Le contrat Cloud : plus simple et plus dangereux



Documents pareils
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

QU EST CE QUE LE CLOUD COMPUTING?

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Sommaire. AIDAUCLIC BACKUP : Solution de sauvegarde en ligne 3. Quelles problématiques résout la solution? 3. Fonctionnement de la solution 4

Revue d actualité juridique de la sécurité du Système d information

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

Contractualiser la sécurité du cloud computing

MEYER & Partenaires Conseils en Propriété Industrielle

Cycle de conférences sur Cloud Computinget Virtualisation. Le Cloud et la sécurité Stéphane Duproz Directeur Général, TelecityGroup

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Co-animés par Helle Frank Jul-Hansen, Béatrice Delmas-Linel et David Feldman

Notre expertise au cœur de vos projets

Les Fiches thématiques Services et Logiciels à distance Cloud Computing, ASP, SaaS

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

Les services d externalisation des données et des services. Bruno PIQUERAS 24/02/2011

Quelles assurances proposer? Focus sur le cloud computing

Traitement des Données Personnelles 2012

Cloud Computing, discours marketing ou solution à vos problèmes?

Livre blanc Compta La dématérialisation en comptabilité

Etude des outils du Cloud Computing

Pourquoi OneSolutions a choisi SyselCloud

Le Réseau Social d Entreprise (RSE)

Sécurité du cloud computing

Le nuage : Pourquoi il est logique pour votre entreprise

Sommaire. Le marché du cloud avec un focus sur la France. Les conséquences de l adoption du cloud

Backup. Solution de sauvegarde en ligne pour les professionnels LE PARTENAIRE SECURITE DE VOTRE ENTREPRISE!

Cloud Computing et SaaS

Les dessous du cloud

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Qu est ce qu une offre de Cloud?

Architectures informatiques dans les nuages

neobe Backup Tel service de télésauvegarde informatique LE PARTENAIRE SECURITE DE VOTRE ENTREPRISE

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

Cloud computing Votre informatique à la demande

Recommandations sur le Cloud computing

Cloud computing ET protection des données

Comment formaliser une offre Cloud Computing vendable?

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Sécurité des entrepôts de données dans le Cloud Un SaaS pour le cryptage des données issues d un ETL

Qu est ce qu une offre de Cloud?

SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

Les clauses sécurité dans un contrat de cloud

EXIN Cloud Computing Foundation

informatique internet télécommunications

La sécurité des données hébergées dans le Cloud

CONDITIONS PARTICULIERES

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

L'infonuagique, les opportunités et les risques v.1

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Livre blanc. SaaS : garantir le meilleur niveau de service. (2e partie)

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Législation et droit d'un administrateur réseaux

Les clauses «sécurité» d'un contrat SaaS

Hébergement MMI SEMESTRE 4

L infonuagique démystifiée LE CLOUD REVIENT SUR TERRE. Par Félix Martineau, M. Sc.

10 bonnes pratiques de sécurité dans Microsoft SharePoint

HÉBERGEMENT CLOUD & SERVICES MANAGÉS

Cahier des Clauses Techniques Particulières

100% Swiss Cloud Computing

HEBERGEMENT SAGE PME Cloud Computing à portée de main

CHAPITRE 1 : LA PROFESSION COMPTABLE

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Cloud Computing Quels risques juridiques pour les banques?

Mes logiciels d'entreprise dans le Cloud. Didier Gabioud

CCI YONNE ATELIER ENP 14 NOVEMBRE Je veux mieux gérer mon entreprise grâce au numérique (nomadisme, SaaS, etc.)

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

Les défis et nouvelles opportunités du «cloud computing»

APX Solution de Consolidation de Sauvegarde, restauration et Archivage

Cloud Computing. La révolution industrielle informatique Alexis Savin

Maîtriser ses données dans le cloud computing

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de

La présentation qui suit respecte la charte graphique de l entreprise GMF

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Cloud Computing Informatique en nuage

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES

Toute utilisation du site doit respecter les présentes conditions d utilisation.

Qu est-ce que le «cloud computing»?

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i n f r a m e, un b e s o i n c r u c i a l

Obligations en matière de Sécurité des Systèmes d Information Avec la contribution de

Jusqu où aller dans la sécurité des systèmes d information?

DREAL proposition DNS et hébergement. magazine le 14 septembre 2011 DREAL comparatif hébergement

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication.

