Avec l'aide d'Olivia Flipo, avocate chez, Staub & Associés, le Syntec Informatique a donné les grandes orientations d'un contrat SaaS. Cette méthode de distribution des applications est devenue la porte d'entrée du cloud, mais elle nécessite quelques spécificités juridiques à prendre en considération lors de la signature d'un accord entre client et prestataire. Dans le guide produit par le syndicat et la juriste, il est souligné qu'un contrat Software as as Service est complexe, car il fait appel à plusieurs type de contrats, logiciel, maintenance et assistance technique. Nonobstant, les problématiques sont connues en tournant autour de 3 points, auxquels le Syntec apporte des réponses.
Une charte de qualité
Si le préambule du contrat est essentiel en matière de définition du service et des objectifs poursuivis pour fixer les responsabilités du prestataire, une attention particulière sera portée sur la qualité des applicatifs. Ainsi, le guide explique « l'impact des pannes pouvant avoir de graves conséquences pour le client. En dépit du fait que le client a de fortes attentes, le prestataire ne saurait être responsable de toutes les défaillances et notamment celles du réseau Internet. Il faut donc être très vigilant lors de la rédaction de cette clause, la plupart des interruptions étant fréquemment liées à des problèmes réseaux, voire à des virus ou malveillance. » Il est donc conseillé d'intégrer la mise en place d'un service redondant permettant de contourner les pannes d'origine matérielle ou réseaux. De plus, le syndicat propose la rédaction d'une annexe spécifique la création d'une charte de qualité ou la mise en place de SLA.
Ainsi sur les performances, cette charte doit comprendre des éléments très précis en définissant « des niveaux de performances minimum attendus ainsi que d'anticiper et de corriger d'éventuelles défaillances. Il n'est pas inutile de mettre à disposition des futurs utilisateurs un profil de performances de l'application par heure, par jour, par semaine, par mois. » Idem sur la partie réseaux où les parties doivent indiquer la capacité de bande passante, les consignes de tests et les dispositifs d'assistance.
Crédit Photo: DR
[[page]]
En matière de sécurité des données, le guide renvoie à la loi Informatique et Liberté, mais encourage en cas d'informations sensibles le recours au cryptage. Par ailleurs, un audit technique doit être intégré dans le contrat « compte tenu du caractère très confidentiel de telles ou telles données circulant en mode SaaS ». Cet audit est encadré, tiers indépendant, coûts, modalités, périodicité, personnes autorisées, etc.
Une réversibilité balbutiante
Au coeur des débats sur le cloud, la question de la réversibilité du contrat, c'est-à-dire la récupération des données lorsque le contrat avec un prestataire est rompu, trouve un début de réponse dans ce guide. « Si en mode SaaS, la réversibilité est simplifiée, le rapatriement en interne d'une application hébergée peut s'avérer problématique, s'il faut convertir le format des données » explique le guide. Cela suppose de vérifier l'intégrité des données et de déterminer un mode d'exécution en parallèle jusqu'à la fin de la conversion. Si les conditions techniques ne sont pas résolues, « les parties doivent prévoir de renvoyer l'élaboration du plan de réversibilité, dans un délai donné, lors de l'exécution du contrat » précise le guide.
Par ailleurs, le contrat doit bien préciser le pays de localisation des serveurs et donc d'hébergement des données pour deux raisons : éviter qu'en cas de litige ce ne soit la loi du pays où se trouvent les serveurs qui s'applique, même si la localisation du serveur ne suffit pas, à elle seule, à déterminer la loi applicable. En second lieu, permettre aux clients d'effectuer les déclarations requises auprès de la CNIL.