Principaux événements et pertes assurables dans le Cloud (1/2)
Lorsque des parties négocient les conditions d’un contrat elles marchandent (ou devraient marchander) sur le transfert des risques et réfléchissent à qui devra assumer les risques d’événements définis. Elles s’interrogent aussi sur ce que seraient les pertes susceptibles de découler de certains événements, et qui devrait en assumer la responsabilité. Les modalités de leur répartition peuvent avoir un fort impact sur les responsabilités du client et du fournisseur de Cloud, et avoir d’importantes répercussions sur leurs couvertures d’assurance. En effet, pour être certain du type d’assurance et du montant de couverture à souscrire, il faut savoir contre quels événements et quelles pertes on doit s’assurer.
Voici quelques événements et pertes majeurs et les manières de les aborder.
Votre fournisseur de Cloud fait faillite - Comment pouvez-vous récupérer vos données et transférer celles-ci ainsi que votre technologie à un autre fournisseur ?
- D’un point de vue juridique, il n’y a aucune différence avec les concepts traditionnels d’externalisation.
- Le contrat doit comporter des « clauses de sortie » garantissant au client que ses données puissent lui être retransférées ou transférées à un nouveau fournisseur.
- D’un point de vue pratique, ceci peut être difficile lorsque le fournisseur de Cloud a lui-même externalisé l’hébergement des données à un fournisseur tiers. Dans ce cas, le client devrait avoir le droit de les réclamer au fournisseur tiers.
Votre fournisseur de Cloud fait un transfert de données non autorisé qui contrevient aux règles de protection des données et potentiellement à d’autres règles.
- D’un point de vue juridique, il n’y a aucune différence avec les concepts conventionnels d’externalisation.
- Le contrat doit comporter des clauses appropriées qui définissent clairement les normes de protection et de sécurité des données pertinentes.
- Le contrat doit stipuler des droits détaillés de contrôle pour le client.
- En cas de rupture de contrat, le client devrait avoir le droit de le résilier.
- Le contrat doit comporter des « clauses de sortie » garantissant au client que ses données puissent lui être retransférées ou transférées à un nouveau fournisseur.
- Si le client risque d’encourir des amendes administratives ou autres réclamations suite à une infraction aux règlements sur la protection des données par le fournisseur de Cloud, la responsabilité du fournisseur de Cloud pour ces dommages ne doit pas être exclue ou limitée.
Votre fournisseur de Cloud assure une mauvaise prestation. De quels recours disposez-vous (étant donné que les conditions « normales » de Cloud offrent des garanties limitées et rarement un accord de niveau de service) ?
- D’un point de vue juridique, il n’y a aucune différence avec les concepts conventionnels d’externalisation.
- Il faut faire une distinction entre les services de Cloud public et ceux de Cloud privé
- Les offres de Cloud public ne peuvent convenir qu’à des applications et à des données standards non critiques et non complexes car les contrats de services de Cloud public ne proposent normalement ni garanties favorables au client ni clauses de niveau de service.
- En général, il en va autrement des offres de service de Cloud privé car ces services et contrats sont généralement étudiés spécifiquement pour un client donné et comportent habituellement des clauses appropriées de garantie et de niveau de service.
Article extrait de la Hiscox Global Technology news n°1 dédiée au Cloud computing
Thomas Jansen, Partner, DLA Piper Munich, et Mark O’Conor, Partner, DLA Piper London.