Pôle 3 : Mon cabinet, une entreprise performante

CE QU IL FAUT SAVOIR SUR LE CLOUD COMPUTING

Virtualisation et mutualisation Le cloud computing, un enjeu structurant et stratégique pour le secteur public. Paris, 4 mai 2011

ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

L informatique en nuage comme nouvel espace documentaire

CONTRAT D HEBERGEMENT DE SITE(S) INTERNET

Evolution de messagerie en Cloud SaaS privé

Transcription:

11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin May Avocat à la Cour Associé, ARAMIS Société d avocats 9 rue Scribe F-75009 Paris - Tel: 01 53 30 77 00 Fax: 01 53 30 77 01 www.aramis-law.com 1

Présentation 1/ Réflexions sur la nature du contrat Cloud 2/ Les sujets clés du contrat Cloud Périmètre du service et niveau d engagement du prestataire Sécurité La problématique des transferts de données La localisation des données et des infrastructures à l étranger, facteur de complications 2

Qu est-ce qu un contrat Cloud? Quelques réflexions sur la nature du contrat cloud Des réalités diverses : Mise à disposition à distance de matériel, par ex. datacenters (Infrastructure as a Service - IaaS), plateformes informatiques (Platform as a Service PaaS) ou applications (Software as a Service SaaS). Plus simple : Eviter d avoir à gérer des ensembles contractuels lourds (licences, maintenance, achat/crédit-bail/location financière, intégration, etc.). Désormais, un seul contrat. Plus dangereux : Contrat de prestation de services, non soumis à un régime légal supplétif (garanties, etc.) Pas un contrat de maîtrise d œuvre donc: pas d obligation de résultat, pas d obligation de conseil renforcée => un contrat où tout doit être écrit: clauses juridiques (obligation de résultat, obligation de conseil) et opérationnelles (intégrité des données, conformité des traitements, réactivité de la maintenance, disponibilité de l espace disque, etc.) Une approche juridique globale du contrat cloud : la notion de gardien de la chose Le client confie une chose au prestataire Le prestataire s oblige à la conserver, sans vol, perte ou détérioration (=> sécurité) Le prestataire s engage à la restituer à première demande (=> disponibilité) 3

Qu est-ce qu un contrat Cloud? Les analogies Le contrat ASP (proche du SaaS) = Accès à distance à une solution logicielle Différence : le contrat ASP n implique pas forcément de migration et stockage de données du client par le prestataire Le contrat d outsourcing = Prise en charge partielle ou totale du SI d une entreprise Différence : Dans l outsourcing, le client externalise une fonction interne (d où la question du transfert de personnel : art. L. 1224-1 du code du travail) 4

Périmètre du service et vie du contrat Nécessité de bien décrire le service attendu Ne pas se limiter à une expression de besoins fonctionnels Définir les capacités de stockage et de traitement, la bande passante, etc. Prendre en compte l évolution du service : évolution des besoins du client, des logiciels mis à disposition, etc. Points d attention particuliers : Définir le processus de reprise des données et les événements déclencheurs Si recours à des applications stratégiques / éditeurs vulnérables : mise en séquestre des codes sources pour que le client puisse continuer à exploiter l application en cas de défaut du prestataire Prévoir une garantie maison-mère ou une garantie bancaire à première demande si envoi d informations sensibles dans le «cloud» 5

Continuité du service (restitution de la chose) Niveau de service Indicateurs de qualité : définition (qualité et performance : temps de réponse «propre», hors impromptus de connexion), outils de mesure et droit d audit Prévoir des éléments préventifs et curatifs : audit des plans de back-up et de continuité, en essayant d y avoir accès La responsabilité de la connexion Qui prend la responsabilité de la connexion, de sa performance et de sa sécurité? Conséquence sur le SLA : si le prestataire exclut toute responsabilité en matière de connexion, il n est plus lié par aucun engagement de service Premiers éléments de réponse : Le prestataire peut prendre en charge la partie privée (accès via un réseau privé virtuel) et ne peut exclure sa responsabilité que pour la partie strictement publique (Internet) Eléments annexes : Le prestataire peut mettre en œuvre des moyens pour sécuriser l accès; par exemple, prévoir des procédures d alerte (détection immédiate des défauts de connexion) et une redondance en cas de panne Prévoir un audit technique et contractuel des solutions de connexions 6

