Cloud computing Informatique en nuage

Transcription

1 Cloud computing Informatique en nuage Outils juridiques pour sécuriser l informatique en nuage Formateurs : T. Verbiest, C.-R. Joly, L. Breteau Ulys

2 ULYS - 2 Présentation du cabinet ULYS Domaines d intervention Nouvelles Technologies Propriété Intellectuelle Paiements et Monnaie électroniques Média, Jeux & Divertissement Droit commercial, des sociétés et de la concurrence appliqués à ces secteurs Ulys, quatre valeurs : Spécialisé Innovant Engagé Partenaire Missions Services traditionnels : rédaction et négociation de contrats, contentieux et règlements alternatifs des litiges, articles et conférences, etc. Accompagnement de projets, notamment transnationaux Consultation des pouvoirs publics et missions de sensibilisation des autorités nationales et européennes Equipe Ulys Comundi Cloud Computing : Me Thibault Verbiest, associé et fondateur Ulys Me Cathie-Rosalie Joly, associée Ulys Me Lise Breteau, collaboratrice senior Ulys

3 ULYS - 3 Présentation de la formation Cette formation n aborde pas les marchés publics du cloud computing 1. Définition - Qu est-ce que le Cloud Computing? Définir le cloud computing Les différents types de cloud computing Quelques données du marché 2. Le Cloud Computing, un outil puissant et modulable mais non sans risques Les avantages Identification des principaux risques Stratégie de la Commission européenne 3. Comment protéger les données situées dans les nuages : focus sur la protection des données Données personnelles et autres données sensibles (non personnelles) de l entreprise Protection des données personnelles : les sujets majeurs du cloud computing Qualification de responsable de traitement/sous-traitant Détermination de la loi applicable Transfert de données hors UE La sécurité et le risque de fuite de données Principales mesures de sécurité selon la CNIL Les normes applicables aux données non personnelles Cas pratique

4 ULYS - 4 Présentation de la formation 4. Les clauses «techniques» et la sécurité Sécurité et droits d accès Installation technique et recette/mise en production Garanties opérationnelles Migration et réversibilité Plan d action qualité et indicateurs de qualité, assistance utilisateurs et contrôle de la qualité Responsabilité du prestataire Cas pratique 5. Les clauses «juridiques» et opérationnelles Objet du contrat, conditions d exécution et obligations du prestataire Durée Prix Propriété intellectuelle Résiliation Loi du contrat et juge compétent, lois de police 6. Les documents contractuels Phase précontractuelle Phase contractuelle Documentation Cas pratique

5 ULYS - 5 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 1. Qu est-ce que le Cloud Computing? 2. Le Cloud Computing, un outil puissant et modulable mais non sans risques 3. Comment protéger les données mises dans le nuage? 4. Les clauses «techniques» et la sécurité 5. Les clauses «juridiques» et opérationnelles 6. Les documents contractuels

6 Qu est-ce que le Cloud Computing? ULYS - 6 Extrait Source : Dominique FILIPPONE, Journal du Net ( s/cloud-computing/cloud-computingau-bureau-0812.shtml)

7 ULYS - 7 Qu est-ce que le Cloud Computing? Une prestation pas nouvelle mais augmentée La sous-traitance informatique, un mécanisme connu : infogérance, externalisation/outsourcing, facilities management, ASP, Relève des services consistant en la prise en charge de la gestion du système informatique d une entité, avec ou sans délocalisation, dans le cadre d une relation pluriannuelle Qu ajoute le Cloud? L offre est généralement fortement orientée service : Service à la demande, puissance de stockage et de traitement variable Peu de visibilité sur les ressources et équipements mis en œuvre pour assurer la prestation Délocalisation voire pluri-localisation de l hébergement et des traitements (serveurs «localisés dans le monde entier») «Mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. Note : L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients.» (Vocabulaire de l informatique et de l internet, JORF du 6 juin 2010, n 129, p )

8 ULYS - 8 Qu est-ce que le Cloud Computing? Définitions proposées par les instances de protection des données personnelles : CNIL : Consultation publique fin 2011 et synthèse des réponses publiée le 25 juin 2012 (voir Constat : «Le terme Cloud computing étant à la fois récent et recouvrant de nombreuses notions, il n y a pas encore de consensus pour en donner une définition précise» Définition en fonction des éléments caractéristiques du service (reprise de diverses définitions, notamment NIST) : Simplicité d un service à la demande Extrême flexibilité Accès «léger» Virtualisation ou mutualisation des ressources Paiement à l usage G29 : Opinion on cloud computing, 1 er juillet 2012 WP196 ( : «Cloud computing consists of a set of technologies and service models that focus on the Internet-based use and delivery of IT applications, processing capability, storage and memory space.»

9 Qu est-ce que le Cloud Computing? ULYS - 9 Source :

10 Qu est-ce que le Cloud Computing? ULYS - 10 Qu est-ce qui peut être géré en Cloud? Applications : Saas Software as a Service Le client utilise les applications du fournisseur via une interface disponible grâce au réseau. Ces dernières sont donc consommées et payées à la demande. Par ex. webmails, applications type Google Earth, etc. Le fournisseur Cloud maintient : - les applications, --les runtimes, -- l intégration SOA (Service Oriented Architecture), -- les bases de données, -- le logiciel serveur, -- la virtualisation, - le matériel serveur, - le stockage, - les réseaux.

11 ULYS - 11 Qu est-ce que le Cloud Computing? Plateforme : PaaS Platform as a service Le client peut déployer sur l infrastructure Cloud ses propres applications, dans la mesure où le fournisseur supporte le langage de programmation. La plateforme distante ne se contente pas d héberger les applications mais interagit pour allouer des ressources suffisantes à leur bon fonctionnement => plateforme de développement, d exécution, etc. o l entreprise maintient uniquement les applications ; o le fournisseur Cloud maintient : - les runtimes, - l intégration SOA, - les bases de données, - le logiciel serveur, - la virtualisation, - le matériel serveur, - le stockage, - les réseaux.

