Eric Le Quellenec présent au Salon Cloud Computing World Expo
Le directeur de notre département Informatique Conseil participera à deux tables rondes sur le Cloud Computing
cloud computing
Contrats cloud : les impacts du RGPD et la cotraitance
Le règlement général de protection des données personnelles précise la notion de cotraitance,
Emergence d’un cloud européen alliant croissance et sécurité
Un cloud mieux sécurisé et plus respectueux des droits des personnes physiques doit se construire au niveau européen.
Contrat cloud : les impacts du RGPD sur la sous-traitance
Le Règlement général de protection des données personnelles précise les dispositions du contrat de sous-
Cloud Expo Europe, les grandes tendances pour 2017
A l’occasion du Cloud Expo Europe, la sécurité, l’IoT et le cloud hybride sont au cœur des tendances pour 2017.
Deux projets de normes ISO pour la transparence du cloud
Deux projets de normes ISO doivent permettre de renforcer la transparence des offres du cloud computing.
Cloud brokerage : statut, contrat et responsabilité
Le Cloud brokerage est une offre innovante proposée pour diversifier les services métiers des systèmes informatiques.
PCI DSS et cloud computing : la conformité par le contrat
Le contrat PCI DSS et cloud computing doit reporter les exigences de la norme sur le prestataire de services cloud.
IoT et cloud : gérer la sécurité par le contrat
IoT et cloud sont indissociables au point que la sécurité de l’IoT implique de disposer d’un bon contrat cloud.
Comment réussir son passage au cloud ?
Petit-déjeuner débat du 1er juin 2016 « Comment réussir son passage au cloud ? Négociation et mise en œuvre du contrat
« Cloud washing » : quelles implications pour les contrats ?
La question des implications juridiques du « cloud washing » a été posée par la Commission juridique de l’Acsel lors
Cloud : nouvelle forme de contrat ou simple externalisation ?
Eric Le Quellenec anime un atelier juridique Acsel « Cloud » sur cette nouvelle forme de contrat.
Cloud computing : bien assurer les cyber-risques
Assurer les cyber-risques est désormais essentiel en cas d’usage de services dans le cloud. Quelles sont les garanties ?
Le cloud à l’épreuve du droit : il transcende les frontières
Eric Le Quellenec présente pour IT-Expert Magazine, les meilleures pratiques contractuelles pour sécuriser le cloud.
Cloud souverain et offre informatique : état des lieux
Le Cloud souverain peut-il fournir une offre informatique d’infrastructures 100 % françaises aux entreprises ?
Juristendances Informatique et Télécoms n°163-2015
L’édito de la Juristendances de décembre porte sur la décision Schrems et ses impacts sur le projet de cloud souverain.
Cloud computing : renforcer la confiance entre client et prestataire
A l’occasion de la « cloud week » organisée par l’association Eurocloud France, la question de la confiance dans les solutions cloud computing occupe une grande partie des débats. En effet, le taux de pénétration du cloud en France est plus lent qu’anticipé (1).
Contrat de Cloud computing : les conseils d’un expert (2/2)
Jean-François Forgeron évoque pour Owentis les bonnes pratiques relatives au cloud computing (2ème partie).
Contrat de Cloud computing : les conseils d’un expert (1/2)
Jean-François Forgeron, sollicité par Owentis, apporte son expertise en matière de cloud computing.
Les enjeux contractuels du cloud hybride
Lors du premier salon Interconnect organisé par IBM à Las Vegas en février 2015 (1), » Big blue » a exposé sa stratégie pour le cloud laquelle doit être centrée autour du cloud hybride. Une réalité technique protéiforme, une définition ISO très large. A suivre les présentations faites à cette occasion, il apparaît que le cloud hybride recouvre techniquement une réalité hétérogène recouvrant d’une part le fait d’avoir des données ou applications provenant de l’extérieur, d’autre part la structure technologique de la plateforme cloud, elle-même, permettant de discriminer entre espace dédié ou public, avec une localisation physique, des niveaux de sécurité différents. La multiplicité des formes concrètes du » cloud hybride » est à l’origine d’une controverse entre les différents prestataires et même entre experts. Après un peu plus de deux ans de travaux les organismes de normalisation UIT-T et ISO ont approuvé trois nouvelles normes (2) dont la norme ISO 17788 laquelle définit le cloud hybride comme un modèle de développement utilisant au moins deux modèles de développement du cloud et permettant entre eux une interopérabilité et une portabilité des données et des applications. Pour un candidat à une offre de cloud hybride, une telle définition ne permet pas de s’engager sereinement. La nécessité d’un encadrement contractuel précis. Faire référence aux normes ISO précitées et obtenir la garantie de leur respect durant toute la durée d’exécution du contrat est un minimum. Cependant, cela ne saurait suffire pour sécuriser le candidat à une offre de cloud hybride. La clause » prix » et généralement l’annexe financière associée doivent faire l’objet d’une attention toute particulière : le coût des services pouvant varier fortement selon le type de service utilisé. Si certains prestataires ne facturent pas le trafic entre différents centres de données dans le cloud hybride, ce n’est pas le cas de tous. Les dispositions contractuelles sur la sécurité, les garanties de performance revêtent un caractère crucial, de même que celles sur la réversibilité. A ce titre, compte tenu de la complexité de l’architecture » hybride » envisagée, il est indispensable d’exiger un plan de réversibilité dès la signature du contrat avec mise à jour à intervalle régulier. Les annexes au contrat et en particulier les annexes techniques et de sécurité doivent également faire l’objet d’un soin particulier. Il importe en effet que l’architecture technique soit particulièrement précise et compréhensible par tout homme de l’art. L’annexe sécurité proposera un vrai plan d’assurance sécurité comprenant le PSSI, les plans de continuité et de reprise d’activité. Enfin, alors qu’une norme ISO sur les niveaux de services (SLA) doit être publiée dans les prochains mois (3), prévoir un mécanisme de benchmark avec possibilité de révision du contrat peut être une sage précaution pour ne pas risquer de se trouver avec un contrat sur des prestations de cloud hybride trop rapidement obsolètes par rapport à l’état de l’art. Eric Le Quellenec Lexing Droit Informatique (1) Salon Interconnect organisé par IBM à Las Vegas en février 2015. (2) JTIT n°153-2015. (3) Projet de norme ISO 19086.