Sécurité (conservation de la chose) Besoin de transparence Informations techniques : localisation du serveur, serveur dédié/mutualisé, etc. Le prestataire doit indiquer les prestations qu il sous-traite (hébergement, réseau, éditeurs, etc.). Quels engagements de performance et de sécurité le prestataire a-t-il obtenu? Sécurité physique (climatisation, surveillance, etc.) et logique (anti-virus, cryptage, etc.) Déterminer les conditions d archivage Durée de conservation selon les délais de prescription et des obligations légales : Cinq ans : actes commerciaux, salaires Dix ans : documents comptables Trois, six ou dix ans en matière fiscale Conditions de conservation : Documents spécifiques : par ex. conditions de validité des factures électroniques (factures signées électroniquement ou transmises par EDI; art. 289 V et 289 bis du CGI) La conservation des données signées électroniquement peut être impactée par le Cloud 7

Les transferts de données (1/4) : enjeux L impact de l aspect réglementaire français Secret bancaire ou médical Loi Informatique et Libertés, applicable notamment aux données des salariés Droit social : l employeur est tenu de consulter le comité d entreprise en cas d introduction d une nouvelle technologie dans l entreprise (art. L.2323-13 du code du travail) L impact de l aspect réglementaire étranger La localisation des données peut entraîner l application de lois de police étrangères, même si l on stipule un autre droit applicable au contrat 8

Les transferts de données (2/4) : la loi Informatique et Libertés Statut de responsable de traitement vs. sous-traitant Le responsable traitement : personne qui détermine les finalités et les moyens du traitement, doit respecter les droits des personnes concernées, les formalités CNIL En théorie, le prestataire est sous-traitant du client Risque si le prestataire est qualifié de responsable du traitement : Entraîne un certain nombre de droits sur l exploitation des données Risques pour le client : risque de responsabilité au titre du transfert de données irrégulier à un responsable de traitement (formalités, droits des personnes concernées notamment + risque pénal en cas de transfert irrégulier hors UE) Risque pour le prestataire : la qualification de responsable l expose à un fort risque de non-conformité => Orienter la rédaction du contrat pour éviter que le prestataire puisse devenir responsable du traitement 9

Les transferts de données (3/4) : la loi Informatiques et Libertés L obligations de sécurité pèse sur le responsable du traitement Le responsable du traitement, est «tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» Le sous-traitant doit se conformer aux instructions du responsable du traitement Le contrat «comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le soustraitant ne peut agir que sur instruction du responsable du traitement» Sanctions pénales et pouvoirs de contrôle étendus de la CNIL (art. 45 s.) 10

Les transferts de données (4/4) : la loi Informatique et Libertés La loi s applique au client et/ou au prestataire, quelles que soient les stipulations du contrat, dès lors que les critères d application sont remplis Application territoriale de la loi Est «établi» en France, «le responsable d un traitement qui exerce une activité sur le territoire français» Idem si le responsable du traitement est établi hors UE et «recourt à des moyens de traitement situés sur le territoire français» Transferts de données à l étranger : quel risque? Intra-UE : informations sur la déclaration CNIL + information de la personne concernée si transfert à destination d un responsable de traitement Hors UE dans des pays de niveau de protection suffisant : même régime qu intra-ue Hors UE dans des pays n offrant pas un niveau de protection suffisant : autorisation CNIL sur présentation du contrat de transfert (sous-traitant ou responsable du traitement) + dans certains cas autorisation de la personne concernée (art. 69) Attention aux données des salariés : la CNIL exige une sélection, toutes les données ne pouvant pas être transférées sans nécessité (notamment NIR, coordonnées bancaires, situation familiale, etc.) (Guide CNIL pour les employeurs et les salariés) 11

Les complications liées au contexte transnational Loi applicable et juge compétent A défaut de choix des parties, rattachement principal des contrats de prestation de services : pays du prestataire Exécution des jugements En UE : le jugement acquiert force exécutoire dans l Etat membre d exécution sous réserve de l accomplissement de formalités : copie authentique de la décision et certificat du caractère exécutoire de la décision (art. 41 du Règlement 44/2001) Hors UE : procédure d exequatur Les problèmes posés Agir en France ou à l étranger? Quid en cas de faillite du prestataire et/ou de saisie de serveurs par des créanciers? => Pas de solution miracle, mais la transparence est vivement conseillées: où sont les données, quel est l état du prestataire (liste des sûretés, informations sur les modifications de l actionnariat, alerte sur le niveau d activité, etc.) 12

11 février 2010 MERCI DE VOTRE ATTENTION 9 rue Scribe F-75009 Paris - Tel: 01 53 30 77 00 Fax: 01 53 30 77 01 www.aramis-law.com 13

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back