sous-traitants de rang 2 et allègement du contrat

Pour que le contrat du sous-traitant de rang 2 ne devienne pas illisible, il est envisageable de renvoyer les obligations du RGPD rappelées plus haut dans une annexe dédiée.

Mais, en réalité, la seule solution efficace pour simplifier le contrat est d’obtenir une certification.

En effet, le sous-traitant de rang 2, comme celui de rang 1, pourra être certifié. Sans préjudice des dispositions du contrat, l’article 28 du RGPD permet au sous-traitant d’adhérer à un code de conduite visé à l’article 40 ou à un mécanisme de certification (article 42) pour démontrer qu’il possède les garanties suffisantes (article 28, §5). Les clauses du contrat correspondant n’auront ainsi pas à être autant détaillées, du moins tant que la certification reste applicable à chacun des sous-traitants.

Eric Le Quellenec
Lexing, Département informatique conseil

(1) Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
(2) C. Avîgnon, « La décision d’adéquation pour l’EU-US Privacy Shield », Alain-Bensoussan.com 13-7-2016.
(3) C. Torres, « Les BCR sous-traitants, un instrument d’encadrement des flux », Alain-Bensoussan.com 7-12-2016.




Cloud Computing et droit : retour sur une année d’actualité

Cloud Computing et droit : retour sur une année d'actualitéCloud Computing et droit : une année d’actualité avec Eric Le Quellenec et 3 collaborateurs du département Informatique conseil d’Alain Bensoussan Avocats Lexing®, Arthur Benchetrit, Daniel Korabelnikov.

La Revue Lamy Droit de l’Immatériel sort une étude très riche qui passe au crible l’ensemble des dispositions qui ont impactées les contrats de coud computing durant l’année qui s’est écoulée, de la réforme du droit des contrats, à la normalisation en passant par le règlement européen sur la protection des données personnelles.

Le contrat cloud est susceptible d’entrer dans le cercle très fermé des contrats nommés pour les prestations de cloud computing concernant des données personnelles, sous l’effet du règlement européen sur la protection des données personnelles (1).

Par ailleurs, les normes internationales, européennes ou nationales s’imposent peu à peu pour donner un référentiel commun aux offres cloud ; la multiplicité de ces normes et leur prise en compte très partielle par les principaux acteurs conduisant paradoxalement à un repli « souverainiste », ce dont la Commission européenne s’est déjà inquiété. Au vu de ces éléments, il est inutile de souligner le grand intérêt de la présente étude.

Revue Lamy Droit de l’Immatériel, Nº 138 – 1er juin 2017.

(1) Voir notre Post du 2-3-2017.




Coffre-fort numérique et cloud computing : quel contrat ?

Coffre-fort numérique et cloud computing : quel contrat ?

Le coffre-fort numérique ne peut se passer du cloud, des exigences particulières doivent figurer au contrat.

Le coffre-fort numérique ou électronique a fait son entrée dans le droit français par la loi pour une République numérique. L’article 87 de cette loi codifiée à l’article L137 du Code des postes et communications électroniques (« CPCE ») (1 et 2) pose des exigences très précises que le contrat cloud correspondant doit mettre en œuvre.

Coffre-fort numérique, exigences du CPCE et contrat

Une grande partie des exigences du CPCE à l’article précité sont communes à celles visées à l’article 28§3 du RGPD (3 et 4). Cependant, le CPCE va plus loin sur les exigences suivantes qui doivent directement se traduire dans le contrat. On a ainsi :

  • l’exigence de traçabilité et de gestion des logs dans le service de coffre-fort numérique qui doit se traduire par un article « convention de preuve » dans le corps du contrat et des annexes techniques et sécurité physiques et logiques conformes ;
  • un accès exclusif pour l’utilisateur et les tiers désignés : outre les annexes précitées, ce sont les clauses de confidentialité et de sous-traitance qui doivent être présentes ;
  • un droit à la récupération des documents et des données : c’est la clause réversibilité du contrat qui doit détailler concrètement comment ces obligations s’appliquent.

Ces obligations générales pourront être déclinées et précisées selon les usages : conservation du contrat de travail et bulletins de paie ou encore de documents de nature administrative.

