Les contrats cloud manquent de flexibilité
Les accords proposés par les fournisseurs d’informatique en nuage laissent peu de marge de négociation aux entreprises. Et ils sont loin de donner autant de garanties que les contrats d’externalisation traditionnels.
01 Informatique
le 21/01/13 à 10h30
La flexibilité est l’un des qualificatifs qui vient le plus souvent à l’esprit lorsque l’on évoque l’usage d’un service de cloud computing. Il est néanmoins inapproprié lorsque l’on jette un regard sur le versant juridique des offres. A l’instar du particulier avec son fournisseur d’accès à internet, l’entreprise aura souvent du mal à amender les contrats standards proposés par les prestataires.
Dans ce domaine, c’est souvent la notion de contrat d’adhésion qui prévaut. Olivier de Courcel, avocat au cabinet Feral-Schuhl/Sainte-Marie, évoque ainsi le « prêt-à-porter contractuel » pratiqué par les fournisseurs. Lors de la publication de ses recommandations, le 25 juin dernier, la Cnil (Commission nationale de l’informatique et des libertés) a établi ce même constat.
« Dans certaines offres de clouds publics, les clients, lors du choix de leurs prestataires, ne peuvent pas réellement leur donner d’instructions. De plus, ils ne sont pas en mesure de contrôler l’efficacité des garanties de sécurité et de confidentialité attachées à leur contrat, affirmait la Commission. Cette absence d’instruction et de moyens de contrôle est due notamment à des offres standardisées, non modifiables par les clients, et à des contrats d’adhésion qui ne laissent aucune possibilité de négociation. »
Cette situation n’est pas surprenante. Elle n’est d’ailleurs pas liée à une mauvaise volonté de la part des fournisseurs mais la conséquence du caractère industriel et standardisé des offres de cloud. « La nature des relations a changé Dans le cadre de l’externalisation traditionnelle, les prestataires apportaient un service spécifique à une entreprise, avec une responsabilité de maîtrise d’oeuvre, sur la base d’un cahier des charges. Avec le cloud public, on passe à un service plus standardisé, qui n’est plus spécifique au besoin client », rappelle Jonathan Rofé, avocat spécialisé en technologies de l’information au cabinet DLA Piper. La mutualisation d’une application entre différentes entreprises conduit naturellement à moins de souplesse contractuelle.
Priorité aux discussions sur la réversibilité des données
Selon Jonathan Rofé, pour qui les contrats cloud s’apparentent à ceux des licences logicielles, si la négociation reste difficile, elle n’est pourtant pas impossible : « Celle-ci dépend de nombreux facteurs, tels l’organisation interne du fournisseur ; la maîtrise qu’il a ou non de l’infrastructure et de ses technologies ; le caractère complètement mutualisé, ou pas, de la prestation, mais aussi l’équilibre des forces en présence », liste-t-il.
L’entreprise qui s’engage dans la voie du cloud se doit d’ouvrir une discussion sur un certain nombre de sujets tels la réversibilité, la gestion des données à caractère personnel, les engagements de services, etc.
Il s’agit d’autant plus d’un impératif que certaines clauses, assez courantes, rencontrées dans des contrats d’externalisation traditionnels sont souvent réduites voire absentes des contrats de cloud. Les engagements de services, tout particulièrement, sont généralement assez ténus.
« Très peu de prestataires proposent un engagement de disponibilité de 99,9 % dans le cloud public », relève à titre d’exemple Jonathan Rofé. A la place, les fournisseurs se contentent souvent d’un engagement d’intervention rapide en cas de dysfonctionnement.
La notion de pénalité, pourtant répandue dans l’infogérance, est encore plus rarement appliquée. Plus surprenant, des prestataires cloud se réservent parfois le droit de modifier unilatéralement les conditions de services ou mentionnent leur absence de responsabilité quant à la perte des données.
IBM, par exemple, précise pour son offre Smart Cloud : « IBM, ses fournisseurs, sous-traitants ou développeurs de logiciel ne peuvent en aucun cas être tenus responsables des dommages suivants, et ce, même s’ils ont été informés de leur possible survenance : perte ou détérioration de contenu (…) »
Regardez à deux fois avant de confier vos données !
SAP, lui aussi, annonce à propos de Cloud Services que «
SAP et ses concédants de licence n’assument en aucun cas la responsabilité des dommages indirects tels que préjudice financier ou commercial, perte de clientèle ou d’épargne, trouble commercial quelconque, toute augmentation des coûts et autres frais généraux, perte de bénéfice, perte d’image de marque, tout report ou perturbation dans le planning du projet ou de l’activité de l’entreprise, toute perte de données, de fichiers ou de programmes informatiques quelconques, qui pourraient résulter de l’inexécution du contrat ».
Certains fournisseurs s’accordent même le droit de cesser à tout moment la prestation, soit pour convenance, soit parce qu’un partenaire fournisseur d’une des technologies cloud fait défaut. Dans ces conditions, mieux vaut pour les entreprises y regarder à deux fois avant de confier leurs données.
AVIS DSI. « Je n’ai pu discuter aucune clause »
Olivier Touzé, directeur des systèmes d’informations et méthodes de Strego (cabinet d’expertise comptable)
Avez-vous pu négocier les clauses de votre contrat ?
Le contrat Iaas (Infrastructure as a Service) que nous avons actuellement a été négocié avant mon arrivée chez Strego. De ce fait, je n’ai pu discuter aucune clause. J’ai essayé à plusieurs reprises de supprimer des services pour en ajouter d’autres. Mais, à chaque fois, je me suis heurté à des refus. En revanche, lorsqu’il s’agit juste de demander de nouveaux services (et donc d’augmenter les loyers), il n’y a aucun problème…
Quelles sont les lacunes que vous avez observées ?
Elles sont liées aux responsabilités. Dans le contrat actuel, celles qui sont établies le sont de manière approximative. Cela engendre donc des « renvois de balle » fréquents. Par ailleurs, nous travaillons avec des éditeurs pour nos logiciels métier. Nous subissons donc une relation tripartite éditeur-hébergeur- client final, ce qui rend encore plus difficile la définition des responsabilités.
TEMOIGNAGE. « « Faire preuve de malice dans la négociation »
Jean-Jacques G, responsable SIRH d’une grande entreprise et client d’offres Saas
« Les éditeurs Saas arrivent souvent avec des prix catalogue et des contrats normés sur lesquels il est compliqué de discuter. Reste néanmoins certains axes sur lesquels on peut négocier. Sur le prix, par exemple, en jouant sur le volume des licences achetées ou en intervenant aux moments importants de la vie de l’éditeur. Par exemple, quand ce dernier arrive à la fin d’un trimestre de résultats financier, il est plus facile d’obtenir une offre intéressante.
Un grand compte aura beaucoup plus de latitude à négocier, notamment si l’éditeur a l’ambition décrocher une référence client sur un marché local. Un client qui arrive à un volume de données important aura plus de poids pour discuter avec son fournisseur sur le niveau de support. Pour ma part, j’ai pu obtenir d’avoir un interlocuteur privilégié plutôt que de passer par le service de gestion des tickets incidents proposé au départ par le contrat. »
Article publié dans 01 Business & Technologies du 17 janvier
Feuilletez un numéro sur le kiosque 01
nos newsletters
Lisez 01Business pour 6,54 € / n°