12 ULYS - 12 Qu est-ce que le Cloud Computing? Capacité de traitement : IaaS Infrastructure as a service Désigne une infrastructure matérielle, louée à la demande par le client: stockage, machines virtuelles, OS, et autres ressources de calcul. L utilisateur peut, dans ce cas, disposer sur demande d une capacité de traitement pour n importe quel type d application. Par ex. stockage dynamique, que le client administre et modifie en fonction de ses besoins o l entreprise maintient : - les applications, - les runtimes, - l intégration SOA, - les bases de données, - le logiciel serveur ; o le fournisseur Cloud maintient : - la virtualisation, - le matériel serveur, - le stockage, - les réseaux

13 Qu est-ce que le Cloud Computing? ULYS - 13 Source :

14 Qu est-ce que le Cloud Computing? ULYS - 14 Source :

15 Qu est-ce que le Cloud Computing? ULYS - 15 Les différents types de Cloud Privé : infrastructure entièrement dédiée à un client Cloud privé interne : géré par le client lui-même Cloud privé externe : géré par un tiers Cloud privé virtuel : un environnement de Cloud Computing qui recouvre l infrastructure de clouds internes et externes, offrant à l entreprise un environnement transparent, géré, qui est sécurisé et sous le contrôle du service informatique Solution la plus sûre Public : infrastructure partagée Infrastructure accessible à un large public Appartient à un fournisseur de cloud services Solution la moins coûteuse Hybride Infrastructure composée de deux nuages ou plus mélangeant public et privé Clouds uniques liés par une technologie normalisée ou propriétaire L idéal : opter pour une architecture de cloud privé permettant de recevoir des clouds publics, mais cela peut se présenter sous la forme de clouds localisés chez un hébergeur mais dédiés à un client Cloud communautaire Open cloud

16 Qu est-ce que le Cloud Computing? ULYS - 16 Source :

17 Qu est-ce que le Cloud Computing? ULYS - 17 Source :

18 Qu est-ce que le Cloud Computing? ULYS - 18 Source :

19 ULYS - 19 Qu est-ce que le Cloud Computing? Chiffres cités par la Commission européenne : rapport Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Up-take, 13 juillet 2012 ( stimates.pdf)

20 ULYS - 20 Qu est-ce que le Cloud Computing? Chiffres cités par la Commission européenne : rapport Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Up-take, 13 juillet 2012 Cloud Computing Could Contribute up to 250 Billion to EU GDP in 2020 and 3.8 Million Jobs

21 ULYS - 21 Qu est-ce que le Cloud Computing? Les projections du marché (étude Cabinet IDC) Source : Le Journal du Net ( utions/cloudcomputing/depenses-cloudcomputing-public shtml)

22 ULYS - 22 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 1. Qu est-ce que le Cloud Computing? 2. Le Cloud Computing, un outil puissant et modulable mais non sans risques 3. Comment protéger les données mises dans le nuage? 4. Les clauses «techniques» et la sécurité 5. Les clauses «juridiques» et opérationnelles 6. Les documents contractuels

23 Le Cloud, outil puissant et modulable non sans risques ULYS - 23 Quel besoin, quel intérêt de recourir au Cloud Computing? Réduire les coûts et/ou le délai de mise à disposition d un outil Simplifier la gestion et adapter le SI au besoin réel Disposer d une capacité informatique modulable, répondre à des besoins spécifiques Bénéficier d une disponibilité en principe totale de l information Se recentrer sur un cœur de métier

24 Le Cloud, outil puissant et modulable non sans risques ULYS - 24 Des inconvénients réels Risques techniques : Risque de dépendance technologique et de perte de gouvernance, Risque sur l interopérabilité et respect des standards, Risque sur la continuité du service, Risque de piratage et fuite/vol de données, sécurité, etc. Risque de perte de données pendant les phases de migration et réversion, etc. Risque financier de perte de maîtrise des coûts

25 Le Cloud, outil puissant et modulable non sans risques ULYS - 25 Des inconvénients réels Risques réglementaires : pas de réglementation particulière, mais des réglementations locales spécifiques à ne pas négliger : Protection des données personnelles, règles sur les fuites de données, Commerce électronique, protection des consommateurs, Obligations de conservation de documents comptables et fiscaux, etc. Obligations spécifiques de sécurité ou de secret professionnel : secteur de la banque et de l assurance, de la santé, etc. Applications de réglementations conflictuelles (Patriot Act) Risque contractuel : Irresponsabilité du prestataire Loi applicable/juge compétent inaccessibles Clauses non négociables, etc. Ces risques se traduisent par la responsabilité civile, voire professionnelle ou pénale et ont des répercussions au niveau commercial, risque d image et de perte de clientèle

26 ULYS - 26 Le Cloud, outil puissant et modulable non sans risques Barrières (rapport commandé Commission européenne, 13 juillet 2012)

27 ULYS - 27 Le Cloud, outil puissant et modulable non sans risques Suggestions d améliorations du cloud (rapport commandé Com. EUR, 13 juillet 2012)

28 Comment protéger les données mises dans le nuage? ULYS - 28 Stratégie de la Commission européenne : La commissaire européenne chargée de l'agenda numérique, Neelie Kroes, a déclaré : «Si nous voulons que nos marchés numériques croissent, les utilisateurs doivent se sentir à l'aise de dépenser en ligne. Si les entreprises doivent tirer avantage de tous les bénéfices potentiels du cloud computing, ils doivent pouvoir être sûrs que leurs secrets industriels ne seront pas interceptés». L'eurodéputé bulgare, Ivailo Kalfin (Socialistes & Démocrates), «C'est un outil (le cloud computing) essentiel pour augmenter la compétitivité de l'union, surtout pour les petites et moyennes entreprises, et les législateurs de l'ue devraient contribuer à son développement, en s'assurant que les principes de sécurité, de confidentialité des données et d'interopérabilité sont respectés dans le nuage». Selon Madame Viviane Reding, Vice-Présidente de la Commission européenne en charge de la Justice, des Droits fondamentaux et de la Citoyenneté, une notification obligatoire des failles de sécurité, semblable à celle prévue pour les fournisseurs de services de communications électroniques pourrait être introduite pour les services bancaires et financier (discours du 20 juin TML&aged=0&language=EN&guiLanguage=en

29 Le Cloud, un outil puissant et modulable non sans risques ULYS - 29 Stratégie de la Commission européenne Observations européennes et réflexion pour élaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 : éventualité de modèles de documents contractuels (CG, PAQ, etc.), questions de sécurité des données, de détermination de la personne responsable Communication de la Commission du 27 septembre 2012 «Unleashing the Potential of Cloud Computing in Europe» ( d.pdf) La stratégie poursuit quatre grands objectifs: garantir le transfert des données d'un prestataire de services en nuage à un autre, ou leur retrait complet; établir un système de certification à l'échelle de l'ue pour les prestataires fiables; élaborer des modèles de contrats d'informatique en nuage indiquant clairement les obligations contractuelles; créer un partenariat européen en faveur de l'informatique en nuage associant secteurs public et privé, afin de déterminer les besoins existants et de veiller à ce que le secteur européen des technologies de l'information puisse y satisfaire, de sorte que les entreprises soient plus compétitives face à la concurrence étrangère, et plus particulièrement américaine.

