BFM Business

Cloud Privé : les points clés du contrat

Selon tous les experts, il est indispensable de prévoir dans son contrat les cas d’une destruction ou d’un endommagement des serveurs où sont hébergées les données.

Selon tous les experts, il est indispensable de prévoir dans son contrat les cas d’une destruction ou d’un endommagement des serveurs où sont hébergées les données. - Pixabay

Les clauses de transférabilité et de réversibilité doivent être négociées avec soin pour éviter des déconvenues lorsque vient le moment de changer de gestionnaire des données et applications.

Décembre 2012, l’UMP souhaite changer de prestataire de cloud computing pour la gestion des données personnelles de ses adhérents. Mais au terme d’un contrat de deux ans, Oracle invoque une impossibilité technique temporaire de restitution des données due à un bug. Le parti politique a été contraint de l’assigner en justice pour récupérer les données en temps voulu. Pour éviter ce type de déconvenue, une étude poussée du contrat de cloud privé s’impose.

Le droit applicable et les tribunaux compétents en cas de survenue d’un différend doivent être négociés. La loi « Informatique et Libertés » de 1978, le Code de la propriété intellectuelle, les règlementations sectorielles, constituent autant de textes fiables auxquels se référer dans le contrat.

Négocier avec soin la clause de transférabilité

Une attention toute particulière doit être apportée à certaines clauses. "L’obligation de résultat à la charge du prestataire, notamment en matière de sécurité, est un principe de base", considère Jean-François Forgeron, avocat spécialiste des technologies de l’information et familier des négociations de ce type de contrat. Il recommande de "fuir les clauses qui excluent automatiquement l’indemnisation en cas de dommages matériels". Il recommande en revanche de privilégier une clause de transférabilité précise afin de parer à l’éventualité d’un changement de prestataire. La clause de réversibilité -applicable en cas de ré-internalisation de la gestion des données au sein de l’entreprise-, doit être rédigée en des termes contraignants pour le prestataire. "Celle-ci est souvent un nid à problèmes, il faut la rédiger avec soin dès le départ. Le prestataire doit être solidement tenu par le contrat" prévient M. Forgeron, avant d’ajouter: "l’assistance au réemploi des données doit être incluse dans le prix global de la prestation". Le contrat précisera alors les délais et autres conditions exactes de restitution des données. L'avocat conseille également de veiller à ce que la clause de responsabilité n’exclut pas les dommages immatériels.

Ne pas oublier la sécurité des biens matériels 

"Prévoir les cas d’une destruction ou d’un endommagement des serveurs est indispensable !", rappelle de son côté Gérard Haas, avocat spécialisé dans le droit informatique et président du réseau Gesica. "Il faut se soucier de la sécurité des données mais aussi des bâtiments, des accès, des machines et des applications", confirme maître Olivier Iteanu, associé au sein du cabinet parisien éponyme. Pour aller plus loin, les futurs abonnés peuvent se référer aux recommandations publiées par la CNIL en juin 2012, où sont listés les éléments essentiels à faire figurer dans un contrat ainsi que des exemples de clauses "type".

Adeline Raynal