La normalisation au cœur des pratiques contractuelles d externalisation

Transcription

1 La normalisation au cœur des pratiques contractuelles d externalisation Avec : Madame Marie-Noelle Gibon, Cil groupe La Poste Monsieur Serge Yablonsky, président de SYC Consultants Copyright Lexing 2013 Confidentiel Entreprise 1

2 Introduction Les périmètres de l infogérance globale au cloud public Le cadre contractuel des contrats complexes aux contrats d adhésion La polysémie de la norme technique à la norme juridique L actualité des clouds souverains à la normalisation internationale Copyright Lexing 2013 Confidentiel Entreprise 2

3 Plan 1. Concepts 2. Typologie 3. Force obligatoire 4. Gestion contractuelle Copyright Lexing 2013 Confidentiel Entreprise 3

4 1. Concepts 1. Définitions 2. Principes 3. Acteurs 4. Norme et Droit Copyright Lexing 2013 Confidentiel Entreprise 4

5 1.1 Définitions (1) Les normes ISO/CEI / NF EN : Document établi par consensus et approuvé par un organisme reconnu, qui fournit, pour des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques, pour des activités ou leurs résultats, garantissant un niveau d'ordre optimal dans un contexte donné. CMMI : Exigences formelles obligatoires, développées et utilisées pour prescrire des approches cohérentes d une acquisition, d un développement ou d un service L externalisation AFNOR Z : L'infogérance est un service défini comme le résultat de l'intégration d'un ensemble de services élémentaire, visant à confier à un prestataire informatique tout ou partie du système d'information du client dans le cadre d'un contrat pluriannuel, à base forfaitaire, avec un niveau de service et une durée définis. Syntec : le facilities management (Infogérance) est la prise en charge partielle ou totale de la fonction informatique d'une entreprise. La SSII peut reprendre avec ou sans délocalisation, tout ou partie des ressources informatiques (ordinateurs, logiciels, équipes, locaux d'une entreprise) pour assurer la gestion de l'activité informatique correspondante dans le cadre d'une relation pluriannuelle avec un engagement sur les résultats. Copyright Lexing 2013 Confidentiel Entreprise 5

6 1.1 Définitions (2) Les notions voisines : Référentiel (SI) : Ensemble structuré de recommandations ou de bonnes pratiques utilisées pour le management du système d'information, et constituant un cadre commun aux directions des systèmes d'information. Standard : référentiel publié par une entité privée autre qu un organisme de normalisation national ou international ou non approuvé par un de ces organismes pour un usage national ou international. Exemples : Itil (une étanchéité relative ), Cobit, guides, escm, SAS Deux standards de câblage qui sont définis par Electronic Industry Association/Telecommunications Industry Association. Copyright Lexing 2013 Confidentiel Entreprise 6

7 1.2 Principes Des principes communs Transparence Ouverture Impartialité Consensus Efficacité Pertinence Cohérence Types de normes : - Normes fondamentales - Normes de spécifications - Normes d'analyse et d'essais - Normes d'organisation Copyright Lexing 2013 Confidentiel Entreprise 7

8 1.3 Acteurs Des organismes de normalisation internationaux (ATSM International, CEI, ISO ) européens (CEN ) nationaux (Afnor ) Des organismes accréditeurs (Cofrac (1)) Des organismes certificateurs Les pouvoirs publics Les opérateurs économiques (1) Décret du 19 décembre 2008 relatif à l accréditation et à l évaluation de conformité pris en application de l article 137 de la loi n du 4 août 2008 de modernisation de l économie Copyright Lexing 2013 Confidentiel Entreprise 8

9 1.4 Norme et Droit K E L S E N Constitution Normes internationales et européennes Lois Règlements Arrêtés Coutume Normes & standards Selon Hans Kelsen ( ) Copyright Lexing 2013 Confidentiel Entreprise 9

10 2. Typologie 1. Les incontournables 2. Les spécifiques 3. Les sectorielles Copyright Lexing 2013 Confidentiel Entreprise 10

11 2.1 Les incontournables (1) ISO ISO Copyright Lexing 2013 Confidentiel Entreprise 11

12 2.1 Les incontournables (2) CobiT Copyright Lexing 2013 Confidentiel Entreprise 12

13 2.1 Les incontournables (3) ITIL V3 Copyright Lexing 2013 Confidentiel Entreprise 13

14 2.1 Les incontournables (4) CMMI Copyright Lexing 2013 Confidentiel Entreprise 14

15 2.1 Les incontournables (5) escm Copyright Lexing 2013 Confidentiel Entreprise 15

