Formation aux contrats informatiques SaaS et Open Source

Contrats informatiques Saas et Open SourceMarie Soulez anime une formation pour Lamy Formation (Wolters Kluwer) sur les contrats informatiques SaaS et Open Source le 21 mai 2019.

Avocat au barreau de Paris et directrice du département Propriété intellectuelle Contentieux de Lexing Alain Bensoussan Avocats, Marie Soulez, abordera de nombreuses questions autour des contrats SaaS et Open source :

  • quels sont les outils juridiques permettant d’améliorer la rédaction des contrats SaaS ?
  • comment optimiser sa pratique rédactionnelle des contrats SaaS ?
  • quels sont les principes liés à la protection des logiciels par le droit d’auteur et les prérogatives associées de l’auteur ?
  •  comment maîtriser les principes fondamentaux du logiciel libre ? les différents niveaux de copyleft, les enjeux liés à la contamination et à la compatibilité des licences , etc.

La protection du logiciel par la propriété intellectuelle

  • La définition du logiciel (les éléments protégeables, la condition d’originalité, la traçabilité)
  • Le titulaire de droits (les principes, les œuvres de commande, le logiciel développé par un salarié)
  • Les droits patrimoniaux
  • Les différents types de contrat (les contrats de cession, les contrats de développement, les contrats de licence, les contrats de maintenance)

Le Contrat Saas

  • Les acteurs et l’objectif du contrat SaaS
  • Les clauses essentielles (Préambule et définitions, périmètre des services et bénéficiaires, conformité et recette, responsabilité, propriété intellectuelle, convention de services, service level agreement)
  • Le contrat Saas et les données

L’Open Source

  • Les 4 libertés fondamentales (exécuter, étudier et modifier, distribuer, redistribuer)
  • Les typologies de licences et leurs philosophies (Copyleft et sans copyleft, l’absence de garantie, les impacts)
  • La gestion contractuelle (exploiter des logiciels sous licence libre, distribuer des logiciels sous licence libre)
  • Etude de cas
  • L’identification des clauses favorables au client et celles favorables au fournisseur dans un contrat Saas par l’analyse d’un contrat piégé
  • L’analyse d’un contrat de tierce-maintenance applicative de logiciel libre

Télécharger la fiche thématique : Contrats informatiques Saas et Open Source

Pour la formation « Contrats informatiques Saas et Open Source », s’inscrire auprès des éditions Wolter Kluwer




Matinée CIO : transformation digitale et renaissance du développeur

Matinée CIOLe cabinet est présent le 7 décembre dans le cadre du salon de la Matinée CIO 2018 de son partenaire Cast Software.

«Transformation digitale : renaissance du développeur» tel est le thème de la Matinée CIO 2018 organisé à Paris (9ème) le vendredi 7 décembre 2018 de 8:30 à 14:00 par la société Cast Software.

À l’ère de la transformation digitale, le développeur vit son métier comme une philosophie, il aspire à l’excellence, travaille en communauté, souhaite apporter de la valeur, être un partenaire du business et les nouvelles méthodes Agiles/ DevOps renforcent cette tendance.

Comment le DSI peut-il tirer parti de la Software Intelligence pour attirer, fidéliser et aider le nouveau développeur à exprimer tout son potentiel ?

Autant de questions qui sont au coeur de cette matinée à laquelle participe le cabinet Lexing Alain Bensoussan Avocats, qui présente notamment, à cette occassion, sa plateforme d’outils SaaS entièrement dédiés à la conformité RGPD.

 

Programme

8h00 à 8h30 : Accueil Café

8h30 à 8h40 : Introduction,

  • par Rémi JACQUET, Opérations France/BeNeLux CAST, Directeur Général Adjoint.

8h40 à 9h10 : Développeur 5.0 : Accrochez-vous ! !

  • par Philippe BOULANGER, Conférencier international.

9h10 à 10h00 : Table ronde «Transformation Digitale : Renaissance du Développeur !?…»

  • Jean-Christophe LALANNE, Air France KLM, EVP CIO ;
  • Antoine LARMANJAT, Euler Hermes, DSI ;
  • Bertrand LE SAGE, Allianz, Head of Application Development & Maintenance ;
  • Christophe LEPAGE, BNP Paribas Asset Management, DSI ;
  • Arnaud MEJEAN, AG2R La Mondiale, Directeur des études ;
  • Benoit RANINI, TNP Consultants, PDG.

