Paris, 8 décembre 2011 ULYS 8 décembre 2011-1 Cloud Computing Informatique en nuage Outils juridiques pour sécuriser l informatique en nuage Cathie-Rosalie Joly Counsel, ULYS Avocat au barreau de Paris et de Bruxelles Thibault Verbiest Associé, ULYS Avocat au barreau de Paris et de Bruxelles Docteur en droit Chargé d enseignement à l Université Panthéon-Sorbonne (Paris I) et Panthéon- Chargé d enseignement à l Université d Aix- Assas (Paris II) Marseille www.ulys.net www.droit-technologie.org
ULYS 8 décembre 2011-2 Présentation des intervenants ULYS Domaines d intervention : Nouvelles Technologies Propriété Intellectuelle Paiements et monnaie électroniques Média, Jeux & Divertissement Droit commercial, des sociétés et de la concurrence appliqués à ces secteurs Ulys, quatre valeurs : Spécialisé Innovant Engagé Partenaire Cathie-Rosalie Joly Thibault Verbiest Rédaction/négociation de contrats, contentieux/règlements alternatifs des litiges, articles, conférences, consultations des pouvoirs publics/missions de sensibilisation des autorités nationales et européennes
ULYS 8 décembre 2011-3 Présentation de la journée 1. Définition - Qu est-ce que le Cloud Computing? Définir les types d infrastructures gérées par le Cloud Les différents types de Cloud : Cloud privé, public et hybride 2. Avantages et inconvénients du Cloud Computing : identifier les risques pour être en mesure de les encadrer Les avantages : réduction des coûts, meilleur disponibilité des informations Anticiper les inconvénients : la continuité du service, l exposition au risque de piratage et de vol de données, le manque de maîtrise des coûts, la perte de gouvernance et la dépendance technologique 3. Quelles précautions à prendre dans les contrats : processus de contractualisation et clauses essentielles Phase précontractuelle : rédaction d un cahier des charges délimitant les attentes du client Phase contractuelle : définition de l objet et de la durée du contrat, prévoir les clauses de reprise des données Prévoir les garanties : définir les cas où la responsabilité est engagée, le cas de la résiliation Insérer la clause de réversibilité qui prévoit les conditions auxquelles sont retournées les données externalisées
ULYS 8 décembre 2011-4 Présentation de la journée 4. Comment s assurer un service de qualité maximale : focus sur la qualité de service Définir les niveaux de services Délimitation des obligations du prestataire et/ou des sous traitants Clause de «service level agreement» 5. Comment protéger ses données situées dans les nuages : focus sur la protection des données personnelles Les normes applicables relatives aux données sensibles, les données à caractère personnel : Directive 95/46/CE, Loi Informatique et libertés, recommandations CNIL Les obligations du prestataire en matière de protection des données : conservation et préservation des données Le cas du transfert de données hors UE : respect des clauses contractuelles type de la Commission européenne 6. Quelle loi appliquer au contrat : focus sur loi applicable et juge compétent Application des règles de DIP Loi du lieu d hébergement des données mais complication dès que cette entreprise est établie dans plusieurs pays 7. Cas pratique : La Clause de responsabilité
ULYS 8 décembre 2011-5 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 1. Qu est-ce que le Cloud Computing?
ULYS 8 décembre 2011-6 Qu est-ce que le Cloud Computing? Une prestation pas nouvelle mais augmentée La sous-traitance informatique, un mécanisme connu : infogérance, externalisation/outsourcing, facilities management, ASP, Relève des services consistant en la prise en charge de la gestion du système informatique d un client, avec ou sans délocalisation, dans le cadre d une relation pluriannuelle Qu ajoute le Cloud? L offre est généralement fortement orientée service : Service à la demande, puissance de stockage et de traitement variable Peu de visibilité sur les ressources et équipements mis en œuvre pour assurer la prestation Délocalisation voire pluri-localisation de l hébergement et des traitements (serveurs «localisés dans le monde entier») «Définition : Mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. Note : L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients.» (Vocabulaire de l informatique et de l internet, JORF du 6 juin 2010, n 129, p. 10453)
ULYS 8 décembre 2011-7 Qu est-ce que le Cloud Computing? Source : http://fr.wikipedia.org/wiki/fichier:cloud_computing.svg
ULYS 8 décembre 2011-8 Qu est-ce que le Cloud Computing? Qu est-ce qui peut être géré en Cloud? Applications : Saas Software as a Service Le client utilise les applications du fournisseur via une interface disponible grâce au réseau. Ces dernières sont donc consommées et payées à la demande. Par ex. webmails, applications type Google Earth, etc. Le fournisseur Cloud maintient : - les applications, --les runtimes, -- l intégration SOA, -- les bases de données, -- le logiciel serveur, -- la virtualisation, - le matériel serveur, - le stockage, - les réseaux.
ULYS 8 décembre 2011-9 Qu est-ce que le Cloud Computing? Plateforme : PaaS Platform as a service Le client peut déployer sur l infrastructure Cloud ses propres applications, dans la mesure où le fournisseur supporte le langage de programmation. La plateforme distante ne se contente pas d héberger les applications mais interagit pour allouer des ressources suffisantes à leur bon fonctionnement => plateforme de développement, d exécution, etc. o l entreprise maintient uniquement les applications ; o le fournisseur Cloud maintient : - les runtimes, -- l intégration SOA, -- les bases de données, -- le logiciel serveur, -- la virtualisation, -- le matériel serveur, -- le stockage, -- les réseaux.
