Cloud computing Informatique en nuage

Cloud computing

Informatique en nuage

Formateurs :

T. Verbiest, C.-R. Joly, L.

Breteau Ulys

Informatique en nuage

Outils juridiques pour sécuriser

l’informatique en nuage

Présentation du cabinet ULYS

Domaines d’intervention

Nouvelles Technologies Propriété Intellectuelle

Paiements et Monnaie électroniques Média, Jeux & Divertissement

Droit commercial, des sociétés et de la concurrence appliqués à ces secteurs

Ulys, quatre valeurs : Spécialisé

Innovant Engagé Partenaire

Missions

Services ‘traditionnels’ : rédaction et négociation de contrats, contentieux et règlements alternatifs des litiges, articles et conférences, etc.

Accompagnement de projets, notamment transnationaux

Consultation des pouvoirs publics et missions de sensibilisation des autorités nationales et européennes

Equipe Ulys ‘Comundi Cloud Computing’ :

Me Thibault Verbiest, associé et fondateur Ulys Me Cathie-Rosalie Joly, associée Ulys

Me Lise Breteau, collaboratrice senior Ulys

Présentation de la formation

Cette formation n’aborde pas les marchés publics du cloud computing 1. Définition - Qu’est-ce que le Cloud Computing ?

Définir le cloud computing

Les différents types de cloud computing Quelques données du marché

2. Le Cloud Computing, un outil puissant et modulable mais non sans risques Les avantages

Identification des principaux risques Identification des principaux risques Stratégie de la Commission européenne

3. Comment protéger les données situées dans les nuages : focus sur la protection des données

Données personnelles et autres données sensibles (non personnelles) de l’entreprise Protection des données personnelles : les sujets majeurs du cloud computing

Qualification de responsable de traitement/sous-traitant Détermination de la loi applicable

Transfert de données hors UE

La sécurité et le risque de fuite de données Principales mesures de sécurité selon la CNIL

Les normes applicables aux données non personnelles Cas pratique

Présentation de la formation

4. Les clauses « techniques » et la sécurité Sécurité et droits d’accès

Installation technique et recette/mise en production Garanties opérationnelles

Migration et réversibilité

Plan d’action qualité et indicateurs de qualité, assistance utilisateurs et contrôle de la qualité Responsabilité du prestataire

Cas pratique

5. Les clauses « juridiques » et opérationnelles 5. Les clauses « juridiques » et opérationnelles

Objet du contrat, conditions d’exécution et obligations du prestataire Durée

Prix

Propriété intellectuelle Résiliation

Loi du contrat et juge compétent, lois de police 6. Les documents contractuels

Phase précontractuelle Phase contractuelle Documentation Cas pratique

1. Qu’est

1. Qu’est--ce que le ce que le Cloud Cloud Computing Computing??

Cloud Computing

Outils juridiques pour sécuriser l’informatique en nuage

1. Qu’est

1. Qu’est--ce que le ce que le Cloud Cloud Computing Computing??

2. Le Cloud Computing, un outil puissant et modulable mais non sans risques

3. Comment protéger les données mises dans le nuage ? 4. Les clauses « techniques » et la sécurité

5. Les clauses « juridiques » et opérationnelles

6. Les documents contractuels

Qu’est-ce que le Cloud Computing ?

Extrait Source :

Dominique FILIPPONE, Journal du Net

(http://www.journaldunet.com/solution s/cloud-computing/cloud-computing- au-bureau-0812.shtml)

Qu’est-ce que le Cloud Computing ?

Une prestation pas nouvelle mais augmentée

La sous-traitance informatique, un mécanisme connu : infogérance, externalisation/outsourcing, facilities management, ASP, …

Relève des services consistant en la prise en charge de la gestion du système informatique d’une entité, avec ou sans délocalisation, dans le cadre d’une relation pluriannuelle

Qu’ajoute le Cloud ? L’offre est généralement fortement orientée service : Qu’ajoute le Cloud ? L’offre est généralement fortement orientée service :

Service à la demande, puissance de stockage et de traitement variable

Peu de visibilité sur les ressources et équipements mis en œuvre pour assurer la prestation

Délocalisation voire pluri-localisation de l’hébergement et des traitements (serveurs

« localisés dans le monde entier »)

« Mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire.

Note : L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »

(Vocabulaire de l’informatique et de l’internet, JORF du 6 juin 2010, n°129, p. 10453)

Qu’est-ce que le Cloud Computing ?

Définitions proposées par les instances de protection des données personnelles : CNIL : Consultation publique fin 2011 et synthèse des réponses publiée le 25 juin 2012 (voir http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de- la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/)

Constat : « Le terme Cloud computing étant à la fois récent et recouvrant de

nombreuses notions, il n’y a pas encore de consensus pour en donner une définition précise »

Définition en fonction des éléments caractéristiques du service (reprise de diverses définitions, notamment NIST) :

définitions, notamment NIST) :

• Simplicité d’un service à la demande

• Extrême flexibilité

• Accès « léger »

• Virtualisation ou mutualisation des ressources

• Paiement à l’usage

G29 : Opinion on cloud computing, 1^er juillet 2012 WP196

(http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2012/wp196_en.pdf) :

« Cloud computing consists of a set of technologies and service models that focus on the Internet-based use and delivery of IT applications, processing capability, storage and memory space. »

Qu’est-ce que le Cloud Computing ?

Source : http://fr.wikipedia.org/wiki/Fichier:Cloud_computing.svg

Qu’est-ce que le Cloud Computing ?

Qu’est-ce qui peut être géré en Cloud ?

Applications : Saas Software as a Service

Le client utilise les applications du fournisseur via une interface disponible grâce au réseau.

Ces dernières sont donc consommées et payées à la demande.

Par ex. webmails, applications type Google Earth, etc.

Le fournisseur Cloud maintient :

- les applications,

--les runtimes,

-- l’intégration SOA (Service Oriented Architecture),

-- les bases de données,

-- le logiciel serveur,

-- la virtualisation,

- le matériel serveur,

- le stockage,

- les réseaux.

