Jean-François Forgeron, sollicité par Owentis, apporte son expertise en matière de cloud computing.
Dans cette première partie, il distingue les relations BtoC qui sont encadrées par les dispositions légales et réglementaires relatives à la protection du consommateur vis-à-vis des grands fournisseurs de service cloud (en particulier celles qui concernent les clauses abusives), des relations BtoB.
Dans une perspective BtoB, il peut être intéressant de se référer aux publications de la Cnil en matière de recours au cloud computing, ou encore à celles du Syntec Numérique ou du Cigref, le club informatique des grandes entreprises françaises.
S’agissant de la sécurité, la plupart des prestataires cloud du marché prennent le soin de conseiller leurs clients. Ces prestataires ont les moyens de mettre en œuvre des moyens techniques de sécurité bien supérieurs à ceux de n’importe quelle entreprise non spécialisée. En termes de fiabilité, de pertinence, de mise à jour, oui, leur sécurité est bien meilleure. Il convient toutefois de veiller à ce que ces moyens soient décrits dans le contrat.
Par ailleurs, il importe de :
- cartographier les données que l’on désire externaliser ;
- créer un système de hiérarchisation des exigences de sécurité, en fonction de la criticité des traitements de ces données ;
- benchmarker les offres en fonction du budget ;
- contrôler la qualité du service, pour avoir une vraie vision du respect de ses engagements par le prestataire ;
- regarder dans quelle mesure des tests de réversibilité sont envisageables ;
- vérifier le respect des dispositions de la loi Informatique et libertés, notamment en cas de flux transfrontières de données, et en fonction de la nature des données et de leur criticité.
La seconde partie de cet article, à paraître la semaine prochaine, portera sur les trois nouvelles normes sur le cloud computing approuvées par les organismes de normalisation UIT-T et ISO et publiées le 15 octobre 2014.
Jean-François Forgeron pour Owentis le 15 juin 2015 « Cloud, l’avis de l’expert juridique : négocier son contrat, se protéger (1/2) »
Article original à consulter ici