AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015

Déroulement Rappel : qu est-ce que Syntec Numérique? Une définition du Cloud Computing Les caractéristiques du Cloud Computing Les modèles existants de Cloud Computing La contractualisation du Cloud computing Standardisation du modèle contractuel? La négociation de clauses sensibles dans la relation client / prestataire de Cloud Computing

Présentation de Syntec Numérique

SYNTEC NUMERIQUE Chambre professionnelle des métiers du numérique 3 grands métiers Entreprises de services du numérique (ESN) Editeurs de logiciels Conseil en technologies 1 500 entreprises adhérentes

SYNTEC NUMERIQUE 50,4 milliards d euros source IDC / Syntec Numérique

SYNTEC NUMERIQUE Un indicateur suivi : le poids de SMACS pour les ESN et les Editeurs Social, Mobilité, Analytics, Cloud et Sécurité Enquête de conjoncture, Syntec Numérique / IDC, février 2015 10% de l activité ESN 2015 22% +15,8% +21% 2015 Accélération des projets 91% Cloud/SaaS Editeurs concernés par les projets de 81% de l activité éditeurs 2015 2015 Cloud/SaaS

Une définition du Cloud computing

Définition Approche technologique permettant aux entreprises et aux personnes de disposer de puissance de calcul, d espace de stockage, d applications (dans des serveurs hébergés hors de l entreprise ou du domicile) comme autant de services. Un prestataire fournit à un client en fonction de ses besoins, de manière locative, un accès à des ressources informatiques par un réseau (Me Xavier Pican Lefebvre Pelletier Avocats)

Caractéristiques du Cloud Computing

Caractéristiques Le CC consiste à mutualiser des serveurs entre plusieurs utilisateurs; Il permet au client d accéder à son espace dans le serveur de manière dématérialisée (par un réseau de type Internet) sans préoccupation matérielle ou logicielle; L accès aux serveurs se fait en libre service et à la demande, à des conditions contractuelles déterminées à l avance car le CC est un service et doit être défini en terme de performance, de sécurité, de coût; L avantage de la libre demande : un prix adapté à la consommation réelle du client utilisateur et une optimisation de la consommation (élasticité en fonction du volume des besoins à un moment précis); Le CC est évolutif : il s adapte à la demande, aux logiciels demandés, aux caractéristiques de ces derniers.

Les modèles de Cloud Computing

Les modèles 3 services possibles qui correspondent à une intégration différente IaaS : infrastructure as a Service : Le fournisseur de Cloud computing fournit l infrastructure hébergée (l espace de stockage, les serveurs notamment) qui fera fonctionner la plate forme et les applications PaaS : Platform as a Service : Le fournisseur de Cloud computing fournit la totalité de l environnement fonctionnel de la plate forme. Il ne reste plus à l entreprise qu à maintenir ses applications Saas : Software as a Service : la fournisseur de Cloud computing, en plus de tout le reste, fourni les applications d entreprises (CRM, messagerie, ERP )

Les modèles 3 familles de Cloud Computing coexistent : Le Cloud privé : un Cloud réservé à un client, soit que les ressources informatiques sont localisées dans son entreprise, soit que le Cloud lui est exclusivement dédié dans les serveurs d un fournisseur (Cloud privé externalisé); Le Cloud public : le Cloud est localisé à l extérieur de l entreprise. Il est accessible par Internet et géré par un prestataire d infrastructure. Les ressources sont mutualisés entre tous les clients / utilisateurs; Le Cloud hybride : les deux précédents types de Cloud coexistent pour certains usages.

La contractualisation du Cloud computing : standardisation du modèle contractuel?

Le constat de la standardisation La nature même du CC permet la standardisation de l offre et de la contractualisation Des offres standardisées car mutualisées (Cloud public) Contractualisation en ligne par un clic Une négociation client / prestataire qui peut être difficile à déclencher B2B : poids de négociation PME versus grands offreurs B2C : poids de négociation consommateur versus entreprise Des contrats de très courtes durée : peu propices à la négociation Malgré cela : possibilités pour le client d exprimer un besoin, de négocier son offre et de signer un contrat, principalement avec les revendeurs

Les avantages de la standardisation Réduction des coûts (oriente 75% des DSI vers le Cloud) et prédictibilité des prix (SaaS) Une gamme de choix plus large : de l hébergement nu au modèle Saas : dépend du niveau de contrôle de l environnement applicatif que veut garder le client Accès pour des PME à des logiciels réservés à des grands comptes Une durée de contrat plus courte (quelques semaines) : des contrats Cloud plus agiles et renégociables. Durée habituelle des contrats informatiques : de 12 à 36 mois Une plus grande évolutivité des contrats : des contrats Cloud plus agiles et évolutifs que les contrats classiques (modifiables par voie d avenant - long et difficile).

