Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Première partie. Principaux aspects précontractuels

B. ÉVALUATION PRÉCONTRACTUELLE DES RISQUES

Les dispositions de droit impératif peuvent exiger qu’il soit procédé à une évaluation des risques avant la conclusion d’un contrat d’informatique en nuage. Même en l’absence d’exigences légales, les parties peuvent décider de procéder à une telle évaluation en vue de définir une stratégie de réduction des risques, y compris la négociation de clauses contractuelles adéquates.

Tous les risques inhérents à un contrat d’informatique en nuage ne sont pas spécifiquement liés au nuage. Certains seront abordés en dehors d’un contrat d’informatique en nuage (par exemple, les risques liés à une interruption de la connectivité en ligne) et tous ne pourront pas être limités à un coût acceptable (par exemple, une atteinte à la réputation). De plus, l’évaluation des risques ne se résume pas à une étape unique avant la conclusion d’un contrat. Elle peut se poursuivre pendant la durée d’existence du contrat, et ses résultats peuvent entraîner la modification, voire la résiliation du contrat.

Vérification des informations relatives à un service d’informatique en nuage particulier et à la partie contractante sélectionnée

Les informations suivantes peuvent être pertinentes pour les parties lors-qu’elles envisagent de recourir à un service d’informatique en nuage particulier et de sélectionner une partie contractante :

a) Les licences de propriété intellectuelle requises pour utiliser un service d’informatique en nuage particulier ;

b) La politique existante en matière de protection de l’information, de confidentialité et de sécurité, en particulier en ce qui concerne la prévention des accès non autorisés, l’utilisation, l’altération ou la destruction des données pendant leur traitement, leur transit ou leur transfert au moyen de l’infrastructure d’informatique en nuage ;

c) Les mesures mises en place pour assurer l’accès continu aux métadonnées, aux journaux d’audit et à d’autres journaux attestant des mesures de sécurité ;

d) Le plan existant de reprise après sinistre et les obligations de notification en cas d’atteinte à la sécurité ou de dysfonctionnement du système ;

e) Les politiques adoptées en ce qui concerne la migration vers le nuage et l’assistance à la fin du contrat, ainsi que l’interopérabilité et la portabilité ;

f) Les mesures existantes pour effectuer des vérifications au sujet des employés, sous-traitants et autres tiers impliqués dans la fourniture des services d’informatique en nuage, ainsi que les former ;

g) Des statistiques relatives aux incidents de sécurité et des informations relatives aux expériences faites avec les procédures de reprise après sinistre ;

h) La certification de conformité aux normes techniques par un tiers indépendant ;

i) Des informations concernant la régularité et la portée des audits effectués par un organe indépendant ;

j)  La viabilité financière ;

k)  Les polices d’assurance ;

l)  D’éventuels conflits d’intérêts ;

m)  Le volume de la sous-traitance et des services d’informatique en nuage en couches ;

n) La mesure dans laquelle est assuré l’isolement des données et autres contenus dans l’infrastructure d’informatique en nuage ; et

o) Les attentes en matière de réciprocité et de responsabilités partagées en ce qui concerne les mesures de sécurité.

Risques d’atteinte à la propriété intellectuelle

Il peut exister des risques d’atteinte à la propriété intellectuelle lorsque, par exemple, le fournisseur n’est ni le propriétaire ni le concepteur des ressources fournies à ses clients, qu’il utilise en vertu d’un contrat de licence de propriété intellectuelle conclu avec un tiers. De tels risques peuvent aussi survenir lorsque le client est tenu, pour l’exécution du contrat, d’octroyer au fournisseur une licence d’utilisation du contenu qu’il souhaite placer dans le nuage. Dans certains pays, le stockage de contenu dans le nuage, même à des fins de sauvegarde, peut être qualifié de reproduction et exiger une autorisation préalable du propriétaire des droits de propriété intellectuelle.