Qu’est-ce que le Cloud Computing ?

Plateforme : PaaS Platform as a service

Le client peut déployer sur l’infrastructure Cloud ses propres applications, dans la mesure où le fournisseur supporte le langage de programmation.

La plateforme distante ne se contente pas d’héberger les applications mais interagit pour allouer des ressources suffisantes à leur bon fonctionnement => plateforme de

développement, d’exécution, etc.

o l’entreprise maintient uniquement les applications ; o le fournisseur Cloud maintient :

- les runtimes,

- l’intégration SOA,

- les bases de données,

- le logiciel serveur,

- la virtualisation,

- le matériel serveur,

- le stockage,

- les réseaux.

Qu’est-ce que le Cloud Computing ?

Capacité de traitement : IaaS Infrastructure as a service

Désigne une infrastructure matérielle, louée à la demande par le client: stockage, machines virtuelles, OS, et autres ressources de calcul. L’utilisateur peut, dans ce cas, disposer sur demande d’une capacité de traitement pour n’importe quel type d’application.

Par ex. stockage dynamique, que le client administre et modifie en fonction de ses besoins

o l’entreprise maintient :

- les applications,

- les applications,

- les runtimes,

- l’intégration SOA,

- les bases de données,

- le logiciel serveur ;

o le fournisseur Cloud maintient :

- la virtualisation,

- le matériel serveur,

- le stockage,

- les réseaux

Qu’est-ce que le Cloud Computing ?

Source : http://www.microsoft.com/france/entreprises/decideur-it/cloud/caracteristiques-du-cloud.aspx

Qu’est-ce que le Cloud Computing ?

Source : http://www.thinkbetter.be/e-business/cloud-computing

Qu’est-ce que le Cloud Computing ?

Les différents types de Cloud

• Privé : infrastructure entièrement dédiée à un client

• Cloud privé interne : géré par le client lui-même

• Cloud privé externe : géré par un tiers

• Cloud privé virtuel : un environnement de Cloud Computing qui recouvre l’infrastructure de clouds

internes et externes, offrant à l’entreprise un environnement transparent, géré, qui est sécurisé et sous le contrôle du service informatique

• Solution la plus sûre

• Public : infrastructure partagée

• Public : infrastructure partagée

• Infrastructure accessible à un large public

• Appartient à un fournisseur de cloud services

• Solution la moins coûteuse

• Hybride

• Infrastructure composée de deux nuages ou plus mélangeant public et privé

• Clouds uniques liés par une technologie normalisée ou propriétaire

• L’idéal : opter pour une architecture de cloud privé permettant de recevoir des clouds publics, mais cela peut se présenter sous la forme de clouds localisés chez un hébergeur mais dédiés à un client

• Cloud communautaire

• Open cloud

Qu’est-ce que le Cloud Computing ?

Source : http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a- de-nouvelles-perspectives-d-ici-2012_a14492.html

Qu’est-ce que le Cloud Computing ?

Source : http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a- de-nouvelles-perspectives-d-ici-2012_a14492.html

Qu’est-ce que le Cloud Computing ?

Source : http://revevol.fr/2010/07/19/analyse-des-dimensions-du-risque-lie-au-cloud-computing

Qu’est-ce que le Cloud Computing ?

Chiffres cités par la Commission européenne : rapport Quantitative

Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Up-take, 13 juillet 2012

(

Qu’est-ce que le Cloud Computing ?

Chiffres cités par la Commission européenne : rapport Quantitative

Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Up-take, 13 juillet 2012

“Cloud Computing Could Contribute up to €250 Billion to EU GDP

in 2020 and 3.8 Million Jobs”

Qu’est-ce que le Cloud Computing ?

Les projections du marché (étude Cabinet IDC)

Source : Le Journal du Net

(http://www.journaldunet.com/sol utions/cloud-

computing/depenses-cloud- computing-public-2012-2016- 0912.shtml)

0912.shtml)

1. Qu’est-ce que le Cloud Computing?

Cloud Computing

Outils juridiques pour sécuriser l’informatique en nuage

1. Qu’est-ce que le Cloud Computing?

2. Le Cloud

2. Le Cloud Computing Computing, un outil puissant et modulable , un outil puissant et modulable mais non sans risques

mais non sans risques

3. Comment protéger les données mises dans le nuage ? 4. Les clauses « techniques » et la sécurité

5. Les clauses « juridiques » et opérationnelles

6. Les documents contractuels

Le Cloud, outil puissant et modulable non sans risques

Quel besoin, quel intérêt de recourir au Cloud Computing ?

Réduire les coûts et/ou le délai de mise à disposition d’un outil Simplifier la gestion et adapter le SI au besoin réel

Disposer d’une capacité informatique modulable, répondre à des Disposer d’une capacité informatique modulable, répondre à des besoins spécifiques

Bénéficier d’une disponibilité en principe totale de l’information

Se recentrer sur un cœur de métier

Le Cloud, outil puissant et modulable non sans risques

Des inconvénients réels

Risques techniques :

Risque de dépendance technologique et de perte de gouvernance, Risque sur l’interopérabilité et respect des standards,

Risque sur la continuité du service,

Risque de piratage et fuite/vol de données, sécurité, etc.

Risque de perte de données pendant les phases de migration et réversion, etc.

Risque financier de perte de maîtrise des coûts

Le Cloud, outil puissant et modulable non sans risques

Des inconvénients réels

Risques réglementaires : pas de réglementation particulière, mais des réglementations locales spécifiques à ne pas négliger :

Protection des données personnelles, règles sur les fuites de données, Commerce électronique, protection des consommateurs,

Obligations de conservation de documents comptables et fiscaux, etc.

Obligations spécifiques de sécurité ou de secret professionnel : secteur de la banque Obligations spécifiques de sécurité ou de secret professionnel : secteur de la banque et de l’assurance, de la santé, etc.

Applications de réglementations conflictuelles (Patriot Act)

Risque contractuel :

Irresponsabilité du prestataire

Loi applicable/juge compétent inaccessibles Clauses non négociables, etc.