Cloud, normes ISO et responsabilité juridique
Eric Le Quellenec, sollicité par Serge Escalé pour GPO Magazine, revient sur les normes ISO publiées le 15 octobre 2014, afférentes à l’utilisation du cloud en mode IaaS, dont il recommande l’application aux entreprises.
Adoption par Microsoft de la norme ISO 27018 pour son cloud
A l’heure où le cloud computing représente un environnement incontournable, l’objectif majeur des
L’impact des nouvelles normes ISO sur le Cloud computing
Après un peu plus de deux ans de travaux, les organismes de normalisation UIT-T et ISO ont approuvé trois nouvelles normes sur le cloud computing (1). La norme ISO 17788 définit les cinq types d’intervenant sur le marché du cloud computing (auditeurs, partenaires, clients, fournisseurs, intermédiaires), les trois types de services proposés (infrastructure as a service ou « IaaS », platform as a service ou « PaaS » et Software as a Service ou « SaaS »). La norme ISO 17789 s’attache à définir l’architecture fonctionnelle de référence, c’est-à-dire la façon de construire une plateforme de services cloud computing, dans un souci d’interopérabilité. La norme ISO 27018 fixe les règles de sécurité à appliquer pour les fournisseurs de cloud public afin d’assurer la protection des données personnelles, garantir la transparence et se conformer à leurs obligations réglementaires. Aucune de ces normes ne présente de caractère obligatoire. Elles ne peuvent en soi être opposables en justice, comme cela a déjà été jugé à l’occasion de la norme NFZ67-147 sur l’établissement de constats internet d’huissier (2). En l’absence de clause spécifique. Sans référence aux normes précitées dans les contrats du cloud computing, ces normes ne sont pas opposables entre les parties. Certains grands acteurs anglo-saxons du marché du cloud computing, entendent d’ailleurs tout faire pour ne pas s’y soumettre et faire prévaloir leur seul contrat. Une telle attitude ne doit empêcher de pouvoir permettre la comparaison entre les contrats de ces prestataires réfractaires et lesdites normes, lesquelles vont constituer ni plus ni moins que l’état de l’art dans le domaine du cloud computing. Les opérations de benchmark vont ainsi être simplifiées. En présence d’une clause spécifique. Il est possible par contrat de donner une valeur contraignante aux normes concernées. Tout l’intérêt est alors de pouvoir faire du contrat l’outil opérationnel mettant en œuvre les grands concepts de ces normes internationales. Particulièrement face à des prestataires étrangers avec des contrats soumis à une législation hors Union européenne, ces normes constituent un socle réduisant l’aléa juridique. Dans le cadre d’une clause d’audit, faire référence à de telles normes permet d’éviter des discussions sur les standards applicables. Nul doute que ces normes devraient lever, certaines des réserves qui pouvaient encore freiner certains projets de migration dans le cloud (3). Même si d’autres normes sont attendues sur les engagements de service, l’interopérabilité et la traçabilité des données, seul le contrat reste l’outil le plus adapté pour encadrer rigoureusement la relation client-prestataire. Eric Le Quellenec Lexing Droit Informatique (1) Elles sont disponibles gratuitement sur www.itu.int/. (2) CA Paris 27-2-2013 RG n°11/02928. (3) JTIT n°111 – avril 2011, p. 3.
Juristendances Informatique et Télécoms n°153-2015
L’édito de la Lettre Juristendances Informatique et Télécoms du premier mois de l’année est consacré à l’impact des nouvelles normes ISO en matière de cloud computing sur les contrats.