AFDIT I Les contrats Cloud : des contrats clés en main ? 15 octobre 2015

Rappel : qu’est-ce que Syntec Numérique ?

Une définition du Cloud Computing

Les caractéristiques du Cloud Computing

Les modèles existants de Cloud Computing

La contractualisation du Cloud computing

• Standardisation du modèle contractuel ?

• La négociation de clauses sensibles dans la relation client /

prestataire de Cloud Computing

Déroulement

Présentation de Syntec Numérique

SYNTEC NUMERIQUE

Chambre professionnelle des métiers du numérique

3 grands métiers

Entreprises de services du numérique (ESN) Editeurs de logiciels

Conseil en technologies

1 500 entreprises adhérentes

SYNTEC NUMERIQUE

50,4 milliards

d’euros

source IDC / Syntec Numérique

SYNTEC NUMERIQUE

Un indicateur suivi : le poids de SMACS pour les ESN et les Editeurs

Social, Mobilité, Analytics, Cloud et Sécurité Enquête de conjoncture, Syntec Numérique / IDC, février 2015

10%

de l’activité ESN

2015

+15,8%

2015

91%

Cloud/SaaS

Accélération des projets

22%

de l’activité éditeurs

2015

81%

Cloud/SaaS

+21%

2015

Editeurs concernés par les projets de …

Une définition du Cloud computing

Approche technologique permettant aux entreprises et aux personnes

de disposer de puissance de calcul, d’espace de stockage,

d’applications… (dans des serveurs hébergés hors de l’entreprise ou

du domicile) comme autant de services.

Un prestataire fournit à un client en fonction de ses besoins, de

manière locative, un accès à des ressources informatiques par un

réseau (Me Xavier Pican – Lefebvre Pelletier Avocats)

Définition

Caractéristiques du Cloud Computing

Le CC consiste à mutualiser des serveurs entre plusieurs utilisateurs;

Il permet au client d’accéder à son espace dans le serveur de manière

dématérialisée (par un réseau de type Internet) sans préoccupation

matérielle ou logicielle;

L’accès aux serveurs se fait en libre service et à la demande, à des

conditions contractuelles déterminées à l’avance car le CC est un service

et doit être défini en terme de performance, de sécurité, de coût;

L’avantage de la libre demande : un prix adapté à la consommation réelle du

client utilisateur et une optimisation de la consommation (élasticité en fonction

du volume des besoins à un moment précis);

Le CC est évolutif : il s’adapte à la demande, aux logiciels demandés, aux

caractéristiques de ces derniers.

Caractéristiques

Les modèles de Cloud Computing

3 services possibles qui correspondent à une intégration différente

IaaS : infrastructure as a Service : Le fournisseur de Cloud computing

fournit l’infrastructure hébergée (l’espace de stockage, les serveurs

notamment) qui fera fonctionner la plate forme et les applications

PaaS : Platform as a Service : Le fournisseur de Cloud computing fournit la

totalité de l’environnement fonctionnel de la plate forme. Il ne reste plus à

l’entreprise qu’à maintenir ses applications

Saas : Software as a Service : la fournisseur de Cloud computing, en plus

de tout le reste, fourni les applications d’entreprises (CRM, messagerie,

ERP…)

Les modèles

3 familles de Cloud Computing coexistent :

Le Cloud privé : un Cloud réservé à un client, soit que les ressources

informatiques sont localisées dans son entreprise, soit que le Cloud lui est

exclusivement dédié dans les serveurs d’un fournisseur (Cloud privé

externalisé);

Le Cloud public : le Cloud est localisé à l’extérieur de l’entreprise. Il est

accessible par Internet et géré par un prestataire d’infrastructure. Les

ressources sont mutualisés entre tous les clients / utilisateurs;

Le Cloud hybride : les deux précédents types de Cloud coexistent pour

certains usages.

Les modèles

La contractualisation du Cloud computing : standardisation du

modèle contractuel ?

La nature même du CC permet la standardisation de l’offre et de la

contractualisation

Des offres standardisées car mutualisées (Cloud public)

Contractualisation en ligne par un clic

Une négociation client / prestataire qui peut être difficile à déclencher

B2B : poids de négociation PME versus grands offreurs

B2C : poids de négociation consommateur versus entreprise

Des contrats de très courtes durée : peu propices à la négociation

Malgré cela : possibilités pour le client d’exprimer un besoin, de négocier

son offre et de signer un contrat, principalement avec les revendeurs

Le constat de la standardisation

Réduction des coûts (oriente 75% des DSI vers le Cloud) et prédictibilité

des prix (SaaS)

Une gamme de choix plus large : de l’hébergement nu au modèle Saas :

dépend du niveau de contrôle de l’environnement applicatif que veut garder

le client

Accès pour des PME à des logiciels réservés à des grands comptes

Une durée de contrat plus courte (quelques semaines) : des contrats Cloud

plus agiles et renégociables. Durée habituelle des contrats informatiques :

de 12 à 36 mois

Une plus grande évolutivité des contrats : des contrats Cloud plus agiles et

évolutifs que les contrats classiques (modifiables par voie d’avenant - long

et difficile).