Coffre-fort numérique, exigences normatives, label et contrat

L’article L137 du CPCE prévoit que le coffre-fort numérique peut bénéficier d’une certification facultative, selon les modalités d’un décret en Conseil d’Etat à intervenir.

Pour l’heure, le coffre-fort numérique peut déjà bénéficier d’un label délivré par la Cnil (5) ou d’une certification à la norme NF Z 42-020 (6). Contractuellement, ces labels ou certifications sont un marqueur clés de conformité et de qualité des prestations attendues. Il est conseillé de prévoir au contrat qu’ils sont un élément substantiel ayant déterminé les parties à contracter. En cas de perte de labellisation ou certification, il convient de stipuler au contrat que le client pourra alors résilier le contrat de plein droit. Si c’est simplement le label ou la certification qui change de nom ou disparaît, quelle qu’en soit la raison, il est alors prudent de prévoir que le prestataire maintiendra le même niveau de qualité de prestation et s’engagera, le cas échéant, à obtenir le label ou le certificat nouvellement applicable.

Eric Le Quellenec
Lexing Droit Informatique

(1) Loi 2016-1321 du 7-10-2016
(2) Post du 21-11-2016
(3) Règlement 2016/679 du 2-4-2016
(4) Post du 30-1-2017
(5) Ce label Cnil repose sur un référentiel adopté le 23-1-2014
(6) Norme NF Z 42-020




Contrats cloud : les impacts du RGPD et la cotraitance

Contrats cloud : les impacts du RGPD et la cotraitance

Le règlement général de protection des données personnelles précise la notion de cotraitance, pertinente pour le cloud.

La notion de responsables conjoints du traitement était esquissée dans la directive 95/46/CE du 24 octobre 1995 (1) sur la protection des données personnelles. Le règlement (« RGPD ») (2) comporte des dispositions beaucoup plus précises, applicables à compter du 25 mai 2018. L’application de ces dispositions pour les services dans le cloud paraît tout indiquée dans plus d’hypothèses que l’on ne pourrait le penser de prime abord.

Cotraitance et cloud-computing : un cas de figure possible

Alors que, classiquement, le prestataire dans le cloud est qualifié de sous-traitant (« data processor »), son client, exploitant les données à caractère personnel est qualifié de responsable du traitement (« data controller »). Le cloud computing vient rebattre les cartes.

Déjà en 2012, dans ses Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing (3), la Cnil envisageait un régime de cotraitance (responsabilité conjointe), partant du constat que le prestataire du cloud fixe par lui-même les moyens nécessaires au traitement envisagé de données personnelles (4).

Pour les services de type SaaS, incluant des fonctionnalités métiers, c’est même, d’une certaine manière la finalité du traitement qui serait partagée. Ce dernier point est particulièrement sensible, car, en pratique, certaines sociétés du Cloud prétendent en apparence ne fournir qu’un service d’hébergement managé (de type IaaS), et se réservent pourtant dans les conditions d’utilisation de leurs services le droit d’accéder aux données et effectuer leur propre traitement.

Sous l’empire du RGPD, l’analyse de la Cnil ne s’appliquera que d’autant mieux qu’il est prévu, à l’article 26 du règlement, une définition claire de la notion de responsable conjoint du traitement. Ledit article précise que ces « responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement » et en particulier :

  • le point de contact pour la personne physique concernée par le traitement ;
  • la communication des informations visées aux articles 13 et 14 du RGPD.

C’est par contrat que ces exigences de transparence doivent se concrétiser (article 26§2).

Cotraitance et contrat : les principales dispositions

L’accord visé dans le RGPD doit refléter dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées (« data subjects »).
Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la cotraitance pourront notamment se présenter comme suit :