ULYS 8 décembre 2011-10 Qu est-ce que le Cloud Computing? Capacité de traitement : IaaS Infrastructure as a service Désigne une infrastructure matérielle, louée à la demande par le client: stockage, machines virtuelles, OS, et autres ressources de calcul. L utilisateur peut, dans ce cas, disposer sur demande d une capacité de traitement pour n importe quel type d application. Par ex. stockage dynamique, que le client administre et modifie en fonction de ses besoins o l entreprise maintient : -les applications, -- les runtimes, - l intégration SOA (Service Oriented Architecture), -- les bases de données, -- le logiciel serveur ; o le fournisseur Cloud maintient : -la virtualisation, -- le matériel serveur, - le stockage, -- les réseaux
ULYS 8 décembre 2011-11 Qu est-ce que le Cloud Computing? Source : http://www.microsoft.com/france/entreprises/decideur-it/cloud/caracteristiques-du-cloud.aspx
ULYS 8 décembre 2011-12 Qu est-ce que le Cloud Computing? Source : http://www.thinkbetter.be/e-business/cloud-computing
ULYS 8 décembre 2011-13 Qu est-ce que le Cloud Computing? Source : http://www.cfo-news.com/cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-ade-nouvelles-perspectives-d-ici-2012_a14492.html
ULYS 8 décembre 2011-14 Qu est-ce que le Cloud Computing? Source : http://www.cfo-news.com/cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-ade-nouvelles-perspectives-d-ici-2012_a14492.html
ULYS 8 décembre 2011-15 Qu est-ce que le Cloud Computing? Les différents types de Cloud Privé : infrastructure entièrement dédiée à un client Cloud privé interne :gérée par le client lui-même Cloud privé externe : géré par un tiers Cloud privé virtuel : un environnement de Cloud Computing qui recouvre l infrastructure de clouds internes et externes, offrant à l entreprise un environnement transparent, géré, qui est sécurisé et sous le contrôle du service informatique Solution la plus sécure Public : infrastructure partagée Infrastructure accessible à un large public Appartient à un fournisseur de cloud services Solution la moins coûteuse Hybride Infrastructure composée de deux nuages ou plus mélangeant public et privé Clouds uniques liés par une technologie normalisée ou propriétaire L idéal : opter pour une architecture de cloud privé permettant de recevoir des clouds publics, mais cela peut se présenter sous la forme de clouds localisés chez un hébergeur mais dédiés à un client
ULYS 8 décembre 2011-16 Qu est-ce que le Cloud Computing? Source : http://revevol.fr/2010/07/19/analyse-des-dimensions-du-risque-lie-au-cloud-computing
ULYS 8 décembre 2011-17 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 2. Le Cloud Computing, un outil puissant et modulable mais non sans inconvénients
ULYS 8 décembre 2011-18 Le Cloud, outil puissant et modulable non sans défauts Quel besoin, quel intérêt de recourir au Cloud Computing? Réduire les coûts et/ou le délai de mise à disposition d un outil Simplifier la gestion et adapter le SI au besoin réel Disposer d une capacité informatique modulable, répondre à des besoins spécifiques Bénéficier d une disponibilité en principe totale de l information Se recentrer sur un cœur de métier
ULYS 8 décembre 2011-19 Le Cloud, outil puissant et modulable non sans défauts Des inconvénients réels Pas de réglementation particulière Mais pas d absence de réglementation Différents textes trouvent à s appliquer - Loi Informatique et Libertés, - fuite de données, - commerce électronique, - protection des consommateurs, - obligations de conservation de documents comptables et fiscaux, etc. Des réglementations sectorielles spécifiques Conservation de données sensibles : bancaires, santé, finance, etc.