Il est de l’intérêt des deux parties de s’assurer, avant la conclusion du contrat, que l’utilisation des services d’informatique en nuage ne portera pas atteinte aux droits de propriété intellectuelle et ne constituera pas un motif de retrait des licences de propriété intellectuelle qui leur auront été accordées. Le coût d’une atteinte à la propriété intellectuelle peut être très élevé. Il faudra peut-être prévoir le droit de conclure une sous-licence, ou envisager une licence directe avec le donneur de licence concerné, qui conférera le droit de gestion des licences. Pour pouvoir utiliser des logiciels ou autres contenus libres, il peut être nécessaire d’obtenir au préalable le consentement des tiers concernés et de révéler le code source avec toute modification apportée au logiciel ou autre contenu libre.

Risques en matière de sécurité, d’intégrité, de confidentialité et de protection des données

Avec la migration de tout ou partie de ses données vers le nuage, le client perd le contrôle exclusif sur ces données et sa capacité de déployer les mesures nécessaires pour garantir leur intégrité et leur confidentialité, ou pour vérifier si elles sont traitées et conservées de manière adéquate. La portée de cette perte de contrôle dépend du type de service d’informatique en nuage concerné.

En raison de certaines caractéristiques inhérentes aux services d’informatique en nuage, comme le large accès via le réseau, l’architecture multilocataire et la mutualisation des ressources, les parties pourront devoir prendre plus de précautions pour empêcher l’interception des communications et autres cyberattaques, qui peuvent entraîner la perte ou la compromission des identifiants permettant d’accéder aux services d’informatique en nuage, une perte de données et d’autres atteintes à la sécurité. Des mesures adéquates d’isolement des ressources et de ségrégation des données, ainsi que des procédures de sécurité efficaces sont particulièrement importantes dans un environnement partagé comme l’informatique en nuage.

Dans un environnement d’informatique en nuage, les mesures de sécurité sont la responsabilité partagée des parties, indépendamment du type de services utilisés. L’évaluation précontractuelle des risques est l’occasion pour les parties de définir, sans aucune ambiguïté, leurs rôles et responsabilités en ce qui concerne la sécurité, l’intégrité, la confidentialité et la protection des données. Les clauses contractuelles jouent un rôle important en ce qu’elles traduisent l’accord des parties au sujet de la répartition mutuelle des risques et des responsabilités liés à ces aspects, et à d’autres aspects de la fourniture de services d’informatique en nuage. Ces clauses ne sauraient toutefois primer sur les règles de droit impératives. Lire la suite.

Tests d’intrusion, audits et inspections physiques

Des mesures peuvent être prises au stade précontractuel pour vérifier si l’isolement des ressources, la ségrégation des données, les procédures d’identification et les autres mesures de sécurité sont adéquats. Ces vérifications devraient viser à déterminer si les parties doivent prendre des précautions supplémentaires pour prévenir les atteintes à la sécurité des données et d’autres dysfonctionnements dans la fourniture des services d’informatique en nuage au client.

Les lois et règlements peuvent exiger la tenue d’audits, de tests d’intrusion et l’inspection physique des centres de données impliqués dans la fourniture des services d’informatique en nuage, afin en particulier de déterminer si leur emplacement satisfait bien aux exigences légales en matière de localisation des données. Les parties devront convenir des conditions relatives à ces vérifications, notamment en ce qui concerne le moment où elles seront entreprises, la répartition des coûts et l’indemnisation si elles provoquaient des dommages.

Risques de verrouillage

La capacité d’éviter ou de réduire les risques de verrouillage, qui sont souvent liés au manque d’interopérabilité et de portabilité, est peut-être l’une des considérations les plus importantes pour les parties. Ces risques pourront être plus importants avec des contrats à long terme ou avec des contrats à court ou moyen terme automatiquement renouvelables.

