Cloud computing Informatique en nuage juridiques pour sécuriser l’informatique en nuage 2. Le...

Cloud computingInformatique en nuage

Formateurs :T. Verbiest, C.-R. Joly, L. Breteau Ulys

Informatique en nuage

Outils juridiques pour sécuriser l’informatique en nuage

© ULYS - 2

Présentation du cabinet ULYSDomaines d’intervention

Nouvelles TechnologiesPropriété IntellectuellePaiements et Monnaie électroniquesMédia, Jeux & DivertissementDroit commercial, des sociétés et de la concurrence appliqués à ces secteurs

Ulys, quatre valeurs :�Spécialisé�Innovant�Engagé�Partenaire

MissionsServices ‘traditionnels’ : rédaction et négociation de contrats, contentieux et règlements alternatifs des litiges, articles et conférences, etc.Accompagnement de projets, notamment transnationaux Consultation des pouvoirs publics et missions de sensibilisation des autorités nationales et européennes

Equipe Ulys ‘Comundi Cloud Computing’ :Me Thibault Verbiest, associé et fondateur Ulys Me Cathie-Rosalie Joly, associée UlysMe Lise Breteau, collaboratrice senior Ulys

© ULYS - 3

Présentation de la formation

� Cette formation n’aborde pas les marchés publics du cloud computing

1. Définition - Qu’est-ce que le Cloud Computing ?� Définir le cloud computing� Les différents types de cloud computing� Quelques données du marché

2. Le Cloud Computing, un outil puissant et modulable mais non sans risques� Les avantages� Identification des principaux risques � Identification des principaux risques � Stratégie de la Commission européenne

3. Comment protéger les données situées dans les nuages : focus sur la protection des données� Données personnelles et autres données sensibles (non personnelles) de l’entreprise � Protection des données personnelles : les sujets majeurs du cloud computing� Qualification de responsable de traitement/sous-traitant� Détermination de la loi applicable � Transfert de données hors UE� La sécurité et le risque de fuite de données� Principales mesures de sécurité selon la CNIL� Les normes applicables aux données non personnelles� Cas pratique

© ULYS - 4

Présentation de la formation

4. Les clauses « techniques » et la sécurité� Sécurité et droits d’accès� Installation technique et recette/mise en production� Garanties opérationnelles� Migration et réversibilité� Plan d’action qualité et indicateurs de qualité, assistance utilisateurs et contrôle de la qualité� Responsabilité du prestataire� Cas pratique

5. Les clauses « juridiques » et opérationnelles 5. Les clauses « juridiques » et opérationnelles � Objet du contrat, conditions d’exécution et obligations du prestataire� Durée � Prix� Propriété intellectuelle� Résiliation� Loi du contrat et juge compétent, lois de police

6. Les documents contractuels� Phase précontractuelle� Phase contractuelle � Documentation � Cas pratique

© ULYS - 5

1. Qu’est1. Qu’est--ce que le ce que le Cloud Cloud ComputingComputing??

Cloud ComputingOutils juridiques pour sécuriser l’informatique en nuage

1. Qu’est1. Qu’est--ce que le ce que le Cloud Cloud ComputingComputing??2. Le Cloud Computing, un outil puissant et modulable mais

non sans risques3. Comment protéger les données mises dans le nuage ?4. Les clauses « techniques » et la sécurité 5. Les clauses « juridiques » et opérationnelles6. Les documents contractuels

© ULYS - 6

Qu’est-ce que le Cloud Computing ?

Extrait

Source :Dominique FILIPPONE, Journal du Net

(http://www.journaldunet.com/solutions/cloud-computing/cloud-computing-au-bureau-0812.shtml)

© ULYS - 7


� Une prestation pas nouvelle mais augmentée

� La sous-traitance informatique, un mécanisme connu : infogérance, externalisation/outsourcing, facilities management, ASP, …� Relève des services consistant en la prise en charge de la gestion du système

informatique d’une entité, avec ou sans délocalisation, dans le cadre d’une relation pluriannuelle

� Qu’ajoute le Cloud ? L’offre est généralement fortement orientée service :� Qu’ajoute le Cloud ? L’offre est généralement fortement orientée service :� Service à la demande, puissance de stockage et de traitement variable� Peu de visibilité sur les ressources et équipements mis en œuvre pour assurer la

prestation� Délocalisation voire pluri-localisation de l’hébergement et des traitements (serveurs

« localisés dans le monde entier »)� « Mode de traitement des données d'un client, dont l'exploitation s'effectue par

l'internet, sous la forme de services fournis par un prestataire.Note : L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. » (Vocabulaire de l’informatique et de l’internet, JORF du 6 juin 2010, n°129, p. 10453)

© ULYS - 8

Qu’est-ce que le Cloud Computing ?� Définitions proposées par les instances de protection des données personnelles :� CNIL : Consultation publique fin 2011 et synthèse des réponses publiée le 25 juin

2012 (voir http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/) � Constat : « Le terme Cloud computing étant à la fois récent et recouvrant de nombreuses notions, il n’y a pas encore de consensus pour en donner une définition précise »� Définition en fonction des éléments caractéristiques du service (reprise de diverses définitions, notamment NIST) :définitions, notamment NIST) :

• Simplicité d’un service à la demande• Extrême flexibilité• Accès « léger »• Virtualisation ou mutualisation des ressources• Paiement à l’usage

� G29 : Opinion on cloud computing, 1er juillet 2012 WP196 (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf) : �« Cloud computing consists of a set of technologies and service models that focus on the Internet-based use and delivery of IT applications, processing capability, storage and memory space. »

© ULYS - 9


Source : http://fr.wikipedia.org/wiki/Fichier:Cloud_computing.svg

© ULYS - 10


Qu’est-ce qui peut être géré en Cloud ?

� Applications : Saas Software as a Service

Le client utilise les applications du fournisseur via une interface disponible grâce au réseau. Ces dernières sont donc consommées et payées à la demande. Par ex. webmails, applications type Google Earth, etc.

Le fournisseur Cloud maintient : - les applications, --les runtimes, -- l’intégration SOA (Service Oriented Architecture), -- les bases de données, -- le logiciel serveur, -- la virtualisation, - le matériel serveur, - le stockage,- les réseaux.

© ULYS - 11


� Plateforme : PaaS Platform as a service

Le client peut déployer sur l’infrastructure Cloud ses propres applications, dans la mesure où le fournisseur supporte le langage de programmation.

La plateforme distante ne se contente pas d’héberger les applications mais interagit pour allouer des ressources suffisantes à leur bon fonctionnement => plateforme de développement, d’exécution, etc.

o l’entreprise maintient uniquement les applications ;o le fournisseur Cloud maintient :

- les runtimes,- l’intégration SOA, - les bases de données, - le logiciel serveur, - la virtualisation, - le matériel serveur, - le stockage, - les réseaux.