  • un article « finalité » fixant la ou les finalités du traitement partagées totalement ou partiellement entre les parties ;
  • l’article « moyens » précise les mesures techniques et organisationnelles pour effectuer le ou les traitements conformément au règlement avec maintien en conditions opérationnelles (« accountability »), ainsi que le partage, le cas échéant, des responsabilités techniques à ce titre ;
  • l’article « sécurité » : présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique convenue des parties, outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
  • l’article « point de contact » et « information de la personne concernée » va préciser qui, vis-à-vis de cette personne, va effectivement lui répondre et s’assurer du respect effectif de ses droits ;
  • les conditions d’intervention d’un sous-traitant au sous-traitant doivent aussi être prévues au contrat ;
  • l’article « confidentialité » ne doit pas concerner seulement les propres salariés de chacun des responsables conjoints du traitement mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par l’une ou l’autre des parties ;
  • la localisation des données et les responsabilités respectives en découlant, en cas de traitement transfrontières ;
  • le partage des risques et de la responsabilité entre les responsables conjoints, étant précisé que vis-à-vis de la personne concernée la responsabilité de chacun des responsables conjoints est solidaire (art. 26§3 du règlement) ;
  • des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Au-delà de l’hypothèse du cloud computing, la notion de cotraitance (responsabilité conjointe) au sens du RGPD peut également être pertinente pour les échanges de données entre sociétés d’un même groupe ou appartenant à un même réseau de distribution.

Eric Le Quellenec
Lexing Droit Informatique

(1) Directive 95/46/CE du 24-10-1995, art. 2 d)
(2) Règlement 2016/679 du 27-4-2016
(3) Cnil, Recommandations, page 6
(4) Post du 23-7-2013




Contrat cloud : les impacts du RGPD sur la sous-traitance

Contrat cloud : les impacts du RGPD sur la sous-traitanceLe Règlement général de protection des données personnelles précise les dispositions du contrat de sous-traitance.

La notion de sous-traitance (« data processing » en anglais) n’est pas modifiée par le nouveau texte européen. Ce qui change c’est la nature des obligations qui doivent se traduire par des engagements fermes dans le contrat cloud.

Sous-traitance et contrat : les dispositions du RGPD

Le sous-traitant (« data processor ») est celui qui traite des données à caractère personnel pour le compte de la personne, de la structure ou de l’organisme responsable du traitement (« data controller »).

Déjà présente dans la directive 95/46/CE du 24 octobre 1995, la définition de la sous-traitance a été reprise au point 8 de l’article 4 du Règlement. Avec le nouveau texte (1), de nouvelles obligations ont été mises à la charge de la sous-traitance. Elles visent à responsabiliser un peu plus cette catégorie d’acteurs, qui se trouve généralement chargée de manipuler de nombreuses données pour le compte du responsable du traitement.

L’article 28 §3 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.
Application au contrat cloud

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la sous-traitance pourront notamment se présenter comme suit :

  • un article « déclarations » du responsable du traitement envers son sous-traitant mentionne toutes les informations utiles sur la finalité du traitement de données à caractère personnel réalisé à partir des moyens fournis par le prestataire cloud ;
  • l’article « instructions » précise comment le client formule ses directives au prestataire et les modalités selon lesquelles il doit les prendre en compte ;
  • l’article « sécurité » : présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique déployée par le prestataire cloud outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
  • la coopération du sous-traitant doit être prévue pour que la personne concernée par le traitement (« data subject ») puisse exercer ses droits ;
  • les conditions d’intervention d’un sous-traitant au sous-traitant doivent aussi être prévues au contrat ;
  • l’article « confidentialité » ne doit pas concerner seulement les propres salariés du prestataire mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par le prestataire cloud dans l’exécution de ses obligations ;
  • des articles sur l’obligation d’information du prestataire (et pas seulement en cas d’intrusion) et les modalités d’audit sont également nécessaires au regard de l’article 28 commenté ;
  • la localisation des données dans ou hors Union européenne impliquera dans ce dernier cas, si le pays concerné n’est pas considéré comme ayant un niveau de protection adéquat (voir pour les Etats-Unis le dispositif du Eu-Us privacy shield (2)), alors il convient de conclure des clauses contractuelles types (3) ;
  • des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Sans préjudice des dispositions du contrat, l’article 28 du Règlement permet au sous-traitant d’adhérer à un code de conduite visé à l’article 40 ou à un mécanisme de certification (article 42) pour démontrer qu’il possède les garanties suffisantes (article 28§5).

Malgré de telles dispositions contractuelles ou certification, il arrivera, comme cela est déjà le cas fréquemment actuellement, que le prestataire cloud gère de manière quasi-autonome les données qui lui sont confiées. Au sens du RGPD, si la qualification de responsable du traitement peut difficilement être attribuée au prestataire, une responsabilité conjointe (« joint-controller ») au sens de l’article 26 du Règlement pourra être retenue. Plutôt que de laisser une autorité de contrôle effectuer une telle requalification de sous-traitance en responsabilité conjointe de traitement, les parties peuvent être inspirées de retenir par elles-mêmes cette qualification en concluant un contrat correspondant mieux au réel partage de responsabilités.