16 2.2 Les spécifiques Norme publiée NF EN : Facilities management Normes en cours de validation PR NF EN : Facilities management Termes et définitions Normes à l étude ISO : Facilities management Partie 1 : Termes et définitions (Octobre 2015) ISO : Outsourcing (Décembre 2014) ISO : Facilities management Partie 2 : Lignes directrices sur la façon d élaborer des accords de facilities management (Octobre 2015) Copyright Lexing 2013 Confidentiel Entreprise 16

17 2.3 Les sectorielles Santé IHE & interopérabilité Assurance Maladie Noémie Quelques exemples Banque CFONB & moyens de paiements Monétique Conseil des normes de sécurité PCI Données personnelles CNIL Administration ANSSI & RGS Confidentiel Entreprise 17

18 3. Force obligatoire 1. Processus d élaboration 2. Principes d application 3. Critères de rattachement 4. Sanctions Copyright Lexing 2013 Confidentiel Entreprise 18

19 3.1 Processus d élaboration ISO : Stade préparation: Groupe de travail Stade comité : Industriel, associatif, gouvernemental, ONG, universitaires Stade enquête : Observations et vote des comités nationaux Stade approbation et publication Stade proposition Copyright Lexing 2013 Confidentiel Entreprise 19

20 3.2 Principes d application Le principe règlementaire : «Les normes sont d'application volontaire. Toutefois, les normes peuvent être rendues d'application obligatoire par arrêté signé du ministre chargé de l'industrie et du ou des ministres intéressés.» (Décret n du 16 juin 2009 relatif à la normalisation, art. 17) Le principe d adhésion : collectif ou individuel L exception de l application obligatoire : essentiellement la sécurité physique Copyright Lexing 2013 Confidentiel Entreprise 20

21 3.3 Critères de rattachement (1) Le contrat Exprès : la norme est visée par le contrat les clauses générales préambule documents contractuels & hiérarchie audit les clauses spécifiques les documents de référence (CC, proposition ) Implicite : la norme est subsidiaire et supplétive Copyright Lexing 2013 Confidentiel Entreprise 21

22 3.3 Critères de rattachement (2) «Ce qui est ambigu s'interprète par ce qui est d'usage dans le pays où le contrat est passé» (art du Code civil) «On doit suppléer dans le contrat les clauses qui y sont d'usage, quoiqu'elles n'y soient pas exprimées» (art du Code civil) Copyright Lexing 2013 Confidentiel Entreprise 22

23 3.4 Sanctions Responsabilité contractuelle Qualification de l obligation & preuve Préjudice Lien de causalité Limitations Règlementaires Commerciale : image de marque & réputation Copyright Lexing 2013 Confidentiel Entreprise 23

24 4. Gestion contractuelle 1. Les normes chez.. 2. Application 3. Internationalisation 4. Les autres référentiels Copyright Lexing 2013 Confidentiel Entreprise 24

25 4.1 Les normes chez (1) - les fournisseurs et prestataires - «Certifications et audits : Microsoft institue et convient de maintenir une politique relative à la sécurité des données conforme à la série des normes ISO/IEC 27000, au code des meilleures pratiques ISO/IEC en matière de gestion de la sécurité de l'information et aux normes ISO dans le cadre de la mise en place, de l'implémentation, du contrôle et de l'amélioration du système de gestion de la sécurité de l'information» ( - «Pour améliorer encore plus les normes de sécurité et la protection offertes à ses clients, IBM a franchi les étapes nécessaires pour obtenir une certification ISO Le cadre fourni par la norme ISO assure que l'organisation certifiée se préoccupe des exigences en matière de sécurité de ses clients.» ( ) «L approche d Atos Worldline, validée par l expérience et par le respect de l état de l art, prend en compte le modèle OAIS (norme ISO 14721:2003) pour l archivage long terme, les recommandations du MoReq2 comme le plan de classement, et respecte les exigences de la norme NF Z42-013:2009 / ISO :2012. La réversibilité et l interopérabilité vous sont garanties par l utilisation d outils Open Source et de standards reconnus du marché comme le PDF-A et les formats XML (signature XAdES, fichier de métadonnées METS).» ( Dematerialisation_LD.pdf) ( Copyright Lexing 2013 Confidentiel Entreprise 25

26 4.1 Les normes chez (2) les utilisateurs - l expérience de La Poste et les auditeurs & consultants - référentiel de travail, tests et rapports - référentiel de bonnes pratiques Copyright Lexing 2013 Confidentiel Entreprise 26

27 4.1.1 Les normes chez les utilisateurs (1) Métiers DG Prestataires Collaborateurs Environnement REFERENTIELS

28 4.1.1 Les normes chez les utilisateurs (2) CMMI ONU ISO ITIL COBIT escm Six Sigma ONU ISO 9001 ONU 2003 ISO ISO BS EFQM Certification entité Certification individuelle 28 CO NFI DE

