Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)
Première partie. Principaux aspects précontractuels
B. ÉVALUATION PRÉCONTRACTUELLE DES RISQUES
Les dispositions de droit impératif peuvent exiger qu’il soit procédé à une évaluation des risques avant la conclusion d’un contrat d’informatique en nuage. Même en l’absence d’exigences légales, les parties peuvent décider de procéder à une telle évaluation en vue de définir une stratégie de réduction des risques, y compris la négociation de clauses contractuelles adéquates.
Tous les risques inhérents à un contrat d’informatique en nuage ne sont pas spécifiquement liés au nuage. Certains seront abordés en dehors d’un contrat d’informatique en nuage (par exemple, les risques liés à une interruption de la connectivité en ligne) et tous ne pourront pas être limités à un coût acceptable (par exemple, une atteinte à la réputation). De plus, l’évaluation des risques ne se résume pas à une étape unique avant la conclusion d’un contrat. Elle peut se poursuivre pendant la durée d’existence du contrat, et ses résultats peuvent entraîner la modification, voire la résiliation du contrat.
Vérification des informations relatives à un service d’informatique en nuage particulier et à la partie contractante sélectionnée
Les informations suivantes peuvent être pertinentes pour les parties lors-qu’elles envisagent de recourir à un service d’informatique en nuage particulier et de sélectionner une partie contractante :
a) Les licences de propriété intellectuelle requises pour utiliser un service d’informatique en nuage particulier ;
b) La politique existante en matière de protection de l’information, de confidentialité et de sécurité, en particulier en ce qui concerne la prévention des accès non autorisés, l’utilisation, l’altération ou la destruction des données pendant leur traitement, leur transit ou leur transfert au moyen de l’infrastructure d’informatique en nuage ;
c) Les mesures mises en place pour assurer l’accès continu aux métadonnées, aux journaux d’audit et à d’autres journaux attestant des mesures de sécurité ;
d) Le plan existant de reprise après sinistre et les obligations de notification en cas d’atteinte à la sécurité ou de dysfonctionnement du système ;
e) Les politiques adoptées en ce qui concerne la migration vers le nuage et l’assistance à la fin du contrat, ainsi que l’interopérabilité et la portabilité ;
f) Les mesures existantes pour effectuer des vérifications au sujet des employés, sous-traitants et autres tiers impliqués dans la fourniture des services d’informatique en nuage, ainsi que les former ;
g) Des statistiques relatives aux incidents de sécurité et des informations relatives aux expériences faites avec les procédures de reprise après sinistre ;
h) La certification de conformité aux normes techniques par un tiers indépendant ;
i) Des informations concernant la régularité et la portée des audits effectués par un organe indépendant ;
j) La viabilité financière ;
k) Les polices d’assurance ;
l) D’éventuels conflits d’intérêts ;
m) Le volume de la sous-traitance et des services d’informatique en nuage en couches ;
n) La mesure dans laquelle est assuré l’isolement des données et autres contenus dans l’infrastructure d’informatique en nuage ; et
o) Les attentes en matière de réciprocité et de responsabilités partagées en ce qui concerne les mesures de sécurité.
Risques d’atteinte à la propriété intellectuelle
Il peut exister des risques d’atteinte à la propriété intellectuelle lorsque, par exemple, le fournisseur n’est ni le propriétaire ni le concepteur des ressources fournies à ses clients, qu’il utilise en vertu d’un contrat de licence de propriété intellectuelle conclu avec un tiers. De tels risques peuvent aussi survenir lorsque le client est tenu, pour l’exécution du contrat, d’octroyer au fournisseur une licence d’utilisation du contenu qu’il souhaite placer dans le nuage. Dans certains pays, le stockage de contenu dans le nuage, même à des fins de sauvegarde, peut être qualifié de reproduction et exiger une autorisation préalable du propriétaire des droits de propriété intellectuelle.
Il est de l’intérêt des deux parties de s’assurer, avant la conclusion du contrat, que l’utilisation des services d’informatique en nuage ne portera pas atteinte aux droits de propriété intellectuelle et ne constituera pas un motif de retrait des licences de propriété intellectuelle qui leur auront été accordées. Le coût d’une atteinte à la propriété intellectuelle peut être très élevé. Il faudra peut-être prévoir le droit de conclure une sous-licence, ou envisager une licence directe avec le donneur de licence concerné, qui conférera le droit de gestion des licences. Pour pouvoir utiliser des logiciels ou autres contenus libres, il peut être nécessaire d’obtenir au préalable le consentement des tiers concernés et de révéler le code source avec toute modification apportée au logiciel ou autre contenu libre.
Risques en matière de sécurité, d’intégrité, de confidentialité et de protection des données
Avec la migration de tout ou partie de ses données vers le nuage, le client perd le contrôle exclusif sur ces données et sa capacité de déployer les mesures nécessaires pour garantir leur intégrité et leur confidentialité, ou pour vérifier si elles sont traitées et conservées de manière adéquate. La portée de cette perte de contrôle dépend du type de service d’informatique en nuage concerné.
En raison de certaines caractéristiques inhérentes aux services d’informatique en nuage, comme le large accès via le réseau, l’architecture multilocataire et la mutualisation des ressources, les parties pourront devoir prendre plus de précautions pour empêcher l’interception des communications et autres cyberattaques, qui peuvent entraîner la perte ou la compromission des identifiants permettant d’accéder aux services d’informatique en nuage, une perte de données et d’autres atteintes à la sécurité. Des mesures adéquates d’isolement des ressources et de ségrégation des données, ainsi que des procédures de sécurité efficaces sont particulièrement importantes dans un environnement partagé comme l’informatique en nuage.