Ces risques se traduisent par la responsabilité civile, voire professionnelle ou pénale et ont des répercussions au niveau commercial, risque d’image et de perte de clientèle

Le Cloud, outil puissant et modulable non sans risques

Barrières (rapport commandé

Commission

européenne, 13

juillet 2012)

Le Cloud, outil puissant et modulable non sans risques

Suggestions d’améliorations du cloud

(rapport commandé Com. EUR, 13 juillet 2012)

Comment protéger les données mises dans le nuage ?

Stratégie de la Commission européenne :

La commissaire européenne chargée de l'Agenda numérique, Neelie Kroes, a déclaré : « Si nous voulons que nos marchés numériques croissent, les utilisateurs doivent se sentir à l'aise de dépenser en ligne. Si les entreprises doivent tirer

avantage de tous les bénéfices potentiels du cloud computing, ils doivent pouvoir être sûrs que leurs secrets industriels ne seront pas interceptés ».

L'eurodéputé bulgare, Ivailo Kalfin (Socialistes & Démocrates), « C'est un outil (le cloud computing) essentiel pour augmenter la compétitivité de l'Union, surtout pour les petites et moyennes entreprises, et les législateurs de l'UE devraient contribuer à les petites et moyennes entreprises, et les législateurs de l'UE devraient contribuer à son développement, en s'assurant que les principes de sécurité, de confidentialité des données et d'interopérabilité sont respectés dans le nuage ».

Selon Madame Viviane Reding, Vice-Présidente de la Commission européenne en charge de la Justice, des Droits fondamentaux et de la Citoyenneté, une notification obligatoire des failles de sécurité, semblable à celle prévue pour les fournisseurs de services de communications électroniques pourrait être introduite pour les services bancaires et financier (discours du 20 juin 2011

http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/452&format=H TML&aged=0&language=EN&guiLanguage=en

Le Cloud, un outil puissant et modulable non sans risques

Stratégie de la Commission européenne

Observations européennes et réflexion pour élaborer un projet de lignes directrices applicables aux contrats de cloud

Consultation publique de la Commission courant 2011 : éventualité de modèles de documents contractuels (CG, PAQ, etc.), questions de sécurité des données, de détermination de la personne responsable

Communication de la Commission du 27 septembre 2012 « Unleashing the Potential of Cloud Computing in Europe »

(http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_clou (http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_clou d.pdf)

La stratégie poursuit quatre grands objectifs:

garantir le transfert des données d'un prestataire de services en nuage à un autre, ou leur retrait complet;

établir un système de certification à l'échelle de l'UE pour les prestataires fiables;

élaborer des modèles de contrats d'informatique en nuage indiquant clairement les obligations contractuelles;

créer un partenariat européen en faveur de l'informatique en nuage associant secteurs public et privé, afin de déterminer les besoins existants et de veiller à ce que le secteur européen des technologies de l'information puisse y satisfaire, de sorte que les entreprises soient plus compétitives face à la concurrence étrangère, et plus particulièrement américaine.

Le Cloud, outil puissant et modulable non sans risques

Pas de solution standard pour limiter le risque

Anticiper les difficultés par l’encadrement contractuel

Un contrat d’entreprise et un contrat informatique : quasiment tout est à écrire, pas de régime légal de ces contrats et peu de dispositions

impératives impératives

A condition de pouvoir négocier

Certains contrat cloud sont des contrats d’adhésion

Conditions générales mises en ligne et modifiables par le prestataire de manière discrétionnaire

Evolutions du service sans information préalable/droit d’opposition du client, etc.

En l’absence de marge de négociation, évaluation du risque pour déterminer si l’offre doit être rejetée, ou non

Identifier le type de cloud adapté en fonction du besoin de l’entreprise, des

données à traiter, des risques, … (cf. recommandation n°4 de la CNIL)

Dans ces conditions, quelles sont les Dans ces conditions, quelles sont les précautions à prendre dans les contrats précautions à prendre dans les contrats

Cloud Computing

Outils juridiques pour sécuriser l’informatique en nuage

précautions à prendre dans les contrats précautions à prendre dans les contrats de Cloud Computing ?

de Cloud Computing ?

1. Qu’est-ce que le Cloud Computing?

Cloud Computing

Outils juridiques pour sécuriser l’informatique en nuage

1. Qu’est-ce que le Cloud Computing?

2. Le Cloud Computing, un outil puissant et modulable mais non sans risques

3. Comment protéger les données mises dans le nuage?

3. Comment protéger les données mises dans le nuage?

4. Les clauses « techniques » et la sécurité

5. Les clauses « juridiques » et opérationnelles

6. Les documents contractuels

Comment protéger les données mises dans le nuage ?

Protection des données, sujet central

=> Identifier la nature des données qui seront stockées dans le nuage pour prévoir un encadrement contractuel conforme aux exigences légales ou réglementaires (cf.

recommandation n°1 de la CNIL)

=> Inclure des clauses obligatoires le cas échéant (droit d’audit des autorités compétentes, etc.)

=> Niveau d’exigence proportionnel au risque (civil, professionnel/disciplinaire, pénal)

Données personnelles Données personnelles

Réglementation relative à la protection des données personnelles : directive 95/46/CE, loi n°78-17 du 6 janvier 1978 (Loi I&L), décisions et analyses CNIL, etc.

Réforme en cours : projets de textes de la Commission européenne du 25 janvier 2012 (voir http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf)

Réglementations particulières (secteur bancaire et paiements, lutte anti- blanchiment, santé, etc.)

Obligations renforcées de sécurité, confidentialité, etc. sur certaines données

Données sensibles : secrets d’affaires, données qualifiées de confidentielles par contrat, etc. => pas de cadre juridique dédié

Veiller à ce que les clauses du contrat de cloud ne risquent pas d’entraîner la violation d’engagements contractuels, etc.

Comment protéger les données mises dans le nuage ?

Protection des données personnelles : Les sujets majeurs du cloud computing

L’analyse dans le cadre de la réglementation des données personnelles aborde des sujets

« de droit commun » : responsabilités, garanties, sécurité, etc.