© ULYS - 12


� Capacité de traitement : IaaS Infrastructure as a service

Désigne une infrastructure matérielle, louée à la demande par le client: stockage, machines virtuelles, OS, et autres ressources de calcul. L’utilisateur peut, dans ce cas, disposer sur demande d’une capacité de traitement pour n’importe quel type d’application. Par ex. stockage dynamique, que le client administre et modifie en fonction de ses besoins

o l’entreprise maintient : - les applications, - les applications, - les runtimes, - l’intégration SOA, - les bases de données, - le logiciel serveur ;

o le fournisseur Cloud maintient : - la virtualisation, - le matériel serveur,- le stockage, - les réseaux

© ULYS - 13


Source : http://www.microsoft.com/france/entreprises/decideur-it/cloud/caracteristiques-du-cloud.aspx

© ULYS - 14


Source : http://www.thinkbetter.be/e-business/cloud-computing

© ULYS - 15

Qu’est-ce que le Cloud Computing ?Les différents types de Cloud

• Privé : infrastructure entièrement dédiée à un client• Cloud privé interne : géré par le client lui-même • Cloud privé externe : géré par un tiers• Cloud privé virtuel : un environnement de Cloud Computing qui recouvre l’infrastructure de clouds

internes et externes, offrant à l’entreprise un environnement transparent, géré, qui est sécurisé et sous le contrôle du service informatique

• Solution la plus sûre

• Public : infrastructure partagée• Public : infrastructure partagée• Infrastructure accessible à un large public • Appartient à un fournisseur de cloud services• Solution la moins coûteuse

• Hybride• Infrastructure composée de deux nuages ou plus mélangeant public et privé• Clouds uniques liés par une technologie normalisée ou propriétaire• L’idéal : opter pour une architecture de cloud privé permettant de recevoir des clouds publics, mais cela

peut se présenter sous la forme de clouds localisés chez un hébergeur mais dédiés à un client

• Cloud communautaire • Open cloud

© ULYS - 16


Source : http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492.html

© ULYS - 17


Source : http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492.html

© ULYS - 18


Source : http://revevol.fr/2010/07/19/analyse-des-dimensions-du-risque-lie-au-cloud-computing

© ULYS - 19


� Chiffres cités par la Commission européenne : rapport Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Up-take, 13 juillet 2012 (http://ec.europa.eu/information_society/activities/cloudcomputing/docs/quantitative_estimates.pdf)

© ULYS - 20


� Chiffres cités par la Commission européenne : rapport Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Up-take, 13 juillet 2012� “Cloud Computing Could Contribute up to €250 Billion to EU GDP

in 2020 and 3.8 Million Jobs”

© ULYS - 21


� Les projections du marché (étude Cabinet IDC)

Source : Le Journal du Net (http://www.journaldunet.com/solutions/cloud-computing/depenses-cloud-computing-public-2012-2016-0912.shtml) 0912.shtml)

© ULYS - 22

1. Qu’est-ce que le Cloud Computing?


1. Qu’est-ce que le Cloud Computing?2. Le Cloud 2. Le Cloud ComputingComputing, un outil puissant et modulable , un outil puissant et modulable

mais non sans risquesmais non sans risques3. Comment protéger les données mises dans le nuage ?4. Les clauses « techniques » et la sécurité 5. Les clauses « juridiques » et opérationnelles6. Les documents contractuels

© ULYS - 23

Le Cloud, outil puissant et modulable non sans risques

Quel besoin, quel intérêt de recourir au Cloud Computing ?

� Réduire les coûts et/ou le délai de mise à disposition d’un outil� Simplifier la gestion et adapter le SI au besoin réel � Disposer d’une capacité informatique modulable, répondre à des � Disposer d’une capacité informatique modulable, répondre à des

besoins spécifiques� Bénéficier d’une disponibilité en principe totale de l’information � Se recentrer sur un cœur de métier

© ULYS - 24


Des inconvénients réels

� Risques techniques : � Risque de dépendance technologique et de perte de gouvernance, � Risque sur l’interopérabilité et respect des standards, � Risque sur la continuité du service, � Risque de piratage et fuite/vol de données, sécurité, etc.� Risque de perte de données pendant les phases de migration et réversion, etc.

� Risque financier de perte de maîtrise des coûts

© ULYS - 25


Des inconvénients réels

� Risques réglementaires : pas de réglementation particulière, mais des réglementations locales spécifiques à ne pas négliger :� Protection des données personnelles, règles sur les fuites de données, � Commerce électronique, protection des consommateurs, � Obligations de conservation de documents comptables et fiscaux, etc.

Obligations spécifiques de sécurité ou de secret professionnel : secteur de la banque � Obligations spécifiques de sécurité ou de secret professionnel : secteur de la banque et de l’assurance, de la santé, etc.

� Applications de réglementations conflictuelles (Patriot Act)

� Risque contractuel : � Irresponsabilité du prestataire � Loi applicable/juge compétent inaccessibles� Clauses non négociables, etc.

� Ces risques se traduisent par la responsabilité civile, voire professionnelle ou pénale et ont des répercussions au niveau commercial, risque d’image et de perte de clientèle

© ULYS - 26


Barrières (rapport commandé Commission européenne, 13 juillet 2012)

© ULYS - 27


Suggestions d’améliorations du cloud(rapport commandé Com. EUR, 13 juillet 2012)

© ULYS - 28

Comment protéger les données mises dans le nuage ?

� Stratégie de la Commission européenne :� La commissaire européenne chargée de l'Agenda numérique, Neelie Kroes, a

déclaré : « Si nous voulons que nos marchés numériques croissent, les utilisateurs doivent se sentir à l'aise de dépenser en ligne. Si les entreprises doivent tirer avantage de tous les bénéfices potentiels du cloud computing, ils doivent pouvoir être sûrs que leurs secrets industriels ne seront pas interceptés ».

� L'eurodéputé bulgare, Ivailo Kalfin (Socialistes & Démocrates), « C'est un outil (le cloud computing) essentiel pour augmenter la compétitivité de l'Union, surtout pour les petites et moyennes entreprises, et les législateurs de l'UE devraient contribuer à les petites et moyennes entreprises, et les législateurs de l'UE devraient contribuer à son développement, en s'assurant que les principes de sécurité, de confidentialité des données et d'interopérabilité sont respectés dans le nuage ».

� Selon Madame Viviane Reding, Vice-Présidente de la Commission européenne en charge de la Justice, des Droits fondamentaux et de la Citoyenneté, une notification obligatoire des failles de sécurité, semblable à celle prévue pour les fournisseurs de services de communications électroniques pourrait être introduite pour les services bancaires et financier (discours du 20 juin 2011 http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/452&format=HTML&aged=0&language=EN&guiLanguage=en

© ULYS - 29

Le Cloud, un outil puissant et modulable non sans risques

� Stratégie de la Commission européenne� Observations européennes et réflexion pour élaborer un projet de lignes directrices

applicables aux contrats de cloud� Consultation publique de la Commission courant 2011 : éventualité de modèles de

documents contractuels (CG, PAQ, etc.), questions de sécurité des données, de détermination de la personne responsable

� Communication de la Commission du 27 septembre 2012 « Unleashing the Potentialof Cloud Computing in Europe » (http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_clou(http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_cloud.pdf) La stratégie poursuit quatre grands objectifs:� garantir le transfert des données d'un prestataire de services en nuage à un autre, ou leur

retrait complet;� établir un système de certification à l'échelle de l'UE pour les prestataires fiables;� élaborer des modèles de contrats d'informatique en nuage indiquant clairement les

obligations contractuelles;� créer un partenariat européen en faveur de l'informatique en nuage associant secteurs public

et privé, afin de déterminer les besoins existants et de veiller à ce que le secteur européen des technologies de l'information puisse y satisfaire, de sorte que les entreprises soient plus compétitives face à la concurrence étrangère, et plus particulièrement américaine.

