[Fiche pratique] Passage au Cloud AWS : que dit le contrat ?
Quand un client d'AWS "provisionne une VM (Virtual Machine) à la volée" dans le Cloud d'Amazone, à quoi s'engage-t'il ? Avec la mise en place du RGPD il nous a paru intéressant de nous pencher sur les différents aspects contractuels que sous-tend cet acte technique.
Je m'abonneLe "Contrat Client AWS" disponible aujourd'hui en ligne en Français est la version du 1er juillet 2018 étant précisé que cette version n'est qu'une traduction de la seule version de référence anglaise. La partie contractante chez AWS est désormais AWS EMEA SARL (et non plus AWS Inc, USA) situé au Luxembourg et le droit applicable est celui du Grand-Duché de Luxembourg.
Toute modification du contrat, dès lors qu'elle sera publiée sur le site AWS sera opposable au client. De même pour toute modification des offres de service et API où AWS pourra "périodiquement, modifier ou interrompre l'une ou l'ensemble des offres de services ou modifier ou retirer des fonctionnalités de l'une ou de l'ensemble de ces offres de services... Nous vous avertirons de toute modification substantielle ou interruption des offres de services". Sans préavis précisé. Seules les modifications défavorables apportées aux SLA (contractuellement de 99,99%...) seront précédées d'un préavis de 90 jours.
Quid du RGPD ?
Cette version du contrat étant Post RGPD, comment les données personnelles sont-elles protégées ? Le client pourra préciser les régions AWS dans lesquelles son contenu sera stocké. "Nous ne divulguerons votre contenu à aucun gouvernement ou tiers ou (b) ..., ne déplacerons pas votre contenu des régions AWS que vous avez sélectionnées ; sauf dans chaque cas, dans la mesure nécessaire pour respecter la loi ou une ordonnance exécutoire d'un organisme gouvernemental". Rien ne garantit toutefois que les données hébergées ne seront pas transférées à un pays non européen si AWS en recevait l'injonction. De même si l'autorité demandeuse l'exige, ce transfert d'information sera fait sans en avertir le client.
Lire aussi : Vendor Management System vs e-procurement : le match des solutions d'achats de prestations intellectuelles
Bien qu'il héberge les données, AWS transfère la sécurité des données sur les clients pour ce qui concerne le back-up et leur protection (chiffrement des données) afin de se prémunir contre les accès non-autorisés. AWS a toutefois une obligation de moyens limitée : "AWS instaurera des mesures raisonnables et adaptées pour vous aider à sécuriser votre contenu à l'encontre de toute perte, accès ou divulgation, accidentel(le) ou illégal(e)." Ceci dit, Amazon exclut que "le contenu, quel qu'il soit, sera conservé de manière sécurisée et ne sera ni perdu ni endommagé."
En plus du contrat, AWS publie un document spécifique relatif à la "Politique en matière de vie privée" qui ne nous apprend rien de plus.
Le RGPD a t-il impacté le contrat client AWS ?
Si la trame générale n'a que peu changée par rapport à d'anciennes versions que nous avions, les trois éléments principaux modifiés du fait du RGPD sont la contractualisation pour les clients européens avec une société AWS au Luxembourg, l'obligation de moyen (et non de résultat) dans la sécurité des données. Enfin, AWS est certifié ISO 27018 qui est un code de bonnes pratiques spécifique à la protection des données personnelles dans le cloud. Toutefois, le contrat pousse explicitement l'ensemble des responsabilités sur le client.
Finalement, quelles garanties le client a t-il ?
Le client n'a aucune garantie de fonctionnement ou de continuité de services. L'éventualité d'une interruption des offres de services apparaît ainsi une dizaine de fois dans le contrat. AWS exclut d'ailleurs toute responsabilité pour dommage direct et n'offre aucune garantie "de qualité satisfaisante... de jouissance paisible". Il est surprenant de constater que de telles exclusions sont rares chez les fournisseurs informatiques.
De même pour les exclusions pour force majeure où AWS rajoute aux éléments plus classiques certains plus étonnants comme "des défaillances électriques, des défaillances de télécommunications ou de tous autres équipements". Autant dire que tout élément pourra être considéré comme force majeure. Ces paragraphes sur les exonérations et limitations de responsabilités sont à la différence du reste du document, écrits en lettres majuscules.
En conclusion on peut se poser la question de savoir s'il est raisonnable de contracter un service où l'ensemble de la responsabilité est transférée au client ?
La réponse est bien évidemment oui, pour plusieurs raisons. Tout d'abord dès lors que le client est informé, il peut choisir et donc sélectionner les données qu'il est prêt à mettre dans le Cloud d'AWS. Secondement, les GAFA disposent d'une force de frappe notamment sur les aspects sécurité et innovation que même les grandes entreprises ne peuvent s'offrir. Enfin et comme nous le verrons dans un article suivant, la concurrence ne propose pas mieux ou alors à un prix bien plus élevé. En effet, ces conditions contractuelles permettent, en dégageant leur responsabilité, de réduire au minimum les frais de service client.
Par Olivier Crouzet, Senior Manager chez Sia Partners, cabinet de conseil en organisation et management et plus particulièrement expert en Sourcing IT.