ULYS 8 décembre 2011-20 Le Cloud, outil puissant et modulable non sans défauts Des risques spécifiques, notamment liés à la sécurité des données Fuites de données : Sujet émergent dans les réflexions des autorités de protection des données personnelles, en France et en Europe - La directive «vie privée et communications électroniques», qui a été mise à jour en 2009, prévoit des notifications en cas de violation de la sécurité via lesquelles tout fournisseur de communication ou de service Internet doit informer les individus à propos des violations commises s'agissant de leurs informations personnelles. => Existe aux USA depuis 2002 California Security Breach Notification Act => En Allemagne : De plus en plus confrontée à des violations de la sécurité, l Allemagne a révisé ses règles de protection des données pour aller au-delà de la réglementation de l'ue. => En France : article 34 bis de la loi Informatique et Libertés (cf. diap suivante)
ULYS 8 décembre 2011-21 Le Cloud, outil puissant et modulable non sans défauts - La commissaire européenne chargée de l'agenda numérique, Neelie Kroes, a déclaré : «Si nous voulons que nos marchés numériques croissent, les utilisateurs doivent se sentir à l'aise de dépenser en ligne. Si les entreprises doivent tirer avantage de tous les bénéfices potentiels du cloud computing, ils doivent pouvoir être sûrs que leurs secrets industriels ne seront pas interceptés». L'eurodéputé bulgare, Ivailo Kalfin (Socialistes & Démocrates), «C'est un outil (le cloud comuting) essentiel pour augmenter la compétitivité de l'union, surtout pour les petites et moyennes entreprises, et les législateurs de l'ue devraient contribuer à son développement, en s'assurant que les principes de sécurité, de confidentialité des données et d'interopérabilité sont respectés dans le nuage». Selon Madame Viviane Reding, Vice-Présidente de la Commission européenne en charge de la Justice, des Droits fondamentaux et de la Citoyenneté, une notification obligatoire des failles de sécurité, semblable à celle prévue pour les fournisseurs de services de communications électroniques pourrait être introduite pour les services bancaires et financier (discours du 20 juin 2011 http://europa.eu/rapid/pressreleasesaction.do?reference=speech/11/452&format=html&a ged=0&language=en&guilanguage=en )
ULYS 8 décembre 2011-22 Le Cloud, outil puissant et modulable non sans défauts Evaluation du coût des pertes de données pour les sociétés Les pertes de données trouvent leur origine dans plusieurs types de situations : attaques externes / défaillance du SI/ négligence humaine (erreurs ou négligences commises par des prestataires, des employés, des vols /pertes de PC, PDA )
ULYS 8 décembre 2011-23 Le Cloud, outil puissant et modulable non sans défauts Art. 34 bis de la loi du 6 janvier 1978 : «I. - Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques [SCE] sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification. Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de SCE. Remarques : - «services de communications électroniques» est défini à l article L. 32-6 du Code des postes et communications électroniques, et renvoie ainsi aux «prestations consistant entièrement ou principalement en la fourniture de communications électroniques. => opérateurs télécom déclarés à l ARCEP? - «violation des données» : tentative? Risque?
ULYS 8 décembre 2011-24 Le Cloud, outil puissant et modulable non sans défauts Art. 34 bis de la loi du 6 janvier 1978 : «II. - En cas de violation de données à caractère personnel, le fournisseur de SCE accessibles au public avertit, sans délai, la CNIL. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé. La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la CNIL a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. A défaut, la CNIL peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés. III. - Chaque fournisseur de SCE tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.»
ULYS 8 décembre 2011-25 Le Cloud, outil puissant et modulable non sans défauts Remarques : - Forme de l avertissement? - Sans délais? Article 226-17-1 du code pénal: «Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 d'amende.»
ULYS 8 décembre 2011-26 Le Cloud, outil puissant et modulable non sans défauts Des questionnements juridiques pris en compte en France et au niveau européen Enquête CNIL Questions soulevées : prestataire de cloud présumé sous-traitant? Intérêt de créer un régime spécifique applicable aux prestataires de cloud? Critères de rattachement pour détermination de la loi applicable? Quel encadrement des transferts de données? Quels risques spécifiques de sécurité? Réflexion Commission européenne Observations européennes et réflexion pour élaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 : éventualité de modèles de documents contractuels (CG, PAQ, etc.), questions de sécurité des données, de détermination de la personne responsable Plan en préparation, devrait être publié en 2012 Problème des sociétés US, même si données hébergées en Europe application des règles du USA Patriot Act : Contradiction avec droit EU?
ULYS 8 décembre 2011-27 Le Cloud, outil puissant et modulable non sans défauts Anticiper les difficultés par l encadrement contractuel Un contrat d entreprise et un contrat informatique Des clauses à négocier autant que possible pour éviter : Risques sur la continuité du service Exposition au risque de piratage et de vol de données Manque de maîtrise des coûts Perte de gouvernance Dépendance technologique Interopérabilité et respect des standards Irresponsabilité du prestataire Contrat cloud = contrat d adhésion? Conditions générales mises en ligne et modifiables par le prestataire de manière discrétionnaire Evolutions du service sans information préalable/droit d opposition du client
ULYS 8 décembre 2011-28 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 3. Quelles sont les précautions à prendre dans les contrats de Cloud Computing?
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-29 Phase précontractuelle processus de négociation Certaines offres cloud sont standard et non négociables Du premier contact jusqu à la signature du contrat Pour éviter l engagement contractuel avant d avoir finalisé la négociation sur tout le contrat : les parties indiquent sur chaque document «sans engagement de notre part»/conditionnent leurs engagements Possibilité de rédiger des accords préalables, par ex. Lettre d intention : engagement à valeur contractuelle de continuer la négociation Accord de principe : engagement à valeur contractuelle sur certains éléments contractuels Possibilité de donner accès à de l information confidentielle sous couvert d un engagement de confidentialité Faire entrer les échanges précontractuels dans le champ contractuel/insérer dans le contrat une clause des quatre coins?