© ULYS - 30


Pas de solution standard pour limiter le risque

� Anticiper les difficultés par l’encadrement contractuel � Un contrat d’entreprise et un contrat informatique : quasiment tout est à

écrire, pas de régime légal de ces contrats et peu de dispositions impératives impératives

� A condition de pouvoir négocier

� Certains contrat cloud sont des contrats d’adhésion� Conditions générales mises en ligne et modifiables par le prestataire de manière

discrétionnaire� Evolutions du service sans information préalable/droit d’opposition du client, etc.

� En l’absence de marge de négociation, évaluation du risque pour déterminer si l’offre doit être rejetée, ou non

� Identifier le type de cloud adapté en fonction du besoin de l’entreprise, des données à traiter, des risques, … (cf. recommandation n°4 de la CNIL)

© ULYS - 31

Dans ces conditions, quelles sont les Dans ces conditions, quelles sont les précautions à prendre dans les contrats précautions à prendre dans les contrats


précautions à prendre dans les contrats précautions à prendre dans les contrats de Cloud Computing ?de Cloud Computing ?

© ULYS - 32



1. Qu’est-ce que le Cloud Computing?2. Le Cloud Computing, un outil puissant et modulable mais

non sans risques3. Comment protéger les données mises dans le nuage?3. Comment protéger les données mises dans le nuage?4. Les clauses « techniques » et la sécurité 5. Les clauses « juridiques » et opérationnelles6. Les documents contractuels

© ULYS - 33

Comment protéger les données mises dans le nuage ?Protection des données, sujet central=> Identifier la nature des données qui seront stockées dans le nuage pour prévoir un encadrement contractuel conforme aux exigences légales ou réglementaires (cf. recommandation n°1 de la CNIL)=> Inclure des clauses obligatoires le cas échéant (droit d’audit des autorités compétentes, etc.)=> Niveau d’exigence proportionnel au risque (civil, professionnel/disciplinaire, pénal)

Données personnelles Données personnelles � Réglementation relative à la protection des données personnelles : directive 95/46/CE, loi n°78-17

du 6 janvier 1978 (Loi I&L), décisions et analyses CNIL, etc. � Réforme en cours : projets de textes de la Commission européenne du 25 janvier 2012 (voir

http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf)

Réglementations particulières (secteur bancaire et paiements, lutte anti-blanchiment, santé, etc.)� Obligations renforcées de sécurité, confidentialité, etc. sur certaines données

Données sensibles : secrets d’affaires, données qualifiées de confidentielles par contrat, etc. => pas de cadre juridique dédié� Veiller à ce que les clauses du contrat de cloud ne risquent pas d’entraîner la violation

d’engagements contractuels, etc.

© ULYS - 34


Protection des données personnelles : Les sujets majeurs du cloudcomputing

� L’analyse dans le cadre de la réglementation des données personnelles aborde des sujets « de droit commun » : responsabilités, garanties, sécurité, etc.

� Consultation et analyse CNIL� Qualification de responsable de traitement/sous-traitant � Intérêt de créer un régime spécifique applicable aux prestataires de cloud ?� Critères de rattachement pour détermination de la loi applicable ? � Critères de rattachement pour détermination de la loi applicable ? � Quel encadrement des transferts de données? � Quels risques spécifiques de sécurité ?

� G29 : opinion du 1er juillet 2012� Commission européenne : projet de réforme de la réglementation

européenne de protection des données personnelles (projet de règlement du 25 janvier 2012)

© ULYS - 35

Comment protéger les données mises dans le nuage ?Qualification de responsable de traitement/sous-traitant

Responsable du traitement : art. 3 Loi Informatique et Libertés« Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens. »

Sous-traitant : art. 35 Loi Informatique et Libertés Sous-traitant : art. 35 Loi Informatique et Libertés « Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. »

© ULYS - 36


Obligations du responsable :� Veiller au respect constant des conditions posées à l’article 6 de la Loi I&L

Collecte loyale et licite; finalité déterminée, explicite et légitime, pas de traitement ultérieur incompatible; données adéquates, pertinentes et non excessives au regard des finalités; données exactes, complètes, mises à jour et effacées si besoin au regard des finalités; conservation pour la durée nécessaire. � Assurer la sécurité des données en vertu de l’article 34 de la Loi I&L :� Assurer la sécurité des données en vertu de l’article 34 de la Loi I&L :

« Prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »� Renforcer la sécurité dans certains cas : données sensibles, transferts hors UE� Contrôler le sous-traitant et ses sous-traitants, cf. art. 35 Loi I&L=> Le responsable du traitement assume la responsabilité civile et pénale du => Le responsable du traitement assume la responsabilité civile et pénale du traitementtraitement

© ULYS - 37


Obligations du sous-traitant : art. 35 Loi I&L« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

© ULYS - 38


Quelle qualification dans le contrat de cloud ?� En théorie : client = responsable du traitement prestataire = sous-traitant � Cependant, le simple fait que les données proviennent du client ne suffit pas pour

faire le départ entre client/responsable et prestataire/sous-traitant : si le prestataire fournit des services supplémentaires, entraînant un traitement des données non contrôlé par le client

� NB : il peut y avoir plusieurs responsables de traitements sur une même donnée� NB : il peut y avoir plusieurs responsables de traitements sur une même donnée� Risque de voir le prestataire obtenir la libre disposition des données

� Projet de règlement européen : régime légal de la sous-traitance

© ULYS - 39

Comment protéger les données mises dans le nuage ?Qualification de responsable de traitement/sous-traitantConsultation CNIL Prestataire de cloud présumé sous-traitantFaisceau d’indices pour renverser la qualification

(Extrait du document de consultation CNIL)

© ULYS - 40

Comment protéger les données mises dans le nuage ?Qualification de responsable de traitement/sous-traitantRéponses à la consultation CNIL fin 2011� Analyser en fonction de la nature de l’offre cloud, non à partir d’une présomption � Nombreux cas d’offres où le prestataire peut être considéré comme responsable du

traitement� Coresponsabilité source d’insécurité juridique

Analyse de la CNIL juin 2012� Procéder à un partage clair des responsabilités - extrait de la synthèse CNIL : � Procéder à un partage clair des responsabilités - extrait de la synthèse CNIL :

� Réutilisation des données par le prestataire pour une autre finalité est soumise aux conditions légales (information/consentement des personnes concernées, formalités CNIL, etc.)