10h00 à 10h35 : Du bon usage de la Software Intelligence de CAST dans un projet de refonte du SI en mode Agile et DevOps

  • par Bertrand SOREZ, Société Générale, Crédit Du Nord, DSI.

10h35 à 11h00 : Pause et Networking

11h00 à 11h35 : La Software Intelligence au service du développeur 5.0

  • par Sylvain CAILLIAU, CAST, Directeur technique.

11h35 à 11h55 : Présentation d’offres de conseil bâties sur la Software Intelligence de CAST

  • DXC Technology
  • Portfolio Consulting Group
  • TNP Consultants

11h55 à 12h20 : La gouvernance au cœur d’une trajectoire Cloud. Illustration autour des démarches open source et d’une étude de la qualité des applications de Github

  • Frédéric AATZ, Microsoft, Azure Business Lead ;
  • Sylvain CAILLIAU, CAST, Directeur Technique.

12h20 à 12h30 : Lancement du User Group et Conclusion

12h30 à 14h00 : Cocktail déjeunatoire et Networking

13h00 à 13h45 : Ateliers des partenaires dans l’auditorium

Lieu : Centre d’Affaires Paris-VERSO, 52 rue de la Victoire, 75009 Paris

Inscriptions sur CastSoftware.com.

Eric Bonnet
Directeur du département Communication juridique




Le banking as a service (BaaS) : le renouveau de la banque

banking as a serviceUne nouvelle manière d’envisager les services bancaires semble s’ouvrir avec le développement du banking as a service.

Reprenant la terminologie bien connue en informatique du software as a service (le « SaaS »), qui désigne un logiciel installé sur un serveur que l’utilisateur exploite à distance, le banking as a service (le « BaaS »), est une plateforme technologique hébergée en cloud qui permet la fourniture de services de paiement par de nouveaux acteurs.

Face au développement et au succès grandissant que rencontrent les interfaces de programmation ouvertes (les « Api »), de nombreux acteurs non-bancaires en ont profité pour développer à leur tour un ensemble de services de paiement clés en main, « en libre-service » dans le cloud, destinés à des prestataires de services de paiement en quête de nouvelles solutions innovantes et flexibles. Ainsi, ces derniers peuvent décider, à leur convenance, de recourir au BaaS auprès d’un prestataire technique pour qu’il mette notamment à leur disposition, des services bancaires de bases ou des services de gestions de portefeuille.

Ce modèle de « morcellement des services de paiement » a pour conséquence de bousculer le schéma classique bancaire dans lequel l’offre, allant de la fourniture du carnet de chèque à l’ouverture et la gestion du compte bancaire, était traditionnellement globale.

L’enjeu majeur réside dans le fait que ces nouveaux acteurs ne sont pas agréés auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR) et ne sont donc pas soumis à une obligation spécifique de sécurité, comme peuvent l’être les prestataires de services de paiement (Arrêté 3-11-2014, art. 255). Dès lors, cette externalisation de services bancaires ne nuit-elle pas aux obligations de sécurité propres aux prestataires de services de paiement ?

Pourquoi recourir au banking as a service (BaaS) ?

L’atout majeur du banking as a service est d’ordre technique puisqu’il offre au prestataire de services de paiement la possibilité de disposer d’un système informatique agile, flexible et innovant, tout en se dispensant d’investissements humains et financiers que ce type de développement aurait naturellement impliqué.

Les prestataires de services de paiement ne constituent pas les uniques cibles du banking as a service, puisque ce service s’adresse également à des groupes digitaux ou des start-up qui souhaiteraient élargir leur offre en proposant des services bancaires à leurs clients, mais sans avoir à gérer l’infrastructure technique et complexe de ce type de services.

Quels sont les risques juridiques ?

L’arrêté du 3 novembre 2014, relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’ACPR (1), règlemente les exigences en matière de contrôle interne des prestataires de services de paiement. A ce titre, l’accent est en particulier porté sur le maintien du contrôle interne malgré l’externalisation de services de paiement.

