Un intérêt pour le Cloud?
Voici un TOP 3 des clauses importantes à négocier à la signature de votre contrat…
Si vous choisissez d’aller dans le Cloud, ce sera pour bénéficier de ses avantages en termes d’économie, d’accessibilité de l’information et de collaboration entre collègues et partenaires. Bien sûr, le niveau de service devra être égal ou supérieur à celui que vous avez actuellement dans votre entreprise. Vous voudrez vous assurer de faire le bon choix et surtout, ne pas regretter votre décision ! Le contrat avec votre fournisseur devra être très clair dès le départ.
À quoi doit-on porter une attention particulière au moment de la signature ?
Crédit pour indisponibilité des services et pièges à éviter
Le fournisseur doit tenir ses promesses et livrer le service pour lequel vous payez. Il est primordial de vérifier le niveau mensuel de disponibilité du service promis, car ce sera un gage de bonne exécution par le fournisseur. Il faut viser un taux de disponibilité du service d’au moins 99.9 % qui représente environ 8h45 potentielles d’indisponibilité au cours d’une année. Évitez de signer une garantie de 99 %. Bien que ce pourcentage paraisse élevé, il représente en réalité 52 heures d’indisponibilité…
La majorité des fournisseurs offre un crédit sur le mois suivant en cas de manquement. Cependant, le fardeau de la preuve vous appartient ! Assurez-vous, lors de la signature du contrat, que le fournisseur met à votre disposition les outils de monitoring nécessaires (tableau de bord, statistiques d’utilisation quotidienne) afin de pouvoir démontrer qu’il y a effectivement eu manquement.
Au-delà des crédits, peut-on « quitter le nuage » ? La réponse est oui ! Prévoyez au contrat un droit de résiliation sans pénalité advenant le cas où le fournisseur faisait défaut répété d’atteindre les niveaux de service promis (par exemple à 4 occasions dans l’année). Il faut que ce soit négocié lors de la signature sinon il se pourrait que le fournisseur vous facture la durée totale du contrat auquel vous aviez adhéré.
Attention également aux coûts de conversion des données. Vérifiez si le contrat prévoit qu’on vous remettra vos données dans un format standard et compatible avec un autre fournisseur (ce qui n’est pas toujours le cas) et si vous devrez encourir des délais et des coûts de conversion pour récupérer vos données. Il est également important de spécifier au contrat de quelle façon vos données seront détruites par la suite afin de vous assurer que le fournisseur ou des tiers n’auront pas accès à des copies après votre départ. Le fournisseur devrait vous accorder une période de migration des données d’au moins 90 à 180 jours et maintenir le niveau de service convenu au contrat pendant ce temps.
La confirmation de la propriété des données et autres usages
Il est fondamental que le contrat prévoie que l’entière propriété des données confiées vous appartient et que votre fournisseur ne les détient qu’en fiducie pour vous. Les extractions de données (par exemple à des fins de profilage) doivent être interdites.
Il est nécessaire d’obliger le fournisseur à dénoncer les incidents de sécurité qui surviennent aux données confiées (vol ou perte de données, accès non autorisé par des hackers, modification ou destruction non autorisée des données) et ce, afin de remplir votre propre obligation légale de dénonciation à vos clients des atteintes subies à leurs données personnelles en cas de préjudice important à leur réputation et leur sécurité financière ou physique. Convenez d’un avis d’incident à l’intérieur de 2 jours ouvrables maximum avec obtention d’un rapport sur les circonstances, les données visées et les actions prises par le fournisseur pour restaurer l’intégrité du système.
L’évaluation de la sécurité des installations
Vérifiez attentivement la sécurité mise en œuvre par le fournisseur afin d’avoir un niveau de protection adéquat : cryptage des données « en transit » sur internet (protocole TLS/SSL) et « au repos » sur les systèmes du fournisseur, processus de sauvegarde des données et de redondance, plan de recouvrement en cas de sinistre…
Il est aussi important d’évaluer les mesures techniques et opérationnelles du fournisseur en ce qui concerne la sécurité et la confidentialité de vos données (notamment les renseignements personnels de vos clients et employés dont vous assumez la responsabilité en vertu de la loi québécoise sur la protection des renseignements personnels) et ce, même si vous confiez vos données à un tiers.
Le fournisseur et ses sous-traitants doivent être soumis aux mêmes clauses de non-divulgation des données et aucun d’eux ne devrait avoir un accès libre à votre contenu. Ou du moins, l’accès doit être limité et pour les seuls besoins d’assurer la fourniture du service, le dépannage ou l’amélioration des fonctions de sécurité.
EN CAS DE PERTE DE DONNÉES OU DE FAILLITE DE VOTRE FOURNISSEUR
Conservez toujours une copie locale de vos données dans un format standard. Ainsi, vous serez indépendant et en contrôle tout en bénéficiant des avantages du Cloud. Rappelez-vous le cas de Megaupload en 2012. Accusée par les États-Unis d’être une organisation dédiée à la violation des droits d’auteurs, tous ses sites ont été fermés. Les clients n’avaient plus accès à leurs données.
S’entendre dès le départ afin que tout se passe bien est la clé. Exprimez ouvertement vos besoins d’affaires lors des négociations. Peut-être serez-vous appelé à faire des concessions. Cela dépend jusqu’où vous êtes prêt à aller. Peut-être aussi que vous déciderez de modifier vos plans.
Simon Fontaine
Président – ARS Solutions
[email protected]
En collaboration avec Maître Benoît Trotier, avocat en droits des technologies et conférencier chez Jolicoeur Lacasse, avocats