CONFORMITé CLOUD Hébergeurs 2016

#70e congrès
de l’ordre des experts-comptables
30 septembre - 1er octobre - 2 octobre
« CONFORMITé CLOUD Hébergeurs 2016 »
Les recommandations du Conseil supérieur de l’Ordre des experts-comptables
Préambule
Cette liste de recommandations est à destination des fournisseurs de solutions basées sur PAAS infogérées ouvertes à
toutes solutions logicielles (dénommés les destinataires) pour leur permettre d’affirmer leur engagement sur le respect de
la liberté, de l’autonomie, de l’indépendance et de la sécurité des structures d’expertise comptable et de leurs données.
Elle est le résultat de la réflexion du groupe de travail de professionnels, membres de la commission innovation
technologique, sous la responsabilité du Vice-Président de la commission Michel Bohdanowicz.
Article 1 - ENGAGEMENTS DES DESTINATAIRES
1.
LIBERTé, AUTONOMIE, INDéPENDANCE
1.1
RéVERSIBILITé
La réversibilité garantit à l’utilisateur du service la possibilité de changer de prestataire en récupérant la totalité de
ses données.
Aussi les destinataires s’engagent à :
1.1.1restituer a minima la totalité des données (bases de données, fichiers bureautique, courriels, licences
acquises, codes d’accès, etc…) dans leur forme d’origine et en conservant leurs arborescences ;
1.1.2informer clairement sur la possibilité de récupérer les machines virtuelles pré-opérationnelles (sous réserve
de l’acquisition éventuelle de licences complémentaires) ;
1.1.3
informer clairement sur la possibilité de récupérer un sous-système fonctionnel (messagerie, bureautique…) ;
1.1.4informer clairement, dès la signature du contrat, de la durée de conservation des données par le prestataire
après la fin de celui-ci ;
1.1.5
informer clairement dans le contrat l’existence d’une clause de collaboration avec le nouvel hébergeur..
1.2
Compatibilité entre les solutions cloud et étendue de l’offre
Il est précisé dans le contrat que les seules restrictions, à l’initiative de l’hébergeur, sur les ports, protocoles,
URL utilisables et cryptage des données et logiciels hébergés sont celles liées à des risques de sécurité
communément admis ou outils permettant une activité potentiellement illégale.
Aussi les destinataires s’engagent à donner une information claire dans le contrat sur :
1.2.1
la liste des restrictions connues à la signature et publications de leurs mises à jour régulières ;
1.2.2d’éventuelles conditions particulières concernant l’hébergement de logiciels nécessitant des ressources
supplémentaires ;
1.2.3la possibilité de mettre en place une liaison sécurisée (https, ftps, sftp, vpn, as2, etc…) avec des ressources
extérieures à la plateforme ;
1.2.4
l’existence d’une solution bureautique ;
1.2.5
l’existence d’une authentification unique ;
1.2.6
la possibilité d’installer une signature électronique de niveau RGS** ou plus ;
1.2.7
les tarifs liés à la volumétrie : données stockées, données échangées, nombre d’utilisateurs.
1.3
Durée et nature d’engagement
Aussi les destinataires s’engagent à :
1.3.1
ne pas imposer une durée d’abonnement supérieure à 24 mois ;
1.3.2
prévoir une clause de tacite reconduction par période de 12 mois maximum ;
1.3.3
ne pas imposer un délai de préavis de plus de 3 mois en cas de dénonciation du contrat par le client ;
1.3.4respecter un préavis de 6 mois minimum pour dénoncer le contrat (pour tenir compte de la durée de la
période fiscale des cabinets) ;
1.3.5proposer un processus de recettage permettant de marquer le début du contrat et à chaque évolution
majeure de la prestation.
1.4
Accessibilité des données cabinet
Un des atouts du cloud réside dans la disponibilité des données dans le temps et l’espace, traduite par
l’acronyme ATAWAD (Anytime, Anywhere, Anydevices).
Aussi les destinataires s’engagent à :
1.4.1
offrir un accès ATAWAD « Anytime, Anywhere, Any Device » ;
1.4.2donner l’accès aux sauvegardes du prestataire et à leur historique directement ou sur demande avec indication
des coûts éventuels ;
1.4.3ne pas programmer de maintenances techniques entrainant une indisponibilité du service pendant la plage
horaire 8h00 / 20h00 du lundi au samedi.
1.5
Confidentialité et propriété des données
Les enjeux de propriété des données sont plus prégnants dans les solutions cloud.
Aussi les hébergeurs s’engagent à :
1.5.1respecter et faire respecter par leurs collaborateurs et leurs fournisseurs le secret professionnel des expertscomptables ;
1.5.2mettre en place des procédures pour assurer la non diffusion, non exploitation et non consultation des
données par lui-même, son personnel, ses prestataires et les tiers non autorisés.