29 4.1.1 Les normes chez les utilisateurs (3) Un référentiel est un modèle : il ne décrit pas toute la réalité Le référentiel est un guide: Il définit le Quoi Il ne définit pas le comment Le respect du modèle n est pas une fin en soi : les objectifs de l entreprise doivent prévaloir 29

30 4.1.2 Les normes chez les auditeurs (1) le référentiel de travail ISAE 3402 (SAS70) est une norme internationale d audit (International Standard on Assurance Engagement) : c est le standard de référence pour apprécier les prestations de tiers. Une clause ISAE 3402 existe dans les grands contrats d externalisation : applicable pour tous types d externalisation (IT ou non IT) Des avantages pour les utilisateurs comme pour les prestataires : Un seul auditeur chez le prestataire Un engagement du prestataire Une évaluation du contrôle interne par des professionnels Copyright Lexing 2013 Confidentiel Entreprise 30

31 4.1.2 Les normes chez les auditeurs (2) le référentiel de travail Un rapport de type 1 : attestation de l existence d un contrôle interne adapté Un rapport de type 2 : attestation de l efficacité du contrôle interne (évaluation réalisée pendant 6 mois) Copyright Lexing 2013 Confidentiel Entreprise 31

32 4.1.2 Les normes chez les auditeurs (3) le référentiel de bonnes pratiques Sélection contractuelle du référentiel le plus adapté. Dans le cas d externalisation de prestations informatiques, escm est le référentiel dédié, conforme à CobiT etc Une des grandes forces de escm est sa description très opérationnelle des bonnes pratiques pour le prestataire comme pour le client. Copyright Lexing 2013 Confidentiel Entreprise 32

33 4.1.2 Les normes chez les consultants Des exemples: Dans les appels d offres, référence à escm pour la gestion des relations, la répartition des rôles et la référence à l esprit du contrat Dans les appels d offres et les contrats, référence à ITIL pour la mesure des engagements de qualité Dans les propositions, engagement de respect de escm Copyright Lexing 2013 Confidentiel Entreprise 33

34 4.2 Application Les outils - PAQ et PQP - PAQ = mécanisme ex ante destiné à prévenir des non qualités - PQP = mécanisme ex post destiné à contrôler la qualité de service - Ex : comité de pilotage pour vérifier la qualité de la prestation et prendre des mesures correctives - Assurance qualité sur client - Contractualisation (au début où à partir de la validation) - Norme ISO 9001: Gouvernance Copyright Lexing 2013 Confidentiel Entreprise 34

35 4.3 Internationalisation - Un constat partagé : - une crainte universelle : des données de l'entreprise hébergées «ailleurs» et contrôlées par des acteurs non locaux - des acteurs mondiaux et des écosystèmes juridiques très variés - Ex : selon l AFNOR, «portée avec force par la Chine et la Corée du Sud, candidates pour héberger les données et les applications de la planète, la normalisation ISO du Cloud Computing est étroitement mais diplomatiquement surveillée par les grands acteurs du logiciel et du matériel». - Ex : CDMI (interopérabilité cloud) devenu ISO CEI (oct. 2012) - La norme : nouvel et principal outil de régulation juridique? Copyright Lexing 2013 Confidentiel Entreprise 35

36 4.4 Et les autres références? - Livres blancs : - Cigref et Cloud - Chartes - Syntec-Cigref Infogérance et TMA (2004) - Guides - Ex : Guide ANSSI sur les risques de l infogérance (2012) Copyright Lexing 2013 Confidentiel Entreprise 36

37 5 Conseils 1. Adopter une charte interne 2. Référencer les normes sectorielles 3. Etudier les normes annoncées 4. Piloter à l aide des normes 5. Adopter une veille normative Copyright Lexing 2013 Confidentiel Entreprise 37

38 Le bonheur est dans le binaire Questions - Réponses Copyright Lexing 2013 Confidentiel Entreprise 38

39 Informations ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è Tél. : Fax : paris@alain-bensoussan.com Jean-François Forgeron L.D. : Mob. : Lexing est une marque déposée par Alain Bensoussan Selas Copyright Lexing 2013 Confidentiel Entreprise 39

40 Crédits Networking Scott Maxwell-Fotolia.com informatique data room réunion BEI World with a heap of packages Franck Boston-Fotolia.com informatique internet monde BEI Networking Scott Maxwell-Fotolia.com informatique data room réunion BEI Gps navigator Sergey Eshmetoy-Fotolia.com BEI jpg (iso20000) Copyright Lexing 2013 Confidentiel Entreprise 40

41 Prochain petit déjeuner «Déployer le télétravail : les clés d une stratégie juridique gagnante» Emmanuel Walle, directeur du département Droit du travail numérique Le 15 mai /04/2013 Copyright Lexing 2013 Confidentiel Entreprise 41