Les 10 commandements d'un bon contrat de cloud computing

Partager

La CNIL l’affirmait dès 2012 : « les offres de Cloud reconnues peuvent présenter des niveaux de sécurité supérieurs à ceux que peuvent garantir les PME ». En effet, les investissements lourds réalisés par des prestataires (sécurisation des datacenters, vidéo surveillance, contrôle des accès, traçabilité, etc.) ne peuvent être réalisés que par des entreprises aux capacités d’investissement suffisantes. Le client entreprise doit ainsi trouver le prestataire qui pourra répondre à des besoins spécifiques de sécurité, de disponibilité, et bien sûr de budget. Mais il aurait bien tort d’en rester là.

Ce contrat de cloud qu’on a bien tort d’ignorer

En effet, une fois choisi le prestataire remplissant ces exigences, le client omet souvent de s’attarder sur le contrat, en particulier les PME qui n’ont pas de service juridique et qui ignorent par conséquent l’importance d’un tel accord. Pour bénéficier de la puissance du cloud et de la sécurité de ses données, le client doit ainsi être attentif lors de l’établissement de son contrat, pour être certain que les conditions seront bien respectées.

Les points de vigilance sont nombreux, c’est pourquoi nous avons demandé à Olivier Iteanu, avocat et auteur du livre Quand le digital défie l’état de droit, de nous livrer ses 10 commandements du contrat d’hébergement dans le cloud, que vous pouvoir revoir avec notre replay du webinaire s'étant tenu le 20 juin 2017 à 10 h 00.

 

Les 10 commandements de la signature d’un bon contrat de cloud computing (selon Olivier Iteanu)
 

 

Thumbnail

 

1er commandement : Un prestataire qui localise les données dans un pays de l’Union européenne tu trouveras

Cela permet de s’assurer que l’hébergeur est bien soumis à la règlementation de l’Union. Ce point est crucial : nous avons déjà écrit un article détaillant tous les points relatifs à ce sujet.

2e commandement : Un SLA tu mettras en place

Le SLA (Service Level Agreement), est un accord négocié entre le client et l’hébergeur, visant à définir les niveaux de qualité du service à fournir et son taux de disponibilité. Avertissement aux nouveaux venus, notamment les PME : attention aux chiffres de disponibilité qui vous sont fournis ! 99 % de disponibilité par exemple, correspond à… 3 jours et 15 heures d’indisponibilité par an. Rassurez-vous en utilisant le calculateur (https://uptime.is) et imaginez l’impact pour votre business.

3e commandement : Une clause d’audit dans le contrat tu incluras

Le client confiant ses données doit pouvoir disposer d’une bonne qualité de service, et doit se réserver le droit de la contrôler par voie d’audit.

4e commandement : La sécurité de tes données tu assureras

La loi ordonne au prestataire de prendre toutes les précautions nécessaires pour assurer la sécurité des données. Les mesures de sécurité concernent la sûreté physique (protection du site, accès sécurisés, système de refroidissement des serveurs, etc.) et la protection des données (chiffrement des données, liaison chiffrée, etc.)

5e commandement : La convention de preuve tu établiras

Fixer un niveau de qualité contractuel est obligatoire (2e commandement) mais à qui incombe la preuve du respect de cette qualité ? On n’imagine pas un client devant se battre pour démontrer à son fournisseur que le service rendu n’était pas à la hauteur. Et pourtant, cela arrive fréquemment. En cas de difficulté, la preuve ne peut incomber seulement au prestataire, qui se retrouverait dans ce cas à la fois juge et partie.

6e commandement : De la réversibilité tu t’assureras

Cet élément contractuel permet de s’assurer de récupérer, à tout moment et dans un format standard, les données hébergées chez le prestataire dont le client doit s’assurer qu’il est bien indépendant.

7e commandement : Du prestataire tu garderas le contrôle

Il faut ainsi s’assurer de qui doit fournir au client les informations susceptibles de changer la qualité de la prestation. Par exemple, un changement de sous-traitant, un changement de majorité au sein du capital de la société, etc. Dans ce dernier cas, se prémunir d’un éventuel impact en termes de respect des autres clauses.

8e commandement : L’obligation de sécurité renforcée du prestataire pour les données à caractère personnel tu honoreras

Selon la nature des données et les risques encourus, des obligations de moyens voire de résultats sont imposées à l’hébergeur.

9e commandement : De la chaîne d’intervenants le contrôle tu garderas

Y-a-t-il d’autres prestataires intervenant dans le datacenter pour le compte de votre fournisseur de cloud ? D’autres intervenants, responsables de l’infrastructure, de l’administration, des logiciels ou de la maintenance sont-ils requis ? Dans ce cas, s’assurer que votre contrat couvre bien leurs prestations et qu’il n’y a pas de risque de dégradation du service de leur fait, qui ne serait couverte par le prestataire de cloud principal.

10e commandement : L’obligation de notification de la violation des données à la lettre tu respecteras

La CNIL pour les données à caractère personnel, l’ANSSI pour la violation de la vulnérabilité des systèmes.

Confidentialité des données : 7 recommandations de la CNIL

La CNIL a publié en juin 2012 un document présentant 7 étapes clés pour garantir à toute entreprise la confidentialité des données dans le cloud. Dans la 5e recommandation, la CNIL détaille les éléments essentiels devant figurer dans un contrat de prestation de services de cloud computing.

 

 

Pour aller plus loin

Le cloud expliqué à votre DSI

Yann Gourvennec

Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre,  je contribue régulièrement sur ce blog pour le compte d'Orange Business Services sur les sujets du cloud computing et du stockage dans le cloud.