Consultation et analyse CNIL

Qualification de responsable de traitement/sous-traitant

Intérêt de créer un régime spécifique applicable aux prestataires de cloud ? Critères de rattachement pour détermination de la loi applicable ?

Critères de rattachement pour détermination de la loi applicable ? Quel encadrement des transferts de données?

Quels risques spécifiques de sécurité ?

G29 : opinion du 1

juillet 2012

Commission européenne : projet de réforme de la réglementation

européenne de protection des données personnelles (projet de règlement

du 25 janvier 2012)

Comment protéger les données mises dans le nuage ?

Qualification de responsable de traitement/sous-traitant

Responsable du traitement : art. 3 Loi Informatique et Libertés

« Le responsable d'un traitement de données à caractère personnel est, sauf

désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens. »

Sous-traitant : art. 35 Loi Informatique et Libertés Sous-traitant : art. 35 Loi Informatique et Libertés

« Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. »

Comment protéger les données mises dans le nuage ?

Qualification de responsable de traitement/sous-traitant

Obligations du responsable :

Veiller au respect constant des conditions posées à l’article 6 de la Loi I&L

Collecte loyale et licite; finalité déterminée, explicite et légitime, pas de traitement ultérieur incompatible; données adéquates, pertinentes et non excessives au regard des finalités;

données exactes, complètes, mises à jour et effacées si besoin au regard des finalités;

conservation pour la durée nécessaire.

Assurer la sécurité des données en vertu de l’article 34 de la Loi I&L : Assurer la sécurité des données en vertu de l’article 34 de la Loi I&L :

« Prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Renforcer la sécurité dans certains cas : données sensibles, transferts hors UE Contrôler le sous-traitant et ses sous-traitants, cf. art. 35 Loi I&L

=> Le responsable du traitement assume la responsabilité civile et pénale du

=> Le responsable du traitement assume la responsabilité civile et pénale du traitement

traitement

Comment protéger les données mises dans le nuage ?

Qualification de responsable de traitement/sous-traitant

Obligations du sous-traitant : art. 35 Loi I&L

« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en

œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Comment protéger les données mises dans le nuage ?

Qualification de responsable de traitement/sous-traitant

Quelle qualification dans le contrat de cloud ?

En théorie : client = responsable du traitement prestataire = sous-traitant

Cependant, le simple fait que les données proviennent du client ne suffit pas pour faire le départ entre client/responsable et prestataire/sous-traitant : si le prestataire fournit des services supplémentaires, entraînant un traitement des données non contrôlé par le client

NB : il peut y avoir plusieurs responsables de traitements sur une même donnée NB : il peut y avoir plusieurs responsables de traitements sur une même donnée

Risque de voir le prestataire obtenir la libre disposition des données

Projet de règlement européen : régime légal de la sous-traitance

Comment protéger les données mises dans le nuage ?

Qualification de responsable de traitement/sous-traitant

Consultation CNIL

Prestataire de cloud présumé sous-traitant

Faisceau d’indices pour renverser la qualification

(Extrait du document de consultation CNIL)

Comment protéger les données mises dans le nuage ?

Qualification de responsable de traitement/sous-traitant

Réponses à la consultation CNIL fin 2011

Analyser en fonction de la nature de l’offre cloud, non à partir d’une présomption Nombreux cas d’offres où le prestataire peut être considéré comme responsable du traitement

Coresponsabilité source d’insécurité juridique Analyse de la CNIL juin 2012

Procéder à un partage clair des responsabilités - extrait de la synthèse CNIL : Procéder à un partage clair des responsabilités - extrait de la synthèse CNIL :

Réutilisation des données par le prestataire pour une autre finalité est soumise aux conditions légales (information/consentement des personnes concernées, formalités CNIL, etc.)

Rappel du projet de règlement européen du 25 janvier 2012

Comment protéger les données mises dans le nuage ?

Détermination de la loi applicable

Article 5, I de la loi Informatique et Libertés :

« I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

1°Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2°Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat 2°Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2°du I, le responsable désigne à la Commission

nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette

désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui. »

Comment protéger les données mises dans le nuage ?

Détermination de la loi applicable

Critère moyens de traitement pertinent ?

Loi du responsable du traitement = choix considéré comme inapproprié, risque de forum shopping

Critère du ciblage préconisé par CNIL et retenu dans projet de règlement (article 3 : application du droit UE aux responsables hors UE qui offrent des biens ou services à des personnes ayant leur résidence dans l’Union)

Comment protéger les données mises dans le nuage ?

Transferts de données

Qu’est-ce qu’un transfert de données ? Circulation en UE : pas de conditions Transfert hors UE :

Vers un pays assurant un niveau de protection adéquat

Canada, Israël, Argentine, Suisse, Uruguay,

Transfert hors UE vers pays non adéquat Transfert

hors UE vers pays

adéquat

Canada, Israël, Argentine, Suisse, Uruguay,

Guernesey, Jersey, Ile de Man, Andorre, Iles Féroé

pas de condition supplémentaire

Vers un pays non adéquat (ex. USA) :

interdiction, sauf l’une des options suivantes :

Autorisation de la personne concernée Exception art. 69

Signature des clauses contractuelles types Commission EUR

Participation du sous-traitant à un système de protection des données (Safe Harbour) Adoption de règles internes d’entreprise imposées au sous-traitant (« binding corporate rules » ou BCR)

Circulation en FR ou en

UE

Comment protéger les données mises dans le nuage ?

Transferts de données

Consultation CNIL

Problème : Multiplication des lieux de stockage des données

Solution juridique : Encadrement juridique par la définition de clauses type et BCR sous-traitants

Les acteurs du marché seraient en attente de reconnaissance de BCR sous- traitant

traitant

Document de travail WP195 du 6 juin 2012 du G29 sur les BCR sous- traitants (http://ec.europa.eu/justice/data-protection/article-

29/documentation/opinion-recommendation/files/2012/wp195_en.pdf)

Solutions techniques, par exemple pour empêcher le transfert de données dans

certains territoires (chiffrement, …)

Comment protéger les données mises dans le nuage ?

