« Les engagements pris avec le prestataire ne se retrouvent pas dans la relation avec les sous-traitants de ce prestataire ». Ce jugement en forme d'avertissement émane de François-Pierre Lani, avocat-associé au cabinet Derriennic associés, et spécialiste du Saas (*).
Dans le Saas coexistent une relation visible et une relation plus cachée. Dans la première, le client contractualise avec un couple éditeur-intégrateur, dans la seconde le même contrat est répercuté sur plusieurs acteurs : hébergeurs, opérateurs de télécoms, fournisseurs de hard, fournisseurs de solutions de back up. Le risque est relativement bien identifié sur la première relation, il est minoré car plus complexe sur la seconde. C'est pourtant dans cette seconde phase que se trouvent les risques juridiques les plus élevés. « Les sinistres et les risques viennent de cette chaîne d'acteurs qui n'est pas bien contractualisée » souligne François-Pierre Lani qui met le doigt sur les risques engendrés par la cascade de sous traitants qui assurent les services en Saas. Après plus de dix ans d'existence des formules en Saas, et auparavant en ASP, les juristes disposent de conclusions sur les risques juridiques entraînés par ces formules. François-Pierre Lani les classe en deux grandes catégories : les risques liés à l'externe, ceux liés à la mutualisation. Les risques liés à l'externe sont des problèmes sécuritaires classiques liés à la pollution de données ou à la non atteinte des niveaux de services promis. Le client n'a pas toujours de recours, mais le prestataire principal n'a pas toujours d'emprise sur l'accès aux données et aux services. Les problèmes sont extrêmement divers : connexion, fonctionnement des systèmes électriques, mauvaise conservation des données, risques en cas de sinistre chez l'hébergeur physique. Les risques liés à la mutualisation, au partage de ressources, sont d'un autre ordre. Par exemple, la divulgation détaillée d'informations du client, l'absence de partitionnement des disques durs contenant les données de plusieurs clients, ou même le fait qu'un client emporte son disque d'accès, même de façon involontaire. Un risque particulier avec les prestataires américains
Suivez-nous