Eric Le Quellenec
Lexing Droit Informatique

(1) Règlement 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
(2) Céline Avignon, Post du 13-7-2016.
(3) Lexing Alain Bensoussan Avocats, Post du 7-12-2016.




PCI DSS et cloud computing : la conformité par le contrat

PCI DSS et cloud computing : la conformité par le contratLe contrat PCI DSS et cloud computing doit reporter les exigences de la norme sur le prestataire de services cloud.

Rendue obligatoire pour l’hébergement et le traitement des données des principales cartes de paiement, la norme PCI DSS (1) implique notamment pour le commerçant de :

  • remplir un questionnaire d’auto-évaluation annuel ;
  • effectuer un scan de vulnérabilité (en cas de commerce en ligne) ;
  • lorsque plus de 6 millions de transactions sont effectuées, faire faire un audit de sécurité sur site.
La certification PCI DSS

Elle est obtenue auprès d’un auditeur lui-même accrédité par PCI Security Standards Council (2). Le commerçant qui ne respecterait pas ces règles peut se voir appliquer des pénalités par l’émetteur des cartes de crédit.

Ces conséquences étant particulièrement graves, le commerçant qui souscrit à une offre dans le cloud doit s’assurer que l’infrastructure et les éventuels logiciels concernés soient eux-mêmes compatibles.

Pour une activité de vente en ligne, il ne serait pas aberrant que le contrat PCI DSS et cloud computing précise que la certification PCI DSS est une condition déterminante du consentement sans laquelle le cybercommerçant n’aurait pas signé. En cas de non-respect, c’est la résolution de ce contrat PCI DSS et cloud computing qui pourrait être demandée.

Le contrat PCI DSS

Dans le contrat, cette problématique PCI DSS et cloud computing doit être traitée par une clause de garantie dont le périmètre pourra varier comme suit :

  • en SaaS, le prestataire cloud devra garantir une certification « end to end » ;
  • en PaaS, le prestataire ne pourra garantir le périmètre de certification, à l’exclusion de la couche applicative créée seule par son client et sans son assistance ;
  • en IaaS, à l’instar d’un simple hébergeur, le prestataire ne pourra garantir cette certification que sur l’infrastructure mise à disposition.
L’audit de sécurité

Dans tous les cas, le cybercommerçant doit exiger de son prestataire cloud une totale collaboration pour que toutes les informations soient disponibles pour l’auditeur certificateur. Le contrat PCI DSS et cloud computing comportera des dispositions particulières à ce titre.

Une clause d’audit de sécurité doit être incluse pour faciliter la mise en œuvre, que ce soit des audits à distance (tests de pénétration en particulier) ou les éventuels audits sur site dans le cadre de la certification.

Dispositions informatique et libertés

Enfin le contrat PCI DSS et cloud computing ne pourra faire l’économie de dispositions particulières Informatique et libertés (3). A cet effet, il conviendra de se reporter aux recommandations de la Cnil sur le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance (4).

Eric Le Quellenec
Lexing Droit Informatique

(1) L’organisme responsable du développement, de la gestion, de l’éducation et de la sensibilisation aux normes de sécurité PCI est dénommé PCI Security Standards Council : contrat de licence PCI Security Standards Council, LLC.
(2) Les informations utiles concernant le PCI Security Standards Council.
(3) Délibération Cnil n° 2013-358 du 14-11-2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de viens ou de fourniture de services à distance et abrogeant la délibération n° 03-034 du 19-6-2003.
(4) Voir : Céline Avignon, « Nouvelles recommandations de la Cnil relative aux cartes de paiement », AlainBensoussan.com, 23-12-2013.




IoT et cloud : gérer la sécurité par le contrat

IoT et cloud : gérer la sécurité par le contratIoT et cloud sont indissociables au point que la sécurité de l’IoT implique de disposer d’un bon contrat cloud.


La sécurité des objets connectés (ou Internet of Things, « IoT ») dépend de celle du cloud permettant d’en recueillir et traiter les données : bien négocier son contrat cloud est dès lors primordial.