30 Le Cloud, outil puissant et modulable non sans risques ULYS - 30 Pas de solution standard pour limiter le risque Anticiper les difficultés par l encadrement contractuel Un contrat d entreprise et un contrat informatique : quasiment tout est à écrire, pas de régime légal de ces contrats et peu de dispositions impératives A condition de pouvoir négocier Certains contrat cloud sont des contrats d adhésion Conditions générales mises en ligne et modifiables par le prestataire de manière discrétionnaire Evolutions du service sans information préalable/droit d opposition du client, etc. En l absence de marge de négociation, évaluation du risque pour déterminer si l offre doit être rejetée, ou non Identifier le type de cloud adapté en fonction du besoin de l entreprise, des données à traiter, des risques, (cf. recommandation n 4 de la CNIL)

31 ULYS - 31 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage Dans ces conditions, quelles sont les précautions à prendre dans les contrats de Cloud Computing?

32 ULYS - 32 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 1. Qu est-ce que le Cloud Computing? 2. Le Cloud Computing, un outil puissant et modulable mais non sans risques 3. Comment protéger les données mises dans le nuage? 4. Les clauses «techniques» et la sécurité 5. Les clauses «juridiques» et opérationnelles 6. Les documents contractuels

33 Comment protéger les données mises dans le nuage? ULYS - 33 Protection des données, sujet central => Identifier la nature des données qui seront stockées dans le nuage pour prévoir un encadrement contractuel conforme aux exigences légales ou réglementaires (cf. recommandation n 1 de la CNIL) => Inclure des clauses obligatoires le cas échéant (droit d audit des autorités compétentes, etc.) => Niveau d exigence proportionnel au risque (civil, professionnel/disciplinaire, pénal) Données personnelles Réglementation relative à la protection des données personnelles : directive 95/46/CE, loi n du 6 janvier 1978 (Loi I&L), décisions et analyses CNIL, etc. Réforme en cours : projets de textes de la Commission européenne du 25 janvier 2012 (voir Réglementations particulières (secteur bancaire et paiements, lutte antiblanchiment, santé, etc.) Obligations renforcées de sécurité, confidentialité, etc. sur certaines données Données sensibles : secrets d affaires, données qualifiées de confidentielles par contrat, etc. => pas de cadre juridique dédié Veiller à ce que les clauses du contrat de cloud ne risquent pas d entraîner la violation d engagements contractuels, etc.

34 Comment protéger les données mises dans le nuage? ULYS - 34 Protection des données personnelles : Les sujets majeurs du cloud computing L analyse dans le cadre de la réglementation des données personnelles aborde des sujets «de droit commun» : responsabilités, garanties, sécurité, etc. Consultation et analyse CNIL Qualification de responsable de traitement/sous-traitant Intérêt de créer un régime spécifique applicable aux prestataires de cloud? Critères de rattachement pour détermination de la loi applicable? Quel encadrement des transferts de données? Quels risques spécifiques de sécurité? G29 : opinion du 1 er juillet 2012 Commission européenne : projet de réforme de la réglementation européenne de protection des données personnelles (projet de règlement du 25 janvier 2012)

35 Comment protéger les données mises dans le nuage? ULYS - 35 Qualification de responsable de traitement/sous-traitant Responsable du traitement : art. 3 Loi Informatique et Libertés «Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.» Sous-traitant : art. 35 Loi Informatique et Libertés «Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.»

36 Comment protéger les données mises dans le nuage? Qualification de responsable de traitement/sous-traitant ULYS - 36 Obligations du responsable : Veiller au respect constant des conditions posées à l article 6 de la Loi I&L Collecte loyale et licite; finalité déterminée, explicite et légitime, pas de traitement ultérieur incompatible; données adéquates, pertinentes et non excessives au regard des finalités; données exactes, complètes, mises à jour et effacées si besoin au regard des finalités; conservation pour la durée nécessaire. Assurer la sécurité des données en vertu de l article 34 de la Loi I&L : «Prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.» Renforcer la sécurité dans certains cas : données sensibles, transferts hors UE Contrôler le sous-traitant et ses sous-traitants, cf. art. 35 Loi I&L => Le responsable du traitement assume la responsabilité civile et pénale du traitement

37 Comment protéger les données mises dans le nuage? Qualification de responsable de traitement/sous-traitant ULYS - 37 Obligations du sous-traitant : art. 35 Loi I&L «Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.»

38 Comment protéger les données mises dans le nuage? ULYS - 38 Qualification de responsable de traitement/sous-traitant Quelle qualification dans le contrat de cloud? En théorie : client = responsable du traitement prestataire = sous-traitant Cependant, le simple fait que les données proviennent du client ne suffit pas pour faire le départ entre client/responsable et prestataire/sous-traitant : si le prestataire fournit des services supplémentaires, entraînant un traitement des données non contrôlé par le client NB : il peut y avoir plusieurs responsables de traitements sur une même donnée Risque de voir le prestataire obtenir la libre disposition des données Projet de règlement européen : régime légal de la sous-traitance

39 Comment protéger les données mises dans le nuage? ULYS - 39 Qualification de responsable de traitement/sous-traitant Consultation CNIL Prestataire de cloud présumé sous-traitant Faisceau d indices pour renverser la qualification (Extrait du document de consultation CNIL)

40 Comment protéger les données mises dans le nuage? ULYS - 40 Qualification de responsable de traitement/sous-traitant Réponses à la consultation CNIL fin 2011 Analyser en fonction de la nature de l offre cloud, non à partir d une présomption Nombreux cas d offres où le prestataire peut être considéré comme responsable du traitement Coresponsabilité source d insécurité juridique Analyse de la CNIL juin 2012 Procéder à un partage clair des responsabilités - extrait de la synthèse CNIL : Réutilisation des données par le prestataire pour une autre finalité est soumise aux conditions légales (information/consentement des personnes concernées, formalités CNIL, etc.) Rappel du projet de règlement européen du 25 janvier 2012

41 Comment protéger les données mises dans le nuage? ULYS - 41 Détermination de la loi applicable Article 5, I de la loi Informatique et Libertés : «I. - Sont soumis à la présente loi les traitements de données à caractère personnel : 1 Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ; 2 Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne. II. - Pour les traitements mentionnés au 2 du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.»