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-30 Phase précontractuelle obligation de conseil du prestataire versus information du client Importance de la rédaction du préambule du contrat Intérêt du client : que le prestataire s engage sur les besoins du client tels que définis dans son cahier des charges Exemple de formulation : «Le prestataire déclare être un spécialiste du Cloud et, après avoir pris connaissance des besoins du client exprimés dans le cahier des charges et complétés au cours des échanges préalables à la signature des présentes, a proposé au client les services tels que décrits» Intérêt du prestataire : que le client s engage sur le document de référence du prestataire décrivant son offre Exemple de formulation du préambule «Le client déclare être parfaitement informé de l offre du prestataire pour avoir pris connaissance de manière complète et précise des caractéristiques des services proposés aux termes du document de référence qui lui a été remis. Il a obtenu toutes informations complémentaires du prestataire, qui a répondu à toutes ses questions. Disposant de l ensemble de l information utile, le client déclare que la solution est conforme à ses besoins»
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-31 Phase précontractuelle définition des besoins du client Rédaction d un cahier des charges délimitant les attentes du client Permet de préciser le périmètre de l obligation de conseil du prestataire par rapport à l information en sa possession Audit technique et juridique préalable? Check list : Matériel : identification, maintenance et renouvellement, taux de charge des équipements, état des incidents, solutions de secours, etc. Applications : fonctionnalités, versions et mises à jour, évolutions, corrections, documentation, conditions de licence (accès? développements propriétaires/spécifiques?...), garantie, procédures de sauvegarde et de sécurité, etc. Réseau et organisation : configuration, situation géographique, sécurisation, volumétrie et prévisionnel, heures d ouverture du service et conditions d accès, etc. Ne pas se limiter à une définition fonctionnelle des besoins, mais intégrer les standards techniques attendus de qualité, sécurité, performance, disponibilité, etc. destinés à constituer le référentiel qualité (PAQ) + Prendre en compte le caractère évolutif de la prestation Cloud : pouvoir faire évoluer les besoins et les attentes du client
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-32 Objet du contrat, description des prestations et conditions d exécution => Un ou plusieurs contrats? Contrat simple régissant l ensemble des prestations ou ensemble contractuel : contrat cadre et conventions particulières par service résiliables indépendamment les unes des autres => Plus les services/ressources sont identifiés et caractérisés, plus le prestataire est tenu de respecter ces caractéristiques dans le cadre d une obligation de résultat Définir les termes techniques, l espace mis à disposition, les conditions d accès au serveur Enumérer les services prestés par le fournisseur, détailler leurs caractéristiques : traitement et sauvegarde des données, format Combinaison avec l obligation de conseil : choix des équipements, des ressources, etc. => Préciser les conditions d exécution par le prestataire Mentionner les partenaires du fournisseur et l éventuel recours à des sous-traitants, indispensable en cas de sous-traitance des traitements de données particulières : personnelles, sensibles, etc. (cf. infra) Le prestataire doit demeurer intégralement responsable de l exécution des prestations => Vigilance sur les modifications décidées par le prestataire sans accord préalable du client : prestations, prix, niveau de service, emplacements serveurs, etc.
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-33 Définition des droits d accès et sécurité Définir la politique de droits d accès : Personnes habilitées Information accessible Dispositifs d accès (identifiant+mot de passe) Conservation des traces Surveillance et blocage des accès Sécuriser les accès :Niveaux de sécurité différents selon les informations (données bancaires, etc.) Dispositifs d accès plus élaborés : certificat électronique sur clé USB, carte, voire biométrie Transmissions sécurisées : cryptage des données Sécurisation de l hébergement => Eléments non nécessairement définis dans le détail au contrat, mais le prestataire doit être en mesure de fournir ces services si nécessaires (risque de surcoût en l absence d accord initial)
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-34 Installation technique et recette/mise en production Définition d un prérequis technique par le prestataire Adaptations préalables : paramétrages, voire développements propriétaires? Procédure de recette Livraison, migration des données et tests Signature par le client d un procès-verbal de recettes / recette implicite? Réserves du client + délai de correction Phase de migration des données: coût?
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-35 Documentation La documentation est-elle rédigée en français? Cf. loi n 94-665 du 4 août 1994 relative à l'emploi de la langue française («loi Toubon») Documents à destination des salariés : art. L. 1321-6 du code du travail : «Le règlement intérieur est rédigé en français. Il peut être accompagné de traductions en une ou plusieurs langues étrangères. Il en va de même pour tout document comportant des obligations pour le salarié ou des dispositions dont la connaissance est nécessaire pour l'exécution de son travail. Ces dispositions ne sont pas applicables aux documents reçus de l'étranger ou destinés à des étrangers.» Documents à destination du public : art. 2, alinéa 1 de la loi Toubon : «Dans la désignation, l'offre, la présentation, le mode d'emploi ou d'utilisation, la description de l'étendue et des conditions de garantie d'un bien, d'un produit ou d'un service, ainsi que dans les factures et quittances, l'emploi de la langue française est obligatoire.» Quels droits de propriété intellectuelle (DPI) sur la documentation? Enjeu : quelles conditions d accès, de reproduction, de communication à des sous-traitants, etc.?
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-36 Quelle durée? Durée courte : permet de renégocier Durée longue : permet de mettre à disposition des ressources plus importantes, compte tenu de l amortissement plus long => Souvent, la durée du contrat s allonge avec l importance des services/ ressources allouées au client Combinaisons : Période initiale fixe : souvent longue (de l ordre de 36 mois) Périodes de renouvellement fixes / renouvellement à durée indéterminée Vigilance sur la durée du contrat car conséquences sur la faculté de résiliation et son indemnisation Jugement du tribunal de commerce de Paris, 12 juillet 2011, Risc Group IT solutions / Poweo : reconnaissance la mobilisation de ressources pour le client, et du préjudice causé au prestataire par la rupture ; condamnation du client à 100 % de l indemnité contractuelle prévue (montant des mensualités jusqu au terme prévu)
ULYS 8 décembre 2011-37 Quelles précautions prendre dans les contrats? Exemple de clause de durée : «Le présent contrat est conclu pour une durée fixe qui commence à courir à la signature des présentes et se termine le dernier jour de la XXe année civile qui suit. A l échéance, elle est reconduite pour une période d un an, sauf préavis écrit envoyé par l une des parties au moins deux mois avant l échéance, et ainsi de suite à chaque échéance.»
