La normalisation au cœur des pratiques contractuelles d externalisation Avec : Madame Marie-Noelle Gibon, Cil groupe La Poste Monsieur Serge Yablonsky, président de SYC Consultants Copyright Lexing 2013 Confidentiel Entreprise 1
Introduction Les périmètres de l infogérance globale au cloud public Le cadre contractuel des contrats complexes aux contrats d adhésion La polysémie de la norme technique à la norme juridique L actualité des clouds souverains à la normalisation internationale Copyright Lexing 2013 Confidentiel Entreprise 2
Plan 1. Concepts 2. Typologie 3. Force obligatoire 4. Gestion contractuelle Copyright Lexing 2013 Confidentiel Entreprise 3
1. Concepts 1. Définitions 2. Principes 3. Acteurs 4. Norme et Droit Copyright Lexing 2013 Confidentiel Entreprise 4
1.1 Définitions (1) Les normes ISO/CEI / NF EN 45020 : Document établi par consensus et approuvé par un organisme reconnu, qui fournit, pour des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques, pour des activités ou leurs résultats, garantissant un niveau d'ordre optimal dans un contexte donné. CMMI : Exigences formelles obligatoires, développées et utilisées pour prescrire des approches cohérentes d une acquisition, d un développement ou d un service L externalisation AFNOR Z 67 801-1 : L'infogérance est un service défini comme le résultat de l'intégration d'un ensemble de services élémentaire, visant à confier à un prestataire informatique tout ou partie du système d'information du client dans le cadre d'un contrat pluriannuel, à base forfaitaire, avec un niveau de service et une durée définis. Syntec : le facilities management (Infogérance) est la prise en charge partielle ou totale de la fonction informatique d'une entreprise. La SSII peut reprendre avec ou sans délocalisation, tout ou partie des ressources informatiques (ordinateurs, logiciels, équipes, locaux d'une entreprise) pour assurer la gestion de l'activité informatique correspondante dans le cadre d'une relation pluriannuelle avec un engagement sur les résultats. Copyright Lexing 2013 Confidentiel Entreprise 5
1.1 Définitions (2) Les notions voisines : Référentiel (SI) : Ensemble structuré de recommandations ou de bonnes pratiques utilisées pour le management du système d'information, et constituant un cadre commun aux directions des systèmes d'information. Standard : référentiel publié par une entité privée autre qu un organisme de normalisation national ou international ou non approuvé par un de ces organismes pour un usage national ou international. Exemples : Itil (une étanchéité relative ), Cobit, guides, escm, SAS Deux standards de câblage qui sont définis par Electronic Industry Association/Telecommunications Industry Association. Copyright Lexing 2013 Confidentiel Entreprise 6
1.2 Principes Des principes communs Transparence Ouverture Impartialité Consensus Efficacité Pertinence Cohérence Types de normes : - Normes fondamentales - Normes de spécifications - Normes d'analyse et d'essais - Normes d'organisation Copyright Lexing 2013 Confidentiel Entreprise 7
1.3 Acteurs Des organismes de normalisation internationaux (ATSM International, CEI, ISO ) européens (CEN ) nationaux (Afnor ) Des organismes accréditeurs (Cofrac (1)) Des organismes certificateurs Les pouvoirs publics Les opérateurs économiques (1) Décret 2008-1401 du 19 décembre 2008 relatif à l accréditation et à l évaluation de conformité pris en application de l article 137 de la loi n 2008-776 du 4 août 2008 de modernisation de l économie Copyright Lexing 2013 Confidentiel Entreprise 8
1.4 Norme et Droit K E L S E N Constitution Normes internationales et européennes Lois Règlements Arrêtés Coutume Normes & standards Selon Hans Kelsen (1881-1973) Copyright Lexing 2013 Confidentiel Entreprise 9
2. Typologie 1. Les incontournables 2. Les spécifiques 3. Les sectorielles Copyright Lexing 2013 Confidentiel Entreprise 10
2.1 Les incontournables (1) ISO 20000 ISO 27000 Copyright Lexing 2013 Confidentiel Entreprise 11
2.1 Les incontournables (2) CobiT Copyright Lexing 2013 Confidentiel Entreprise 12
2.1 Les incontournables (3) ITIL V3 Copyright Lexing 2013 Confidentiel Entreprise 13
2.1 Les incontournables (4) CMMI Copyright Lexing 2013 Confidentiel Entreprise 14
2.1 Les incontournables (5) escm Copyright Lexing 2013 Confidentiel Entreprise 15
2.2 Les spécifiques Norme publiée NF EN 15221 : Facilities management Normes en cours de validation PR NF EN 15221 : Facilities management Termes et définitions Normes à l étude ISO 18480-1 : Facilities management Partie 1 : Termes et définitions (Octobre 2015) ISO 37500 : Outsourcing (Décembre 2014) ISO 18480-2 : Facilities management Partie 2 : Lignes directrices sur la façon d élaborer des accords de facilities management (Octobre 2015) Copyright Lexing 2013 Confidentiel Entreprise 16