42 Comment protéger les données mises dans le nuage? ULYS - 42 Détermination de la loi applicable Critère moyens de traitement pertinent? Loi du responsable du traitement = choix considéré comme inapproprié, risque de forum shopping Critère du ciblage préconisé par CNIL et retenu dans projet de règlement (article 3 : application du droit UE aux responsables hors UE qui offrent des biens ou services à des personnes ayant leur résidence dans l Union)

43 Comment protéger les données mises dans le nuage? ULYS - 43 Transferts de données Qu est-ce qu un transfert de données? Circulation en UE : pas de conditions Transfert hors UE : Vers un pays assurant un niveau de protection adéquat Canada, Israël, Argentine, Suisse, Uruguay, Guernesey, Jersey, Ile de Man, Andorre, Iles Féroé pas de condition supplémentaire Vers un pays non adéquat (ex. USA) : interdiction, sauf l une des options suivantes : Autorisation de la personne concernée Exception art. 69 Signature des clauses contractuelles types Commission EUR Transfert hors UE vers pays non adéquat Transfert hors UE vers pays adéquat Circulation en FR ou en UE Participation du sous-traitant à un système de protection des données (Safe Harbour) Adoption de règles internes d entreprise imposées au sous-traitant («binding corporate rules» ou BCR)

44 Comment protéger les données mises dans le nuage? ULYS - 44 Transferts de données Consultation CNIL Problème : Multiplication des lieux de stockage des données Solution juridique : Encadrement juridique par la définition de clauses type et BCR sous-traitants Les acteurs du marché seraient en attente de reconnaissance de BCR sous- traitant Document de travail WP195 du 6 juin 2012 du G29 sur les BCR soustraitants ( 29/documentation/opinion-recommendation/files/2012/wp195_en.pdf) Solutions techniques, par exemple pour empêcher le transfert de données dans certains territoires (chiffrement, )

45 Comment protéger les données mises dans le nuage? La sécurité et le risque de fuite de données ULYS - 45 Les pertes de données trouvent leur origine dans plusieurs types de situations : attaques externes / défaillance du SI/ négligence humaine (erreurs ou négligences commises par des prestataires, des employés, des vols /pertes de PC, PDA )

46 Comment protéger les données mises dans le nuage? ULYS - 46 Le risque de fuite de données Fuites de données : Sujet émergent dans les réflexions des autorités de protection des données personnelles, en France et en Europe - Europe : La directive «vie privée et communications électroniques», mise à jour en 2009, prévoit des notifications en cas de violation de la sécurité via lesquelles tout fournisseur de communication ou de service Internet doit informer les individus à propos des violations commises s'agissant de leurs informations personnelles. - France : article 34 bis de la loi Informatique et Libertés - Allemagne : De plus en plus confrontée à des violations de la sécurité, l Allemagne a révisé ses règles de protection des données pour aller au-delà de la réglementation de l'ue. Etats-Unis : California Security Breach Notification Act depuis 2002

47 Comment protéger les données mises dans le nuage? ULYS - 47 Art. 34 bis de la loi du 6 janvier 1978 : Mesures d application dans décret n du 30 mars 2012 Application aux fournisseurs de SCE (opérateurs déclarés à l ARCEP) Application à toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques (SCE) Obligation de tenir à jour un inventaire des violations Procédure de notification : Mesures de protection appropriées mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée (schéma : CNIL

48 Comment protéger les données mises dans le nuage? ULYS - 48 Obligation sanctionnée pénalement Article du code pénal «Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de d'amende.»

49 Comment protéger les données mises dans le nuage? ULYS - 49 Les principales mesures de sécurité selon la CNIL Analyse de risques Chez le client Chez le prestataire Engagements de niveaux de service (cf. infra) Mesures de sécurité Recours au chiffrement, ou autres techniques («obfuscation», morcellement des données) Elaboration de références techniques sur la protection des données personnelles

50 Comment protéger les données mises dans le nuage? ULYS - 50 Données sensibles et réglementations particulières : Mesures de sécurité supplémentaires pour certains types de données, qui sont souvent des données personnelles (mais ces règles ne réservent pas leur application aux données personnelles) Données de santé qui nécessitent que l hébergeur soit agréé (art. L du code de la santé publique) Données traitées par les acteurs bancaires et des paiements : obligations de sécurité prévues au Règlement Réglementation de la lutte contre le blanchiment (art. L et suivants du code monétaire et financier) : informations confidentielles relatives aux déclarations de soupçons, etc. Professions réglementées et soumises au secret professionnel : par ex. avis du Conseil des barreaux européens (CCBE) sur l usage du cloud computing par les avocats, 7 septembre 2012 Obligations générales de conservation et d archivage de pièces comptables, justificatifs fiscaux, etc.

51 Comment protéger les données mises dans le nuage? ULYS - 51 Protection des données de valeur, qu elles soient personnelles, confidentielles ou non : La protection des données du client ne s arrête pas aux données personnelles : Informations soumise à un engagement contractuel de confidentialité Secrets d affaires Informations stratégiques Encadrer les conditions d exploitation /accès aux données sans limiter ces clauses aux données personnelles Prévoir les conséquences du risque de fuite de données : indemnisation, garantie vis-à-vis des tiers affectés, etc. Eviter autant que possible d attribuer un droit d utilisation des données chargées dans le cloud, au prestataire certains contrats peuvent prévoir une licence d utilisation au bénéfice du prestataire, du contenu faisant l objet d un droit de propriété intellectuelle

52 Comment protéger les données mises dans le nuage? Cas pratique n 1 ULYS - 52 La société MODERNE souhaite adapter son site de commerce en ligne au format smartphone. Pour cela, elle fait appel à la SSII EXPERTE qui est spécialisée dans le développement d applis smartphone. MODERNE donne un accès illimité à son système informatique à EXPERTE pour qu elle puisse réaliser tous les développements et tests nécessaires. EXPERTE utilise la plateforme de développement SUPERDEVELOPER de la société BIGDATA (société US). EXPERTE charge les données de MODERNE (sélectionnées au préalable) sur la plateforme SUPERDEVELOPER pour les besoins du développement du projet. L appli est livrée à MODERNE. MODERNE l exploite en direct via la plateforme SUPERDEVELOPER, sur laquelle elle reste hébergée. Questions : 1. Quels risques MODERNE encourt-elle en matière de protection des données? 2. Quelle précautions contractuelles lui préconiser?

