Se prémunir contre les risques juridiques découlant du Saas - Actualités CSO Actualités

Se prémunir contre les risques juridiques découlant du Saas

le 17/03/2010, par Didier Barathon, Actualités, 600 mots

Se prémunir contre les risques juridiques  découlant du Saas

Le Saas (Software as a service) décolle. Or, une entreprise doit verrouiller son contrat la liant à son prestataire principal et le répercuter en cascade, car les éditeurs, les hébergeurs et les intégrateurs méconnaissent totalement les risques juridiques. « Les engagements pris avec un prestataire ne se retrouvent pas dans la relation avec les sous-traitants de ce prestataire ». Cet avertissement émane de François-Pierre Lani, avocat-associé au cabinet Derriennic associés, et spécialiste du Saas (Software as a Service) qui s'est exprimé lors d'un séminaire tenu par le Syntec Informatique, le syndicat des fournisseurs IT, mardi 16 mars. Avec les offres de Saas, il y a la coexistence entre une relation visible et une relation plus cachée. Dans la première, le client (une entreprise) contractualise avec un couple éditeur-intégrateur. Dans la seconde, le même contrat mobilise en cascade plusieurs acteurs : hébergeurs, opérateurs de télécoms, fournisseurs de matériels, fournisseurs de solutions de sauvegarde. Les risques sont relativement bien identifiés sur la première relation. Ils sont minorés car nettement plus complexes sur la seconde. C'est pourtant dans cette seconde partie que se situent les risques juridiques les plus élevés. « Les sinistres et les risques viennent de cette chaîne d'acteurs qui n'est pas bien contractualisée » souligne François-Pierre Lani qui met le doigt sur les risques engendrés par la cascade de sous traitants qui assurent les services en Saas. Après plus de dix ans d'existence des formules en Saas, et auparavant en ASP (Application Service Provider), les juristes disposent de conclusions sur les risques juridiques entraînés par ces formules. François-Pierre Lani les classe en deux grandes catégories : les risques liés à l'externalisation et ceux liés à la mutualisation. Les risques liés à l'externalisation sont des problèmes sécuritaires classiques liés à la pollution des données ou à la non atteinte des niveaux de services (SLA ou Service Level Agreement) promis. Dans ce cadre, le client n'a pas toujours de recours. Quant au prestataire principal, il n'a pas toujours d'emprise sur ... Photo : François-Pierre Lani, avocat-associé au cabinet Derriennic associés (D.R.) ... l'accès aux données et aux services. Les problèmes peuvent être extrêmement divers : connexion, fonctionnement des systèmes électriques, mauvaise conservation des données, risques en cas de sinistre chez l'hébergeur physique. Quant aux risques liés à la mutualisation ou au partage de ressources, ils sont d'un autre ordre. Par exemple, la divulgation détaillée d'informations du client, l'absence de partitionnement des disques durs contenant les données de plusieurs clients, ou même le fait qu'un client emporte son disque d'accès, même de façon involontaire. Il existe un risque particulier avec les prestataires américains. François-Pierre Lani relève également des cas particuliers, comme la divulgation volontaire de données. Si le prestataire est américain, il peut être obligé de divulguer des informations sur injonction des agences gouvernementales, et ce, même si l'entreprise cliente est étrangère. Un tel cas de figure, doit être prévu dans le contrat. La question de la défaillance d'un prestataire sous-traitant est une autre question cruciale. Le prestataire principal servant de guichet unique sera-t-il en mesure d'assurer la défaillance d'un de ses sous-traitants ? Bien souvent lui-même a tendance à ne pas respecter correctement ses propres sous traitants. On arrive là au coeur des risques juridiques en Saas. « La responsabilité contractuelle du prestataire peut être engagée non seulement en cas de dysfonctionnement de lui-même, mais aussi au titre des défaillances des autres intervenants » annonce François-Pierre Lani. Le cabinet Derriennic associés a d'ailleurs élaboré une matrice des risques liés au Saas et préconise la mise en place de contrats miroirs pour répercuter le contrat signé par le client sur tous les sous-traitants de toute la chaîne et la souscription d'une assurance adaptée au risque.

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...