� Rappel du projet de règlement européen du 25 janvier 2012

© ULYS - 41

Comment protéger les données mises dans le nuage ?Détermination de la loi applicable

� Article 5, I de la loi Informatique et Libertés :

« I. - Sont soumis à la présente loi les traitements de données à caractère personnel :1°Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;2°Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat 2°Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.II. - Pour les traitements mentionnés au 2°du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui. »

© ULYS - 42

Comment protéger les données mises dans le nuage ?Détermination de la loi applicable

� Critère moyens de traitement pertinent ?� Loi du responsable du traitement = choix considéré comme inapproprié, risque de

forum shopping� Critère du ciblage préconisé par CNIL et retenu dans projet de règlement (article 3 :

application du droit UE aux responsables hors UE qui offrent des biens ou services à des personnes ayant leur résidence dans l’Union)

© ULYS - 43

Comment protéger les données mises dans le nuage ?Transferts de données

� Qu’est-ce qu’un transfert de données ?� Circulation en UE : pas de conditions� Transfert hors UE :

� Vers un pays assurant un niveau de protectionadéquat � Canada, Israël, Argentine, Suisse, Uruguay,

Transfert hors UE

vers pays non adéquat

Transfert hors UE

vers pays adéquat

� Canada, Israël, Argentine, Suisse, Uruguay, Guernesey, Jersey, Ile de Man, Andorre, Iles Féroé

pas de condition supplémentaire� Vers un pays non adéquat (ex. USA) :

interdiction, sauf l’une des options suivantes :� Autorisation de la personne concernée � Exception art. 69 � Signature des clauses contractuelles types Commission EUR � Participation du sous-traitant à un système de protection des données (Safe Harbour) � Adoption de règles internes d’entreprise imposées au sous-traitant (« binding corporate

rules » ou BCR)

Circulation en FR ou en

UE

© ULYS - 44

Comment protéger les données mises dans le nuage ?Transferts de données

Consultation CNIL� Problème : Multiplication des lieux de stockage des données � Solution juridique : Encadrement juridique par la définition de clauses type et

BCR sous-traitants� Les acteurs du marché seraient en attente de reconnaissance de BCR sous-

traitanttraitant� Document de travail WP195 du 6 juin 2012 du G29 sur les BCR sous-

traitants (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_en.pdf)

� Solutions techniques, par exemple pour empêcher le transfert de données dans certains territoires (chiffrement, …)

© ULYS - 45


� La sécurité et le risque de fuite de données

Les pertes de données trouvent leur origine dans plusieurs types leur origine dans plusieurs types de situations : attaques externes / défaillance du SI/ négligence humaine (erreurs ou négligences commises par des prestataires, des employés, des vols /pertes de PC, PDA…)

© ULYS - 46


Le risque de fuite de données

� Fuites de données : Sujet émergent dans les réflexions des autorités de protection des données personnelles, en France et en Europe- Europe : La directive « vie privée et communications électroniques », mise à jour

en 2009, prévoit des notifications en cas de violation de la sécurité via lesquelles tout fournisseur de communication ou de service Internet doit informer les individus à propos des violations commises s'agissant de leurs informations personnelles.propos des violations commises s'agissant de leurs informations personnelles.

- France : article 34 bis de la loi Informatique et Libertés- Allemagne : De plus en plus confrontée à des violations de la sécurité, l’Allemagne a

révisé ses règles de protection des données pour aller au-delà de la réglementation de l'UE.

� Etats-Unis : California Security Breach Notification Act depuis 2002

© ULYS - 47


� Art. 34 bis de la loi du 6 janvier 1978 : Mesures d’application dans décret n°2012-436 du 30 mars 2012

� Application aux fournisseurs de SCE (opérateurs déclarés à l’ARCEP)� Application à toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques (SCE)� Obligation de tenir à jour un inventaire des violations� Obligation de tenir à jour un inventaire des violations

� Procédure de notification :

(schéma : CNIL http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article/la-notification-des-violations-de-donnees-a-caractere-personnel/)

Mesures de protection appropriées mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée

© ULYS - 48


� Obligation sanctionnée pénalement

Article 226-17-1 du code pénal« Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n°78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »

© ULYS - 49


Les principales mesures de sécurité selon la CNIL

� Analyse de risques � Chez le client � Chez le prestataire

� Engagements de niveaux de service (cf. infra)� Mesures de sécurité� Recours au chiffrement , ou autres techniques (« obfuscation », morcellement des � Recours au chiffrement , ou autres techniques (« obfuscation », morcellement des

données)� Elaboration de références techniques sur la protection des données personnelles

© ULYS - 50

Comment protéger les données mises dans le nuage ?Données sensibles et réglementations particulières :

� Mesures de sécurité supplémentaires pour certains types de données, qui sont souvent des données personnelles (mais ces règles ne réservent pas leur application aux données personnelles)� Données de santé qui nécessitent que l’hébergeur soit agréé (art. L.1111-8 du code

de la santé publique)� Données traitées par les acteurs bancaires et des paiements : obligations de sécurité � Données traitées par les acteurs bancaires et des paiements : obligations de sécurité

prévues au Règlement 97-02� Réglementation de la lutte contre le blanchiment (art. L. 561-2 et suivants du code

monétaire et financier) : informations confidentielles relatives aux déclarations de soupçons, etc.

� Professions réglementées et soumises au secret professionnel : par ex. avis du Conseil des barreaux européens (CCBE) sur l’usage du cloud computing par les avocats, 7 septembre 2012

� Obligations générales de conservation et d’archivage de pièces comptables, justificatifs fiscaux, etc.

© ULYS - 51

Comment protéger les données mises dans le nuage ?Protection des données de valeur, qu’elles soient personnelles, confidentielles ou non :

� La protection des données du client ne s’arrête pas aux données personnelles :� Informations soumise à un engagement contractuel de confidentialité � Secrets d’affaires� Informations stratégiques � Informations stratégiques � …

� Encadrer les conditions d’exploitation /accès aux données sans limiter ces clauses aux données personnelles

� Prévoir les conséquences du risque de fuite de données : indemnisation, garantie vis-à-vis des tiers affectés, etc.

� Eviter autant que possible d’attribuer un droit d’utilisation des données chargées dans le cloud, au prestataire – certains contrats peuvent prévoir une licence d’utilisation au bénéfice du prestataire, du contenu faisant l’objet d’un droit de propriété intellectuelle

© ULYS - 52

Comment protéger les données mises dans le nuage ?Cas pratique n°1

� La société MODERNE souhaite adapter son site de commerce en ligne au format smartphone. Pour cela, elle fait appel à la SSII EXPERTE qui est spécialisée dans le développement d’applis smartphone.

� MODERNE donne un accès illimité à son système informatique à EXPERTE pour qu’elle puisse réaliser tous les développements et tests nécessaires. EXPERTE utilise la plateforme de développement SUPERDEVELOPER de la EXPERTE utilise la plateforme de développement SUPERDEVELOPER de la société BIGDATA (société US). EXPERTE charge les données de MODERNE (sélectionnées au préalable) sur la plateforme SUPERDEVELOPER pour les besoins du développement du projet.