2. SECURITé
La contrepartie du cloud est une plus grande vulnérabilité aux menaces de pertes et vols des données ou à l’indisponibilité des services. Les paragraphes suivants expriment les dispositifs devant être mis en œuvre par les destinataires
pour garantir un minimum de sécurité aux cabinets.
2.1
Cryptage des données
2.1.1Les destinataires s’engagent à utiliser un tunnel sécurisé par un cryptage de minimum 128 bits (VPN, SSL,
HTTPS, …).
2.2
Sauvegarde des données par le prestataire
Les destinataires s’engagent à :
2.2.1
effectuer une sauvegarde quotidienne conservée sur 45 jours glissants ;
2.2.2
limiter à 4 heures maximum, après un incident, le plan de reprise d’activité ;
2.2.3
limiter à 16 heures maximum les indisponibilités du service cumulée / an ;
2.2.4
mettre en place des procédures permettant la continuité d’activité et/ou la reprise d’activité ;
2.2.5
informer clairement sur la clause pénale en cas d’indisponibilité supérieure aux engagements de disponibilité
2.3
Sécurité physique des données
2.3.1
Les destinataires s’engagent à proposer des data center sécurisés par certification ISO 27001.
2.4
Localisation des données hébergées, responsabilités
Les destinataires s’engagent à :
2.4.1ce que les données soient hébergées dans l’Union Européenne ou dans un pays avec qui la France a
un accord de coopération fiscale. Cette règle est appliquée au serveur principal et à tous les dispositifs
de secours ou secondaires. Elle est maintenue pendant toute la durée du contrat et adaptée selon les
changements de la réglementation et des relations entre pays. Le client est informé des évolutions réalisées ;
2.4.2
ce qu’en cas de litige, seuls les tribunaux français soient compétents et le droit français soit applicable.
2.5
Authentification des utilisateurs
Les destinataires s’engagent à mettre en place :
2.5.1
une authentification avec gestion différenciée des droits d’accès ;
2.5.2
des procédures de révocation programmée et en cas d’urgence.
3.
GARANTIES ET DONNéES FINANCIèRES
3.1
mentionner dans le contrat les garanties et assurances proposées ;
3.2
communiquer sur demande du client leurs données financières, notamment leur cotation Banque de France ;
Les destinataires s’engagent à :
3.3informer leurs clients en cas changement de contrôle (exclusif ou conjoint) ou d’influence notable (dans le
sens de la norme IAS 28) et rendre possible la résiliation du contrat avec respect des délais de préavis prévus
avec information préalable d’une éventuelle pénalité applicable au cabinet en cas d’exercice de son droit de
résiliation. Cette pénalité ne pourra pas dépasser 25 % du montant des mensualités restant dues jusqu’à la
fin du contrat ;
3.4indiquer dans le contrat le montant du plafond d’assurance responsabilité professionnelle et d’une clause
pénale en cas d’indisponibilité du service.
Article 2 - COMMUNICATION
Les destinataires de la présente liste sont autorisés à apposer sur leurs supports de communication leur engagement
de respecter l’ensemble des recommandations du Conseil Supérieur de l’Ordre des Experts-Comptables (CSOEC)
« Conformité Cloud Hébergeurs » suivi de l’année de validité.
Les destinataires bénéficieront par ailleurs de la promotion de la liste de recommandations « Conformité Cloud
Hébergeurs » assurée par le Conseil supérieur.
Article 3 - DUREE
Compte tenu des évolutions technologiques très rapides, cette liste de recommandations est valable jusqu’au 31 décembre
2016 dans la version actuelle.
Article 4 - NON RESPECT DES ENGAGEMENTS
Le Conseil supérieur n’est pas responsable du non-respect par les destinataires de leurs engagements.
A cet égard, nous rappelons qu’il s’agit d’un engagement unilatéral de l’hébergeur pour une offre précisément nommée
et en aucun cas d’un agrément ou d’une labélisation attribuée par le Conseil supérieur.
Il se réserve toutefois le droit de demander à un destinataire des explications en cas de doute sur le respect d’une recommandation.
Cette demande devra être adressée par courrier recommandé avec accusé de réception. Les explications du destinataire
devront être communiquées au Conseil supérieur par courrier recommandé avec accusé de réception dans un délai de
15 jours à compter de la date de réception ou de première présentation de la demande.
A défaut d’éléments d’explication permettant de garantir le respect de la recommandation en cause, le CSOEC informera
le destinataire de son interdiction d’utiliser toute référence à la « Conformité Cloud Hébergeur » et de son retrait de la
liste prévue à l’article 2 de la présente.
Et pour en savoir plus :
retrouvez le Guide pratique sur le bon usage du Cloud Computing
par les cabinets d’expertise-comptable sur le stand de la Boutique,
Place du Conseil supérieur, Cité de la Profession.
Retrouvez toutes les publications, produits numériques,
services, événements sur
www.boutique-experts-comptables.com