CONFORMITE CLOUD Hebergeurs 2015/2016

« CONFORMITE CLOUD Hébergeurs 2015/2016 »
Les recommandations
du Conseil supérieur
de l’Ordre des experts-comptables

Préambule

Cette liste de recommandations est à destination des fournisseurs de solutions basées sur PAAS infogérées ouvertes à toutes solutions logicielles (dénommés les destinataires) pour leur permettre d’affirmer leur engagement sur le respect de la liberté, de l’autonomie, de l’indépendance et de la sécurité des structures d’expertise comptable et de leurs données.

Elle est le résultat de la réflexion du groupe de travail de professionnels, membres de la commission innovation technologique, sous la responsabilité du Vice-Président de la commission Michel Bohdanowicz.

 

 

Article 1 : Engagements des destinataires

1        Liberté, autonomie, indépendance

1.1     Réversibilité

La réversibilité garantit à l’utilisateur du service la possibilité de changer de prestataire en récupérant la totalité de ses données.

Aussi les destinataires s’engagent à :

  • a minima, à restituer la totalité des données (bases de données, fichiers bureautique, courriels, licences acquises, codes d’accès, etc…) dans leur forme d’origine et en conservant leurs arborescences ;
  • informer clairement sur la possibilité de récupérer les machines virtuelles pré-opérationnelles (sous réserve de l’acquisition éventuelle de licences complémentaires) ;
  • informer clairement sur la possibilité de récupérer un sous-système fonctionnel (messagerie, bureautique…) ;
  • informer clairement, dès la signature du contrat, de la durée de conservation des données par le prestataire après la fin de celui-ci ;
  • informer clairement dans le contrat l’existence d’une clause de collaboration avec le nouvel hébergeur.

1.2     Compatibilité entre les solutions cloud et étendue de l’offre

Il est précisé dans le contrat que les seules restrictions, à l’initiative de l’hébergeur, sur les ports, protocoles, URL utilisables et cryptage des données et logiciels hébergés sont celles liées à des risques de sécurité communément admis ou outils permettant une activité potentiellement illégale.

 

 

Aussi les destinataires s’engagent à donner une information claire dans le contrat sur :

  • la liste des restrictions connues à la signature et publications de leurs mises à jour régulières ;
  • d’éventuelles conditions particulières concernant l’hébergement de logiciels nécessitant des ressources supplémentaires ;
  • la possibilité de mettre en place une liaison sécurisée (https, ftps, sftp, vpn, as2, etc…) avec des ressources extérieures à la plateforme ;
  • l’existence d’une solution bureautique ;
  • l’existence d’une authentification unique ;
  • la possibilité d’installer une signature électronique de niveau RGS** ou plus ;
  • les tarifs liés à la volumétrie : données stockées, données échangées, nombre d’utilisateurs.

1.3     Durée et nature d’engagement

Aussi les destinataires s’engagent à :

  • ne pas imposer une durée d’abonnement supérieure à 24 mois ;
  • prévoir une clause de tacite reconduction par période de 12 mois maximum ;
  • ne pas imposer un délai de préavis de plus de 3 mois en cas de dénonciation du contrat par le client ;
  • respecter un préavis de 6 mois minimum pour dénoncer le contrat (pour tenir compte de la durée de la période fiscale des cabinets) ;
  • proposer un processus de recettage permettant de marquer le début du contrat et à chaque évolution majeure de la prestation.

 

 

1.4     Accessibilité des données cabinet

Un des atouts du cloud réside dans la disponibilité des données dans le temps et l’espace, traduite par l’acronyme ATAWAD (Anytime, Anywhere, Anydevices).

Aussi les destinataires s’engagent à :

  • offrir un accès ATAWAD « Anytime, Anywhere, Any Device » ;
  • donner l’accès aux sauvegardes du prestataire et à leur historique directement ou sur demande avec indication des coûts éventuels ;
  • ne pas programmer de maintenances techniques entrainant une indisponibilité du service pendant la plage horaire 8h00 / 20h00 du lundi au samedi.

1.5     Confidentialité et propriété des données

Les enjeux de propriété des données sont plus prégnants dans les solutions cloud.

Aussi les hébergeurs s’engagent à :

  • respecter et faire respecter par leurs collaborateurs et leurs fournisseurs le secret professionnel des experts-comptables ;
  • mettre en place des procédures pour assurer la non diffusion, non exploitation et non consultation des données par lui-même, son personnel, ses prestataires et les tiers non autorisés.