La sécurité et le risque de fuite de données

Les pertes de données trouvent leur origine dans plusieurs types leur origine dans plusieurs types de situations : attaques externes / défaillance du SI/ négligence

humaine (erreurs ou négligences commises par des prestataires, des employés, des vols /pertes de PC, PDA…)

Comment protéger les données mises dans le nuage ?

Le risque de fuite de données

Fuites de données : Sujet émergent dans les réflexions des autorités de protection des données personnelles, en France et en Europe

- Europe : La directive « vie privée et communications électroniques », mise à jour en 2009, prévoit des notifications en cas de violation de la sécurité via lesquelles tout fournisseur de communication ou de service Internet doit informer les individus à propos des violations commises s'agissant de leurs informations personnelles.

propos des violations commises s'agissant de leurs informations personnelles.

- France : article 34 bis de la loi Informatique et Libertés

- Allemagne : De plus en plus confrontée à des violations de la sécurité, l’Allemagne a révisé ses règles de protection des données pour aller au-delà de la réglementation de l'UE.

Etats-Unis : California Security Breach Notification Act depuis 2002

Comment protéger les données mises dans le nuage ?

Art. 34 bis de la loi du 6 janvier 1978 :

Mesures d’application dans décret n°2012-436 du 30 mars 2012 Application aux fournisseurs de SCE (opérateurs déclarés à l’ARCEP)

Application à toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la

fourniture au public de services de communications électroniques (SCE) Obligation de tenir à jour un inventaire des violations

Obligation de tenir à jour un inventaire des violations Procédure de notification :

(schéma : CNIL http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article/la-notification-des-violations-de-donnees-a-caractere-personnel/) Mesures de protection

appropriées mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée

Comment protéger les données mises dans le nuage ?

Obligation sanctionnée pénalement Article 226-17-1 du code pénal

« Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la

Commission nationale de l'informatique et des libertés ou à l'intéressé, en

méconnaissance des dispositions du II de l'article 34 bis de la loi n°78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »

1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »

Comment protéger les données mises dans le nuage ?

Les principales mesures de sécurité selon la CNIL

Analyse de risques Chez le client Chez le prestataire

Engagements de niveaux de service (cf. infra) Mesures de sécurité

Recours au chiffrement , ou autres techniques (« obfuscation », morcellement des Recours au chiffrement , ou autres techniques (« obfuscation », morcellement des données)

Elaboration de références techniques sur la protection des données personnelles

Comment protéger les données mises dans le nuage ?

Données sensibles et réglementations particulières :

Mesures de sécurité supplémentaires pour certains types de

données, qui sont souvent des données personnelles (mais ces règles ne réservent pas leur application aux données personnelles)

Données de santé qui nécessitent que l’hébergeur soit agréé (art. L.1111-8 du code de la santé publique)

Données traitées par les acteurs bancaires et des paiements : obligations de sécurité Données traitées par les acteurs bancaires et des paiements : obligations de sécurité prévues au Règlement 97-02

Réglementation de la lutte contre le blanchiment (art. L. 561-2 et suivants du code monétaire et financier) : informations confidentielles relatives aux déclarations de soupçons, etc.

Professions réglementées et soumises au secret professionnel : par ex. avis du Conseil des barreaux européens (CCBE) sur l’usage du cloud computing par les avocats, 7 septembre 2012

Obligations générales de conservation et d’archivage de pièces

comptables, justificatifs fiscaux, etc.

Comment protéger les données mises dans le nuage ?

Protection des données de valeur, qu’elles soient personnelles, confidentielles ou non :

La protection des données du client ne s’arrête pas aux données personnelles :

Informations soumise à un engagement contractuel de confidentialité Secrets d’affaires

Informations stratégiques Informations stratégiques

…

Encadrer les conditions d’exploitation /accès aux données sans limiter ces clauses aux données personnelles

Prévoir les conséquences du risque de fuite de données : indemnisation, garantie vis-à-vis des tiers affectés, etc.

Eviter autant que possible d’attribuer un droit d’utilisation des données chargées dans le cloud, au prestataire – certains contrats peuvent prévoir une licence d’utilisation au bénéfice du prestataire, du contenu faisant l’objet d’un droit de propriété intellectuelle

Comment protéger les données mises dans le nuage ?

Cas pratique n°1

La société MODERNE souhaite adapter son site de commerce en ligne au format smartphone. Pour cela, elle fait appel à la SSII EXPERTE qui est spécialisée dans le développement d’applis smartphone.

MODERNE donne un accès illimité à son système informatique à EXPERTE pour qu’elle puisse réaliser tous les développements et tests nécessaires.

EXPERTE utilise la plateforme de développement SUPERDEVELOPER de la EXPERTE utilise la plateforme de développement SUPERDEVELOPER de la société BIGDATA (société US). EXPERTE charge les données de MODERNE (sélectionnées au préalable) sur la plateforme SUPERDEVELOPER pour les besoins du développement du projet.

L’appli est livrée à MODERNE. MODERNE l’exploite en direct via la plateforme SUPERDEVELOPER, sur laquelle elle reste hébergée.

Questions :

1.

Quels risques MODERNE encourt-elle en matière de protection des données ?

2.

Quelle précautions contractuelles lui préconiser ?

Comment protéger les données mises dans le nuage ?

Cas pratique n°1 : analyse

MODERNE RESPONSABLE RESPONSABLE DU TRAITEMENT DU TRAITEMENT

CONTRAT DE SOUS-TRAITANCE DE PREMIER NIVEAU : - Responsabilités et statuts respectifs des parties

- Propriété des données

- Exécution des instructions du responsable de traitement RESPONSABILITE DE MODERNE:

-Sécurité des données -Formalités CNIL -Droits des clients

EXPERTE

BIG DATA

SOUS

SOUS--TRAITANT TRAITANT DE PREMIER DE PREMIER

NIVEAU NIVEAU

SOUS

SOUS--TRAITANT TRAITANT DE

DE SECOND SECOND NIVEAU NIVEAU

- Exécution des instructions du responsable de traitement - Garanties : conformités des sous-traitants ultérieurs (BIG DATA), sécurité et confidentialité, notamment transferts US - Contraintes spécifiques (Model clauses,…) si transfert aux US

CONTRAT DE SOUS-TRAITANCE DE SECOND NIVEAU : -Contrat conclu avec EXPERTE et/ou MODERNE ?