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-38 Clause de prix Coût du service / des services associés : traitements supplémentaires, formation, etc. Intégrer dans les coûts les interventions des partenaires du prestataire (éditeurs de logiciels, etc.) Quelle évolution des prix en cas de montée en charge/forte évolution de l utilisation du cloud par le client? Exemple de clause : «En cas d augmentation de l espace disque nécessaire à l hébergement des données du client, le client accepte que le prestataire lui alloue, dès qu elle aura connaissance de ladite nécessité, selon le tarif figurant à l'annexe du présent contrat, l espace disque supplémentaire nécessaire et l avertisse parallèlement du changement de facturation relativement à l hébergement.» Mettre en place des outils de mesure des coûts Anticiper le coût de la réversibilité Paiement du prix à combiner avec les éventuelles compensations à opérer (pénalités, notamment)
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-39 Propriété intellectuelle L accès à des applications à distance ne dispense pas de l obligation d obtenir une licence Si le prestataire n est pas titulaire originaire des DPI sur l application, le prestataire doit garantir qu il détient les droits pour les besoins du contrat : Le prestataire a le droit de concéder des sous-licences d utilisation et d adaptation si nécessaire (paramétrages, éventuellement développements propriétaires) Le droit du prestataire dure suffisamment longtemps (plus que la durée initiale du contrat) Prévoir une garantie d éviction dans les termes prévus par la loi (ne pas réduire la garantie accordée) Prévoir les solutions en cas de défaillance de l éditeur tiers : pouvoir accéder aux codes sources, etc.? Eviter d avoir à conclure des licences séparées avec les éditeurs Le client ne dispose d aucun autre droit que le seul droit d usage
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-40 Exemple de clause de propriété intellectuelle «Le prestataire déclare être titulaire de l intégralité des droits de propriété intellectuelle portant sur l Application et est régulièrement titulaire des droits d utilisation et/ou d exploitation portant sur les logiciels tiers nécessaires à son fonctionnement. Pour la durée de la présente convention, le prestataire concède au client un droit d accès et d utilisation non exclusif et incessible de l Application, dont seuls les utilisateurs enregistrés peuvent bénéficier. La présente convention ne confère au client aucun droit de propriété intellectuelle sur l Application qui demeure la propriété entière et exclusive du prestataire. Le client s engage à ne pas porter atteinte, directement ou indirectement, aux droits du prestataire et à prendre toutes mesures nécessaires pour assurer le respect de son droit de propriété sur l Application; il se porte fort pour ses utilisateurs enregistrés.»
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-41 Obligations et garanties du prestataire Répartir les obligations de moyen/de résultat en fonction des niveaux de service : Obligation de résultat pour un cloud privé (ou partie privée), de moyen pour un cloud public (ou partie publique) Obligation d information en cas d écart par rapport au référentiel de conformité alertes Garantie opérationnelle : Prévoir des obligations de résultat/garantie sur la disponibilité, performance, intégrité des données, etc. Garantie financière : Prévoir une garantie maison mère ou une garantie bancaire à première demande en cas d envoi d informations sensibles dans le cloud Garantie d éviction
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-42 Responsabilité du prestataire Préqualifier le prestataire de cloud de professionnel du secteur Le prestataire ne peut être tenu responsable des défaillances/insuffisances causées par le système d information du client cf. supra : obligation de conseil du prestataire versus obligation de s informer du client Vigilance sur les exclusions de responsabilités : éviter toute préqualification des dommages (par ex. qualification comme dommage indirect de toute perte de chiffre d affaire ou préjudice d image), toute exclusion de responsabilités en cas de perte de données, etc. Vigilance sur les clauses limitatives de responsabilité : cf. jurisprudence Faurecia, pas de pondération par le juge en cas de limitation de responsabilité très basse en faveur du prestataire informatique
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-43 Exemple de clause de responsabilité «Le prestataire est soumis à une obligation de moyens. La responsabilité du prestataire ne pourra être recherchée et aucune indemnisation ne sera due au client : dans le cas où les dommages invoqués par le client résulteraient d une inexécution, totale ou partielle, des obligations du client ou d un tiers ; dans le cas où les dommages invoqués par le client résulteraient d une utilisation de la Plateforme non conforme à la documentation de référence ; au titre des dommages indirects, tels que perte de données, perte d exploitation, perte de chiffre d affaires, perte d image ou de réputation ; En cas de force majeure, comprise comme tout événement imprévisible rendant plus coûteuse l exécution de ses obligations par le prestataire, y compris les tremblements de terre, incendies, crues ou inondations, tempêtes, sans que cette liste soit limitative. En cas d'indisponibilité de la Plateforme liée à une cause dont le prestataire assume la responsabilité, le client ne sera fondé à réclamer la réparation d'un éventuel dommage que pour autant que l'indisponibilité de la Plateforme ait duré, pendant les jours ouvrables et de manière continue, pendant XXX heures après la notification de l incident au prestataire. En toute hypothèse, la responsabilité du prestataire est plafonnée à un montant égal à XXX% des sommes (annuellement payées au prestataire/stipulées au contrat) par le client en exécution du présent contrat.»
