Les fournisseurs de cloud acceptent-ils de négocier les contrats ?
On pourrait croire, compte tenu de leur puissance économique et du peu de concurrence en ce domaine, que les fournisseurs de cloud n’acceptent pas de négocier les contrats ou qu’ils imposent des SLA (Service Level Agreement), voire même qu’ils ne prennent pas d’engagement relatifs aux niveaux de service. On entend parfois parler de contrat d’adhésion, quelques « clics » suffisent à contracter avec les prestataires.
Cela va d’ailleurs dans le sens de la standardisation de l’offre propre au cloud et ce, d’autant plus qu’il s’agit en règle général de contrats de courte durée.
D’expérience, il est pourtant possible de négocier de tels contrats avec les prestataires de cloud et leurs revendeurs, même pour des clients dont le poids de négociation peut paraître faible face aux grands offreurs de cloud.
Les points de vigilance lors de la négociation du contrat cloud
Attention au volume de documents qui seront fournis par le prestataire. Ils comportent en effet de nombreux renvois à d’autres documents contractuels que le prestataire ne vous fournit pas forcément et qui sont disponibles sur différentes url.
Assurez-vous également que les documents en votre possession sont ceux en vigueur. Les grands offreurs actualisent régulièrement leurs conditions de service et vos interlocuteurs ne vous ont peut-être pas fourni les dernières versions en vigueur.
Les points de vigilance dans la rédaction du contrat cloud
Nous avons souhaité insister sur les points de vigilance dans le cadre de la rédaction d’un contrat cloud, sachant qu’il s’agit bien entendu d’une liste non exhaustive.
Rappelons que le passage au cloud dépossède l’entreprise, l’administration ou l’association de la maîtrise des éléments logiciels et des aspects de sécurité, notamment celle relative aux données. Il sera donc nécessaire de porter une attention toute particulière à la clause de protection des données à caractère personnel et plus encore s’il s’agit de données qualifiées de sensibles au sens de la loi Informatique et Libertés.
Par ailleurs, la responsabilité du prestataire en cas de faute, erreur ou omission sera généralement prévue. Toutefois, les exclusions et limitations de responsabilité sont nombreuses alors même que le client n’a aucun contrôle, notamment sur la sécurité des infrastructures. Cette clause doit donc faire l’objet d’une vigilance accrue de la part du client.
La clause de confidentialité a également son importance. Le prestataire ne doit connaître que des informations strictement nécessaires à l’exécution de sa prestation, de même que ses éventuels sous-traitants.
Les SLA déterminent les critères de performance (temps de réponse, vitesse de transfert des données, délais, etc.), la disponibilité du service ainsi que les mesures de sécurité telle la redondance du système. Il est tout autant conseillé de les négocier, dans la mesure du possible. Il s’agit notamment de s’assurer des moyens de contrôle du client et des sanctions en cas de défaillance du service.
Le prestataire doit disposer d’un contrat d’assurance et le contrat doit prévoir une obligation de communication des attestations correspondantes. Le client doit en effet chercher à connaître les exclusions de garantie.
En dernier lieu, n’oubliez pas qu’il est possible de prévoir d’ores et déjà des modalités d’évolution du périmètre contractuel, selon les projets à venir.