-Assurer la reprise des clauses du contrat de sous-traitance principal

Comment protéger les données mises dans le nuage ?

Cas pratique n°1 : comment rédiger la clause relative aux données ?

Quelle analyse faites-vous de la clause suivante du contrat BIG DATA?

« Le CLIENT est seul responsable des traitements mis en œuvre en exécution du présent contrat, y compris les transferts de données transfrontaliers, et de l’accomplissement des formalités afférentes. Le CLIENT garantit au PRESTATAIRE que ces traitements ne le mettront pas en infraction aux lois ou règlements applicables en la matière. Le CLIENT mettront pas en infraction aux lois ou règlements applicables en la matière. Le CLIENT reconnaît que le PRESTATAIRE n’est pas en charge de valider les mesures prises par le CLIENT en matière de conformité aux lois et règlements en vigueur en la matière. Le CLIENT reconnaît toutefois que le PRESTATAIRE peut prendre les mesures qu’il estime nécessaires, sans préjudice de la mise en cause de la responsabilité du CLIENT.

Le CLIENT déclare que les mesures de sécurité prévues aux présentes sont conformes aux exigences légales et réglementaires. Le CLIENT reconnaît que le PRESTATAIRE ne met en œuvre aucune autre mesure de sécurité que celles qui sont prévues aux présentes. Toute mesure supplémentaire de sécurité fera l’objet d’un devis séparé.

Le PRESTATAIRE informe le CLIENT en cas de demande d’information de la part d’une autorité judiciaire ou administrative compétente. »

1. Qu’est-ce que le Cloud Computing?

Cloud Computing

Outils juridiques pour sécuriser l’informatique en nuage

1. Qu’est-ce que le Cloud Computing?

2. Le Cloud Computing, un outil puissant et modulable mais non sans risques

3. Comment protéger les données mises dans le nuage ? 4. Les clauses «

4. Les clauses « techniques techniques » et la sécurité » et la sécurité

5. Les clauses « juridiques » et opérationnelles

6. Les documents contractuels

Quelles précautions prendre dans les contrats ?

Sécurité

http://www.lefigaro.fr/hightech/2011/12/05/01007-20111205ARTFIG00739-la-securite-le-point-cle.php

Quelles précautions prendre dans les contrats ?

Définition des principes généraux de sécurité

Les rôles et responsabilités des parties doivent être clairement

définis afin de traiter efficacement les cas d’incident pouvant aboutir à une perte ou une divulgation de données

Il convient d’intégrer le sous-traitant dans le périmètre de la sécurité de l’entreprise (plan de sécurité des systèmes d’information, plan de de l’entreprise (plan de sécurité des systèmes d’information, plan de continuité d’activité, etc.)

En fonction du degré de sensibilité des données :

Effacement

Restitution des supports de stockage Destruction physique

Faire une cartographie des risques (cf. recommandation n°3 de la CNIL)

Cf. gestion des risques de sécurité selon consultation CNIL de 2011 Définir son propre référentiel (cf. recommandation n°2 de la CNIL)

Faire une veille (cf. recommandation n°7 de la CNIL)

Quelles précautions prendre dans les contrats ?

Définition des droits d’accès et sécurité

Définir la politique de droits d’accès :

Personnes habilitées, information accessible, dispositifs d’accès (identifiant+mot de passe), conservation des traces, surveillance et blocage des accès

Sécuriser les accès : Niveaux de sécurité différents selon les informations (données bancaires, etc.)

Dispositifs d’accès élaborés : certificat électronique sur clé USB, carte, voire Dispositifs d’accès élaborés : certificat électronique sur clé USB, carte, voire biométrie

Transmissions sécurisées : cryptage des données Sécurisation de l’hébergement

Obligations du prestataire en cas d’incident

Alerte, rapport

Articles 323-1 à 323-7 du code pénal relatifs aux fraudes informatiques Risque de surcoût en l’absence d’accord initial sur ces services + clause de confidentialité à la charge du prestataire

Revoir la politique générale de sécurité de l’entreprise (cf.

recommandation n°6 de la CNIL)

Quelles précautions prendre dans les contrats ?

Installation technique et recette/mise en production

Définition d’un prérequis technique par le prestataire

Adaptations préalables : paramétrages, voire développements propriétaires ?

Procédure de recette

Livraison, migration des données et tests

Signature par le client d’un procès-verbal de recettes / recette implicite ? Réserves du client + délai de correction

Quelles précautions prendre dans les contrats ?

Garanties opérationnelles

Garanties relatives au service :

disponibilité, performance,

intégrité des données, etc.

Garanties relatives aux process du prestataire :

Qualification juridique

Traitements en back office

(cf. recommandation n°5 de la CNIL)

Quel référentiel ?

Cf. projet de règlement européen du 25 janvier 2012

Quelles précautions prendre dans les contrats ?

Migration et réversibilité

Objet :

Migration

Réversibilité :

Ce que le client avait confié au fournisseur en début de contrat ou contenu enrichi de ce qui a été produit en cours de contrat ?

Quel format ? Quel format ?

Plan de migration / plan de réversibilité : un accord à part entière

Définir le processus de transfert des données Le coût associé

Le calendrier

Spécificités réversibilité :

Les événements déclencheurs : terme du contrat ou en cas de résiliation anticipée Sauvegardes régulières en cours de contrat ?

Peut engendrer un transfert de contrat du prestataire au client

Quelles précautions prendre dans les contrats ?

Exemple de clause de réversibilité :

« Au terme du présent contrat, le prestataire s’engage à

transférer ses données au client dans les conditions prévues en annexe. Dans l’hypothèse où le client ne demanderait pas la restitution de ses données dans les XXX mois à compter du la restitution de ses données dans les XXX mois à compter du terme du présent contrat, le prestataire détruira lesdites

données. »

Comment s’assurer un service sûr et de qualité ?