53 Comment protéger les données mises dans le nuage? Cas pratique n 1 : analyse MODERNE EXPERTE RESPONSABLE DU TRAITEMENT SOUS-TRAITANT DE PREMIER NIVEAU RESPONSABILITE DE MODERNE: -Sécurité des données -Formalités CNIL -Droits des clients CONTRAT DE SOUS-TRAITANCE DE PREMIER NIVEAU : - Responsabilités et statuts respectifs des parties - Propriété des données - Exécution des instructions du responsable de traitement - Garanties : conformités des sous-traitants ultérieurs (BIG DATA), sécurité et confidentialité, notamment transferts US - Contraintes spécifiques (Model clauses, ) si transfert aux US ULYS - 53 BIG DATA SOUS-TRAITANT DE SECOND NIVEAU CONTRAT DE SOUS-TRAITANCE DE SECOND NIVEAU : -Contrat conclu avec EXPERTE et/ou MODERNE? -Assurer la reprise des clauses du contrat de sous-traitance principal

54 Comment protéger les données mises dans le nuage? ULYS - 54 Cas pratique n 1 : comment rédiger la clause relative aux données? Quelle analyse faites-vous de la clause suivante du contrat BIG DATA? «Le CLIENT est seul responsable des traitements mis en œuvre en exécution du présent contrat, y compris les transferts de données transfrontaliers, et de l accomplissement des formalités afférentes. Le CLIENT garantit au PRESTATAIRE que ces traitements ne le mettront pas en infraction aux lois ou règlements applicables en la matière. Le CLIENT reconnaît que le PRESTATAIRE n est pas en charge de valider les mesures prises par le CLIENT en matière de conformité aux lois et règlements en vigueur en la matière. Le CLIENT reconnaît toutefois que le PRESTATAIRE peut prendre les mesures qu il estime nécessaires, sans préjudice de la mise en cause de la responsabilité du CLIENT. Le CLIENT déclare que les mesures de sécurité prévues aux présentes sont conformes aux exigences légales et réglementaires. Le CLIENT reconnaît que le PRESTATAIRE ne met en œuvre aucune autre mesure de sécurité que celles qui sont prévues aux présentes. Toute mesure supplémentaire de sécurité fera l objet d un devis séparé. Le PRESTATAIRE informe le CLIENT en cas de demande d information de la part d une autorité judiciaire ou administrative compétente.»

55 ULYS - 55 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 1. Qu est-ce que le Cloud Computing? 2. Le Cloud Computing, un outil puissant et modulable mais non sans risques 3. Comment protéger les données mises dans le nuage? 4. Les clauses «techniques» et la sécurité 5. Les clauses «juridiques» et opérationnelles 6. Les documents contractuels

56 Quelles précautions prendre dans les contrats? ULYS - 56 Sécurité

57 Quelles précautions prendre dans les contrats? ULYS - 57 Définition des principes généraux de sécurité Les rôles et responsabilités des parties doivent être clairement définis afin de traiter efficacement les cas d incident pouvant aboutir à une perte ou une divulgation de données Il convient d intégrer le sous-traitant dans le périmètre de la sécurité de l entreprise (plan de sécurité des systèmes d information, plan de continuité d activité, etc.) En fonction du degré de sensibilité des données : Effacement Restitution des supports de stockage Destruction physique Faire une cartographie des risques (cf. recommandation n 3 de la CNIL) Cf. gestion des risques de sécurité selon consultation CNIL de 2011 Définir son propre référentiel (cf. recommandation n 2 de la CNIL) Faire une veille (cf. recommandation n 7 de la CNIL)

58 Quelles précautions prendre dans les contrats? ULYS - 58 Définition des droits d accès et sécurité Définir la politique de droits d accès : Personnes habilitées, information accessible, dispositifs d accès (identifiant+mot de passe), conservation des traces, surveillance et blocage des accès Sécuriser les accès : Niveaux de sécurité différents selon les informations (données bancaires, etc.) Dispositifs d accès élaborés : certificat électronique sur clé USB, carte, voire biométrie Transmissions sécurisées : cryptage des données Sécurisation de l hébergement Obligations du prestataire en cas d incident Alerte, rapport Articles à du code pénal relatifs aux fraudes informatiques Risque de surcoût en l absence d accord initial sur ces services + clause de confidentialité à la charge du prestataire Revoir la politique générale de sécurité de l entreprise (cf. recommandation n 6 de la CNIL)

59 Quelles précautions prendre dans les contrats? ULYS - 59 Installation technique et recette/mise en production Définition d un prérequis technique par le prestataire Adaptations préalables : paramétrages, voire développements propriétaires? Procédure de recette Livraison, migration des données et tests Signature par le client d un procès-verbal de recettes / recette implicite? Réserves du client + délai de correction

60 Quelles précautions prendre dans les contrats? ULYS - 60 Garanties opérationnelles Garanties relatives au service : disponibilité, performance, intégrité des données, etc. Garanties relatives aux process du prestataire : Qualification juridique Traitements en back office (cf. recommandation n 5 de la CNIL) Quel référentiel? Cf. projet de règlement européen du 25 janvier 2012

61 Quelles précautions prendre dans les contrats? ULYS - 61 Migration et réversibilité Objet : Migration Réversibilité : Ce que le client avait confié au fournisseur en début de contrat ou contenu enrichi de ce qui a été produit en cours de contrat? Quel format? Plan de migration / plan de réversibilité : un accord à part entière Définir le processus de transfert des données Le coût associé Le calendrier Spécificités réversibilité : Les événements déclencheurs : terme du contrat ou en cas de résiliation anticipée Sauvegardes régulières en cours de contrat? Peut engendrer un transfert de contrat du prestataire au client

62 Quelles précautions prendre dans les contrats? ULYS - 62 Exemple de clause de réversibilité : «Au terme du présent contrat, le prestataire s engage à transférer ses données au client dans les conditions prévues en annexe. Dans l hypothèse où le client ne demanderait pas la restitution de ses données dans les XXX mois à compter du terme du présent contrat, le prestataire détruira lesdites données.»