Le talon d’Achille des objets connectés est la sécurité. Cela doit s’apprécier au niveau du transfert des données collectées, c’est-à-dire du réseau de télécommunications, mais aussi au niveau de l’espace de stockage et d’hébergement de ces données, voire des outils de traitement de ces données. C’est là qu’intervient le cloud computing, car, en effet, à la différence des simples interactions Machine to Machine (M2M), IoT et cloud sont consubstantiels (1).

Le contrat IoT et cloud sera le plus souvent de type SaaS dans la mesure où il s’agit de stocker une grande quantité de données (big data) mais aussi de les traiter et les analyser au moyen d’outils logiciels performants (smart data). Le porteur de projet pourra toutefois se contenter d’un contrat PaaS, s’il sait développer sa propre application à partir des outils de développement mis à sa disposition ou même simplement IaaS, si c’est juste l’infrastructure de stockage qu’il recherche dans son projet IoT et cloud.

Les recommandations formulées notamment par les autorités de contrôle européennes (groupe de l’article 29) (2) mais aussi les bonnes pratiques formulées par l’Anssi (3) doivent se traduire dans le contrat mettant en place l’architecture d’un système IoT et Cloud.

Plus précisément, le contrat IoT et cloud comprendra toutes les clauses adaptées pour en sécuriser le périmètre et la qualité des livrables (4). La question de la sécurité étant centrale, il convient à ce titre de :

  • fixer le périmètre technique des responsabilités confiées au prestataire et notamment ses missions de surveillance et supervision ;
  • imposer au prestataire le respect de la norme PCIDSS en cas de traitement de données de paiement ;
  • prévoir une garantie de respect des normes constituant l’état de l’art et selon les cas ISO 27001 et 27018 ;
  • exiger du prestataire une annexe sécurité laquelle comprendra un plan de reprise et de continuité d’activité ;
  • organiser contractuellement la gestion des éventuelles failles de sécurité (en particulier grâce à un « data breach process ») ;
  • prévoir que le prestataire se porte fort des engagements de sécurité et de confidentialité par ses collaborateurs et sous-traitants ;
  • prévoir une clause d’audit de sécurité pouvant être mise en œuvre au minimum tous les 18 mois.

Le contrat IoT et cloud, rédigé sur de telles bases, « contribuera à instaurer une relation durable de confiance » entre prestataires, au bénéfice d’utilisateurs toujours plus nombreux.

Eric Le Quellenec
Lexing Informatique conseil

(1) Chantal Polsonetti, « Know the difference between IoT and M2M », Automation world, post du 15-7-2014.
(2) Cnil, Communiqué G29, Avis sur l’internet des objets, 2-10-2014.
(3) ANSSI, Bonnes pratiques de la sécurité informatique.
(4) Éric Le Quellenec, « Cloud computing : renforcer la confiance entre client et prestataire »,  post du 17-8-2015.




« Cloud washing » : quelles implications pour les contrats ?

« Cloud washing » : quelles implications pour les contrats ?La question des implications juridiques du « cloud washing » a été posée par la Commission juridique de l’Acsel lors de sa dernière réunion (1). Il est plus rapide de rebaptiser des offres préexistantes plutôt que de développer une nouvelle offre de type cloud computing. L’examen et la négociation du contrat du prestataire peuvent permettre d’identifier la nature réelle de l’offre et la payer au juste prix.

L’expression « cloud washing » est dérivée du phénomène du « green washing » observable depuis plusieurs années. En l’occurrence, il s’agit de reprendre la sémantique propre au cloud computing pour l’appliquer à des offres préexistantes qui, en réalité, ne répondent pas à toutes les caractéristiques des « vraies » offres du cloud. Les principales propriétés du cloud computing consistent en un partage de ressources virtualisées, évolutives ou scalables avec une facturation à l’usage (2).

Ainsi, la première cible du « cloud washing » est-elle, le IaaS (Infrastructure as a service). Il arrive fréquemment que des services de location de salles blanches ou cages soient qualifiées d’offres IaaS, alors qu’il ne s’agit que d’une offre classique de type infogérance, sans aucun service de virtualisation et donc de réelles possibilités.