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-44 Réversibilité Objet de la réversibilité : Ce que le client avait confié au fournisseur en début de contrat Enrichi de ce qui a été produit en cours de contrat Plan de réversibilité : un accord à part entière Définir le processus de reprise des données Les événements déclencheurs : terme du contrat ou en cas de résiliation anticipée Le coût associé Le calendrier Sauvegardes régulières en cours de contrat? => Peut engendrer un transfert de contrat du prestataire au client
ULYS 8 décembre 2011-45 Quelles précautions prendre dans les contrats? Exemple de clause de réversibilité : «Au terme du présent contrat, le prestataire s engage à transférer ses données au client dans les conditions prévues en annexe. Dans l hypothèse où le client ne demanderait pas la restitution de ses données dans les XXX mois à compter du terme du présent contrat, le client n'a pas demandé le transfert de ses données, le prestataire détruira lesdites données.»
Quelles précautions prendre dans les contrats? ULYS 8 décembre 2011-46 Résiliation Envisager les cas de résiliation anticipée Résiliation pour cause de faute d une des parties Résiliation d une convention à durée indéterminée Résiliation contrat cadre/convention particulière : contrats détachables ou ensemble contractuels indivisible? Décrire les conditions de mise en œuvre : Notification, délai, forme, adresse, etc. Définir les conséquences de la résiliation et les coûts associés : Sort des données, mise en œuvre de la clause de réversibilité, blocage des accès et délai Paiement d une indemnité Exemple de clause de résiliation : «En cas de manquement par l une des parties aux obligations prévues aux termes de la présente convention, non réparé dans un délai de 30 jours à compter d une lettre recommandée avec accusé de réception notifiant les manquements à l autre partie, la partie notifiante pourra faire valoir la résiliation de la présente convention sous réserve de tous les dommages et intérêts auxquels elle pourrait prétendre.» => A combiner avec les autres clauses : réversibilité, garanties, données, etc. + les stipulations de la documentation annexe, éventuellement clause de suspension
ULYS 8 décembre 2011-47 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 4. Comment s assurer d un service de qualité maximale?
ULYS 8 décembre 2011-48 Comment s assurer un service de qualité maximale? Plan d action qualité (PAQ) ou «service level agreement» (SLA) Objet : Définir un niveau normal de service L assistance utilisateurs Gérer les incidents ponctuels et les pannes Encadrer les interruptions de service par le prestataire pour les besoins de maintenance Prévoir des sauvegardes Outils de contrôle et sanction => Enjeu : obtenir des engagements de niveau de service précis sur la qualité, la sécurité => Prendre en compte le caractère évolutif du service : quelles conséquences sur la qualité de service en cas de forte hausse/variabilité des besoins? Utilité des référentiels type ANSSI pour la rédaction des politiques de sécurité des systèmes d information (PSSI) domaines : organisation de la sécurité, gestion des risques SSI, sécurité et cycle de vie, assurance et certification, aspects humains, planification de la continuité des activités, gestion des incidents, sensibilisation et formation, exploitation, aspects physiques et environnementaux, identification / authentification, contrôle d accès logique, journalisation, infrastructures de gestion des clés cryptographiques, signaux compromettants. (http://www.securite-informatique.gouv.fr/gp_article51.html)
ULYS 8 décembre 2011-49 Comment s assurer un service de qualité maximale? Définition des indicateurs de la qualité Indicateurs de qualité : critères objectifs de mesure de la qualité Définir les critères de qualité prioritaires pour le projet Définir les notions Accessibilité/disponibilité Performance/temps de réponse/vitesse de transfert des données Sécurité (connexions sécurisées, authentification, ) Définir les critères de respect/violation : Définition des critères de respect différents selon le type d indicateur (par ex. temps de réponse aux requêtes : inférieur à X dans 90% des cas + inférieur à XX dans 95% des cas + toujours inférieur à XXX) Définition des incidents : mineur/majeur/bloquant, notamment en fonction de la gravité et de la durée de l incident
ULYS 8 décembre 2011-50 Comment s assurer un service de qualité maximale? Assistance utilisateurs Définir les droits d accès au service d assistance Assistance lors de la mise en œuvre / formation Assistance en cas d incident Escalade : remontée des incidents en fonction de la gravité
ULYS 8 décembre 2011-51 Comment s assurer un service de qualité maximale? Contrôle de la qualité Définir des outils et procédures de contrôle : Bilans périodiques de qualité (reddition de comptes par le prestataire) Audit annuel Recours à un tiers vérificateur Mettre en place une gouvernance pour un suivi régulier : réunions périodiques, procédures de remontée d informations => Attention à ne pas modifier les obligations contractuelles des parties dans le cadre des discussions
ULYS 8 décembre 2011-52 Comment s assurer un service de qualité maximale? Qualité : sanctions et incitations Définition de sanctions en cas de non-respect et gradation Sanction de premier niveau : pénalités, rabais mensuels, etc. => clauses pénales Second niveau : inexécution contractuelle Résiliation du contrat et mise en cause de la responsabilité du fournisseur Conditions de mise en œuvre Fréquence mensuelle/trimestrielle/annuelle/ Personne décisionnaire, information + droit d opposition, Franchise, plafond, en fonction du volume de données traitées ou de facturation, etc. Possibilité de prévoir des objectifs assortis de primes ou bonus
ULYS 8 décembre 2011-53 Comment s assurer un service de qualité maximale? Qualité : répondre à l urgence Prendre en compte les incidents signalés Qualifier l incident : mineur majeur bloquant Respecter le délai maximum d intervention Mettre en œuvre une solution temporaire : Basculement sur serveur de secours, etc. Respecter le délai maximal de rétablissement
ULYS 8 décembre 2011-54 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 5. Comment protéger les données mises dans le nuage?