2.3 Les sectorielles Santé IHE & interopérabilité Assurance Maladie Noémie Quelques exemples Banque CFONB & moyens de paiements Monétique Conseil des normes de sécurité PCI Données personnelles CNIL Administration ANSSI & RGS Confidentiel Entreprise 17
3. Force obligatoire 1. Processus d élaboration 2. Principes d application 3. Critères de rattachement 4. Sanctions Copyright Lexing 2013 Confidentiel Entreprise 18
3.1 Processus d élaboration ISO : Stade préparation: Groupe de travail Stade comité : Industriel, associatif, gouvernemental, ONG, universitaires Stade enquête : Observations et vote des comités nationaux Stade approbation et publication Stade proposition Copyright Lexing 2013 Confidentiel Entreprise 19
3.2 Principes d application Le principe règlementaire : «Les normes sont d'application volontaire. Toutefois, les normes peuvent être rendues d'application obligatoire par arrêté signé du ministre chargé de l'industrie et du ou des ministres intéressés.» (Décret n 2009-697 du 16 juin 2009 relatif à la normalisation, art. 17) Le principe d adhésion : collectif ou individuel L exception de l application obligatoire : essentiellement la sécurité physique Copyright Lexing 2013 Confidentiel Entreprise 20
3.3 Critères de rattachement (1) Le contrat Exprès : la norme est visée par le contrat les clauses générales préambule documents contractuels & hiérarchie audit les clauses spécifiques les documents de référence (CC, proposition ) Implicite : la norme est subsidiaire et supplétive Copyright Lexing 2013 Confidentiel Entreprise 21
3.3 Critères de rattachement (2) «Ce qui est ambigu s'interprète par ce qui est d'usage dans le pays où le contrat est passé» (art. 1159 du Code civil) «On doit suppléer dans le contrat les clauses qui y sont d'usage, quoiqu'elles n'y soient pas exprimées» (art. 1160 du Code civil) Copyright Lexing 2013 Confidentiel Entreprise 22
3.4 Sanctions Responsabilité contractuelle Qualification de l obligation & preuve Préjudice Lien de causalité Limitations Règlementaires Commerciale : image de marque & réputation Copyright Lexing 2013 Confidentiel Entreprise 23
4. Gestion contractuelle 1. Les normes chez.. 2. Application 3. Internationalisation 4. Les autres référentiels Copyright Lexing 2013 Confidentiel Entreprise 24
4.1 Les normes chez (1) - les fournisseurs et prestataires - «Certifications et audits : Microsoft institue et convient de maintenir une politique relative à la sécurité des données conforme à la série des normes ISO/IEC 27000, au code des meilleures pratiques ISO/IEC 27002 en matière de gestion de la sécurité de l'information et aux normes ISO 27001 dans le cadre de la mise en place, de l'implémentation, du contrôle et de l'amélioration du système de gestion de la sécurité de l'information» (http://www.microsoft.com/online/legal/v2/frfr/mos_mosa_privacy_statement.htm) - «Pour améliorer encore plus les normes de sécurité et la protection offertes à ses clients, IBM a franchi les étapes nécessaires pour obtenir une certification ISO 27001. Le cadre fourni par la norme ISO 27001 assure que l'organisation certifiée se préoccupe des exigences en matière de sécurité de ses clients.» (http://www-935.ibm.com ) «L approche d Atos Worldline, validée par l expérience et par le respect de l état de l art, prend en compte le modèle OAIS (norme ISO 14721:2003) pour l archivage long terme, les recommandations du MoReq2 comme le plan de classement, et respecte les exigences de la norme NF Z42-013:2009 / ISO 14641-1:2012. La réversibilité et l interopérabilité vous sont garanties par l utilisation d outils Open Source et de standards reconnus du marché comme le PDF-A et les formats XML (signature XAdES, fichier de métadonnées METS).» (http://www.atosworldline.com/ext/download/portfolio/fr/expertise/fiche- Dematerialisation_LD.pdf) ( Copyright Lexing 2013 Confidentiel Entreprise 25
4.1 Les normes chez (2) - 4.1.1 les utilisateurs - l expérience de La Poste - 4.1.2 et les auditeurs & consultants - référentiel de travail, tests et rapports - référentiel de bonnes pratiques Copyright Lexing 2013 Confidentiel Entreprise 26
4.1.1 Les normes chez les utilisateurs (1) Métiers DG Prestataires Collaborateurs Environnement REFERENTIELS
4.1.1 Les normes chez les utilisateurs (2) CMMI ONU ISO 20000 ITIL 2003 2006 COBIT escm Six Sigma 2005 2007 ONU ISO 9001 ONU 2003 ISO 27001 ISO 27002 BS 17799 EFQM Certification entité Certification individuelle 28 CO NFI DE
4.1.1 Les normes chez les utilisateurs (3) Un référentiel est un modèle : il ne décrit pas toute la réalité Le référentiel est un guide: Il définit le Quoi Il ne définit pas le comment Le respect du modèle n est pas une fin en soi : les objectifs de l entreprise doivent prévaloir 29