� L’appli est livrée à MODERNE. MODERNE l’exploite en direct via la plateforme SUPERDEVELOPER, sur laquelle elle reste hébergée.

� Questions :1. Quels risques MODERNE encourt-elle en matière de protection des

données ?2. Quelle précautions contractuelles lui préconiser ?

© ULYS - 53

Comment protéger les données mises dans le nuage ?Cas pratique n°1 : analyse

MODERNERESPONSABLE RESPONSABLE DU TRAITEMENTDU TRAITEMENT

CONTRAT DE SOUS-TRAITANCE DE PREMIER NIVEAU : - Responsabilités et statuts respectifs des parties - Propriété des données - Exécution des instructions du responsable de traitement

RESPONSABILITE DE MODERNE: -Sécurité des données -Formalités CNIL-Droits des clients

EXPERTE

BIG DATA

SOUSSOUS--TRAITANT TRAITANT DE PREMIER DE PREMIER

NIVEAUNIVEAU

SOUSSOUS--TRAITANT TRAITANT DEDE SECOND SECOND

NIVEAUNIVEAU

- Exécution des instructions du responsable de traitement- Garanties : conformités des sous-traitants ultérieurs (BIG DATA), sécurité et confidentialité, notamment transferts US - Contraintes spécifiques (Model clauses,…) si transfert aux US

CONTRAT DE SOUS-TRAITANCE DE SECOND NIVEAU : -Contrat conclu avec EXPERTE et/ou MODERNE ?-Assurer la reprise des clauses du contrat de sous-traitance principal

© ULYS - 54

Comment protéger les données mises dans le nuage ?Cas pratique n°1 : comment rédiger la clause relative aux données ?

� Quelle analyse faites-vous de la clause suivante du contrat BIG DATA?

« Le CLIENT est seul responsable des traitements mis en œuvre en exécution du présent contrat, y compris les transferts de données transfrontaliers, et de l’accomplissement des formalités afférentes. Le CLIENT garantit au PRESTATAIRE que ces traitements ne le mettront pas en infraction aux lois ou règlements applicables en la matière. Le CLIENT mettront pas en infraction aux lois ou règlements applicables en la matière. Le CLIENT reconnaît que le PRESTATAIRE n’est pas en charge de valider les mesures prises par le CLIENT en matière de conformité aux lois et règlements en vigueur en la matière. Le CLIENT reconnaît toutefois que le PRESTATAIRE peut prendre les mesures qu’il estime nécessaires, sans préjudice de la mise en cause de la responsabilité du CLIENT. Le CLIENT déclare que les mesures de sécurité prévues aux présentes sont conformes aux exigences légales et réglementaires. Le CLIENT reconnaît que le PRESTATAIRE ne met en œuvre aucune autre mesure de sécurité que celles qui sont prévues aux présentes. Toute mesure supplémentaire de sécurité fera l’objet d’un devis séparé.Le PRESTATAIRE informe le CLIENT en cas de demande d’information de la part d’une autorité judiciaire ou administrative compétente. »

© ULYS - 55




non sans risques3. Comment protéger les données mises dans le nuage ?4. Les clauses «4. Les clauses « techniquestechniques » et la sécurité » et la sécurité 5. Les clauses « juridiques » et opérationnelles6. Les documents contractuels

© ULYS - 56

Quelles précautions prendre dans les contrats ?

Sécurité

http://www.lefigaro.fr/hightech/2011/12/05/01007-20111205ARTFIG00739-la-securite-le-point-cle.php

© ULYS - 57


Définition des principes généraux de sécurité

� Les rôles et responsabilités des parties doivent être clairement définis afin de traiter efficacement les cas d’incident pouvant aboutir à une perte ou une divulgation de données

� Il convient d’intégrer le sous-traitant dans le périmètre de la sécurité de l’entreprise (plan de sécurité des systèmes d’information, plan de de l’entreprise (plan de sécurité des systèmes d’information, plan de continuité d’activité, etc.)

� En fonction du degré de sensibilité des données :� Effacement� Restitution des supports de stockage � Destruction physique � Faire une cartographie des risques (cf. recommandation n°3 de la CNIL)

� Cf. gestion des risques de sécurité selon consultation CNIL de 2011� Définir son propre référentiel (cf. recommandation n°2 de la CNIL)

� Faire une veille (cf. recommandation n°7 de la CNIL)

© ULYS - 58

Quelles précautions prendre dans les contrats ?Définition des droits d’accès et sécurité

� Définir la politique de droits d’accès :� Personnes habilitées, information accessible, dispositifs d’accès (identifiant+mot

de passe), conservation des traces, surveillance et blocage des accès

� Sécuriser les accès : Niveaux de sécurité différents selon les informations (données bancaires, etc.)� Dispositifs d’accès élaborés : certificat électronique sur clé USB, carte, voire � Dispositifs d’accès élaborés : certificat électronique sur clé USB, carte, voire

biométrie � Transmissions sécurisées : cryptage des données � Sécurisation de l’hébergement

� Obligations du prestataire en cas d’incident � Alerte, rapport� Articles 323-1 à 323-7 du code pénal relatifs aux fraudes informatiques� Risque de surcoût en l’absence d’accord initial sur ces services

+ clause de confidentialité à la charge du prestataire

� Revoir la politique générale de sécurité de l’entreprise (cf. recommandation n°6 de la CNIL)

© ULYS - 59


Installation technique et recette/mise en production

� Définition d’un prérequis technique par le prestataire � Adaptations préalables : paramétrages, voire développements

propriétaires ?� Procédure de recette

� Livraison, migration des données et tests � Signature par le client d’un procès-verbal de recettes / recette implicite ?� Réserves du client + délai de correction

© ULYS - 60


Garanties opérationnelles

� Garanties relatives au service :� disponibilité,� performance, � intégrité des données, etc.

� Garanties relatives aux process du prestataire :� Qualification juridique� Traitements en back office(cf. recommandation n°5 de la CNIL)

� Quel référentiel ?� Cf. projet de règlement européen du 25 janvier 2012

© ULYS - 61


Migration et réversibilité

� Objet : � Migration� Réversibilité :

� Ce que le client avait confié au fournisseur en début de contrat ou contenu enrichi de ce qui a été produit en cours de contrat ?

� Quel format ?� Quel format ?

� Plan de migration / plan de réversibilité : un accord à part entière � Définir le processus de transfert des données� Le coût associé� Le calendrier � Spécificités réversibilité :

� Les événements déclencheurs : terme du contrat ou en cas de résiliation anticipée � Sauvegardes régulières en cours de contrat ?� Peut engendrer un transfert de contrat du prestataire au client

© ULYS - 62


Exemple de clause de réversibilité :

« Au terme du présent contrat, le prestataire s’engage à transférer ses données au client dans les conditions prévues en annexe. Dans l’hypothèse où le client ne demanderait pas la restitution de ses données dans les XXX mois à compter du la restitution de ses données dans les XXX mois à compter du terme du présent contrat, le prestataire détruira lesdites données. »

© ULYS - 63

Comment s’assurer un service sûr et de qualité ?