ULYS 8 décembre 2011-55 Comment protéger les données mises dans le nuage? Protection des données, sujet central => Identifier la nature des données qui seront stockées dans le nuage pour prévoir un encadrement contractuel conforme aux exigences légales ou réglementaires => Inclure des clauses obligatoires le cas échéant (droit d audit des autorités compétentes, etc.) => Niveau d exigence proportionnel au risque (civil, professionnel/disciplinaire, pénal) Données personnelles Réglementation relative à la protection des données personnelles : directive 95/46/CE, loi n 78-17 du 6 janvier 1978 (Loi I&L), décisions et analyses CNIL, etc. Réglementations particulières (secteur bancaire et paiements, lutte antiblanchiment, santé, etc.) Obligations renforcées de sécurité, confidentialité, etc. sur certaines données Données sensibles : secrets d affaires, données qualifiées de confidentielles par contrat, etc. Pas de cadre juridique dédié Veiller à ce que les clauses du contrat de cloud ne risquent pas d entraîner la violation d engagements contractuels, etc.
ULYS 8 décembre 2011-56 Comment protéger les données mises dans le nuage? Données personnelles : intervenants dans les traitements Responsable du traitement : art. 3 Loi I&L «Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.» Sous-traitant : art. 35 Loi I&L «Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du soustraitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.» Quelle qualification dans le contrat de cloud? En théorie : client = responsable du traitement prestataire = sous-traitant Cependant, le simple fait que les données proviennent du client ne suffit pas pour faire le départ entre client/responsable et prestataire/sous-traitant : si le prestataire fournit des services supplémentaires, entraînant un traitement des données non contrôlé par le client NB : il peut y avoir plusieurs responsables de traitements sur une même donnée Risque de voir le prestataire obtenir la libre disposition des données
ULYS 8 décembre 2011-57 Comment protéger les données mises dans le nuage? Données personnelles : obligations en tant que responsable/sous-traitant Responsable : Veiller au respect constant des conditions posées à l article 6 de la Loi I&L Collecte loyale et licite; finalité déterminée, explicite et légitime, pas de traitement ultérieur incompatible; données adéquates, pertinentes et non excessives au regard des finalités; données exactes, complètes, mises à jour et effacées si besoin au regard des finalités; conservation pour la durée nécessaire. Assurer la sécurité des données en vertu de l article 34 de la Loi I&L : «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.» Renforcer la sécurité dans certains cas : données sensibles, transferts hors UE (cf. infra) Contrôler le sous-traitant et ses sous-traitants, cf. art. 35 Loi I&L ci-dessous Sous-traitant : art. 35 Loi I&L «Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.» => Le responsable du traitement assume la responsabilité civile et pénale du traitement
ULYS 8 décembre 2011-58 Comment protéger les données mises dans le nuage? Données personnelles : Transferts de données hors UE sous contrôle de la CNIL (art. 68 à 70 Loi I&L) Circulation en UE : pas de conditions Transfert hors UE : Vers un pays assurant un niveau de protection adéquat (ex. Canada, Israël, Argentine) : pas de condition supplémentaire Vers un pays non adéquat (ex. USA) : interdiction, sauf si : Autorisation de la personne concernée ou Exception art. 69 (sauvegarde vie de la personne, sauvegarde intérêt public, exécution d un contrat, etc.) ou Transfert hors UE vers pays non adéquat Transfert hors UE vers pays adéquat Circulation en FR ou en UE Signature des clauses contractuelles types de la Commission européenne ou Participation du sous-traitant à un système de protection des données (Safe Harbour) [mais système peu fiable depuis l adoption du Patriot Act] ou Adoption de règles internes d entreprise imposées au sous-traitant («corporate binding rules»)
ULYS 8 décembre 2011-59 Comment protéger les données mises dans le nuage? Données sensibles et réglementations particulières : Mesures de sécurité supplémentaires pour certains types de données, qui sont souvent des données personnelles (mais ces règles ne réservent pas leur application aux données personnelles) Données de santé qui nécessitent que l hébergeur soit agréé (art. L.1111-8 du code de la santé publique) Données traitées par les acteurs bancaires et des paiements : obligations de sécurité prévues au Règlement 97-02 Réglementation de la lutte contre le blanchiment (art. L. 561-2 et suivants du code monétaire et financier) : informations confidentielles relatives aux déclarations de soupçons, etc. Obligations générales de conservation et d archivage de pièces comptables, justificatifs fiscaux, etc.