63 Comment s assurer un service sûr et de qualité? ULYS - 63 Plan d action qualité (PAQ) ou «service level agreement» (SLA) Objet : Définir un niveau normal de service L assistance utilisateurs Gérer les incidents ponctuels et les pannes Encadrer les interruptions de service par le prestataire pour les besoins de maintenance Prévoir des sauvegardes Outils de contrôle et sanction => Enjeu : obtenir des engagements de niveau de service précis sur la qualité, la sécurité => Prendre en compte le caractère évolutif du service : quelles conséquences sur la qualité de service en cas de forte hausse/variabilité des besoins? Utilité des référentiels type ANSSI pour la rédaction des politiques de sécurité des systèmes d information (PSSI) domaines : organisation de la sécurité, gestion des risques SSI, sécurité et cycle de vie, assurance et certification, aspects humains, planification de la continuité des activités, gestion des incidents, sensibilisation et formation, exploitation, aspects physiques et environnementaux, identification / authentification, contrôle d accès logique, journalisation, infrastructures de gestion des clés cryptographiques, signaux compromettants. (

64 ULYS - 64 Comment s assurer un service sûr et de qualité? Définition des indicateurs de la qualité Indicateurs de qualité : critères objectifs de mesure de la qualité Définir les critères de qualité prioritaires pour le projet Définir les notions Accessibilité/disponibilité Performance/temps de réponse/vitesse de transfert des données Sécurité (connexions sécurisées, authentification, ) Définir les critères de respect/violation : Définition des critères de respect différents selon le type d indicateur (par ex. temps de réponse aux requêtes : inférieur à X dans 90% des cas + inférieur à XX dans 95% des cas + toujours inférieur à XXX) Définition des incidents : mineur/majeur/bloquant, notamment en fonction de la gravité et de la durée de l incident

65 ULYS - 65 Comment s assurer un service sûr et de qualité? Assistance utilisateurs Définir les droits d accès au service d assistance Assistance lors de la mise en œuvre / formation Assistance en cas d incident Escalade : remontée des incidents en fonction de la gravité

66 ULYS - 66 Comment s assurer un service sûr et de qualité? Contrôle de la qualité Définir des outils et procédures de contrôle : Bilans périodiques de qualité (reddition de comptes par le prestataire) Audit annuel Recours à un tiers vérificateur Mettre en place une gouvernance pour un suivi régulier : réunions périodiques, procédures de remontée d informations => Attention à ne pas modifier les obligations contractuelles des parties dans le cadre des discussions

67 ULYS - 67 Comment s assurer un service de qualité maximale? Qualité : sanctions et incitations Définition de sanctions en cas de non-respect et gradation Sanction de premier niveau : pénalités, rabais mensuels, etc. => clauses pénales Second niveau : inexécution contractuelle Résiliation du contrat et mise en cause de la responsabilité du fournisseur Conditions de mise en œuvre Fréquence mensuelle/trimestrielle/annuelle/ Personne décisionnaire, information + droit d opposition, Franchise, plafond, en fonction du volume de données traitées ou de facturation, etc. Possibilité de prévoir des objectifs assortis de primes ou bonus

68 ULYS - 68 Comment s assurer un service sûr et de qualité? Qualité : répondre à l urgence Prendre en compte les incidents signalés Qualifier l incident : mineur majeur bloquant Respecter le délai maximum d intervention Mettre en œuvre une solution temporaire : Basculement sur serveur de secours, etc. Respecter le délai maximal de rétablissement

69 Quelles précautions prendre dans les contrats? ULYS - 69 Responsabilité du prestataire Préqualifier le prestataire de cloud de professionnel du secteur Le prestataire ne peut être tenu responsable des défaillances ou insuffisances causées par le système d information du client cf. obligation de conseil du prestataire versus obligation de s informer du client Vigilance sur les exclusions de responsabilités : éviter toute préqualification des dommages (par ex. qualification comme dommage indirect de toute perte de chiffre d affaire ou préjudice d image), toute exclusion de responsabilités en cas de perte de données, etc. Vigilance sur les clauses limitatives de responsabilité : cf. jurisprudence Faurecia, pas de pondération par le juge en cas de limitation de responsabilité très basse en faveur du prestataire informatique

70 Quelles précautions prendre dans les contrats? ULYS - 70 Exemple de clause de responsabilité «Le prestataire est soumis à une obligation de moyens. La responsabilité du prestataire ne pourra être recherchée et aucune indemnisation ne sera due au client : dans le cas où les dommages invoqués par le client résulteraient d une inexécution, totale ou partielle, des obligations du client ou d un tiers ; dans le cas où les dommages invoqués par le client résulteraient d une utilisation de la Plateforme non conforme à la documentation de référence ; au titre des dommages indirects, tels que perte de données, perte d exploitation, perte de chiffre d affaires, perte d image ou de réputation ; En cas de force majeure, comprise comme tout événement imprévisible rendant plus coûteuse l exécution de ses obligations par le prestataire, y compris les tremblements de terre, incendies, crues ou inondations, tempêtes, sans que cette liste soit limitative. En cas d'indisponibilité de la Plateforme liée à une cause dont le prestataire assume la responsabilité, le client ne sera fondé à réclamer la réparation d'un éventuel dommage que pour autant que l'indisponibilité de la Plateforme ait duré, pendant les jours ouvrables et de manière continue, pendant XXX heures après la notification de l incident au prestataire. En toute hypothèse, la responsabilité du prestataire est plafonnée à un montant égal à XXX% des sommes (annuellement payées au prestataire/stipulées au contrat) par le client en exécution du présent contrat.»

71 Comment protéger les données mises dans le nuage? ULYS - 71 Cas pratique n 2 En équipes La SSII SUPERDEVELOPER fournit un certain nombre d applications à la société NOMADE. De plus en plus de salariés de NOMADE réclament un accès léger à distance à l intranet de la société, pour pouvoir accéder facilement aux documents de l entreprise et à leurs s lorsqu ils ne sont pas devant leur ordinateur fixe au bureau. NOMADE charge donc SUPERDEVELOPER de cette mission de développement et de maintenance associée. Equipe NOMADE : Quelles exigences NOMADE devrait-il faire valoir? NB: Selon les exigences, il pourrait être nécessaire que NOMADE fournisse des informations sur ses besoins. Dans ce cas, il convient de préciser quelles informations. Equipe SUPERDEVELOPER : Quel encadrement SUPERDEVELOPER devrait-il opposer?

