Post on 08-Oct-2020
AFDIT I Les contrats Cloud : des contrats clés en main ? 15 octobre 2015
Rappel : qu’est-ce que Syntec Numérique ?
Une définition du Cloud Computing
Les caractéristiques du Cloud Computing
Les modèles existants de Cloud Computing
La contractualisation du Cloud computing
• Standardisation du modèle contractuel ?
• La négociation de clauses sensibles dans la relation client /
prestataire de Cloud Computing
Déroulement
Présentation de Syntec Numérique
SYNTEC NUMERIQUE
Chambre professionnelle des métiers du numérique
3 grands métiers
Entreprises de services du numérique (ESN) Editeurs de logiciels
Conseil en technologies
1 500 entreprises adhérentes
SYNTEC NUMERIQUE
50,4 milliards
d’euros
source IDC / Syntec Numérique
SYNTEC NUMERIQUE
Un indicateur suivi : le poids de SMACS pour les ESN et les Editeurs
Social, Mobilité, Analytics, Cloud et Sécurité Enquête de conjoncture, Syntec Numérique / IDC, février 2015
10%
de l’activité ESN
2015
+15,8%
2015
91%
Cloud/SaaS
Accélération des projets
22%
de l’activité éditeurs
2015
81%
Cloud/SaaS
+21%
2015
Editeurs concernés par les projets de …
Une définition du Cloud computing
Approche technologique permettant aux entreprises et aux personnes
de disposer de puissance de calcul, d’espace de stockage,
d’applications… (dans des serveurs hébergés hors de l’entreprise ou
du domicile) comme autant de services.
Un prestataire fournit à un client en fonction de ses besoins, de
manière locative, un accès à des ressources informatiques par un
réseau (Me Xavier Pican – Lefebvre Pelletier Avocats)
Définition
Caractéristiques du Cloud Computing
Le CC consiste à mutualiser des serveurs entre plusieurs utilisateurs;
Il permet au client d’accéder à son espace dans le serveur de manière
dématérialisée (par un réseau de type Internet) sans préoccupation
matérielle ou logicielle;
L’accès aux serveurs se fait en libre service et à la demande, à des
conditions contractuelles déterminées à l’avance car le CC est un service
et doit être défini en terme de performance, de sécurité, de coût;
L’avantage de la libre demande : un prix adapté à la consommation réelle du
client utilisateur et une optimisation de la consommation (élasticité en fonction
du volume des besoins à un moment précis);
Le CC est évolutif : il s’adapte à la demande, aux logiciels demandés, aux
caractéristiques de ces derniers.
Caractéristiques
Les modèles de Cloud Computing
3 services possibles qui correspondent à une intégration différente
IaaS : infrastructure as a Service : Le fournisseur de Cloud computing
fournit l’infrastructure hébergée (l’espace de stockage, les serveurs
notamment) qui fera fonctionner la plate forme et les applications
PaaS : Platform as a Service : Le fournisseur de Cloud computing fournit la
totalité de l’environnement fonctionnel de la plate forme. Il ne reste plus à
l’entreprise qu’à maintenir ses applications
Saas : Software as a Service : la fournisseur de Cloud computing, en plus
de tout le reste, fourni les applications d’entreprises (CRM, messagerie,
ERP…)
Les modèles
3 familles de Cloud Computing coexistent :
Le Cloud privé : un Cloud réservé à un client, soit que les ressources
informatiques sont localisées dans son entreprise, soit que le Cloud lui est
exclusivement dédié dans les serveurs d’un fournisseur (Cloud privé
externalisé);
Le Cloud public : le Cloud est localisé à l’extérieur de l’entreprise. Il est
accessible par Internet et géré par un prestataire d’infrastructure. Les
ressources sont mutualisés entre tous les clients / utilisateurs;
Le Cloud hybride : les deux précédents types de Cloud coexistent pour
certains usages.
Les modèles
La contractualisation du Cloud computing : standardisation du
modèle contractuel ?
La nature même du CC permet la standardisation de l’offre et de la
contractualisation
Des offres standardisées car mutualisées (Cloud public)
Contractualisation en ligne par un clic
Une négociation client / prestataire qui peut être difficile à déclencher
B2B : poids de négociation PME versus grands offreurs
B2C : poids de négociation consommateur versus entreprise
Des contrats de très courtes durée : peu propices à la négociation
Malgré cela : possibilités pour le client d’exprimer un besoin, de négocier
son offre et de signer un contrat, principalement avec les revendeurs
Le constat de la standardisation
Réduction des coûts (oriente 75% des DSI vers le Cloud) et prédictibilité
des prix (SaaS)
Une gamme de choix plus large : de l’hébergement nu au modèle Saas :
dépend du niveau de contrôle de l’environnement applicatif que veut garder
le client
Accès pour des PME à des logiciels réservés à des grands comptes
Une durée de contrat plus courte (quelques semaines) : des contrats Cloud
plus agiles et renégociables. Durée habituelle des contrats informatiques :
de 12 à 36 mois
Une plus grande évolutivité des contrats : des contrats Cloud plus agiles et
évolutifs que les contrats classiques (modifiables par voie d’avenant - long
et difficile).