Critiques justifiées des clients Manque de lisibilité des prix en Iaas et Paas contrepartie de l agilité Difficultés de comparaison des offres Saas, Paas, Iaas Les clients doivent s adapter à des solutions standards qui ne leur correspondent pas forcément (moins d adéquation au besoin) (Cloud public uniquement) Transition qui dépossède l entreprise de la maitrise des éléments logiciels et des aspects de sécurité (des données notamment) Dépendance technique face au prestataire et à l hébergeur Difficultée pour un DSI de rendre lisible ses coûts pour sa DG et ses clients Moins d accompagnement par le prestataire que sur un contrat traditionnel (Cloud public)

Idées reçues sur les fournisseurs de Cloud Computing Les fournisseurs ne négocient jamais les contrats de Coud computing Les fournisseurs imposent des SLA aux clients Les fournisseurs ne prennent pas d engagement de niveaux de service et limitent leur responsabilité. Les niveaux de service ne sont pas identiques entre fournisseurs de CC : les offres sont différentes selon les produits concernés, le prix négocié avec le client, le modèle de CC choisit par le client Les fournisseurs ne permettent pas les audits

La négociation de clauses sensibles dans la relation client / prestataire de Cloud Computing

Quelle place pour la négociation? Le cadre contractuel : les parties peuvent prévoir des évolutions au cours d exécution du contrat (évolution du périmètre) L expression du besoin : le client doit donner son besoin et ses demandes contractuelles lors de l AO Clause de responsabilité : L offre de CC prévoit la responsabilité du prestataire en cas de faute, erreur ou omission causant un dommage au client Obligation relative à la disponibilité du service : de moyen Obligation relative à la récupération de données : de résultat Aménagements conventionnels possibles Le contrat plafonne la responsabilité du prestataire

Quelle place pour la négociation? Clause de confidentialité Clause qui doit être détaillée Concerne le client comme le prestataire (et leurs équipes) : le prestataire ne doit connaitre que ce qui est nécessaire aux prestations A répercuter sur les sous-traitants Porte sur les toutes les données stockées, les traitements et opérations effectuées par le client que ce soit sur le serveur, l infrastructure ou les logiciels Moyens pour assurer la confidentialité : précisés en annexe technique au contrat

SLA SLA ou niveaux d engagement Figurent dans le contrat ou en annexe Déterminent les critères de performance et la disponibilité du service, les mesures de sécurité et de confidentialité du service (exemple : redondance du système) Décrivent le contenu du service : temps de réponse, vitesse de transfert des données, délais maximum d interruption, fréquence des sauvegarde, délais de restauration des données... Décrivent le contrôle par le client : les outils d audit et leurs fréquence potentielle, les outils de réclamation, les mécanismes d escalade en cas de désaccord entre les parties Décrivent les sanctions en cas de défaillance de service

Sécurité Sécurité : un secteur encadré Référentiels ANSSI du 30 juillet 2014 sur les prestataires de services sécurisés d informatique en nuage Normes ISO / AFNOR dédiées : Norme ISO/IEC 27018 constituant des bonnes pratiques pour la protection des données personnelles dans les services de Cloud (juillet 2014) Norme ISO/IEC 27017 en matière de sécurité du Cloud Norme ISO 19086 sur la notion de niveau de service

Clause de renégociation ou de modification unilatérale De plus en plus fréquente avec l évolution croissante des solutions Cloud Permet d adapter le prix en fonction de la prestation fournie (soit aux coûts du prestataire, soit en fonction du service bénéficiant au client) Le client peut optimiser le contrat en adaptant le périmètre des prestations / le prestataire peut adapter son infrastructure technique Contredit la standardisation critiquée par les clients Régime du droit commun des contrats : application de la bonne foi et de la notion d équilibre contractuel

Clause de prix ou attributive de juridiction Clause attributive de juridiction Principe : loi et compétence du juge du lieu d établissement du prestataire Cloud (B2B) et du domicile du consommateur (B2C) à défaut de disposition contraires Importance de connaitre le lieu de localisation des données Certains prestataires fournissent des analyses de risque si les données quittent le territoire et s engagent sur une protection adaptée à la zone géographique.

Clause de résiliation et de réversibilité Clause de résiliation Largement ignorée et pourtant très utile Prévoir les causes possible et anticiper les effets Clause de réversibilité Prévoir la restitution des données du client (portabilité de données) Type de fichier de restitution : fichiers intermédiaires Ne doit pas porter atteinte aux droits de PI du prestataire Prévoir le maintien des obligations des parties pendant la réversion Possibilité de prévoir un plan de réversibilité : modalités de délais, de moyens humains et techniques, prix éventuel Prévoir la responsabilité du prestataire en cas de dégradation ou de perte de données (cf. clause de responsabilité)

Assurance Un prestataire assuré rassure Les prestataires doivent disposer d un contrat d assurance Ils doivent communiquer les attestations correspondantes Ils doivent vérifier les exclusions de garantie et les niveaux de garantie de leur police

Merci de votre attention 28