Les risques de verrouillage des applications et des données sont particulièrement élevés pour les modèles SaaS et PaaS. Les données peuvent exister dans des formats spécifiques à un système d’informatique en nuage, qui ne seront pas utilisables dans d’autres systèmes. De plus, l’utilisation d’une application ou d’un système propriétaire pour l’organisation des données pourra nécessiter que l’on ajuste les conditions de licence pour permettre l’exploitation dans un autre réseau. Il pourra être nécessaire de réécrire les programmes d’interaction avec les interfaces de programmation d’applications (API) pour tenir compte de l’API du nouveau système. La mise à niveau des connaissances des utilisateurs finaux peut aussi s’avérer coûteuse.

Dans le modèle PaaS, il y a aussi des risques de verrouillage des logiciels d’exécution puisque ces derniers (à savoir les logiciels conçus pour permettre l’exécution de programmes informatiques écrits dans un langage de programmation spécifique) sont souvent fortement personnalisés (par exemple, pour des aspects tels que l’allocation ou la libération de mémoire, le débogage, etc.). Dans le modèle IaaS, les risques de verrouillage varient en fonction des services d’infrastructure consommés. Tout comme dans le modèle PaaS, certains services d’infrastructure peuvent entraîner le verrouillage des applications si le service dépend de certaines caractéristiques de la politique du fournisseur (par exemple, les contrôles d’accès). D’autres services d’infrastructure peuvent aussi entraîner le verrouillage des données si des données supplémentaires sont déplacées vers le nuage à des fins de stockage.

Au stade précontractuel, il est possible d’effectuer des essais pour vérifier si les données et autres contenus peuvent être exportés vers un autre système et y être utilisés. Il peut être nécessaire d’assurer la synchronisation entre le nuage et les plateformes internes et la reproduction des données en un autre lieu. La négociation avec plusieurs parties et le choix d’une combinaison de divers types de services d’informatique en nuage, avec leur propre modèle de déploiement (par exemple, sources d’approvisionnement multiples), peuvent être des éléments clefs de la stratégie visant à atténuer les risques de verrouillage, même s’ils peuvent entraîner des coûts et d’autres conséquences. Les clauses contractuelles peuvent aussi contribuer à limiter ces risques (voir deuxième partie, en particulier par. 84, 86 et 144).

Risques concernant la continuité des opérations

Les parties pourront se préoccuper de la continuité des opérations en relation non seulement avec la fin programmée du contrat, mais aussi une éventuelle suspension unilatérale ou résiliation anticipée, notamment si l’une ou l’autre partie cesse ses activités. La législation pourra exiger la mise au point, en amont, d’une stratégie appropriée pour assurer la continuité des opérations, et notamment pour éviter les incidences négatives de la cessation ou de la suspension des services sur les utilisateurs finaux. L’élaboration de clauses contractuelles pourra aussi contribuer à limiter les risques en la matière. Lire la suite.

Stratégies de retrait

Pour garantir le succès de la stratégie de retrait, les parties pourront devoir déterminer dès le début : a) le contenu à retirer (par exemple, uniquement les données que le client aura entrées dans le nuage ou aussi les données dérivées des services en nuage) ; b) les modifications qu’il conviendra d’apporter aux licences de propriété intellectuelle pour pouvoir continuer d’utiliser ledit contenu dans un autre système ; c) le contrôle des clefs de déchiffrement et l’accès à ces dernières ; et d) le délai requis pour achever le retrait. Les clauses contractuelles relatives à la fin du contrat traduisent généralement l’accord des parties sur ces points. Lire la suite.

 

Termes de glossaire pertinents

Interopérabilité : Capacité de deux ou plusieurs systèmes ou applications à échanger des informations et à utiliser mutuellement les informations échangées.

Données dérivées des services en nuage : Données placées sous le contrôle du fournisseur qui sont dérivées de l’utilisation, par le client, des services d’informatique en nuage proposés par ce fournisseur. Il s’agit notamment des métadonnées et de toutes autres données enregistrées générées par les fournisseurs, qui indiquent l’identité des utilisateurs des services, les dates et heures d’utilisation des services, ainsi que les fonctions et les types de données concernés. Elles peuvent également englober des renseignements sur les utilisateurs autorisés, leurs identifiants, et les configurations, personnalisations et modifications éventuelles.