ULYS 8 décembre 2011-60 Comment protéger les données mises dans le nuage? Protection des autres données du client, confidentielles ou non : La protection des données du client ne s arrête pas aux données personnelles : Informations soumise à un engagement contractuel de confidentialité Secrets d affaires Informations stratégiques Encadrer les conditions d exploitation /accès aux données sans limiter ces clauses aux données personnelles Prévoir les conséquences du risque de fuite de données : indemnisation, garantie visà-vis des tiers affectés, etc. Eviter autant que possible d attribuer un droit d utilisation des données chargées dans le cloud, au prestataire certains contrats peuvent prévoir une licence d utilisation au bénéfice du prestataire, du contenu faisant l objet d un droit de propriété intellectuelle
ULYS 8 décembre 2011-61 Comment protéger les données mises dans le nuage? Exemple de clause relative aux données : «Les données du client hébergées sur les serveurs du prestataire restent la pleine et entière propriété du client. Le client peut en obtenir une copie à tout moment, dans les conditions prévues au présent contrat. Le prestataire s interdit d exploiter ces Données, excepté dans le cadre de l exécution des obligations découlant de la présente convention, de la loi ou d une réquisition provenant d une autorité judiciaire ou administrative habilitée.»
ULYS 8 décembre 2011-62 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage 6. Quelle loi appliquer au contrat de Cloud Computing?
ULYS 8 décembre 2011-63 Quelle loi appliquer au contrat de Cloud Computing? Loi du contrat et juge compétent Au sein de l Union européenne : Loi applicable Clause spécifique du contrat désignant la loi applicable A défaut, application du Règlement n 593/2008 du 17 juin 2008 dit Rome 1 : «le contrat de prestation de services est régi par la loi du pays dans lequel le prestataire de services a sa résidence habituelle» (art. 4, b)) Juridiction compétente: Règlement (CE) n 44/2001: Juridiction compétente = celle de l Etat membre dans lequel le demandeur a son domicile Hors UE : => Que se passe-t-il lorsque le prestataire et/ou les serveurs sont hors UE (notamment US), voire dans plusieurs pays? Application des lois de police Loi I&L : la loi française s applique au responsable de traitement résidant en France ou résidant hors UE et qui a recours à des moyens de traitement situés en France (art. 5 Loi I&L) => Respect des conditions de transfert de données hors UE, sont de la responsabilité du responsable du traitement Réglementation anti-blanchiment : s applique aux activités exercées en France des prestataires assujettis en vertu de la loi FR (harmonisation européenne)
ULYS 8 décembre 2011-64 Cloud Computing Outils juridiques pour sécuriser l informatique en nuage Cas pratique : La clause limitative de responsabilité
Cas pratique : La clause limitative de responsabilité ULYS 8 décembre 2011-65 Enoncé : La société B, désireuse d externaliser son service informatique fait appel à la société A «cloud provider». La société B a besoin d une plateforme de travail externalisée requérant un débit de données important ainsi que d un espace de stockage. Les deux sociétés se trouvent en France traitent des données françaises et les données sont stockées en France. La société B a négocié avec la société les obligations que celle-ci devait satisfaire. Elles sont rédigées comme suit : La société A s engage à fournir à la société B une plateforme conforme aux attentes de la société B du 01/01/2012 au 01/01/2017. La société A s assure de fournir à la société B un service d une qualité optimale. A cet effet elle garantit à la société B une disponibilité de 98% et une accessibilité du service 7 jours sur 7, 24 heures sur 24. La société A garantit à la société la fiabilité totale de son système de sécurité et ainsi assure qu aucune perte de données ne sera à déplorer. La clause limitative de responsabilité stipule quant à elle qu en cas d inexécution, ou de mauvaise exécution de ses obligations nées du présent contrat, la société A n engage sa responsabilité que dans la limite du plafond de la moitié du prix du contrat.
ULYS 8 décembre 2011-66 Cas pratique : La clause limitative de responsabilité Problème Après quelques mois d utilisation du service les baisses de performance se font déjà ressentir. - La société B se plaint de la latence élevée, d une disponibilité très relative puisque le système ne marche que 50% du temps et d une perte de données de la part du prestataire. - Tous ces désagréments ont causé une perte de 2 millions d euros pour la société B en sus des frais engagés pour acheter les services de la société A qui s élevaient à 100 000 euros. ******** A/ Quelles sont les précautions à prendre pour les cocontractants lors de la rédaction du contrat afin de limiter leur responsabilité? B/ Quelle solution choisir lorsque l exécution du contrat ne se déroule pas comme prévu?
Cas pratique : La clause limitative de responsabilité ULYS 8 décembre 2011-67 A. Les précautions à prendre dans la rédaction du contrat Jsp : Validité des clauses limitatives de responsabilité mais celles-ci ne doivent toutefois pas contredire l obligation essentielle souscrite par le débiteur. - 1 ère difficulté : Définir quelle est l obligation essentielle du contrat : => Recommandation : Classer les obligations du débiteur, entre obligations essentielles et obligations accessoires, sans oublier que le juge peut les requalifier Fourniture d une plateforme de service conforme aux spécifications de la société B. La société A assurera un service de bonne qualité auprès de la société, avec une accessibilité et une disponibilité maximale dans la limite des capacités de la société et des éléments pouvant affecter la bonne exécution du service. La société A garantit à la société B la meilleure sécurité possible dans la limite de ses capacités. Le pourcentage de disponibilité. Le taux d accessibilité, la latence. Les obligations relatives à la maintenance.