Les avantages de la standardisation
Manque de lisibilité des prix en Iaas et Paas – contrepartie de l’agilité
Difficultés de comparaison des offres Saas, Paas, Iaas
Les clients doivent s’adapter à des solutions standards qui ne leur
correspondent pas forcément (moins d’adéquation au besoin) (Cloud public
uniquement)
Transition qui dépossède l’entreprise de la maitrise des éléments logiciels
et des aspects de sécurité (des données notamment)
Dépendance technique face au prestataire et à l’hébergeur
Difficultée pour un DSI de rendre lisible ses coûts pour sa DG et ses clients
Moins d’accompagnement par le prestataire que sur un contrat traditionnel
(Cloud public)
Critiques justifiées des clients
Les fournisseurs ne négocient jamais les contrats de Coud computing
Les fournisseurs imposent des SLA aux clients
Les fournisseurs ne prennent pas d’engagement de niveaux de service et
limitent leur responsabilité. Les niveaux de service ne sont pas identiques
entre fournisseurs de CC : les offres sont différentes selon les produits
concernés, le prix négocié avec le client, le modèle de CC choisit par le
client
Les fournisseurs ne permettent pas les audits
Idées reçues sur les fournisseurs de Cloud Computing
La négociation de clauses sensibles dans la relation client / prestataire
de Cloud Computing
Le cadre contractuel : les parties peuvent prévoir des évolutions au cours
d’exécution du contrat (évolution du périmètre)
L’expression du besoin : le client doit donner son besoin et ses
demandes contractuelles lors de l’AO
Clause de responsabilité :
L’offre de CC prévoit la responsabilité du prestataire en cas de faute,
erreur ou omission causant un dommage au client
Obligation relative à la disponibilité du service : de moyen
Obligation relative à la récupération de données : de résultat
Aménagements conventionnels possibles
Le contrat plafonne la responsabilité du prestataire
Quelle place pour la négociation ?
Clause de confidentialité
Clause qui doit être détaillée
Concerne le client comme le prestataire (et leurs équipes) : le
prestataire ne doit connaitre que ce qui est nécessaire aux prestations
A répercuter sur les sous-traitants
Porte sur les toutes les données stockées, les traitements et opérations
effectuées par le client que ce soit sur le serveur, l’infrastructure ou les
logiciels
Moyens pour assurer la confidentialité : précisés en annexe technique
au contrat
Quelle place pour la négociation ?
SLA ou niveaux d’engagement
Figurent dans le contrat ou en annexe
Déterminent les critères de performance et la disponibilité du service,
les mesures de sécurité et de confidentialité du service (exemple :
redondance du système)
Décrivent le contenu du service : temps de réponse, vitesse de transfert
des données, délais maximum d’interruption, fréquence des
sauvegarde, délais de restauration des données....
Décrivent le contrôle par le client : les outils d’audit et leurs fréquence
potentielle, les outils de réclamation, les mécanismes d’escalade en cas
de désaccord entre les parties
Décrivent les sanctions en cas de défaillance de service
SLA
Sécurité : un secteur encadré
Référentiels ANSSI du 30 juillet 2014 sur les prestataires de services
sécurisés d’informatique en nuage
Normes ISO / AFNOR dédiées :
Norme ISO/IEC 27018 constituant des bonnes pratiques pour la
protection des données personnelles dans les services de Cloud
(juillet 2014)
Norme ISO/IEC 27017 en matière de sécurité du Cloud
Norme ISO 19086 sur la notion de niveau de service
Sécurité
De plus en plus fréquente avec l’évolution croissante des solutions Cloud
Permet d’adapter le prix en fonction de la prestation fournie (soit aux coûts
du prestataire, soit en fonction du service bénéficiant au client)
Le client peut optimiser le contrat en adaptant le périmètre des prestations /
le prestataire peut adapter son infrastructure technique Contredit la
standardisation critiquée par les clients
Régime du droit commun des contrats : application de la bonne foi et de la
notion d’équilibre contractuel
Clause de renégociation ou de modification unilatérale
Clause attributive de juridiction
Principe : loi et compétence du juge du lieu d’établissement du
prestataire Cloud (B2B) et du domicile du consommateur (B2C) à défaut
de disposition contraires
Importance de connaitre le lieu de localisation des données
Certains prestataires fournissent des analyses de risque si les données
quittent le territoire et s’engagent sur une protection adaptée à la zone
géographique.
Clause de prix ou attributive de juridiction
Clause de résiliation
Largement ignorée et pourtant très utile
Prévoir les causes possible et anticiper les effets
Clause de réversibilité
Prévoir la restitution des données du client (portabilité de données)
Type de fichier de restitution : fichiers intermédiaires
Ne doit pas porter atteinte aux droits de PI du prestataire
Prévoir le maintien des obligations des parties pendant la réversion
Possibilité de prévoir un plan de réversibilité : modalités de délais, de
moyens humains et techniques, prix éventuel
Prévoir la responsabilité du prestataire en cas de dégradation ou de
perte de données (cf. clause de responsabilité)
Clause de résiliation et de réversibilité
Un prestataire assuré rassure
Les prestataires doivent disposer d’un contrat d’assurance
Ils doivent communiquer les attestations correspondantes
Ils doivent vérifier les exclusions de garantie et les niveaux de garantie
de leur police
Assurance
Merci de votre attention
28