Les contrats cloud manquent de flexibilité

Les accords proposés par les fournisseurs d'informatique en nuage laissent peu de marge de négociation aux entreprises. Et ils sont loin de donner autant de garanties que les contrats d'externalisation traditionnels.
- Comment négocier un contrat cloud avec son prestataire
- Comment l’affaire Snowden a changé la perception des DSI sur le cloud
- Quels sont les points à vérifier dans un contrat de cloud ?
- Quand un juriste décortique le contrat client d'Amazon Web Services
- Les contrats cloud manquent de flexibilité
- Les sept recommandations de la Cnil aux entreprises tentées par le cloud
La flexibilité est l’un des qualificatifs qui vient le plus souvent à l’esprit lorsque l’on évoque l’usage d’un service de cloud computing. Il est néanmoins inapproprié lorsque l’on jette un regard sur le versant juridique des offres. A l’instar du particulier avec son fournisseur d’accès à internet, l’entreprise aura souvent du mal à amender les contrats standards proposés par les prestataires.
Dans ce domaine, c’est souvent la notion de contrat d’adhésion qui prévaut. Olivier de Courcel, avocat au cabinet Feral-Schuhl/Sainte-Marie, évoque ainsi le « prêt-à-porter contractuel » pratiqué par les fournisseurs. Lors de la publication de ses recommandations, le 25 juin dernier, la Cnil (Commission nationale de l’informatique et des libertés) a établi ce même constat.
« Dans certaines offres de clouds publics, les clients, lors du choix de leurs prestataires, ne peuvent pas réellement leur donner d’instructions. De plus, ils ne sont pas en mesure de contrôler l’efficacité des garanties de sécurité et de confidentialité attachées à leur contrat, affirmait la Commission. Cette absence d’instruction et de moyens de contrôle est due notamment à des offres standardisées, non modifiables par les clients, et à des contrats d’adhésion qui ne laissent aucune possibilité de négociation. »
Cette situation n’est pas surprenante. Elle n’est d’ailleurs pas liée à une mauvaise volonté de la part des fournisseurs mais la conséquence du caractère industriel et standardisé des offres de cloud. « La nature des relations a changé Dans le cadre de l’externalisation traditionnelle, les prestataires apportaient un service spécifique à une entreprise, avec une responsabilité de maîtrise d’oeuvre, sur la base d’un cahier des charges. Avec le cloud public, on passe à un service plus standardisé, qui n’est plus spécifique au besoin client », rappelle Jonathan Rofé, avocat spécialisé en technologies de l’information au cabinet DLA Piper. La mutualisation d’une application entre différentes entreprises conduit naturellement à moins de souplesse contractuelle.
Priorité aux discussions sur la réversibilité des données
Selon Jonathan Rofé, pour qui les contrats cloud s’apparentent à ceux des licences logicielles, si la négociation reste difficile, elle n’est pourtant pas impossible : « Celle-ci dépend de nombreux facteurs, tels l’organisation interne du fournisseur ; la maîtrise qu’il a ou non de l’infrastructure et de ses technologies ; le caractère complètement mutualisé, ou pas, de la prestation, mais aussi l’équilibre des forces en présence », liste-t-il.
L’entreprise qui s’engage dans la voie du cloud se doit d’ouvrir une discussion sur un certain nombre de sujets tels la réversibilité, la gestion des données à caractère personnel, les engagements de services, etc.
Il s’agit d’autant plus d’un impératif que certaines clauses, assez courantes, rencontrées dans des contrats d’externalisation traditionnels sont souvent réduites voire absentes des contrats de cloud. Les engagements de services, tout particulièrement, sont généralement assez ténus.
« Très peu de prestataires proposent un engagement de disponibilité de 99,9 % dans le cloud public », relève à titre d’exemple Jonathan Rofé. A la place, les fournisseurs se contentent souvent d’un engagement d’intervention rapide en cas de dysfonctionnement.
La notion de pénalité, pourtant répandue dans l’infogérance, est encore plus rarement appliquée. Plus surprenant, des prestataires cloud se réservent parfois le droit de modifier unilatéralement les conditions de services ou mentionnent leur absence de responsabilité quant à la perte des données.
IBM, par exemple, précise pour son offre Smart Cloud : « IBM, ses fournisseurs, sous-traitants ou développeurs de logiciel ne peuvent en aucun cas être tenus responsables des dommages suivants, et ce, même s’ils ont été informés de leur possible survenance : perte ou détérioration de contenu (…) »
Regardez à deux fois avant de confier vos données !
SAP, lui aussi, annonce à propos de Cloud Services que « SAP et ses concédants de licence n’assument en aucun cas la responsabilité des dommages indirects tels que préjudice financier ou commercial, perte de clientèle ou d’épargne, trouble commercial quelconque, toute augmentation des coûts et autres frais généraux, perte de bénéfice, perte d’image de marque, tout report ou perturbation dans le planning du projet ou de l’activité de l’entreprise, toute perte de données, de fichiers ou de programmes informatiques quelconques, qui pourraient résulter de l’inexécution du contrat ».
Certains fournisseurs s’accordent même le droit de cesser à tout moment la prestation, soit pour convenance, soit parce qu’un partenaire fournisseur d’une des technologies cloud fait défaut. Dans ces conditions, mieux vaut pour les entreprises y regarder à deux fois avant de confier leurs données.