Plan d’action qualité (PAQ) ou « service level agreement » (SLA) Objet :

Définir un niveau normal de service L’assistance utilisateurs

Gérer les incidents ponctuels et les pannes

Encadrer les interruptions de service par le prestataire pour les besoins de maintenance

maintenance

Prévoir des sauvegardes Outils de contrôle et sanction

=> Enjeu : obtenir des engagements de niveau de service précis sur la qualité, la sécurité

=> Prendre en compte le caractère évolutif du service : quelles conséquences sur la qualité de service en cas de forte hausse/variabilité des besoins ?

Utilité des référentiels type ANSSI pour la rédaction des politiques de sécurité des systèmes d’information (PSSI) – domaines : organisation de la sécurité,

gestion des risques SSI, sécurité et cycle de vie, assurance et certification, aspects humains, planification de la continuité des activités, gestion des incidents, sensibilisation et formation, exploitation, aspects physiques et environnementaux, identification / authentification, contrôle d’accès logique, journalisation, infrastructures de gestion des clés cryptographiques, signaux compromettants. (http://www.securite- informatique.gouv.fr/gp_article51.html)

Comment s’assurer un service sûr et de qualité ?

Définition des indicateurs de la qualité

Indicateurs de qualité : critères objectifs de mesure de la qualité Définir les critères de qualité prioritaires pour le projet

Définir les notions Définir les notions

Accessibilité/disponibilité

Performance/temps de réponse/vitesse de transfert des données Sécurité (connexions sécurisées, authentification,…)

Définir les critères de respect/violation :

Définition des critères de respect différents selon le type d’indicateur

(par ex. temps de réponse aux requêtes : inférieur à X dans 90% des cas + inférieur à XX dans 95% des cas + toujours inférieur à XXX)

Définition des incidents : mineur/majeur/bloquant, notamment en fonction de la gravité et de la durée de l’incident

Comment s’assurer un service sûr et de qualité ?

Assistance utilisateurs

Définir les droits d’accès au service d’assistance Assistance lors de la mise en œuvre / formation Assistance en cas d’incident

Escalade : remontée des incidents en fonction de la gravité

Comment s’assurer un service sûr et de qualité ?

Contrôle de la qualité

Définir des outils et procédures de contrôle :

Bilans périodiques de qualité (reddition de comptes par le prestataire) Audit annuel

Audit annuel

Recours à un tiers vérificateur

Mettre en place une gouvernance pour un suivi régulier : réunions périodiques, procédures de remontée

d’informations

=> Attention à ne pas modifier les obligations contractuelles des parties dans le cadre des discussions

Comment s’assurer un service de qualité maximale ?

Qualité : sanctions et incitations

Définition de sanctions en cas de non-respect et gradation

Sanction de premier niveau : pénalités, rabais mensuels, etc. => clauses pénales Second niveau : inexécution contractuelle

Résiliation du contrat et mise en cause de la responsabilité du fournisseur Résiliation du contrat et mise en cause de la responsabilité du fournisseur

Conditions de mise en œuvre

Fréquence mensuelle/trimestrielle/annuelle/…

Personne décisionnaire, information + droit d’opposition,…

Franchise, plafond, en fonction du volume de données traitées ou de facturation,…

etc.

Possibilité de prévoir des objectifs assortis de primes ou bonus

Comment s’assurer un service sûr et de qualité ?

Qualité : répondre à l’urgence

Prendre en compte les incidents signalés

Qualifier l’incident : mineur majeur bloquant

Respecter le délai maximum d‘intervention

Mettre en œuvre une solution temporaire : Basculement sur serveur de secours,

etc.

Respecter le délai maximal de rétablissement

Quelles précautions prendre dans les contrats ?

Responsabilité du prestataire

Préqualifier le prestataire de cloud de professionnel du secteur Le prestataire ne peut être tenu responsable des défaillances ou insuffisances causées par le système d’information du client

cf. obligation de conseil du prestataire versus obligation de s’informer du client

Vigilance sur les exclusions de responsabilités : éviter toute préqualification des dommages (par ex. qualification comme dommage indirect de toute perte de chiffre d’affaire ou préjudice d’image), toute exclusion de responsabilités en cas de perte de données, etc.

Vigilance sur les clauses limitatives de responsabilité : cf. jurisprudence Faurecia, pas de pondération par le juge en cas de limitation de responsabilité très basse en faveur du prestataire informatique

Quelles précautions prendre dans les contrats ?

Exemple de clause de responsabilité

« Le prestataire est soumis à une obligation de moyens.

La responsabilité du prestataire ne pourra être recherchée et aucune indemnisation ne sera due au client :

dans le cas où les dommages invoqués par le client résulteraient d’une inexécution, totale ou partielle, des obligations du client ou d’un tiers ;

dans le cas où les dommages invoqués par le client résulteraient d’une utilisation de la Plateforme non conforme à la documentation de référence ;

Plateforme non conforme à la documentation de référence ;

au titre des dommages indirects, tels que perte de données, perte d’exploitation, perte de chiffre d’affaires, perte d’image ou de réputation ;

En cas de force majeure, comprise comme tout événement imprévisible rendant plus coûteuse l’exécution de ses obligations par le prestataire, y compris les tremblements de terre, incendies, crues ou inondations, tempêtes, sans que cette liste soit limitative.

En cas d'indisponibilité de la Plateforme liée à une cause dont le prestataire assume la responsabilité, le client ne sera fondé à réclamer la réparation d'un éventuel dommage que pour autant que l'indisponibilité de la Plateforme ait duré, pendant les jours ouvrables et de manière continue, pendant XXX heures après la notification de l’incident au prestataire.

En toute hypothèse, la responsabilité du prestataire est plafonnée à un montant égal à XXX%

des sommes (annuellement payées au prestataire/stipulées au contrat) par le client en exécution du présent contrat. »

Comment protéger les données mises dans le nuage ?

