C'est un sujet récurrent, et Philippe Grange, l’organisateur des conférences au cloud world expo s'est demandé si “contractualiser dans le cloud computing, c'était la même chose que de faire un contrat d'infogérance”. Il a donc décidé de vérifier cela dans le détail en demandant à des professionnels du juridique de s’exprimer sur le sujet.
Les intervenants etaient (de droite à gauche sur la photo ci-dessus) M. Olivier Menant : avocat, travaillant dans le domaine des nouvelles technologies depuis 15 ans et accompagnant ses clients dans leurs affaires et négociant avec les directeurs juridiques ; Mme Olivia Flipo : avocate spécialisée dans les nouvelles technologies, elle conseille également les 2 côtés de la barrière, les clients et les fournisseurs ; Mme Mahasti Razavi : avocate au cabinets August & Debouzy, elle intervient dans les nouvelles technologies depuis 20 ans et à partagé son retour d'expérience dans le domaine du Cloud (elle représente les 2 côtés, les fournisseurs et les clients) ; et Corinne Caillaud : directrice des affaires juridiques au sein de Microsoft France, celle-ci a expliqué d'un point de vue juridique, vu d'un fournisseur de Cloud, ce qui se passe quand on contractualise avec un client. La conférence à eu lieu le 11 avril 2013 à Paris.
le point de départ : l'expression du besoin
Olivia Flipo a travaillé avec Syntec Numérique sur le domaine SaaS et hébergement. "La première chose à préciser est l'objet du contrat" a dit Mme Flipo. Dans le cadre d'un contrat classique, un client conserve la maîtrise sur son système d'information, en revanche, dans le Cloud, la DSI n'a plus le contrôle de son SI, elle n'est ainsi plus qu'utilisatrice d'un service. Cela fait partie d'une clause dans laquelle on précise l'étendue contractuelle. Même pour le SaaS (Software as a Service), « il n'y a pas que des prestations techniques, mais aussi des prestations intellectuelles, et de l'accompagnement, de la conduite du changement » a-t-elle précisé.
Mme Razavi a in peu nuancé cela en précisant qu’ « il n'y a pas 1 seul type de contrat, car tous ces contrats sont des prestations de services d'un point de vue juridique, pas un contrat de vente, ni un contrat d'entreprise. C'est une catégorie un peu fourre-tout. La question c'est de savoir qui va définir le contenu du contrat, qui doit partir d'une définition de besoin. C'est la question récurrente des juristes mais dans le cas du Cloud, cette expression de besoin est encore plus importante car « elle permet de cadrer la négociation ». Cette définition de besoin doit en outre être partagée de tous et rapprochée de l'offre du marché choisie. Il y a parfois des incompréhensions majeures, « car si l'entreprise n'a pas bien défini son besoin, et si la direction juridique ne comprend pas le besoin et ne connaît pas l'offre, on arrive à des confusions : car tous les Clouds ne se ressemblent pas et offre des garanties différentes. Donc il ne faut pas créer des attentes absurdes qui donnent lieu à des frustrations » à précise Mme Razavi.
Olivier Menant a lui aussi amené une précision : « Dans les contrats informatiques il y a 2 phases : la formalisation des besoins et la phase contractuelle. Dans les litiges, la racine du mal est toujours dans la phase précontractuelle. Est-ce que c'est un contrat d'infogérance ? de l’infogérance, on en fait depuis 20 ans, mais le Cloud, c’est autre chose » à précisé monsieur Menant. « C’est surtout un domaine où on croit être dans le domaine du contrat d'adhésion. Or, quand on est dans le PaaS ou IaaS, il y a une vue juste technique et le juridique est un peu évincé, mais on croit faussement qu'il n'y a rien à négocier. Il y a tout un panel, il y a des choses standard où il n'y a pas besoin de négocier et d'autres où ce n'est pas le cas » a-t-il conclu.
les offres standard ... jusqu'où ?
Mme Razavi a précisé qu’il faut bien faire la distinction entre plusieurs types de clouds : hybride, communautaire (moins connu), privé (plus proche de l'infogérance) et le cloud public, le plus abouti. « Je suis d'accord qu'il faut une expression du besoin, mais le type de service est un point crucial. Dans le Cloud, le client va conserver le contrôle, mais la sécurité va être fondamentale. Après la phase de qualification, il faut savoir quel engagement le prestataire va prendre » à prévenu Mme Razavi. Et de rajouter : « L'évolution des technologies est un enjeu, et on ne peut plus faire comme par le passé ; les prestataires doivent pouvoir accompagner le client dans le temps ».
Qu’en est-il pour les PME/PMI ? Maître Olivier Menant nous a éclairés sur ce point : « pour les PME/PMI, le Cloud reste un peu obscur. Pour ce type d’entreprises, une réglementation va arriver qui va fixer des standards. Pour les grandes entreprises et les grands projets, ces entreprises sont plus dans des positions de négociation. Pour les PME/PMI il y a des standards juridiques proposés par l'Ansi, et par la CNIL (clauses standard), car les PME/PMI sont moins à même d'exprimer des appels d'offre que les grandes entreprises ».
