Signer son contrat Cloud sans avoir la tête dans les nuages…Le TOP 3 des clauses à négocier

Novembre 2014 - Lorsqu’on choisit d’aller dans le Cloud, c’est pour bénéficier de ses avantages : économie de coûts, accessibilité à l’information de partout et collaboration entre collègues et partenaires.
Bien sûr, le niveau de service doit être égal ou supérieur à celui que vous avez actuellement dans votre entreprise. Vous voulez faire le bon choix et ne pas regretter votre décision. Le contrat avec votre fournisseur doit être clair.

VOICI UN TOP 3 DES CLAUSES IMPORTANTES À NÉGOCIER :

1 Crédit pour indisponibilité des services et pièges à éviter.

Le fournisseur doit tenir ses promesses, c’est-à-dire livrer le service pour lequel vous payez. Il est primordial de vérifier le niveau mensuel de disponibilité du service promis, car ce sera un gage de bonne exécution par le fournisseur. Il faut viser un taux de disponibilité du service d’au moins 99.9 % qui représente environ 8 h 45 potentielles d’indisponibilité au cours d’une année. Évitez de signer une garantie de 99 %. Bien que ce pourcentage paraisse élevé, il représente en réalité 52 heures d’indisponibilité du service pour lequel vous payez.

La majorité des fournisseurs offre un crédit sur le mois suivant en cas de manquement.
Cependant, le fardeau de la preuve vous appartient ! Par conséquent, assurez-vous lors de la signature du contrat que le fournisseur met à votre disposition les outils de monitoring nécessaires (tableau de bord, statistiques d’utilisation quotidienne) afin de pouvoir démontrer qu’il y a effectivement eu manquement.

Maintenant, les crédits c’est bien beau, mais peut-on s’en aller ? La réponse est oui ! Prévoyez au contrat un droit de résiliation sans pénalité advenant le cas où le fournisseur faisait défaut répété d’atteindre les niveaux de service promis (par exemple à 4 occasions dans l’année).
Il faut cependant que ce soit négocié lors de la signature sinon il se pourrait que le fournisseur vous facture la durée totale du contrat auquel vous aviez adhéré.

Attention également aux coûts de conversion des données. Vérifiez si le contrat prévoit qu’on vous remettra vos données dans un format standard et compatible avec un autre fournisseur (ce qui n’est pas toujours le cas) et si vous devrez encourir des délais et des coûts de conversion pour récupérer vos données. Il est également important de spécifier au contrat de quelle façon vos données seront détruites par la suite afin de vous assurer que le fournisseur ou des tiers n’auront pas accès à des copies après votre départ. Le fournisseur devrait vous accorder une période de migration des données d’au moins 90 à 180 jours et maintenir le niveau de service promis pendant ce temps.

2 La confirmation de la propriété des données et autres usages.

Il est fondamental que le contrat prévoie que l’entière propriété des données confiées vous appartient et que votre fournisseur ne les détient qu’en fiducie pour vous. Les extractions de données (par exemple à des fins de profilage) doivent être interdites.

Il est nécessaire d’obliger le fournisseur à dénoncer les incidents de sécurité qui surviennent aux données confiées (vol ou perte de données, accès non autorisé par des hackers, modification ou destruction non autorisée des données) et ce, afin de remplir votre propre obligation légale de dénonciation à vos clients des atteintes subies à leurs données personnelles en cas de préjudice important à leur réputation et leur sécurité financière ou physique. Convenez d’un avis d’incident à l’intérieur de 2 jours ouvrables maximum avec obtention d’un rapport sur les circonstances, les données visées et les actions prises par le fournisseur pour restaurer l’intégrité du système.

3 L’évaluation de la sécurité des installations.

Vérifiez attentivement les moyens de sécurité mis en oeuvre par le fournisseur afin d’avoir un niveau de protection adéquat : cryptage des données « en transit » sur internet (protocole TLS/SSL) et « au repos » sur les systèmes du fournisseur, processus de sauvegarde et de redondance des données, plan de recouvrement des opérations en cas de sinistre…

Il est également important d’évaluer les mesures techniques et opérationnelles du fournisseur en ce qui concerne la sécurité et la confidentialité de vos données (notamment les renseignements personnels de vos clients et employés dont vous assumez la responsabilité en vertu de la loi québécoise sur la protection des renseignements personnels) et ce, même si vous confiez vos données à un tiers.

Le fournisseur et ses sous-traitants doivent être soumis aux mêmes clauses de non divulgation des données et aucun d’eux ne devrait avoir un accès libre à votre contenu. Ou du moins, l’accès doit être très limité et pour les seuls besoins d’assurer la fourniture du service, le dépannage ou l’amélioration des fonctions de sécurité.

EN CAS DE PERTE DE DONNÉES OU DE FAILLITE DE VOTRE FOURNISSEUR

Conservez toujours une copie locale de vos données dans un format standard. Ainsi, vous serez indépendant et en contrôle tout en bénéficiant des avantages du nuage. Rappelez-vous du cas de Megaupload en2012. Accusée par les États-Unis d’être une organisation dédiée à la violation des droits d’auteurs, tous ses sites ont été fermés. Les clients n’avaient plus accès à leurs données.

Avoir un échange ouvert sur les besoins d’affaires et s’entendre dès le départ afin que tout se passe bien est la clé. Jusqu’où êtes-vous prêt à aller pour signer votre contrat ? Peut-être serez-vous appelé à faire des concessions.