Depuis le simple hébergement d’une application (bureautique ou métier) jusqu’à la déportation totale des ressources et services d’infrastructure, le “cloud” est devenu une religion pour un nombre toujours croissant d’entreprises et d’utilisateurs professionnels. Ce serait même quasiment un péché, si on en écoute certains, que de ne pas y souscrire.
Mais cela ne doit pas pour autant devenir un asservissement ou une opération sans retour.
Fin d’année dernière, Beltug, association belge de décideurs ICT (entreprises et acteurs publics), consacrait un atelier de réflexion aux précautions et dispositions contractuelles à prendre pour éviter que les clients d’une prestation cloud n’aient un jour une mauvaise surprise.
Un document est en préparation au sein de l’association qui servira, à l’avenir, de guide – que ce soit sous forme de checklist ou de liste de recommandations (la décision de la forme doit encore être prise).
Voici toutefois déjà quelques échos de ce que les membres du Beltug ont émis comme réactions, mises en garde ou témoignages à l’occasion de cet atelier.
** Face à un opérateur cloud, du plus modeste au prestataire hyper-dominant, la meilleure défense et préservation d’intérêt passe toute naturellement par un contrat bien pensé et bien ficelé. L’un des conseils prodigués lors de la session du Beltug fut de souligner que le département (ou le responsable IT) ne doit pas faire cavalier seul lorsqu’il prépare et négocie un tel document. “Les responsables de la gestion des services IT et ceux du département achats et/ou de l’équipe commerciale, par exemple, doivent gérer ensemble les phases de négociation, d’implémentation, de suivi et, en finale, de sortie du contrat”.
Eléments-clé à tenir à l’oeil et devant faire office de signaux d’alerte: un manque de proactivité et/ou de collaboration spontanée de la part du prestataire, des conditions de sortie du contrat excessives ou non précisées…
** Attention aux termes imprécis – voir manquants – du contrat. Il faut veiller par exemple tout particulièrement aux modalités de rupture ou de modification du contrat ou encore aux conditions posées pour pouvoir changer de prestataire ou pour pouvoir rapatrier services et ressources en interne…
Les deux orateurs, venus de chez Fluvius (1), mettaient ainsi en garde contre l’impossibilité qu’imposent parfois les contrats d’opérer une sortie partielle ou alors uniquement selon des conditions beaucoup trop sévères et désavantageuses pour le client.
Autre mise en garde: faire en sorte que le contrat prévoie que tout changement dans les termes du contrat – “les modifications sont souvent effectuées sans consentement préalable de l’entreprise cliente” – soit notifié en bonne et due forme.
** De même, avant de se lancer dans toute relation de service avec un prestataire cloud, il est plus que judicieux de vérifier la possibilité de “répartir ses oeufs IT” auprès de plusieurs prestataires. Autrement dit, de vérifier que le fonctionnement opérationnel de sa société sera toujours possible si on décide d’en appeler à plusieurs services cloud différents et que les infrastructures et/ou applications ainsi confiés à plusieurs intervenants opéreront sans heurts ou sans mécanismes complexes de réalignement.
** Gare également à la propriété des données. Les confier à un tiers, pour leur gestion, leur stockage et/ou sauvegarde, leur protection, implique-t-il d’en perdre tout ou partie de la maîtrise et de la propriété? En cours de contrat, selon le type de prestataire auquel une entreprise a recours et les règles qu’il applique, il se peut en effet qu’elle n’en aie plus la maîtrise ou ne conserve que les droits d’auteur sur les données confiées au cloud.
Par ailleurs, lorsque le contrat prend fin, le sort des données doit être clairement défini dans le contrat, sans zone d’ombre: “récupérer ses données n’est pas suffisant. Il faut aussi avoir toutes les garanties nécessaires pour que le prestataire les efface sur sa propre infrastructure. Et c’est là une chose qui doit être précisée dans le début de la relation contractuelle.”
(1) L’exposé qui a servi de base de réflexion et de discussion lors de cet atelier Beltug a été donné par Nele Vanderheijden, responsable Contrats, Logiciels, Ressources & Configuration, et Marc Vandenborne, responsable de la gestion des contrats et des licences chez Fluvius (société née, en 2018, de la fusion des GRD flamands Eandis et Infrax).
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.