Portabilité : Capacité de transférer facilement des données, des applications et d’autres contenus d’un système à un autre (c’est-à-dire à faible coût, avec un minimum de perturbations et sans avoir à ressaisir les données, à réorganiser les processus ou à reprogrammer les applications). La portabilité est assurée s’il est possible de récupérer les données dans le format accepté dans un autre système ou par une transformation simple et directe à l’aide d’outils couramment disponibles. L’accord de niveau de service peut contenir des paramètres de performance liés à la portabilité, par exemple un paramètre selon lequel le client peut récupérer ses données par le biais d’un seul lien de téléchargement ou d’une interface de programmation d’applications (API) bien documentée ; ou selon lequel le format de données est structuré et documenté de manière suffisante pour permettre au client de le réutiliser ou de le restructurer dans un format différent s’il le désire.

Services d’informatique en nuage : Services en ligne caractérisés par :

a) Un large accès via le réseau, ce qui signifie qu’il est possible d’accéder aux services par l’intermédiaire du réseau à partir de tout endroit où celui-ci est disponible (par exemple, par Internet), au moyen de divers appareils tels que téléphones portables, tablettes et ordinateurs portables ;

b) Le service mesuré, caractéristique qui permet de contrôler l’utilisation des ressources et de facturer le client en conséquence (facturation à l’usage) ;

c) L’architecture multilocataire, c’est-à-dire l’allocation des ressources physiques et virtuelles à de multiples utilisateurs dont les données sont conservées séparément et inaccessibles aux autres ;

d) Le libre-service à la demande, ce qui signifie que le client utilise les services selon ses besoins, automatiquement ou moyennant une interaction minime avec le fournisseur ;

e) L’élasticité et l’extensibilité, c’est-à-dire la capacité d’adaptation rapide à la hausse ou à la baisse de la consommation de services selon les besoins du client, y compris pour s’adapter aux tendances à grande échelle de l’usage de ressources (par exemple, variations saisonnières) ;

f) La mutualisation des ressources, c’est-à-dire la possibilité qu’a le fournisseur de regrouper les ressources physiques ou virtuelles pour servir un ou plusieurs clients, sans que ceux-ci contrôlent les processus en jeu ou en aient connaissance ;

g) Une large gamme de services, allant de la fourniture et de l’utilisation de services de connectivité et d’informatique de base (comme le stockage, les courriers électroniques et les applications bureautiques) à la fourniture et à l’utilisation de l’ensemble des infrastructures informatiques physiques (par exemple, serveurs et centres de données) et des ressources virtuelles nécessaires pour que le client puisse créer sa propre plateforme informatique, ou déployer, gérer et exploiter des applications ou des logiciels créés ou acquis par le client. L’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) ou le logiciel en tant que service (SaaS) sont des types de services d’informatique en nuage.

Services d’informatique en nuage en couches : Dans ce cadre, le fournisseur n’est pas le propriétaire de l’ensemble, ou d’une partie, des ressources informatiques qu’il utilise pour fournir des services d’informatique en nuage à ses clients ; il est lui-même le client de tout ou partie des services d’informatique en nuage. Par exemple, le fournisseur de services de type PaaS ou SaaSpeut utiliser les infrastructures de stockage et de serveur (centres de données, serveurs de données) dont une autre entité est propriétaire ou qu’elle fournit. Par conséquent, un ou plusieurs sous-fournisseurs peuvent intervenir dans la prestation des services d’informatique en nuage au client. Ce dernier ne saura pas nécessairement quelles couches participent à la prestation de services à un moment donné, ce qui complique l’identification et la gestion des risques. Les services d’informatique en nuage en couches sont fréquents dans le modèle SaaS en particulier.

Verrouillage : Situation dans laquelle le client dépend d’un fournisseur unique parce que les coûts liés à un changement de prestataire sont considérables. Dans ce contexte, la notion de coût s’entend au sens large comme englobant non seulement les dépenses monétaires, mais aussi l’effort, le temps et les aspects relationnels.