Ainsi, l’externalisation de certains services, tels la réception de fonds remboursables du public, les opérations de crédit, ou les services bancaires de paiement (CMF, art. L.311-1) (2) ne peut se réaliser qu’auprès de prestataires de services de paiement.

Pour les autres services qui ne sont pas visés dans cet article, l’externalisation est permise, mais elle ne doit pas néanmoins compromettre le contrôle interne mis en place par l’établissement (Arrêté 3-11-2014, art 252).

Cependant, le banking as a service, ne constitue pas en tant que tel une externalisation du service puisque l’établissement bancaire continue d’assurer la fourniture du service hébergé en SaaS auprès de ses clients. En effet, le BaaS n’est qu’un moyen technique de gestion des services de paiement.

Toutefois, on peut se poser la question si cette externalisation n’est pas susceptible de mettre en péril l’exigence de sécurité à laquelle les prestataires de services de paiement sont tenus. En effet, alors que l’externalisation auprès de prestataires de services de paiement ne soulèverait pas de problèmes, elle mériterait d’être davantage encadrée lorsqu’elle est effectuée auprès de prestataires techniques qui n’ont pas de statut juridique spécifique, et ne sont donc pas soumis à des obligations de sécurité renforcée.

Cela conduit dès lors à s’interroger sur la protection du secret bancaire. En effet, comment garantir la protection des données dans le cloud, lorsque ces données sont hébergées dans les « nuages » avec des millions d’autres données ? Cela est d’autant plus problématique que ces données ne sont pas sous le contrôle direct de la banque elle-même mais d’un prestataire technique qui définit lui mêmes ses propres mesures de sécurité, ce qui implique une attention toute particulière dans la rédaction et la négociation des contrats conclus avec le prestataire technique.

Quels sont les points d’attention d’un contrat BaaS ?

Tout comme pour l’utilisation du SaaS, le recours au BaaS implique la vigilance sur un ensemble de stipulations contractuelles.
Avant toute chose, il est impératif de déterminer les services et les données que l’on souhaite externaliser, et ce afin de pouvoir ensuite apprécier les différentes exigences de sécurité à mettre en œuvre.

Enfin, tout comme pour le contrat SaaS, la vigilance doit être apportée à la réversibilité, et aux niveaux de services et à leur auditabilité afin d’avoir une vision sur les engagements du prestataire.

Quel avenir pour les banques ?

Le BaaS répond à un besoin de souplesse des systèmes d’information des banques qui se complexifient avec le temps. La difficulté majeure à venir pour les banques ne vient pas tant de cette innovation, qui a vocation à les aider à se renouveler, mais à l’ouverture de leur système d’informations aux agrégateurs, qui disposent désormais d’un statut légitime (3).

L’ère de « l’open banking » (4) n’en est qu’à ses premiers balbutiements…

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeur Informatique et Telecom

(1) Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de de l’Autorité de contrôle prudentiel et de résolution (ACPR).
(2) Code monétaire et financier, article L.311-1.
(5) Directive n°2015-2366 du 25-11-2015 concernant les services de paiement dans le marché intérieur.
(6) Ninon Renaud, « La banque en kit fait florès en Europe », Les Échos du 10-4-2017.




Comment réussir son passage au cloud ?

Comment réussir son passage au cloud ?Petit-déjeuner débat du 1er juin 2016 « Comment réussir son passage au cloud ? Négociation et mise en œuvre du contrat cloud », animé par Eric Le Quellenec, aux côtés de Stéphanie Aguillon et Faouaz M’Haisse (société Eco-Emballages).

Alors que les solutions dans le cloud deviennent un incontournable de tout système informatique d’entreprise, les non-conformités techniques (cloud washing), problèmes de performance, de sécurité ou encore surfacturations ne sont pas des exceptions.

Ces écueils paraissent d’autant moins surmontables que de nombreux prestataires proposent des contrats d’adhésion parfois en décalage flagrant avec les services concernés.

Lors de ce petit-déjeuner débat, Eric Le Quellenec, directeur du département informatique conseil a présenté les points de contrôle d’un contrat cloud, tout en partageant son expérience de négociation des leaders du marché.

