Cloud public ou privé, les entreprises ont bien des difficultés à se repérer dans les clauses des différents contrats. Quels sont les grands points différenciateurs entre les opérateurs de Cloud public et privé ?
Dans le cadre d’un contrat de Cloud public ou privatif, les données de l’entreprise ne sont pas stockées sur ses serveurs, mais sur ceux d’un ou plusieurs prestataires. Ainsi, l’entreprise confie ses données et la maîtrise technique de son système informatique à un tiers.
Cette stratégie nécessite de prendre en compte plusieurs éléments et d’étudier les différences entre les prestations des opérateurs de Cloud public type Amazon, Google ou Azure et de Cloud privatif comme Atos, Steria, HP, IBM, Bull, Kheops, Cloudwatt, etc. Focus sur les points de vigilance de ces contrats.
- La localisation des données
Un opérateur de Cloud se choisit selon le type de données collectées par l’entreprise et son secteur d’activité. « Chaque société manipulant des données nominatives à l’obligation de faire une déclaration à la Cnil, rappelle Fabrice Lamine, HPE. Selon le type de données et l’activité de l’entreprise, celle-ci doit respecter des contraintes en matière de sécurité et d’hébergement. Ainsi, une entreprise dans le secteur de la santé a, par exemple, l’obligation d’héberger et de traiter ses données sur le territoire national ceci auprès d’un hébergeur certifié par l’État. Il lui sera donc impossible de souscrire un contrat auprès d’un des géants du Cloud public tels Amazon, Azure ou Google. »
Avant de faire le choix d’un prestataire et d’un type de contrat public ou privatif, il est donc conseillé à toute entreprise d’identifier, auprès des organismes de certification dont elle dépend, la réglementation qui lui est applicable et de bien vérifier que le contrat du prestataire permet clairement de respecter cette réglementation. « Par exemple être informé du lieu d’hébergement des serveurs, de l’identité des personnes pouvant accéder aux données, des clauses d’audit… »
Dans certains cas, la réglementation n’impose pas à l’entreprise un territoire de localisation de ses données, mais exige leur anonymisation. L’entreprise doit alors utiliser des outils de chiffrement des données qui sont soit directement intégrés dans le contrat du prestataire de Cloud, soit acquis auprès d’une entreprise tierce spécialisée. Par ailleurs, l’entreprise doit s’assurer que son contrat intègre le maintien du chiffrement en cas changement de stratégie applicative (nouvelle solution Cloud par exemple). Enfin, le prestataire de Cloud à l’obligation d’informer l’entreprise en cas de changement de localisation des datacenters.
- Les niveaux de service (SLA)
Dans le cadre d’un Cloud public (Amazon, Google ou Microsoft), le provider s’engage sur l’accès, la disponibilité des serveurs (IaaS ou PaaS) et sur un certain niveau de sécurité. Si l’entreprise souhaite une plus grande sécurisation de ses données, c’est à elle de prendre en charge cette sécurité en déployant les outils et processus requis. Les contrats des prestataires de Cloud public n’étant pas personnalisables, il est en effet impossible d’adapter un niveau de sécurisation spécifique en cas de données critiques.
En revanche, dans le cadre d’un Cloud privatif, l’opérateur assure la disponibilité, le bon fonctionnement et la sécurité des serveurs et du système d’exploitation en fonction des besoins de l’entreprise. « Dans le cas d’un Cloud privatif il est possible de confectionner des contrats de service sur mesure pour adapter au mieux le niveau de sécurité à ses exigences. Une démarche totalement impossible dans le cadre un contrat de Cloud public » insiste Fabrice Lamine.
Côté pénalités, là aussi les différences peuvent être importantes entre Cloud privatif et public. Ainsi, si l’entreprise a pris le soin de négocier des prestations sur mesure, elle sera dédommagée en cas de dysfonctionnement de son service. « Elle peut, par exemple, inclure des pénalités conséquentes en cas de pertes de chiffre d’affaires dû au dysfonctionnement du service » précise Fabrice Lamine. En revanche, dans le cas d’un contrat de Cloud public, l’entreprise verra sa mensualité diminuer sur la facture du mois suivant sans aucune autre contrepartie versée.
- La réversibilité et confidentialité des données
« Il est impératif d’inclure une clause de réversibilité. Cette clause permettra au client de récupérer ses données au terme du contrat ou en cas de résiliation de ce dernier » insiste Antoine Chéron avocat chez ACBM Avocats. Dans le cadre d’un Cloud public, l’entreprise peut aisément récupérer ses données au terme de la facturation mensuelle. En revanche, dans un contrat de Cloud privatif, il est important de négocier avec le prestataire la récupération des services et des données et de se garantir de leur exploitabilité.
Il est également important de s’assurer de la confidentialité des données. Mais en la matière les choses ne sont pas faciles. En effet qu’ils soient publics ou privatifs, les prestataires de Cloud ont bien souvent une marge de manœuvre restreinte, contraints de se conformer aux différentes réglementations des gouvernements dont ils dépendent. Les géants du web américains sont soumis aux lois des États-Unis qui autorisent les services de sécurité américains à accéder aux données informatiques détenues par ces sociétés, sans autorisation préalable et sans en informer les utilisateurs. Les opérateurs français sont encadrés par la nouvelle règlementation du renseignement.
- Les volumes de données
Dans un Cloud public, le prix d’une offre est fonction du nombre de serveurs, de la bande passante utilisée et du volume de données stockées. « De par leur volumétrie – des millions de serveurs dispersés dans le monde – les opérateurs publics pratiquent des tarifs très attractifs pour des usages non linéaires. En revanche, les opérateurs privatifs ont des coûts de fonctionnement plus élevés du fait de leur taille plus petite, mais sont généralement moins coûteux sur des usages à long terme. C’est pourquoi leurs contrats exigent des clients un volume de données et un engagement dans le temps » note Fabrice Lamine. Il est important lors de la signature d’un contrat d’être vigilant sur ces points d’usage pour maîtriser ses dépenses prévisionnelles et ne pas voir ses tarifs flamber.
- Les sorties de contrat
Dans un Cloud public, les contrats spécifient généralement clairement les conditions de sorties et il est assez simple d’y mettre un terme. En revanche, dans un contrat de Cloud privatif, les engagements sont souvent plus contraignants notamment sur la durée de la prestation, les prestataires ayant des besoins de visibilité pour faire fonctionner leur activité, issue de l’infogérance. Il est donc recommandé avant toute contractualisation de bien étudier les clauses de sortie pour ne pas se retrouver pieds et poings liés avec le prestataire.