Dans un environnement d’informatique en nuage, les mesures de sécurité sont la responsabilité partagée des parties, indépendamment du type de services utilisés. L’évaluation précontractuelle des risques est l’occasion pour les parties de définir, sans aucune ambiguïté, leurs rôles et responsabilités en ce qui concerne la sécurité, l’intégrité, la confidentialité et la protection des données. Les clauses contractuelles jouent un rôle important en ce qu’elles traduisent l’accord des parties au sujet de la répartition mutuelle des risques et des responsabilités liés à ces aspects, et à d’autres aspects de la fourniture de services d’informatique en nuage. Ces clauses ne sauraient toutefois primer sur les règles de droit impératives. Lire la suite.
Tests d’intrusion, audits et inspections physiques
Des mesures peuvent être prises au stade précontractuel pour vérifier si l’isolement des ressources, la ségrégation des données, les procédures d’identification et les autres mesures de sécurité sont adéquats. Ces vérifications devraient viser à déterminer si les parties doivent prendre des précautions supplémentaires pour prévenir les atteintes à la sécurité des données et d’autres dysfonctionnements dans la fourniture des services d’informatique en nuage au client.
Les lois et règlements peuvent exiger la tenue d’audits, de tests d’intrusion et l’inspection physique des centres de données impliqués dans la fourniture des services d’informatique en nuage, afin en particulier de déterminer si leur emplacement satisfait bien aux exigences légales en matière de localisation des données. Les parties devront convenir des conditions relatives à ces vérifications, notamment en ce qui concerne le moment où elles seront entreprises, la répartition des coûts et l’indemnisation si elles provoquaient des dommages.
Risques de verrouillage
La capacité d’éviter ou de réduire les risques de verrouillage, qui sont souvent liés au manque d’interopérabilité et de portabilité, est peut-être l’une des considérations les plus importantes pour les parties. Ces risques pourront être plus importants avec des contrats à long terme ou avec des contrats à court ou moyen terme automatiquement renouvelables.
Les risques de verrouillage des applications et des données sont particulièrement élevés pour les modèles SaaS et PaaS. Les données peuvent exister dans des formats spécifiques à un système d’informatique en nuage, qui ne seront pas utilisables dans d’autres systèmes. De plus, l’utilisation d’une application ou d’un système propriétaire pour l’organisation des données pourra nécessiter que l’on ajuste les conditions de licence pour permettre l’exploitation dans un autre réseau. Il pourra être nécessaire de réécrire les programmes d’interaction avec les interfaces de programmation d’applications (API) pour tenir compte de l’API du nouveau système. La mise à niveau des connaissances des utilisateurs finaux peut aussi s’avérer coûteuse.
Dans le modèle PaaS, il y a aussi des risques de verrouillage des logiciels d’exécution puisque ces derniers (à savoir les logiciels conçus pour permettre l’exécution de programmes informatiques écrits dans un langage de programmation spécifique) sont souvent fortement personnalisés (par exemple, pour des aspects tels que l’allocation ou la libération de mémoire, le débogage, etc.). Dans le modèle IaaS, les risques de verrouillage varient en fonction des services d’infrastructure consommés. Tout comme dans le modèle PaaS, certains services d’infrastructure peuvent entraîner le verrouillage des applications si le service dépend de certaines caractéristiques de la politique du fournisseur (par exemple, les contrôles d’accès). D’autres services d’infrastructure peuvent aussi entraîner le verrouillage des données si des données supplémentaires sont déplacées vers le nuage à des fins de stockage.
Au stade précontractuel, il est possible d’effectuer des essais pour vérifier si les données et autres contenus peuvent être exportés vers un autre système et y être utilisés. Il peut être nécessaire d’assurer la synchronisation entre le nuage et les plateformes internes et la reproduction des données en un autre lieu. La négociation avec plusieurs parties et le choix d’une combinaison de divers types de services d’informatique en nuage, avec leur propre modèle de déploiement (par exemple, sources d’approvisionnement multiples), peuvent être des éléments clefs de la stratégie visant à atténuer les risques de verrouillage, même s’ils peuvent entraîner des coûts et d’autres conséquences. Les clauses contractuelles peuvent aussi contribuer à limiter ces risques (voir deuxième partie, en particulier par. 84, 86 et 144).
Risques concernant la continuité des opérations
Les parties pourront se préoccuper de la continuité des opérations en relation non seulement avec la fin programmée du contrat, mais aussi une éventuelle suspension unilatérale ou résiliation anticipée, notamment si l’une ou l’autre partie cesse ses activités. La législation pourra exiger la mise au point, en amont, d’une stratégie appropriée pour assurer la continuité des opérations, et notamment pour éviter les incidences négatives de la cessation ou de la suspension des services sur les utilisateurs finaux. L’élaboration de clauses contractuelles pourra aussi contribuer à limiter les risques en la matière. Lire la suite.
Stratégies de retrait
Pour garantir le succès de la stratégie de retrait, les parties pourront devoir déterminer dès le début : a) le contenu à retirer (par exemple, uniquement les données que le client aura entrées dans le nuage ou aussi les données dérivées des services en nuage) ; b) les modifications qu’il conviendra d’apporter aux licences de propriété intellectuelle pour pouvoir continuer d’utiliser ledit contenu dans un autre système ; c) le contrôle des clefs de déchiffrement et l’accès à ces dernières ; et d) le délai requis pour achever le retrait. Les clauses contractuelles relatives à la fin du contrat traduisent généralement l’accord des parties sur ces points. Lire la suite.