Plan d’action qualité (PAQ) ou « service level agreement » (SLA)

� Objet :� Définir un niveau normal de service � L’assistance utilisateurs� Gérer les incidents ponctuels et les pannes � Encadrer les interruptions de service par le prestataire pour les besoins de

maintenancemaintenance� Prévoir des sauvegardes� Outils de contrôle et sanction

=> Enjeu : obtenir des engagements de niveau de service précis sur la qualité, la sécurité=> Prendre en compte le caractère évolutif du service : quelles conséquences sur la qualité de

service en cas de forte hausse/variabilité des besoins ?

Utilité des référentiels type ANSSI pour la rédaction des politiques de sécurité des systèmes d’information (PSSI) – domaines : organisation de la sécurité,gestion des risques SSI, sécurité et cycle de vie, assurance et certification, aspects humains, planification de la continuité des activités, gestion des incidents, sensibilisation et formation, exploitation, aspects physiques et environnementaux, identification / authentification, contrôle d’accès logique, journalisation, infrastructures de gestion des clés cryptographiques, signaux compromettants. (http://www.securite-informatique.gouv.fr/gp_article51.html)

© ULYS - 64


Définition des indicateurs de la qualité

� Indicateurs de qualité : critères objectifs de mesure de la qualité� Définir les critères de qualité prioritaires pour le projet� Définir les notions� Définir les notions

� Accessibilité/disponibilité� Performance/temps de réponse/vitesse de transfert des données� Sécurité (connexions sécurisées, authentification,…)

� Définir les critères de respect/violation :� Définition des critères de respect différents selon le type d’indicateur

(par ex. temps de réponse aux requêtes : inférieur à X dans 90% des cas + inférieur à XX dans 95% des cas + toujours inférieur à XXX)

� Définition des incidents : mineur/majeur/bloquant, notamment en fonction de la gravité et de la durée de l’incident

© ULYS - 65


Assistance utilisateurs

� Définir les droits d’accès au service d’assistance � Assistance lors de la mise en œuvre / formation � Assistance en cas d’incident � Escalade : remontée des incidents en fonction de la gravité

© ULYS - 66


Contrôle de la qualité

� Définir des outils et procédures de contrôle :� Bilans périodiques de qualité (reddition de comptes par le prestataire)� Audit annuel � Audit annuel � Recours à un tiers vérificateur

� Mettre en place une gouvernance pour un suivi régulier : réunions périodiques, procédures de remontée d’informations=> Attention à ne pas modifier les obligations contractuelles des parties dans le cadre des discussions

© ULYS - 67

Comment s’assurer un service de qualité maximale ?

Qualité : sanctions et incitations

� Définition de sanctions en cas de non-respect et gradation � Sanction de premier niveau : pénalités, rabais mensuels, etc. => clauses pénales� Second niveau : inexécution contractuelle � Résiliation du contrat et mise en cause de la responsabilité du fournisseur� Résiliation du contrat et mise en cause de la responsabilité du fournisseur

� Conditions de mise en œuvre� Fréquence mensuelle/trimestrielle/annuelle/…� Personne décisionnaire, information + droit d’opposition,…� Franchise, plafond, en fonction du volume de données traitées ou de facturation,…� etc.

� Possibilité de prévoir des objectifs assortis de primes ou bonus

© ULYS - 68


Qualité : répondre à l’urgence

Prendre en compte les incidentssignalés

Qualifierl’incident :mineurmajeurbloquant

Respecterle délai maximum d‘intervention

Mettre en œuvreune solution temporaire :Basculement sur serveur de secours, etc.

Respecterle délaimaximal derétablissement

© ULYS - 69


Responsabilité du prestataire

� Préqualifier le prestataire de cloud de professionnel du secteur � Le prestataire ne peut être tenu responsable des défaillances ou

insuffisances causées par le système d’information du clientcf. obligation de conseil du prestataire versus obligation de s’informer du client

� Vigilance sur les exclusions de responsabilités : éviter toute préqualification des dommages (par ex. qualification comme dommage indirect de toute perte de chiffre d’affaire ou préjudice d’image), toute exclusion de responsabilités en cas de perte de données, etc.

� Vigilance sur les clauses limitatives de responsabilité : cf. jurisprudence Faurecia, pas de pondération par le juge en cas de limitation de responsabilité très basse en faveur du prestataire informatique

© ULYS - 70


Exemple de clause de responsabilité « Le prestataire est soumis à une obligation de moyens. La responsabilité du prestataire ne pourra être recherchée et aucune indemnisation ne sera due au client :�dans le cas où les dommages invoqués par le client résulteraient d’une inexécution, totale ou partielle, des obligations du client ou d’un tiers ;�dans le cas où les dommages invoqués par le client résulteraient d’une utilisation de la Plateforme non conforme à la documentation de référence ;Plateforme non conforme à la documentation de référence ;�au titre des dommages indirects, tels que perte de données, perte d’exploitation, perte de chiffre d’affaires, perte d’image ou de réputation ;�En cas de force majeure, comprise comme tout événement imprévisible rendant plus coûteuse l’exécution de ses obligations par le prestataire, y compris les tremblements de terre, incendies, crues ou inondations, tempêtes, sans que cette liste soit limitative.En cas d'indisponibilité de la Plateforme liée à une cause dont le prestataire assume la responsabilité, le client ne sera fondé à réclamer la réparation d'un éventuel dommage que pour autant que l'indisponibilité de la Plateforme ait duré, pendant les jours ouvrables et de manière continue, pendant XXX heures après la notification de l’incident au prestataire. En toute hypothèse, la responsabilité du prestataire est plafonnée à un montant égal à XXX% des sommes (annuellement payées au prestataire/stipulées au contrat) par le client en exécution du présent contrat. »

© ULYS - 71

Comment protéger les données mises dans le nuage ?Cas pratique n°2 – En équipes

� La SSII SUPERDEVELOPER fournit un certain nombre d’applications à la société NOMADE. De plus en plus de salariés de NOMADE réclament un accès léger à distance à l’intranet de la société, pour pouvoir accéder facilement aux documents de l’entreprise et à leurs e-mails lorsqu’ils ne sont pas devant leur ordinateur fixe au bureau. NOMADE charge donc SUPERDEVELOPER de cette mission de développement et de maintenance associée.

� Equipe NOMADE : Quelles exigences NOMADE devrait-il faire valoir?NB: Selon les exigences, il pourrait être nécessaire que NOMADE fournisse des informations sur ses besoins. Dans ce cas, il convient de préciser quelles informations.

� Equipe SUPERDEVELOPER : Quel encadrement SUPERDEVELOPER devrait-il opposer?

© ULYS - 72




non sans risques3. Comment protéger les données mises dans le nuage ?4. Les clauses « techniques » et la sécurité 5. Les clauses «5. Les clauses « juridiquesjuridiques » et opérationnelles» et opérationnelles6. Les documents contractuels

© ULYS - 73


Objet du contrat, conditions d’exécution et obligations du prestatairePlus les services/ressources sont identifiés et caractérisés, plus le prestataire est tenu de respecter ces caractéristiques dans le cadre d’une obligation de résultat� Définir les termes techniques, l’espace mis à disposition, les conditions d’accès au serveur� Enumérer les services prestés par le fournisseur, détailler leurs caractéristiques : traitement et

sauvegarde des données, format � Combinaison avec l’obligation de conseil : choix des équipements, des ressources, etc. � Combinaison avec l’obligation de conseil : choix des équipements, des ressources, etc.