72 ULYS - 72 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 1. Qu est-ce que le Cloud Computing? 2. Le Cloud Computing, un outil puissant et modulable mais non sans risques 3. Comment protéger les données mises dans le nuage? 4. Les clauses «techniques» et la sécurité 5. Les clauses «juridiques» et opérationnelles 6. Les documents contractuels

73 Quelles précautions prendre dans les contrats? ULYS - 73 Objet du contrat, conditions d exécution et obligations du prestataire Plus les services/ressources sont identifiés et caractérisés, plus le prestataire est tenu de respecter ces caractéristiques dans le cadre d une obligation de résultat Définir les termes techniques, l espace mis à disposition, les conditions d accès au serveur Enumérer les services prestés par le fournisseur, détailler leurs caractéristiques : traitement et sauvegarde des données, format Combinaison avec l obligation de conseil : choix des équipements, des ressources, etc. Préciser les conditions d exécution par le prestataire La prestation de cloud peut être fournie par un pool de sous-traitants derrière le prestataire principal Mentionner les partenaires du fournisseur et l éventuel recours à des sous-traitants, indispensable en cas de sous-traitance des traitements de données particulières : personnelles, sensibles, etc. (cf. infra) Le prestataire doit demeurer intégralement responsable de l exécution des prestations => Vigilance sur les modifications décidées par le prestataire sans accord préalable du client : prestations, prix, niveau de service, emplacements serveurs, etc.

74 Quelles précautions prendre dans les contrats? ULYS - 74 Objet du contrat, conditions d exécution et obligations du prestataire Obligations Répartir les obligations de moyen/de résultat en fonction des niveaux de service Obligation de résultat pour un cloud privé (ou partie privée), de moyen pour un cloud public (ou partie publique) Obligation d information en cas d écart par rapport au référentiel de conformité alertes Obligations financières : Assurance Garantie financières : Prévoir une garantie maison mère ou une garantie bancaire à première demande en cas d envoi d informations sensibles dans le cloud

75 Quelles précautions prendre dans les contrats? ULYS - 75 Durée Durée courte : permet de renégocier Durée longue : permet de mettre à disposition des ressources plus importantes, compte tenu de l amortissement plus long => Souvent, la durée du contrat s allonge avec l importance des services/ressources allouées au client Combinaisons : Période initiale fixe : souvent longue (de l ordre de 36 mois) Périodes de renouvellement fixes / renouvellement à durée indéterminée Vigilance sur la durée du contrat car conséquences sur la faculté de résiliation et son indemnisation Jugement du tribunal de commerce de Paris, 12 juillet 2011, Risc Group IT solutions / Poweo : reconnaissance la mobilisation de ressources pour le client, et du préjudice causé au prestataire par la rupture ; condamnation du client à 100 % de l indemnité contractuelle prévue (montant des mensualités jusqu au terme prévu)

76 Quelles précautions prendre dans les contrats? ULYS - 76 Prix Coût du service / des services associés : traitements supplémentaires, formation, etc. Intégrer dans les coûts les interventions des partenaires du prestataire (éditeurs de logiciels, etc.) Quelle évolution des prix en cas de montée en charge/forte évolution de l utilisation du cloud par le client? Exemple de clause : «En cas d augmentation de l espace disque nécessaire à l hébergement des données du client, le client accepte que le prestataire lui alloue, dès qu elle aura connaissance de ladite nécessité, selon le tarif figurant à l'annexe du présent contrat, l espace disque supplémentaire nécessaire et l avertisse parallèlement du changement de facturation relativement à l hébergement.» Mettre en place des outils de mesure des coûts Anticiper le coût de la réversibilité Paiement du prix à combiner avec les éventuelles compensations à opérer (pénalités, notamment)

77 Quelles précautions prendre dans les contrats? ULYS - 77 Propriété intellectuelle L accès à des applications à distance ne dispense pas de l obligation d obtenir une licence Si le prestataire n est pas titulaire originaire des DPI sur l application, le prestataire doit garantir qu il détient les droits pour les besoins du contrat : Le prestataire a le droit de concéder des sous-licences d utilisation et d adaptation si nécessaire (paramétrages, éventuellement développements propriétaires) Le droit du prestataire dure suffisamment longtemps (plus que la durée initiale du contrat) Prévoir une garantie d éviction dans les termes prévus par la loi (ne pas réduire la garantie accordée) Prévoir les solutions en cas de défaillance de l éditeur tiers : pouvoir accéder aux codes sources, etc.? Eviter d avoir à conclure des licences séparées avec les éditeurs Le client ne dispose d aucun autre droit que le seul droit d usage

78 Quelles précautions prendre dans les contrats? ULYS - 78 Exemple de clause de propriété intellectuelle «Le prestataire déclare être titulaire de l intégralité des droits de propriété intellectuelle portant sur l Application et est régulièrement titulaire des droits d utilisation et/ou d exploitation portant sur les logiciels tiers nécessaires à son fonctionnement. Pour la durée de la présente convention, le prestataire concède au client un droit d accès et d utilisation non exclusif et incessible de l Application, dont seuls les utilisateurs enregistrés peuvent bénéficier. La présente convention ne confère au client aucun droit de propriété intellectuelle sur l Application qui demeure la propriété entière et exclusive du prestataire. Le client s engage à ne pas porter atteinte, directement ou indirectement, aux droits du prestataire et à prendre toutes mesures nécessaires pour assurer le respect de son droit de propriété sur l Application; il se porte fort pour ses utilisateurs enregistrés.»

79 Quelles précautions prendre dans les contrats? ULYS - 79 Résiliation Envisager les cas de résiliation anticipée Résiliation pour cause de faute d une des parties Résiliation d une convention à durée indéterminée Résiliation contrat cadre/convention particulière : contrats détachables ou ensemble contractuels indivisible? Décrire les conditions de mise en œuvre : Notification, délai, forme, adresse, etc. Définir les conséquences de la résiliation et les coûts associés : Sort des données, mise en œuvre de la clause de réversibilité, blocage des accès et délai Paiement d une indemnité Exemple de clause de résiliation : «En cas de manquement par l une des parties aux obligations prévues aux termes de la présente convention, non réparé dans un délai de 30 jours à compter d une lettre recommandée avec accusé de réception notifiant les manquements à l autre partie, la partie notifiante pourra faire valoir la résiliation de la présente convention sous réserve de tous les dommages et intérêts auxquels elle pourrait prétendre.» => A combiner avec les autres clauses : réversibilité, garanties, données, etc. + les stipulations de la documentation annexe, éventuellement clause de suspension

