Principaux événements et pertes assurables dans le Cloud (2/2)
En cas de faillite d’un fournisseur de Cloud, le contrat doit garantir au client que ses données puissent lui être retransférées ou transférées à un nouveau fournisseur (cf article 1/2). Pour être certain du type d’assurance et du montant de couverture à souscrire, il faut savoir contre quels événements et quelles pertes on doit s’assurer.
Voici quelques événements et pertes majeurs et les manières de les aborder.
Que se passe-t-il si le fournisseur n’implémente pas de dispositions suffisantes de reprise suite à un sinistre ?
- D’un point de vue juridique, il n’y a aucune différence avec les concepts traditionnels d’externalisation.
- Les procédures de reprise après sinistre (obligations de sauvegarde y compris) doivent être définies et conclues dans le cadre d’un contrat.
- Le contrat doit stipuler des droits de contrôle détaillé pour le client.
- En cas de rupture de contrat, le client devrait avoir le droit de le résilier.
- Le contrat doit comporter des « clauses de sortie » garantissant au client que ses données puissent lui être retransférées ou transférées à un nouveau fournisseur.
- Si le client risque d’encourir des amendes administratives ou autres réclamations suite à une infraction aux règlements sur la protection des données par le fournisseur de Cloud, la responsabilité du fournisseur de Cloud pour ces dommages ne doit pas être exclue ou limitée.
Qui serait responsable en cas de défaillance du fournisseur d’un réseau sous-jacent (Cloud dépendant du réseau Internet) ?
- D’un point de vue juridique, il n’y a aucune différence avec les concepts traditionnels d’externalisation.
- Normalement il existe, d’une part, une relation contractuelle entre le fournisseur de Cloud et le client et, d’autre part, une autre relation contractuelle sous la forme d’un sous-contrat entre le fournisseur de service de Cloud et le fournisseur de réseau.
- Dans la relation entre fournisseur de Cloud et client, une défaillance du fournisseur de réseau serait considérée comme une défaillance du fournisseur de Cloud. Ce dernier serait donc passible de tous les dommages subis par le client à l’issue d’une défaillance du fournisseur de réseau.
- Lorsque le client est passible de dommages suite à une violation de sécurité chez le fournisseur de Cloud, la responsabilité de ce fournisseur pour ces dommages ne doit pas être exclue ou limitée.
Qui serait responsable en cas d’attaque pour déni de service, violation de sécurité, etc. ?
- D’un point de vue juridique, il n’y a aucune différence avec les concepts traditionnels d’externalisation.
- Le contrat doit comporter des clauses appropriées qui définissent clairement les normes pertinentes de protection et de sécurité des données.
- Le contrat doit stipuler des droits de contrôle détaillés pour le client.
- En cas de rupture d’un contrat de Cloud, le client doit avoir le droit de le résilier.
- Le contrat doit comporter des « clauses de sortie » garantissant au client que ses données puissent lui être retransférées ou transférées à un nouveau fournisseur.
- Lorsque le client est passible de dommages suite à une violation de sécurité chez le fournisseur de Cloud, la responsabilité de ce fournisseur pour ces dommages ne doit pas être exclue ou limitée.
En conclusion D’un point de vue juridique, de nombreux aspects des offres de service de Cloud ne diffèrent pas tellement des concepts d’externalisation traditionnels. Il n’existe pas de modalités contractuelles « standard » car le marché est en pleine évolution. Des thèmes sont toutefois en train de voir le jour et nous découvrons toute une classification de styles contractuels. Ils s’agit des « nouveaux » fournisseurs (Salesforce, Google, Amazon, Memset, Rackspace, etc.) qui tendent à exclure une grande partie de leur responsabilité (parfois toute) ; des acteurs traditionnels « anciens » (Cisco, Fujitsu, IBM etc.) qui sont moins disposés à partager leurs modalités contractuelles ; et enfin des fournisseurs hybrides comme Microsoft qui, dans ses modalités « Azure », propose un niveau de service limité et certaines autres modalités de contrat informatique plus courantes. La technologie bon marché du Cloud impose un compromis en termes de sécurité. Vous en avez pour votre argent, mais sans plus. Le client prend ses décisions en fonction de l’économie qu’il doit réaliser et de la cote de sécurité des données visées. Les données peu critiques peuvent partir à l’étranger chez un fournisseur de Cloud économique dont l’offre en termes de responsabilités et de niveaux de service est faible. Les données personnelles sensibles, en revanche, exigeront des protections contractuelles plus solides. Article extrait de la Hiscox Global Technology news n°1 dédiée au Cloud computing Thomas Jansen, Partner, DLA Piper Munich, et Mark O’Conor, Partner, DLA Piper London.