Cas pratique n°2 – En équipes

La SSII SUPERDEVELOPER fournit un certain nombre d’applications à la

société NOMADE. De plus en plus de salariés de NOMADE réclament un accès léger à distance à l’intranet de la société, pour pouvoir accéder facilement aux documents de l’entreprise et à leurs e-mails lorsqu’ils ne sont pas devant leur ordinateur fixe au bureau. NOMADE charge donc SUPERDEVELOPER de cette mission de développement et de maintenance associée.

Equipe NOMADE :

Quelles exigences NOMADE devrait-il faire valoir?

NB: Selon les exigences, il pourrait être nécessaire que NOMADE

fournisse des informations sur ses besoins. Dans ce cas, il convient de préciser quelles informations.

Equipe SUPERDEVELOPER :

Quel encadrement SUPERDEVELOPER devrait-il opposer?

1. Qu’est-ce que le Cloud Computing?

Cloud Computing

Outils juridiques pour sécuriser l’informatique en nuage

1. Qu’est-ce que le Cloud Computing?

2. Le Cloud Computing, un outil puissant et modulable mais non sans risques

3. Comment protéger les données mises dans le nuage ? 4. Les clauses « techniques » et la sécurité

5. Les clauses «

5. Les clauses « juridiques juridiques » et opérationnelles » et opérationnelles

6. Les documents contractuels

Quelles précautions prendre dans les contrats ?

Objet du contrat, conditions d’exécution et obligations du prestataire

Plus les services/ressources sont identifiés et caractérisés, plus le prestataire est tenu de respecter ces caractéristiques dans le cadre d’une obligation de résultat

Définir les termes techniques, l’espace mis à disposition, les conditions d’accès au serveur Enumérer les services prestés par le fournisseur, détailler leurs caractéristiques : traitement et sauvegarde des données, format

Combinaison avec l’obligation de conseil : choix des équipements, des ressources, etc.

Combinaison avec l’obligation de conseil : choix des équipements, des ressources, etc.

Préciser les conditions d’exécution par le prestataire

La prestation de cloud peut être fournie par un pool de sous-traitants derrière le prestataire principal

Mentionner les partenaires du fournisseur et l’éventuel recours à des sous-traitants, indispensable en cas de sous-traitance des traitements de données particulières : personnelles, sensibles, etc.

(cf. infra)

Le prestataire doit demeurer intégralement responsable de l’exécution des prestations

=> Vigilance sur les modifications décidées par le prestataire sans accord préalable du client : prestations, prix, niveau de service, emplacements serveurs, etc.

Quelles précautions prendre dans les contrats ?

Objet du contrat, conditions d’exécution et obligations du prestataire

Obligations

Répartir les obligations de moyen/de résultat en fonction des niveaux de service

Obligation de résultat pour un cloud privé (ou partie privée), de Obligation de résultat pour un cloud privé (ou partie privée), de moyen pour un cloud public (ou partie publique)

Obligation d’information

en cas d’écart par rapport au référentiel de conformité alertes

Obligations financières : Assurance

Garantie financières : Prévoir une garantie maison mère ou une garantie bancaire à première demande en cas d’envoi

d’informations sensibles dans le cloud

Quelles précautions prendre dans les contrats ?

Durée

Durée courte : permet de renégocier

Durée longue : permet de mettre à disposition des ressources plus importantes, compte tenu de l’amortissement plus long

=> Souvent, la durée du contrat s’allonge avec l’importance des services/ressources allouées au client

Combinaisons : Combinaisons :

Période initiale fixe : souvent longue (de l’ordre de 36 mois)

Périodes de renouvellement fixes / renouvellement à durée indéterminée

Vigilance sur la durée du contrat car conséquences sur la faculté de résiliation et son indemnisation

Jugement du tribunal de commerce de Paris, 12 juillet 2011, Risc Group IT solutions / Poweo : reconnaissance la mobilisation de ressources pour le client, et du préjudice causé au prestataire par la rupture ; condamnation du client à 100 % de l’indemnité contractuelle prévue (montant des

mensualités jusqu’au terme prévu)

Quelles précautions prendre dans les contrats ?

Prix

Coût du service / des services associés : traitements supplémentaires, formation, etc.

Intégrer dans les coûts les interventions des partenaires du prestataire (éditeurs de logiciels, etc.)

Quelle évolution des prix en cas de montée en charge/forte évolution Quelle évolution des prix en cas de montée en charge/forte évolution de l’utilisation du cloud par le client ?

Exemple de clause : « En cas d’augmentation de l’espace disque nécessaire à

l’hébergement des données du client, le client accepte que le prestataire lui alloue, dès qu’elle aura connaissance de ladite nécessité, selon le tarif figurant à l'annexe du

présent contrat, l’espace disque supplémentaire nécessaire et l’avertisse parallèlement du changement de facturation relativement à l’hébergement. »

Mettre en place des outils de mesure des coûts Anticiper le coût de la réversibilité

Paiement du prix à combiner avec les éventuelles compensations à

opérer (pénalités, notamment)

Quelles précautions prendre dans les contrats ?

Propriété intellectuelle

L’accès à des applications à distance ne dispense pas de l’obligation d’obtenir une licence

Si le prestataire n’est pas titulaire originaire des DPI sur

l’application, le prestataire doit garantir qu’il détient les droits pour les besoins du contrat :

Le prestataire a le droit de concéder des sous-licences d’utilisation et Le prestataire a le droit de concéder des sous-licences d’utilisation et

d’adaptation si nécessaire (paramétrages, éventuellement développements propriétaires)

Le droit du prestataire dure suffisamment longtemps (plus que la durée initiale du contrat)

Prévoir une garantie d’éviction dans les termes prévus par la loi (ne pas réduire la garantie accordée)

Prévoir les solutions en cas de défaillance de l’éditeur tiers : pouvoir accéder aux codes sources, etc. ?

Eviter d’avoir à conclure des licences séparées avec les éditeurs

Le client ne dispose d’aucun autre droit que le seul droit d’usage