En ce qui concerne le PaaS (Platform as a Service), outre la délicate question de l’adaptation des outils de développement mis à disposition, la complexité des problématiques d’intégration avec les applications créés par le client sont souvent minorées. Or, ce que recherche un client développeur, c’est justement la facilité d’avoir une plateforme prête à l’usage avec garantie d’interopérabilité.

Enfin, pour le SaaS (Software as a Service), les offres anciennement en ASP (Application service provider) sont le plus souvent rebaptisées SaaS, sans pour autant être scalable, c’est-à-dire adaptable à un grand nombre d’utilisateurs, grâce au nuage.

Pour ne pas être un utilisateur déçu du cloud computing, le meilleur outil reste encore le contrat. L’identification d’un périmètre de prestation précis va permettre de minimiser les risques de « cloud washing ». La question des garanties associées va permettre de lever les derniers doutes. Un opérateur établi du « cloud computing » doit pouvoir s’engager sur des garanties de performance (service level agreement). Il est également nécessaire de bénéficier de garanties d’évolution, scalabilité et robustesse, notamment. Enfin, la place laissée au sous-traitant du prestataire signataire du contrat est un bon indicateur du degré de maturité de son cocontractant sur la technologie cloud concernée. Plus le sous-traitant est présent, plus il paraîtrait être pertinent de signer directement avec lui.

Si le phénomène du « cloud washing » va naturellement diminuer avec le temps et à mesure que les offres cloud vont se développer, la question du niveau d’engagement du prestataire, elle, se posera toujours.

Eric Le Quellenec
Lexing Informatique conseil

(1) Réunion sur « Le Cloud Computing, nouvelle forme de contrat ou simple externalisation ? », 10-03-2016
(2) « Cloud computing » ou « informatique en nuage » : voir la définition donnée par la Commission générale de terminologie et néologie mais aussi par la norme ISO 17788 :2014.




Cloud : nouvelle forme de contrat ou simple externalisation ?

Cloud : nouvelle forme de contrat ou simple externalisation ?Eric Le Quellenec anime un atelier juridique Acsel « Cloud » sur cette nouvelle forme de contrat.

Le Cloud computing, une réalité d’aujourd’hui et de demain. La commission juridique de l’Acsel (Association de l’économie numérique), propose le 10 mars 2016, un atelier intitulé « Cloud : vers une nouvelle forme de contrat ou un recyclage des contrats d’externalisation ? ».

Recouvrant de multiples services (SaaS, PaaS, IaaS et maintenant le XaaS), le cloud computing donne lieu à une contractualisation protéiforme et hétérogène contribuant à rendre d’autant plus difficile la compréhension des offres et les niveaux de services associés.

Des contrats d’externalisation « recyclés » ou au contraire faits sur mesure, en passant par des contrats d’adhésion sous forme de conditions générales et particulières, trouver la bonne formule va en réalité dépendre du caractère plus ou moins standard et public du service concerné.

Cette matinée de travaux a pour objectifs de donner les clefs d’une contractualisation du cloud réussie, permettant pour le prestataire de couvrir le périmètre de ses services de manière satisfaisante et pour le client d’être rassuré sur les engagements proposés.

Reposant sur de multiples retours d’expériences, Me Eric Le Quellenec partage les meilleures pratiques observées en les confrontant avec les retours d’expérience des membres de la commission juridiques de l’Acsel.

Après une présentation globale des enjeux juridiques du cloud et un focus d’actualité sur les échanges de données personnelles Europe – Etats-Unis, il sera évoqué les types d’architecture contractuelle envisageables avant de faire un panorama des clauses importantes du contrat cloud (responsabilités, SLA et pénalités, garanties, etc.).

L’atelier juridique a lieu le 10 mars 2016, de 9 h à 11 h 30 dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Programme et inscription sur le site de l’Acsel, le Hub de la transformation digitale




Cloud computing : renforcer la confiance entre client et prestataire

Cloud computing : renforcer la confiance entre client et prestataireA l’occasion de la « cloud week » organisée par l’association Eurocloud France, la question de la confiance dans les solutions cloud computing occupe une grande partie des débats. En effet, le taux de pénétration du cloud en France est plus lent qu’anticipé (1).

Les objectifs ne sont pas encore atteints et beaucoup d’utilisateurs tergiversent avant de faire le grand saut (2).