Un focus particulier a porté sur :

  • les particularités du IaaS, PaaS, SaaS ;
  • le traitement des données personnelles dans le cloud après la disparition du Safe Harbor et dans la perspective du EU-US privacy shield ;
  • les questions d’interopérabilité entre logiciels dans le cloud ;
  • la réversibilité.

A l’occasion de ce petit-déjeuner débat, nous vous avons proposé de faire le point sur ces principales problématiques afin de réussir son passage au cloud, bien le négocier et mettre en œuvre un contrat cloud.

Pour illustrer les stratégies qui ont été abordées, la société Eco-Emballages, représentée par Mme Stéphanie Aguillon, responsable marketing relationnel, et M. Faouaz M’Haisse, acheteur prestations intellectuelles, nous a fait l’honneur d’apporter son témoignage.

Le petit-déjeuner débat a eut lieu de 9h30 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Cet événement est retransmis sur notre chaîne Lexing Alain Bensoussan – Avocats à cette adresse.




« Cloud washing » : quelles implications pour les contrats ?

« Cloud washing » : quelles implications pour les contrats ?La question des implications juridiques du « cloud washing » a été posée par la Commission juridique de l’Acsel lors de sa dernière réunion (1). Il est plus rapide de rebaptiser des offres préexistantes plutôt que de développer une nouvelle offre de type cloud computing. L’examen et la négociation du contrat du prestataire peuvent permettre d’identifier la nature réelle de l’offre et la payer au juste prix.

L’expression « cloud washing » est dérivée du phénomène du « green washing » observable depuis plusieurs années. En l’occurrence, il s’agit de reprendre la sémantique propre au cloud computing pour l’appliquer à des offres préexistantes qui, en réalité, ne répondent pas à toutes les caractéristiques des « vraies » offres du cloud. Les principales propriétés du cloud computing consistent en un partage de ressources virtualisées, évolutives ou scalables avec une facturation à l’usage (2).

Ainsi, la première cible du « cloud washing » est-elle, le IaaS (Infrastructure as a service). Il arrive fréquemment que des services de location de salles blanches ou cages soient qualifiées d’offres IaaS, alors qu’il ne s’agit que d’une offre classique de type infogérance, sans aucun service de virtualisation et donc de réelles possibilités.

En ce qui concerne le PaaS (Platform as a Service), outre la délicate question de l’adaptation des outils de développement mis à disposition, la complexité des problématiques d’intégration avec les applications créés par le client sont souvent minorées. Or, ce que recherche un client développeur, c’est justement la facilité d’avoir une plateforme prête à l’usage avec garantie d’interopérabilité.

Enfin, pour le SaaS (Software as a Service), les offres anciennement en ASP (Application service provider) sont le plus souvent rebaptisées SaaS, sans pour autant être scalable, c’est-à-dire adaptable à un grand nombre d’utilisateurs, grâce au nuage.

Pour ne pas être un utilisateur déçu du cloud computing, le meilleur outil reste encore le contrat. L’identification d’un périmètre de prestation précis va permettre de minimiser les risques de « cloud washing ». La question des garanties associées va permettre de lever les derniers doutes. Un opérateur établi du « cloud computing » doit pouvoir s’engager sur des garanties de performance (service level agreement). Il est également nécessaire de bénéficier de garanties d’évolution, scalabilité et robustesse, notamment. Enfin, la place laissée au sous-traitant du prestataire signataire du contrat est un bon indicateur du degré de maturité de son cocontractant sur la technologie cloud concernée. Plus le sous-traitant est présent, plus il paraîtrait être pertinent de signer directement avec lui.

Si le phénomène du « cloud washing » va naturellement diminuer avec le temps et à mesure que les offres cloud vont se développer, la question du niveau d’engagement du prestataire, elle, se posera toujours.

Eric Le Quellenec
Lexing Informatique conseil

(1) Réunion sur « Le Cloud Computing, nouvelle forme de contrat ou simple externalisation ? », 10-03-2016
(2) « Cloud computing » ou « informatique en nuage » : voir la définition donnée par la Commission générale de terminologie et néologie mais aussi par la norme ISO 17788 :2014.