2        Sécurité

La contrepartie du cloud est une plus grande vulnérabilité aux menaces de pertes et vols des données ou à l’indisponibilité des services. Les paragraphes suivants expriment les dispositifs devant être mis en œuvre par les destinataires pour garantir un minimum de sécurité aux cabinets.

 

 

2.1         Cryptage des données

  • Les destinataires s’engagent à utiliser un tunnel sécurisé par un cryptage de minimum 128 bits (VPN, SSL, HTTPS, …).

2.2         Sauvegarde des données par le prestataire

Les destinataires s’engagent à :

  • effectuer une sauvegarde quotidienne conservée sur 45 jours glissants ;
  • limiter à 4 heures maximum, après un incident, le plan de reprise d’activité ;
  • limiter à 16 heures maximum les indisponibilités du service cumulée / an ;
  • mettre en place des procédures permettant la continuité d’activité et/ou la reprise d’activité ;
  • informer clairement sur la clause pénale en cas d’indisponibilité supérieure aux engagements de disponibilité

2.3         Sécurité physique des données

  • Les destinataires s’engagent à proposer des data center sécurisés par certification ISO 27001.

2.4         Localisation des données hébergées, responsabilités

Les destinataires s’engagent à :

  • ce que les données soient hébergées dans l’Union Européenne ou dans un pays avec qui la France a un accord de coopération fiscale. Cette règle est appliquée au serveur principal et à tous les dispositifs de secours ou secondaires. Elle est maintenue pendant toute la durée du contrat et adaptée selon les changements de la réglementation et des relations entre pays. Le client est informé des évolutions réalisées ;
  • ce qu’en cas de litige, seuls les tribunaux français soient compétents et le droit français soit applicable.

2.5         Authentification des utilisateurs

Les destinataires s’engagent à mettre en place :

  • une authentification avec gestion différenciée des droits d’accès ;
  • des procédures de révocation programmée et en cas d’urgence.

3        Garanties et données financières

Les destinataires s’engagent à :

  • mentionner dans le contrat les garanties et assurances proposées ;
  • communiquer sur demande du client leurs données financières, notamment leur cotation Banque de France ;
  • informer leurs clients en cas changement de contrôle (exclusif ou conjoint) ou d’influence notable (dans le sens de la norme IAS 28) et rendre possible la résiliation du contrat avec respect des délais de préavis prévus avec information préalable d’une éventuelle pénalité applicable au cabinet en cas d’exercice de son droit de résiliation. Cette pénalité ne pourra pas dépasser 25 % du montant des mensualités restant dues jusqu’à la fin du contrat ;
  • indiquer dans le contrat le montant du plafond d’assurance responsabilité professionnelle et d’une clause pénale en cas d’indisponibilité du service.

Article 2 : Communication

Les destinataires de la présente liste sont autorisés à apposer sur leurs supports de communication leur engagement de respecter l’ensemble des recommandations du CSOEC « Conformité Cloud Hébergeurs » suivi de l’année de validité.

Les destinataires bénéficieront par ailleurs de la promotion de la liste de recommandations « Conformité Cloud Hébergeurs » assurée par le Conseil Supérieur.

Article 3 : Durée

Compte tenu des évolutions technologiques très rapides, cette liste de recommandations est valable jusqu’au 31 décembre 2016 dans la version actuelle.

Article 4 : Non-respect des engagements

Le Conseil Supérieur n’est pas responsable du non-respect par les destinataires de leurs engagements.

A cet égard, nous rappelons qu’il s’agit d’un engagement unilatéral de l’hébergeur pour une offre précisément nommée et en aucun cas d’un agrément ou d’une labélisation attribuée par le Conseil Supérieur.

Il se réserve toutefois le droit de demander à un destinataire des explications en cas de doute sur le respect d’une recommandation.

Cette demande devra être adressée par courrier recommandé avec accusé de réception. Les explications du destinataire devront être communiquées au Conseil Supérieur par courrier recommandé avec accusé de réception dans un délai de 15 jours à compter de la date de réception ou de première présentation de la demande.

A défaut d’éléments d’explication permettant de garantir le respect de la recommandation en cause, le CSOEC informera le destinataire de son interdiction d’utiliser toute référence à la « Conformité Cloud Hébergeur » et de son retrait de la liste prévue à l’article 2 de la présente.