ATT Review

Actualités

 Infos à la Une

Bon a savoir: Quel est l’« idéal » pour une négociation de contrat cloud réussie ?

Bon a savoir: Quel est l’« idéal » pour une négociation de contrat cloud réussie ?
06 juin
13:11 2017

Quelle marge de négociation contractuelle dont dispose une entreprise qui s’apprête à confier tout ou partie de ses données à un prestataire de cloud ? En principe, aucune. A la base, un contrat cloud est un contrat d’adhésion. Un contrat-type à prendre ou à laisser (« take it or leave it »). Afin de proposer une offre « scalable » à bas coût, les fournisseurs ont poussé très loin les concepts de standardisation et de mutualisatZion. Faire du sur-mesure remettrait en cause leur modèle économique.

Toutefois, la situation évolue favorablement ces dernières années. La pression concurrentielle aidant, les offreurs font du respect de normes telles que ISO 27001 et 27018 dédiées à la sécurisation des données un argument commercial. La jurisprudence a aussi rappelé l’entreprise utilisatrice à ses devoirs. L’arrêt du Conseil Etat du 30 décembre 2015 a confirmé l’obligation du responsable de traitement de données à caractères personnelles – en l’occurrence Orange – de prendre des mesures afin de s’assurer que les données confiées à un sous-traitant soient sécurisées.

Mais c’est surtout le RGPD, Règlement européen consacré à la protection des données personnelles (dit GDPR – General Data Protection Regulation en anglais), qui va encadrer la relation entre les deux parties. « S’il n’entrera en vigueur qu’en mai 2018, il indique tout ce qui doit se trouver dans un contrat cloud », estime Eric Le Quellenec, avocat, directeur du département informatique conseil du cabinet Alain Bensoussan Lexing. En particulier, l’article 28-3 qui fait obligation au client d’informer son prestataire de la finalité du traitement et de la nature des données. Au sous-traitant de mettre en regard les ressources techniques et organisationnelles ad hoc pour en assurer la protection.

Les 3 grands principes du RGPD

Le RGPD repose sur quelques grands principes. Le premier principe porte sur le « privacy by design ». L’ensemble des infrastructures matérielles et logicielles utilisé par les providers pour fournir leurs services, doivent intégrer nativement des mécanismes de protection des données personnelles. Cette notion à l’œuvre pour certaines professions réglementées – données médicales hébergées chez des prestataires agréés, stockage des données bancaires répondant à la norme PCI-DSS – s’appliquera à tous.

Le deuxième principe, c’est le « security by default ». Non seulement la donnée est protégée nativement, mais le prestataire cloud doit assurer un traitement sélectif des données personnelles afin que ne soit traitée que la donnée nécessaire à la finalité poursuivie, et seulement cette donnée (principe de « minimalisation »). Seuls les employés du sous-traitant habilités à cette gestion des données sont autorisés y accéder.

Troisième principe : l’« accountability » (responsabilité). Le provider cloud doit faire la preuve à tout moment qu’il répond aux exigences de protection des données au regard des demandes de la Cnil. Le devoir de communication en cas de violation de la sécurité et de fuite des données implique qu’il tienne des registres retraçant les principes de sécurisation qui s’appliquent au service delivré par le prestataire cloud tout au long de son cycle de vie.

Co-responsable de la sanction financière

Le RGPD introduit surtout une co-responsabilité entre les parties sur lequel peut jouer le contractant. Car c’est le responsable de traitement et lui seul qui en cas de fuite de données peut se voir infliger une sanction financière pouvant aller jusqu’à 4 % de son chiffre d’affaires mondial.

Pour Thomas Beaugrand, associé du cabinet Staub & Associés, il est possible pour un grand compte de négocier un déplafonnement de la responsabilité de son sous-traitant. « Si la faute de l’incident lui incombe, il sera exposé à des pénalités financières d’autant plus lourdes qu’elles ne seront plus plafonnées dans son contrat. »

Une entreprise en position de force peut aussi inclure une clause audit. Difficile à obtenir, elle peut être limitée à une visite annuelle du datacenter à date fixe. A défaut, Eric Le Quellenec suggère de renforcer les pénalités financières en cas manquement aux engagements qualité (SLA).

De son côté, Thomas Beaugrand conseille de stipuler une clause de « rendez-vous ». Des jalons pour mesurer, d’ici mai 2018, où en sont les deux parties dans l’implémentation des règles technico-juridiques du RGPD. Le prestataire doit notamment communiquer son plan d’action, son rétro planning. « C’est aussi un levier de négociation. »

En ce qui concerne les entreprises françaises contractant avec des prestataires américains, il ne faut pas, selon lui, s’en tenir au « Privacy Shield » qui comme son prédécesseur « Safe Harbor » repose sur leurs seules déclarations. « On reste dans l’auto-certification. » Il recommande de leur faire signer les clauses contractuelles types de la Commission européenne, et de les compléter par des exigences contractuelles spécifiques issues du RGPD.

Enfin, il faut gérer la fin du contrat, sujet sur lequel le RGPD ne s’étend pas. Il s’agit de prévoir et organiser la réversibilité, s’assurer de la suppression des données chez l’ancien prestataire.

Commentaires

commentaires

Articles semblables


ATT Review sur Facebook

Toutes les Thématiques

Connexion

Abonnez-vous à notre newsletter

Telecoms: Ailleur sur le Web

Informatique: Ailleur sur le Web