80 Quelle loi appliquer au contrat de Cloud Computing? ULYS - 80 Loi du contrat et juge compétent Au sein de l Union européenne : Loi applicable Clause spécifique du contrat désignant la loi applicable A défaut, application du Règlement n 593/2008 du 17 juin 2008 dit Rome 1 : «le contrat de prestation de services est régi par la loi du pays dans lequel le prestataire de services a sa résidence habituelle» (art. 4, b)) Juridiction compétente: Règlement (CE) n 44/2001: Juridiction compétente = celle de l Etat membre dans lequel le demandeur a son domicile Hors UE : Que se passe-t-il lorsque le prestataire et/ou les serveurs sont hors UE (notamment US), voire dans plusieurs pays? Question de l application du Patriot Act aux Etats-Unis Application des lois de police Loi I&L : la loi française s applique au responsable de traitement résidant en France ou résidant hors UE et qui a recours à des moyens de traitement situés en France (art. 5 Loi I&L) Réglementation anti-blanchiment : s applique aux activités exercées en France des prestataires assujettis en vertu de la loi FR (harmonisation européenne)

81 ULYS - 81 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 1. Qu est-ce que le Cloud Computing? 2. Le Cloud Computing, un outil puissant et modulable mais non sans risques 3. Comment protéger les données mises dans le nuage? 4. Les clauses «techniques» et la sécurité 5. Les clauses «juridiques» et opérationnelles 6. Les documents contractuels

82 Quelles précautions prendre dans les contrats? ULYS - 82 Phase précontractuelle processus de négociation Non applicable aux offres cloud standard et non négociables Du premier contact jusqu à la signature du contrat Pour éviter l engagement contractuel avant d avoir finalisé la négociation sur tout le contrat : les parties indiquent sur chaque document «sans engagement de notre part»/conditionnent leurs engagements Possibilité de rédiger des accords préalables, par ex. Lettre d intention : engagement à valeur contractuelle de continuer la négociation Accord de principe : engagement à valeur contractuelle sur certains éléments contractuels Possibilité de donner accès à de l information confidentielle sous couvert d un engagement de confidentialité Faire entrer les échanges précontractuels dans le champ contractuel/insérer dans le contrat une clause des quatre coins?

83 Quelles précautions prendre dans les contrats? ULYS - 83 Phase précontractuelle obligation de conseil du prestataire versus information du client Importance de la rédaction du préambule du contrat Intérêt du client : que le prestataire s engage sur les besoins du client tels que définis dans son cahier des charges Exemple de formulation : «Le prestataire déclare être un spécialiste du Cloud et, après avoir pris connaissance des besoins du client exprimés dans le cahier des charges et complétés au cours des échanges préalables à la signature des présentes, a proposé au client les services tels que décrits» Intérêt du prestataire : que le client s engage sur le document de référence du prestataire décrivant son offre Exemple de formulation du préambule: «Le client déclare être parfaitement informé de l offre du prestataire pour avoir pris connaissance de manière complète et précise des caractéristiques des services proposés aux termes du document de référence qui lui a été remis. Il a obtenu toutes informations complémentaires du prestataire, qui a répondu à toutes ses questions. Disposant de l ensemble de l information utile, le client déclare que la solution est conforme à ses besoins»

84 Quelles précautions prendre dans les contrats? ULYS - 84 Phase précontractuelle définition des besoins du client Rédaction d un cahier des charges délimitant les attentes du client Permet de préciser le périmètre de l obligation de conseil du prestataire par rapport à l information en sa possession Audit technique et juridique préalable? Check list : Matériel : identification, maintenance et renouvellement, taux de charge des équipements, état des incidents, solutions de secours, etc. Applications : fonctionnalités, versions et mises à jour, évolutions, corrections, documentation, conditions de licence (accès? développements propriétaires/spécifiques?...), garantie, procédures de sauvegarde et de sécurité, etc. Réseau et organisation : configuration, situation géographique, sécurisation, volumétrie et prévisionnel, heures d ouverture du service et conditions d accès, etc. Ne pas se limiter à une définition fonctionnelle des besoins, mais intégrer les standards techniques attendus de qualité, sécurité, performance, disponibilité, etc. destinés à constituer le référentiel qualité (PAQ) + Prendre en compte le caractère évolutif de la prestation Cloud : pouvoir faire évoluer les besoins et les attentes du client

85 Quelles précautions prendre dans les contrats? ULYS - 85 Documentation contractuelle => Un ou plusieurs contrats? Contrat simple régissant l ensemble des prestations ou ensemble contractuel : contrat cadre et conventions particulières par service résiliables indépendamment les unes des autres Quelle intégration de la documentation précontractuelle? Quelle intégration des documents échangés en cours d exécution (comités de pilotage, etc.)? Modèles de clauses contractuelles proposés par la CNIL dans sa recommandation du 25 juin 2012 Système de remontée de plaintes et de failles de sécurité Description des moyens de traitement du prestataire Sous-traitance Droits des personnes concernées Conservation, restitution, destruction des données Coopération avec les autorités, audits Localisation et transferts Formalités Politique de sécurité et confidentialité, etc.

86 Quelles précautions prendre dans les contrats? ULYS - 86 Documentation Quelle valeur contractuelle? La documentation est-elle rédigée en français? Cf. loi n du 4 août 1994 relative à l'emploi de la langue française («loi Toubon») Documents à destination des salariés : art. L du code du travail : «Le règlement intérieur est rédigé en français. Il peut être accompagné de traductions en une ou plusieurs langues étrangères. Il en va de même pour tout document comportant des obligations pour le salarié ou des dispositions dont la connaissance est nécessaire pour l'exécution de son travail. Ces dispositions ne sont pas applicables aux documents reçus de l'étranger ou destinés à des étrangers.» Documents à destination du public : art. 2, alinéa 1 de la loi Toubon : «Dans la désignation, l'offre, la présentation, le mode d'emploi ou d'utilisation, la description de l'étendue et des conditions de garantie d'un bien, d'un produit ou d'un service, ainsi que dans les factures et quittances, l'emploi de la langue française est obligatoire.» Quels droits de propriété intellectuelle (DPI) sur la documentation? Enjeu : quelles conditions d accès, de reproduction, de communication à des soustraitants, etc.?

87 Comment protéger les données mises dans le nuage? Cas pratique n 3 Présentation d exemples de documentation ULYS - 87 Passage en revue de la documentation contractuelle relative à des services de cloud gratuit sur Internet, non reproduits sur le présent support.

88 ULYS - 88 Merci! ULYS, un Cabinet d avocats moderne et humain au service de l innovation France 33 rue Galilée Paris Téléphone:+ 33 (0) Fax:+ 33 (0) Belgique 224 avenue de la Couronne 1050 Bruxelles Téléphone:+ 32 (0) Fax:+ 32 (0)