Des craintes sur la sécurité et la fiabilité technique toujours vives. Techniquement, ces craintes portent d’abord et avant tout sur la sécurité et la fiabilité technique des plateformes. Economiquement, la hantise des DSI est de se trouver confronté à des coûts d’exploitation supérieurs à ceux d’une structure locale en mode « client – serveur », faute d’avoir bien anticipé les impacts en termes de frais d’intégration avec le SI existant, de formation ou de licences complémentaires avec certains éditeurs. Le retour sur investissement peut être alors désastreux. Le maître mot de cette semaine du cloud est donc encore et toujours la recherche de la confiance. Plusieurs solutions juridiques existent pour y parvenir.

Des solutions réglementaires mais surtout contractuelles. Une des pistes sérieuses évoquées lors de ces travaux de la « cloud week » est d’abord réglementaire. Au niveau européen, le projet de règlement sur les données à caractère personnel, de même que le rapprochement entre les agences nationales de sécurité peuvent contribuer à donner confiance aux acteurs du cloud computing. En matière de normalisation, les nouvelles normes ISO dédiées au cloud computing publiées récemment ou en passe de l’être ont fortement contribué à fixer un cadre de discussion homogène entre les différents acteurs du cloud et ainsi à insuffler de la confiance entre eux (3). Cependant, cela ne saurait suffire pour souscrire « en toute confiance » à une offre de type cloud computing. C’est la négociation contractuelle qui doit permettre de poser les conditions d’une bascule et d’un usage satisfaisant de tels services.

Le cahier des charges du candidat au cloud doit avoir été rédigé en fonction de la « cloud strategy » de l’entreprise. En fonction de la criticité des données, les solutions techniques devront être proposées de manière distributive et le contrat doit impérativement le refléter. Les dispositions contractuelles sur la sécurité, les garanties de performance revêtent un caractère crucial, de même que celles sur la réversibilité. Les annexes au contrat et en particulier les annexes techniques et de sécurité doivent également faire l’objet d’un soin particulier. Les travaux de la « cloud week » illustrent que tout projet cloud se pilote à la fois sur les terrains techniques, économiques et juridiques. La confiance avec son prestataire cloud ne peut être qu’un travail rigoureux et adapté sur ces trois volets.

Eric Le Quellenec
Lexing Droit Informatique

(1) Johann Armand, http://www.channelnews.fr/, Actualité du 30-9-2014.
(2) JTIT 158, 6-2015, p.1 et JTIT 111, 4-2011, p. 3.
(3) JTIT n°153, 1-2015 p.1.




Contrat de Cloud computing : les conseils d’un expert (2/2)

Contrat de Cloud computing : les conseils d'un expert (2/2)Jean-François Forgeron évoque pour Owentis les bonnes pratiques relatives au cloud computing (2ème partie).

Cette seconde partie consacrée plus particulièrement à la négociation et la rédaction des contrats, s’inscrit dans le prolongement de précédents échanges ayant fait l’objet d’une première publication sur notre site.

L’avocat revient sur le dispositif européen de réglementation, en cours d’adoption, qui, selon lui, représente une étape supplémentaire vers l’unification européenne du cadre légal de la protection des données personnelles, amorcée par la directive de 1995, cette unification constituant un gage de sécurité juridique.

Il revient sur le dispositif européen de réglementation qui se construit actuellement autour de la protection des données personnelles et les questions que se pose le client du Cloud computing.

Selon lui, l’adoption d’un tel règlement va dans le bon sens. C’est un pas de plus, décisif, vers l’unification européenne du cadre légal de la protection des données personnelles et ce, de façon coordonnée. Entamée depuis la directive de 1995, la démarche aura pris son temps ! Quand on est confronté à une circulation de données massives en Europe, l’adoption d’une règle unique est un gage de sécurité juridique.

La loi sur le renseignement que s’apprête à adopter la France, va influencer cet espace de confiance. Un chapitre de la loi est consacrée à la captation des données informatiques. Ce dispositif prévoit l’autorisation d’accès à des fichiers de données dans le Cloud computing, par le biais d’un fournisseur d’accès à l’internet.

Jean-François Forgeron pour Owentis le 25 juin 2015 « Cloud, l’avis de l’expert juridique : négocier son contrat, se protéger (2/2) »

Article original à consulter ici




Contrat de Cloud computing : les conseils d’un expert (1/2)

Contrat de Cloud computing : les conseils d'un expert (1/2)Jean-François Forgeron, sollicité par Owentis, apporte son expertise en matière de cloud computing.