Préciser les conditions d’exécution par le prestataire� La prestation de cloud peut être fournie par un pool de sous-traitants derrière le prestataire

principal� Mentionner les partenaires du fournisseur et l’éventuel recours à des sous-traitants, indispensable

en cas de sous-traitance des traitements de données particulières : personnelles, sensibles, etc. (cf. infra)

� Le prestataire doit demeurer intégralement responsable de l’exécution des prestations

=> Vigilance sur les modifications décidées par le prestataire sans accord préalable du client : prestations, prix, niveau de service, emplacements serveurs, etc.

© ULYS - 74


Objet du contrat, conditions d’exécution et obligations du prestataire

� Obligations � Répartir les obligations de moyen/de résultat en fonction des niveaux

de service� Obligation de résultat pour un cloud privé (ou partie privée), de � Obligation de résultat pour un cloud privé (ou partie privée), de

moyen pour un cloud public (ou partie publique)� Obligation d’information

� en cas d’écart par rapport au référentiel de conformité� alertes

� Obligations financières :� Assurance� Garantie financières : Prévoir une garantie maison mère ou une

garantie bancaire à première demande en cas d’envoi d’informations sensibles dans le cloud

© ULYS - 75

Quelles précautions prendre dans les contrats ?Durée

� Durée courte : permet de renégocier � Durée longue : permet de mettre à disposition des ressources plus

importantes, compte tenu de l’amortissement plus long => Souvent, la durée du contrat s’allonge avec l’importance des services/ressources allouées au client

� Combinaisons :� Combinaisons :� Période initiale fixe : souvent longue (de l’ordre de 36 mois)� Périodes de renouvellement fixes / renouvellement à durée indéterminée

� Vigilance sur la durée du contrat car conséquences sur la faculté de résiliation et son indemnisation � Jugement du tribunal de commerce de Paris, 12 juillet 2011, Risc Group IT

solutions / Poweo : reconnaissance la mobilisation de ressources pour le client, et du préjudice causé au prestataire par la rupture ; condamnation du client à 100 % de l’indemnité contractuelle prévue (montant des mensualités jusqu’au terme prévu)

© ULYS - 76


Prix

� Coût du service / des services associés : traitements supplémentaires, formation, etc.

� Intégrer dans les coûts les interventions des partenaires du prestataire (éditeurs de logiciels, etc.)

� Quelle évolution des prix en cas de montée en charge/forte évolution � Quelle évolution des prix en cas de montée en charge/forte évolution de l’utilisation du cloud par le client ?Exemple de clause : « En cas d’augmentation de l’espace disque nécessaire à l’hébergement des données du client, le client accepte que le prestataire lui alloue, dès qu’elle aura connaissance de ladite nécessité, selon le tarif figurant à l'annexe du présent contrat, l’espace disque supplémentaire nécessaire et l’avertisse parallèlement du changement de facturation relativement à l’hébergement. »

� Mettre en place des outils de mesure des coûts� Anticiper le coût de la réversibilité � Paiement du prix à combiner avec les éventuelles compensations à

opérer (pénalités, notamment)

© ULYS - 77


Propriété intellectuelle � L’accès à des applications à distance ne dispense pas de

l’obligation d’obtenir une licence� Si le prestataire n’est pas titulaire originaire des DPI sur

l’application, le prestataire doit garantir qu’il détient les droits pour les besoins du contrat :

Le prestataire a le droit de concéder des sous-licences d’utilisation et � Le prestataire a le droit de concéder des sous-licences d’utilisation et d’adaptation si nécessaire (paramétrages, éventuellement développements propriétaires)

� Le droit du prestataire dure suffisamment longtemps (plus que la durée initiale du contrat)

� Prévoir une garantie d’éviction dans les termes prévus par la loi (ne pas réduire la garantie accordée)

� Prévoir les solutions en cas de défaillance de l’éditeur tiers : pouvoir accéder aux codes sources, etc. ?

� Eviter d’avoir à conclure des licences séparées avec les éditeurs� Le client ne dispose d’aucun autre droit que le seul droit d’usage

© ULYS - 78


Exemple de clause de propriété intellectuelle « Le prestataire déclare être titulaire de l’intégralité des droits de propriété intellectuelle portant sur l’Application et est régulièrement titulaire des droits d’utilisation et/ou d’exploitation portant sur les logiciels tiers nécessaires à son fonctionnement. Pour la durée de la présente convention, le prestataire concède au client un droit d’accès et d’utilisation non exclusif et incessible de l’Application, dont seuls les utilisateurs enregistrés peuvent bénéficier. La présente convention ne confère au client aucun droit de propriété intellectuelle sur l’Application qui demeure la propriété entière et exclusive du prestataire. Le client s’engage à ne pas porter atteinte, directement ou indirectement, aux droits du prestataire et à prendre toutes mesures nécessaires pour assurer le respect de son droit de propriété sur l’Application; il se porte fort pour ses utilisateurs enregistrés. »

© ULYS - 79

Quelles précautions prendre dans les contrats ?Résiliation � Envisager les cas de résiliation anticipée

� Résiliation pour cause de faute d’une des parties� Résiliation d’une convention à durée indéterminée � Résiliation contrat cadre/convention particulière : contrats détachables ou

ensemble contractuels indivisible ?

� Décrire les conditions de mise en œuvre : Notification, délai, forme, adresse, etc.adresse, etc.

� Définir les conséquences de la résiliation et les coûts associés :� Sort des données, mise en œuvre de la clause de réversibilité, blocage des accès

et délai� Paiement d’une indemnité

� Exemple de clause de résiliation : « En cas de manquement par l’une des parties aux obligations prévues aux termes de la présente convention, non réparé dans un délai de 30 jours à compter d’une lettre recommandée avec accusé de réception notifiant les manquements à l’autre partie, la partie notifiante pourra faire valoir la résiliation de la présente convention sous réserve de tous les dommages et intérêts auxquels elle pourrait prétendre. » => A combiner avec les autres clauses : réversibilité, garanties, données, etc. + les stipulations de la documentation annexe, éventuellement clause de suspension

© ULYS - 80

Quelle loi appliquer au contrat de Cloud Computing ?