Les avantages de la standardisation

Manque de lisibilité des prix en Iaas et Paas – contrepartie de l’agilité

Difficultés de comparaison des offres Saas, Paas, Iaas

Les clients doivent s’adapter à des solutions standards qui ne leur

correspondent pas forcément (moins d’adéquation au besoin) (Cloud public

uniquement)

Transition qui dépossède l’entreprise de la maitrise des éléments logiciels

et des aspects de sécurité (des données notamment)

Dépendance technique face au prestataire et à l’hébergeur

Difficultée pour un DSI de rendre lisible ses coûts pour sa DG et ses clients

Moins d’accompagnement par le prestataire que sur un contrat traditionnel

(Cloud public)

Critiques justifiées des clients

Les fournisseurs ne négocient jamais les contrats de Coud computing

Les fournisseurs imposent des SLA aux clients

Les fournisseurs ne prennent pas d’engagement de niveaux de service et

limitent leur responsabilité. Les niveaux de service ne sont pas identiques

entre fournisseurs de CC : les offres sont différentes selon les produits

concernés, le prix négocié avec le client, le modèle de CC choisit par le

client

Les fournisseurs ne permettent pas les audits

Idées reçues sur les fournisseurs de Cloud Computing

La négociation de clauses sensibles dans la relation client / prestataire

de Cloud Computing

Le cadre contractuel : les parties peuvent prévoir des évolutions au cours

d’exécution du contrat (évolution du périmètre)

L’expression du besoin : le client doit donner son besoin et ses

demandes contractuelles lors de l’AO

Clause de responsabilité :

L’offre de CC prévoit la responsabilité du prestataire en cas de faute,

erreur ou omission causant un dommage au client

Obligation relative à la disponibilité du service : de moyen

Obligation relative à la récupération de données : de résultat

Aménagements conventionnels possibles

Le contrat plafonne la responsabilité du prestataire

Quelle place pour la négociation ?

Clause de confidentialité

Clause qui doit être détaillée

Concerne le client comme le prestataire (et leurs équipes) : le

prestataire ne doit connaitre que ce qui est nécessaire aux prestations

A répercuter sur les sous-traitants

Porte sur les toutes les données stockées, les traitements et opérations

effectuées par le client que ce soit sur le serveur, l’infrastructure ou les

logiciels

Moyens pour assurer la confidentialité : précisés en annexe technique

au contrat

Quelle place pour la négociation ?

SLA ou niveaux d’engagement

Figurent dans le contrat ou en annexe

Déterminent les critères de performance et la disponibilité du service,

les mesures de sécurité et de confidentialité du service (exemple :

redondance du système)

Décrivent le contenu du service : temps de réponse, vitesse de transfert

des données, délais maximum d’interruption, fréquence des

sauvegarde, délais de restauration des données....

Décrivent le contrôle par le client : les outils d’audit et leurs fréquence

potentielle, les outils de réclamation, les mécanismes d’escalade en cas

de désaccord entre les parties

Décrivent les sanctions en cas de défaillance de service

SLA

Sécurité : un secteur encadré

Référentiels ANSSI du 30 juillet 2014 sur les prestataires de services

sécurisés d’informatique en nuage

Normes ISO / AFNOR dédiées :

Norme ISO/IEC 27018 constituant des bonnes pratiques pour la

protection des données personnelles dans les services de Cloud

(juillet 2014)

Norme ISO/IEC 27017 en matière de sécurité du Cloud

Norme ISO 19086 sur la notion de niveau de service

Sécurité

De plus en plus fréquente avec l’évolution croissante des solutions Cloud

Permet d’adapter le prix en fonction de la prestation fournie (soit aux coûts

du prestataire, soit en fonction du service bénéficiant au client)

Le client peut optimiser le contrat en adaptant le périmètre des prestations /

le prestataire peut adapter son infrastructure technique Contredit la

standardisation critiquée par les clients

Régime du droit commun des contrats : application de la bonne foi et de la

notion d’équilibre contractuel

Clause de renégociation ou de modification unilatérale

Clause attributive de juridiction

Principe : loi et compétence du juge du lieu d’établissement du

prestataire Cloud (B2B) et du domicile du consommateur (B2C) à défaut

de disposition contraires

Importance de connaitre le lieu de localisation des données

Certains prestataires fournissent des analyses de risque si les données

quittent le territoire et s’engagent sur une protection adaptée à la zone

géographique.

Clause de prix ou attributive de juridiction

Clause de résiliation

Largement ignorée et pourtant très utile

Prévoir les causes possible et anticiper les effets

Clause de réversibilité

Prévoir la restitution des données du client (portabilité de données)

Type de fichier de restitution : fichiers intermédiaires

Ne doit pas porter atteinte aux droits de PI du prestataire

Prévoir le maintien des obligations des parties pendant la réversion

Possibilité de prévoir un plan de réversibilité : modalités de délais, de

moyens humains et techniques, prix éventuel

Prévoir la responsabilité du prestataire en cas de dégradation ou de

perte de données (cf. clause de responsabilité)

Clause de résiliation et de réversibilité

Un prestataire assuré rassure

Les prestataires doivent disposer d’un contrat d’assurance

Ils doivent communiquer les attestations correspondantes

Ils doivent vérifier les exclusions de garantie et les niveaux de garantie

de leur police

Assurance

Merci de votre attention

28