4.1.2 Les normes chez les auditeurs (1) le référentiel de travail ISAE 3402 (SAS70) est une norme internationale d audit (International Standard on Assurance Engagement) : c est le standard de référence pour apprécier les prestations de tiers. Une clause ISAE 3402 existe dans les grands contrats d externalisation : applicable pour tous types d externalisation (IT ou non IT) Des avantages pour les utilisateurs comme pour les prestataires : Un seul auditeur chez le prestataire Un engagement du prestataire Une évaluation du contrôle interne par des professionnels Copyright Lexing 2013 Confidentiel Entreprise 30
4.1.2 Les normes chez les auditeurs (2) le référentiel de travail Un rapport de type 1 : attestation de l existence d un contrôle interne adapté Un rapport de type 2 : attestation de l efficacité du contrôle interne (évaluation réalisée pendant 6 mois) Copyright Lexing 2013 Confidentiel Entreprise 31
4.1.2 Les normes chez les auditeurs (3) le référentiel de bonnes pratiques Sélection contractuelle du référentiel le plus adapté. Dans le cas d externalisation de prestations informatiques, escm est le référentiel dédié, conforme à CobiT etc Une des grandes forces de escm est sa description très opérationnelle des bonnes pratiques pour le prestataire comme pour le client. Copyright Lexing 2013 Confidentiel Entreprise 32
4.1.2 Les normes chez les consultants Des exemples: Dans les appels d offres, référence à escm pour la gestion des relations, la répartition des rôles et la référence à l esprit du contrat Dans les appels d offres et les contrats, référence à ITIL pour la mesure des engagements de qualité Dans les propositions, engagement de respect de escm Copyright Lexing 2013 Confidentiel Entreprise 33
4.2 Application Les outils - PAQ et PQP - PAQ = mécanisme ex ante destiné à prévenir des non qualités - PQP = mécanisme ex post destiné à contrôler la qualité de service - Ex : comité de pilotage pour vérifier la qualité de la prestation et prendre des mesures correctives - Assurance qualité sur client - Contractualisation (au début où à partir de la validation) - Norme ISO 9001:2000 - Gouvernance Copyright Lexing 2013 Confidentiel Entreprise 34
4.3 Internationalisation - Un constat partagé : - une crainte universelle : des données de l'entreprise hébergées «ailleurs» et contrôlées par des acteurs non locaux - des acteurs mondiaux et des écosystèmes juridiques très variés - Ex : selon l AFNOR, «portée avec force par la Chine et la Corée du Sud, candidates pour héberger les données et les applications de la planète, la normalisation ISO du Cloud Computing est étroitement mais diplomatiquement surveillée par les grands acteurs du logiciel et du matériel». - Ex : CDMI (interopérabilité cloud) devenu ISO CEI 17826 (oct. 2012) - La norme : nouvel et principal outil de régulation juridique? Copyright Lexing 2013 Confidentiel Entreprise 35
4.4 Et les autres références? - Livres blancs : - Cigref et Cloud - Chartes - Syntec-Cigref Infogérance et TMA (2004) - Guides - Ex : Guide ANSSI sur les risques de l infogérance (2012) Copyright Lexing 2013 Confidentiel Entreprise 36
5 Conseils 1. Adopter une charte interne 2. Référencer les normes sectorielles 3. Etudier les normes annoncées 4. Piloter à l aide des normes 5. Adopter une veille normative Copyright Lexing 2013 Confidentiel Entreprise 37
Le bonheur est dans le binaire Questions - Réponses Copyright Lexing 2013 Confidentiel Entreprise 38
Informations ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è Tél. : 33 1 41 33 35 35 Fax : 33 1 41 33 35 36 paris@alain-bensoussan.com www.alain-bensoussan.com @AB_Avocats Jean-François Forgeron L.D. : 33 1 41 33 35 02 Mob. : 33 6 86 28 10 43 jean-francois-forgeron@alain-bensoussan.com @A_Bensoussan Lexing est une marque déposée par Alain Bensoussan Selas Copyright Lexing 2013 Confidentiel Entreprise 39
Crédits http://www.print-platinium.fr; http://www.samomoi.com; www.silicon.fr Networking Scott Maxwell-Fotolia.com informatique data room réunion BEI 4676344 World with a heap of packages Franck Boston-Fotolia.com informatique internet monde BEI 4688010 Networking Scott Maxwell-Fotolia.com informatique data room réunion BEI 4676344 Gps navigator Sergey Eshmetoy-Fotolia.com BEI 4648699.jpg www.probil.com (iso20000) Copyright Lexing 2013 Confidentiel Entreprise 40
Prochain petit déjeuner «Déployer le télétravail : les clés d une stratégie juridique gagnante» Emmanuel Walle, directeur du département Droit du travail numérique Le 15 mai 2013 10/04/2013 Copyright Lexing 2013 Confidentiel Entreprise 41