Loi du contrat et juge compétent� Au sein de l’Union européenne :

� Loi applicable• Clause spécifique du contrat désignant la loi applicable• A défaut, application du Règlement n°593/2008 du 17 juin 2008 dit Rome 1 : « le contrat de prestation de services est régi par la loi du pays dans lequel le prestataire de services a sa résidence habituelle » (art. 4, b))� Juridiction compétente: • Règlement (CE) n°44/2001: Juridiction compétente = celle de l’Etat membre dans lequel le • Règlement (CE) n°44/2001: Juridiction compétente = celle de l’Etat membre dans lequel le demandeur a son domicile

� Hors UE : � Que se passe-t-il lorsque le prestataire et/ou les serveurs sont hors UE (notamment

US), voire dans plusieurs pays ?� Question de l’application du Patriot Act aux Etats-Unis

Application des lois de police � Loi I&L : la loi française s’applique au responsable de traitement résidant en France ou résidant

hors UE et qui a recours à des moyens de traitement situés en France (art. 5 Loi I&L)� Réglementation anti-blanchiment : s’applique aux activités exercées en France des prestataires

assujettis en vertu de la loi FR (harmonisation européenne)

© ULYS - 81




non sans risques3. Comment protéger les données mises dans le nuage ?4. Les clauses « techniques » et la sécurité 5. Les clauses « juridiques » et opérationnelles6. Les documents contractuels 6. Les documents contractuels

© ULYS - 82


Phase précontractuelle – processus de négociation�Non applicable aux offres cloud standard et non négociables

� Du premier contact jusqu’à la signature du contrat� Pour éviter l’engagement contractuel avant d’avoir finalisé la

négociation sur tout le contrat : les parties indiquent sur chaque document « sans engagement de notre part »/conditionnent leurs engagementsengagements

� Possibilité de rédiger des accords préalables, par ex.� Lettre d’intention : engagement à valeur contractuelle de continuer la négociation� Accord de principe : engagement à valeur contractuelle sur certains éléments

contractuels

� Possibilité de donner accès à de l’information confidentielle sous couvert d’un engagement de confidentialité

� Faire entrer les échanges précontractuels dans le champ contractuel/insérer dans le contrat une clause des quatre coins ?

© ULYS - 83


Phase précontractuelle – obligation de conseil du prestataire versus information du client

� Importance de la rédaction du préambule du contrat� Intérêt du client : que le prestataire s’engage sur les besoins du client

tels que définis dans son cahier des charges Exemple de formulation : « Le prestataire déclare être un spécialiste du Cloud et, après avoir pris Exemple de formulation : « Le prestataire déclare être un spécialiste du Cloud et, après avoir pris connaissance des besoins du client exprimés dans le cahier des charges et complétés au cours des échanges préalables à la signature des présentes, a proposé au client les services tels que décrits… »

� Intérêt du prestataire : que le client s’engage sur le document de référence du prestataire décrivant son offre Exemple de formulation du préambule: « Le client déclare être parfaitement informé de l’offre du prestataire pour avoir pris connaissance de manière complète et précise des caractéristiques des services proposés aux termes du document de référence qui lui a été remis. Il a obtenu toutes informations complémentaires du prestataire, qui a répondu à toutes ses questions. Disposant de l’ensemble de l’information utile, le client déclare que la solution est conforme à ses besoins… »

© ULYS - 84


Phase précontractuelle – définition des besoins du client � Rédaction d’un cahier des charges délimitant les attentes du client� Permet de préciser le périmètre de l’obligation de conseil du

prestataire par rapport à l’information en sa possession� Audit technique et juridique préalable ?� Check list :

� Matériel : identification, maintenance et renouvellement, taux de charge des � Matériel : identification, maintenance et renouvellement, taux de charge des équipements, état des incidents, solutions de secours, etc.

� Applications : fonctionnalités, versions et mises à jour, évolutions, corrections, documentation, conditions de licence (accès? développements propriétaires/spécifiques?...), garantie, procédures de sauvegarde et de sécurité, etc.

� Réseau et organisation : configuration, situation géographique, sécurisation, volumétrie et prévisionnel, heures d’ouverture du service et conditions d’accès, etc.�Ne pas se limiter à une définition fonctionnelle des besoins, mais intégrer

les standards techniques attendus de qualité, sécurité, performance, disponibilité, etc. destinés à constituer le référentiel qualité (PAQ)+ Prendre en compte le caractère évolutif de la prestation Cloud : pouvoir faire évoluer les besoins et les attentes du client

© ULYS - 85


Documentation contractuelle

=> Un ou plusieurs contrats ?� Contrat simple régissant l’ensemble des prestations ou ensemble contractuel : contrat

cadre et conventions particulières par service résiliables indépendamment les unes des autres

� Quelle intégration de la documentation précontractuelle ?� Quelle intégration des documents échangés en cours d’exécution (comités de

pilotage, etc.) ?pilotage, etc.) ?

� Modèles de clauses contractuelles proposés par la CNIL dans sa recommandation du 25 juin 2012� Système de remontée de plaintes et de failles de sécurité � Description des moyens de traitement du prestataire� Sous-traitance� Droits des personnes concernées� Conservation, restitution, destruction des données � Coopération avec les autorités, audits� Localisation et transferts� Formalités� Politique de sécurité et confidentialité, etc.

© ULYS - 86


Documentation

� Quelle valeur contractuelle ?� La documentation est-elle rédigée en français ? Cf. loi n°94-665 du 4 août

1994 relative à l'emploi de la langue française (« loi Toubon »)� Documents à destination des salariés : art. L. 1321-6 du code du travail :

« Le règlement intérieur est rédigé en français. Il peut être accompagné de traductions en une ou plusieurs langues étrangères. Il en va de même pour tout document comportant des obligations pour le salarié ou des Il en va de même pour tout document comportant des obligations pour le salarié ou des dispositions dont la connaissance est nécessaire pour l'exécution de son travail. Ces dispositions ne sont pas applicables aux documents reçus de l'étranger ou destinés à des étrangers. »

� Documents à destination du public : art. 2, alinéa 1 de la loi Toubon :« Dans la désignation, l'offre, la présentation, le mode d'emploi ou d'utilisation, la description de l'étendue et des conditions de garantie d'un bien, d'un produit ou d'un service, ainsi que dans les factures et quittances, l'emploi de la langue française est obligatoire. »

� Quels droits de propriété intellectuelle (DPI) sur la documentation ? Enjeu : quelles conditions d’accès, de reproduction, de communication à des sous-traitants, etc.?

© ULYS - 87

Comment protéger les données mises dans le nuage ?Cas pratique n°3 – Présentation d’exemples de documentation

� Passage en revue de la documentation contractuelle relative à des services de cloud gratuit sur Internet, non reproduits sur le présent support.

© ULYS - 88

Merci !Merci !

ULYS, un Cabinet d’avocats moderne et humain ULYS, un Cabinet d’avocats moderne et humain au service de l’innovationau service de l’innovation

� France33 rue Galilée75116 ParisTéléphone:+ 33 (0)1 40 70 90 11

� Belgique224 avenue de la Couronne

www.ulys.netwww.ulys.net

Téléphone:+ 33 (0)1 40 70 90 11Fax:+ 33 (0)1 40 70 01 38

224 avenue de la Couronne1050 BruxellesTéléphone:+ 32 (0)2 340 88 10Fax:+ 32 (0)2 345 35 80

Cloud computing Informatique en nuage juridiques pour sécuriser l’informatique en nuage 2. Le...

Documents

Transcript of Cloud computing Informatique en nuage juridiques pour sécuriser l’informatique en nuage 2. Le...