Cloud public : les points ultimes à vérifier avant de signer

Cloud public, privé ou hybride ? Une fois le choix arrêté, reste à correctement étudier les offres sur le plan juridique. Dans le cas d’un contrat de cloud public, signé avec des acteurs comme Microsoft, Google, Amazon, IBM ou encore Dropbox, le futur client a souvent peu de marge de manœuvre face à une offre standardisée. Il peut néanmoins veiller à la présence de certaines dispositions dans le contrat d’adhésion que lui proposent ces fournisseurs le plus souvent américains. 

"ll faut surveiller les engagements pris par le prestataire sur au moins trois points: la sécurité et la confidentialité des données et des applications, l’interopérabilité (faculté de faire dialoguer des applications d’origine distinctes dans le cloud) et la réversibilité de l’offre", résume Jean-François Forgeron, avocat spécialiste des technologies de l’information au sein du cabinet Alain Bensoussan. Il faut ainsi s’assurer de pouvoir récupérer les données de façon exhaustive et de pouvoir les intégrer dans des délais raisonnables, qui seront à définir en fonction de l’activité de l’entreprise.

Les recours juridiques sont difficiles face aux acteurs américains

"Il ne faut pas compter sur un possible recours juridique", souligne Jean-François Forgeron. Le client a beau être une entreprise française, le droit applicable dans le cadre du contrat est celui dont dépend l’entreprise prestataire. Autrement dit, dans le cas du cloud public, difficile d’échapper au droit américain et au fameux Patriot Act. "Ce sont des contrats intéressants sur le plan économique, par contre il ne faut pas compter sur un possible recours juridique face aux géants que sont Amazon ou Google", explique Olivier Iteanu, avocat à Paris et fondateur de l’association de certification Cloud Confidence.

Reste qu'en pratique, il y a la possibilité de se référer à des standards internationaux telles que les normes ISO dédiées au cloud computing, créées depuis un an. "La norme ISO 27018 relative à la sécurité et à la confidentialité des données à caractère personnel est incontournable",affirme Maître Forgeron. Parmi les autres normes à privilégier figurent également l'ISO 27017 sur la sécurité technique, l'ISO 17788 pour vérifier le vocabulaire à utiliser, ainsi que l'ISO 17789 relative à l’architecture de stockage.

Des sanctions souvent trop légères

Enfin, mieux vaut vérifier que les sanctions que le prestataire s’engage à s’infliger en cas d’interruption du service soient suffisamment contraignantes. En général, les prestataires prévoient un crédit de service à valoir sur la prochaine facture. Charge à chaque entreprise de s’assurer que cela correspond aux dommages subis quant à une interruption temporaire de son activité.