Sécurité du cloud computing : que pouvez-vous exiger de votre prestataire ?

Trois questions à... Maître Weber, avocate associée fondatrice du cabinet Itlaw Avocats, spécialisé dans les domaines du droit de l'informatique, des télécoms, de l'Internet et de la propriété intellectuelle

"Un contrat bien négocié est un contrat dont les attentes et limites de chacun sont bien comprises de part et d'autre"

Quels points faut-il anticiper dans le contrat?

Les clauses de niveau de qualité de services (SLA) associées à des pénalités, la réversibilité des données et le fait qu'il n'y ait pas d'ambiguïté sur une possible rétention de données, qui doit être libre et gratuite. Autre point capital: la garantie de conformité à la loi informatique et libertés. Nombre de prestataires cloud expliquent aux acheteurs que leurs données peuvent être hébergées n'importe où dans le monde et que cela serait la raison pour laquelle ils leur proposent des prix très attractifs.

Le meilleur moyen d'optimiser, pour eux, est en effet d'héberger ces données et d'opérer les services associés sur les plateformes les moins coûteuses. Mais le client français doit, lui, pouvoir rendre des comptes, notamment à la Cnil. Cette clause de garantie n'est a priori pas spontanément proposée par les prestataires. Si l'entreprise ne la demande pas, elle ne l'obtiendra ni automatiquement ni aisément. Le risque? Des condamnations pouvant aller jusqu'à cinq ans d'emprisonnement et 300000 euros d'amende, par exemple, si les obligations de sécurité ou de confidentialité des données prévues dans la loi informatique et libertés ne sont pas respectées.

Quid des exigences en matière de sécurité physique?

Il est recommandé de demander des garanties de conformité aux normes professionnelles et sur la bonne gestion de la sécurité logique et physique d'accès aux données (gestion mot de passe, sécurité du data center...) pour assurer la confidentialité et l'intégrité des données.

Il est utile, aussi, de vérifier si le prestataire a prévu une solution de "back up" ou, mieux, un centre de secours, pour basculer en cas de problème, comme un incendie, par exemple, pour rétablir le service dans un délai court.

Quelles recommandations pouvez-vous faire aux acheteurs?

Je pense qu'un contrat bien négocié est un contrat dont les attentes et limites de chacun sont bien comprises de part et d'autre. Lorsque vous préparez vos négociations, il est important de rassembler les trois compétences indispensables: juridique, financière et technique. En effet, lorsque l'une des compétences fait défaut, le contrat risque de manquer d'équilibre, soit juridique, soit financier, soit technique. L'acheteur est souvent focalisé sur le prix, ce qui est normal.

Or, si, pour obtenir de bons prix, la condition est un hébergement de données en Chine ou au Maroc, les enjeux juridiques ou techniques (sécurité, par exemple) risquent de ne pas être pris en compte. Je recommande, donc, d'assurer un travail conjoint entre achats, juridique et informatique et de bien arbitrer les objectifs poursuivis. En effet, le DSI voudra certainement le meilleur niveau de sécurité, par exemple, l'acheteur des prix bas, alors que, juridiquement, il est recommandé d'obtenir une obligation de résultat, un plafond de responsabilité très élevé, des garanties fortes et des sanctions en cas de manquement. En général, le travail contractuel sur un projet cloud prend entre trois à six mois entre le moment où l'entreprise met en place un projet cloud et la signature du contrat associé.