Olivia Flipo a ajouté qu’il « existe un grand nombre de contrats standard sur les services en mode SaaS, qui sont temporaires, et ne sont pas négociables, même si, théoriquement, tout contrat est négociable ».
Une personne dans la salle à posé la question de savoir comment des fournisseurs de cloud comme Microsoft procédaient « car les ressources ne sont pas illimitées pour pouvoir négocier tant de contrats ! »
Corinne Caillaud a rassuré l’auditeur sur ce point : « La question n'est pas là, il n’est pas question de savoir si on peut négocier 200 000 contrats » a-t-elle dit. « Ce qu'on va privilégier, c'est d'avoir un contrat (le Mosa**, le contrat de messagerie sur le cloud) et fournir en standard un contrat qui peut satisfaire tous les clients. Il faut que ce soit un souci d'engagement pour l'ensemble des prestataires. En matière d'offres contractuelles, les besoins ne sont pas les mêmes pour tous les prestataires. Microsoft a été un des premiers à proposer les clauses contractuelles-type qui sont proposées par l'Union Européenne, et qui garantissent la sécurité et la transférabilité des données et nous sommes très près de la CNIL » a assuré la représentante de l’éditeur américain. « La garantie de sécurité ne va pas seulement porter sur les données mais sur l'ensemble du services » a-t-elle conclu.
**Note : « Mosa » signifie Microsoft Online Standard Agreement cf. http://oran.ge/Mosa
Olivia Flipo a précisé ensuite que les « fournisseurs de SaaS sont déjà liés eux-mêmes aux obligations qu'il ont du fait de leurs propres fournisseurs d'infrastructure. Il ne peut donc s'engager au-delà de cette garantie qu'il a lui-même » a-t-elle précisé.
sur la protection des données personnelles
Maître Menant a rappelé les deux angles de la protection de données personnelles :
- un angle de conformité : il y a plein de mécanismes existants ou en cours de mise en place, notamment vis à vis de l'Asie ;
- un angle de sécurité : la sécurité n'est pas qu'un problème technique. La notion de sécurité en France n'existe que dans le domaine de la protection des données à caractère personnel.
« Ce sont les deux thématiques que nous rencontrons dans les contrats » a-t-il précisé.
et le Patriot Act ?
Corinne Cailaud a rappelé à l’auditoire qu’il s’agit d’une loi prise en 2001 après les attentats du 11 Septembre. Elle concerne les pouvoirs d'investigation dans le cadre du contre-terrosime et de l'espionnage. « Je n'ai pas eu d'exemple d'entreprise saisie par les autorités américaines sur ces sujets » a-t-elle dit. « Cette législation a son pendant dans l'ensemble des législations européennes et requiert une preuve, et une procédure a posteriori existe pour les recours. La législation française est exactement la même, mais cette législation s'applique à toutes les entreprises, même françaises, qui seraient présentes aux Etats Unis ! »
Mme Razavi, avocate aux barreaux de Paris et New York a précisé qu’il « s'agit d'un domaine de souveraineté nationale, donc la présence d'un texte est une bonne chose ».
Enfin, Maître Flipo a enfoncé le clou de cette belle unanimité en ajoutant que « Avec ou sans Patriot Act, le Cloud est promis à un bel avenir, et cette loi n’y changera rien ! »
conflits liés au Cloud en France ?
Corinne Caillaud : Non ! Au contraire, ça explose un peu les marchés, autant sur le plan prestataire que client. C'est une solution formidable qui permet à des TPE d'avoir des infrastructures qui ne leur étaient pas accessibles. ça nous fait travailler .... filandreux !
Mme Ravazi : nous sommes assez occupés des deux côtés, à la fois dans le cadre de contrats standard ou négociés. Mais nous n'avons jamais été sollicités sur un différend. Ce n'est ni plus ni moins du
O Flipo : Beaucoup de contrats Cloud, de Cloud brokers et pas véritablement de contentieux
O Menant : il y a quelque chose de très différent par rapport à il y a deux ans, car les clients sont montés en compétence. Les clients aujourd'hui savent de quoi ils parlent. Ce n'est pas conflictuel, mais le niveau des discussions est monté à la fois d'un point de vue technique et juridique.
les points de vigilance à garder à l'œil dans le cadre des contrats Cloud
O Flipo : le point de vigilance pour un client face à un fournisseur : ce n'est pas le point où il faut se battre, mais la sécurité des données et des applications et aussi où vont se trouver mes données
O Menant : surtout sur l'IaaS et le PaaS, le prix, et notamment la façon de calculer le prix et parfois c'est très abscons
M Ravazi : Les niveaux de services et les engagements
C Caillaud : les garanties contractuelles sur la sécurité, le prix et les garanties de service. Tout se retrouve sauf parfois le prix
Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre, je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.