Dans cette première partie, il distingue les relations BtoC qui sont encadrées par les dispositions légales et réglementaires relatives à la protection du consommateur vis-à-vis des grands fournisseurs de service cloud (en particulier celles qui concernent les clauses abusives), des relations BtoB.

Dans une perspective BtoB, il peut être intéressant de se référer aux publications de la Cnil en matière de recours au cloud computing, ou encore à celles du Syntec Numérique ou du Cigref, le club informatique des grandes entreprises françaises.

S’agissant de la sécurité, la plupart des prestataires cloud du marché prennent le soin de conseiller leurs clients. Ces prestataires ont les moyens de mettre en œuvre des moyens techniques de sécurité bien supérieurs à ceux de n’importe quelle entreprise non spécialisée. En termes de fiabilité, de pertinence, de mise à jour, oui, leur sécurité est bien meilleure. Il convient toutefois de veiller à ce que ces moyens soient décrits dans le contrat.

Par ailleurs, il importe de :

  • cartographier les données que l’on désire externaliser ;
  • créer un système de hiérarchisation des exigences de sécurité, en fonction de la criticité des traitements de ces données ;
  • benchmarker les offres en fonction du budget ;
  • contrôler la qualité du service, pour avoir une vraie vision du respect de ses engagements par le prestataire ;
  • regarder dans quelle mesure des tests de réversibilité sont envisageables ;
  • vérifier le respect des dispositions de la loi Informatique et libertés, notamment en cas de flux transfrontières de données, et en fonction de la nature des données et de leur criticité.

La seconde partie de cet article, à paraître la semaine prochaine, portera sur les trois nouvelles normes sur le cloud computing approuvées par les organismes de normalisation UIT-T et ISO et publiées le 15 octobre 2014.

Jean-François Forgeron pour Owentis le 15 juin 2015 « Cloud, l’avis de l’expert juridique : négocier son contrat, se protéger (1/2) »

Article original à consulter ici




Les contrats de service cloud : quels sont les points de vigilance ?

Les contrats de service cloud Petit-déjeuner débat du 25 janvier 2012  » Les contrats de service cloud : quels sont les points de vigilance ? ». 

Grâce à la virtualisation qui permet de faire fonctionner sur une seule machine physique plusieurs systèmes d’exploitation et applications, se développe le « cloud computing » ou « informatique en nuage ».

Le cloud computing est davantage une révolution des mentalités et des usages qu’une révolution technologique ou même contractuelle car il s’agit avant tout d’externalisation

Derrière le cloud se cache une multitude de services, qui vont de l’offre logicielle (SaaS), aux infrastructures techniques (IAS) en passant par les plates-formes de développement (PaaS), tous destinés à répondre aux besoins de souplesse et de réduction des budgets des DSI.

Malgré les contrats standard permettant de vendre les nombreux services, il est indispensable de vérifier les clauses pour déterminer les engagements offerts.

Les différentes catégories de service cloud impliquent des niveaux de services différents (disponibilité du service, qualité ou rétablissement en cas de dysfonctionnement) qu’il appartient au client de prévoir au moyen d’une convention de services.

Il est conseillé au client, d’une part, de prévoir les modalités de réversibilité lui permettant de reprendre ou faire reprendre le service en cas de rupture des relations contractuelles avec le prestataire, d’autre part d’encadrer la sécurité et la confidentialité des données, en particulier s’il s’agit de traitements de données à caractère personnel compte tenu des impératifs de la loi Informatique et libertés.

Nous vous avons proposé, au cours d’un petit-déjeuner débat animé par Jean-François Forgeron, de :

  • déterminer les points de vigilance à surveiller avec les fournisseurs de services ;
  • définir les questions qu’il est important de se poser sur le cloud afin d’éviter toutes mauvaises surprises dans le choix du fournisseur de services ;
  • préciser les étapes clés pour déployer, maintenir et mettre fin à un contrat avec un fournisseur de service cloud.

Le petit-déjeuner débat a eu lieu le 25 janvier 2012 dans les locaux de ALAIN BENSOUSSAN sis 29, rue du Colonel Avia 75015 Paris.

SIpublic.info communiqué du 25 janvier 2012