Attention, si vous signez avec Amazon Web Services
Les entreprises contractant avec Amazon web services pour son offre cloud public, doivent signer son contrat d'adhésion en ligne. Les conditions générales de services Amazon prévalent sur ce contrat client et comportent de nombreuses clauses surprenantes par le verrouillage contractuel qu'elles impliquent.
Tout d'abord, il faut prévoir le temps nécessaire pour lire ce contrat aux pages innombrables. «Nous avons fait lire le contrat client par un stagiaire, il a mis 12 heures et encore il n'avait pas cliqué sur tous les liens. » nous explique Maître Iteanu, avocat à la Cour d'appel de Paris et secrétaire général d'EuroCloud France, qui a analysé sur le site d'EuroCloud France les spécificités de ce contrat.
Certaines clauses attirent l'attention. On y trouve par exemple une interdiction pour le client, s'il utilise des produits Microsoft, de piloter des centrales nucléaires ou chimiques. « On en vient à se demander si quelqu'un a lu le contrat chez Amazon, car, pour piloter une centrale nucléaire, il faut surement des applications plus spécialisées et complexes que celles proposées par Microsoft, et il existe des moyens plus adaptés pour sécuriser ses données que le cloud public. »
Une clause trompeuse
Concernant la localisation des données, Amazon propose à ses clients de choisir la région où ils souhaitent les voir hébergées. Mais cette clause est trompeuse, car il est aussi précisé, quelques pages plus loin, qu'Amazon s'autorise à transférer ces données ailleurs, sur simple notification à son client. Plus encore, Amazon peut déplacer les données clients s'il y est contraint par la loi ou les autorités américaines, sans en avertir le client.
Il y a ici une claire référence aux dispositions légales de l'USA Patriot Act. D'ailleurs, en cas de litige, c'est à la juridiction exclusive de l'Etat de Washington qu'est soumis le client, qui devra donc se trouver un avocat américain pour le défendre. « En ce qui concerne la sécurité des données et savoir qui y a accès, ce contrat n'est pas d'une grande aide pour le professionnel, il n'y a aucune garantie juridique. »
Amazon peut mettre fin à tout moment au contrat avec un préavis de 30 jours. C'est un délai très court pour assurer la réversibilité des données et la bonne continuité du service avec un autre fournisseur. En France, l'usage est de minimum 90 jours. Les dates d'entrée en vigueur des conditions générales de vente changent régulièrement, ce qui implique des modifications régulières de versions.
Les entreprises vulnérables
Certains choisirons Amazon pour sa pérennité technologique plus que pour ses garanties juridiques. Mais de nombreuses clauses impliquent qu'Amazon se déresponsabilise de tout dommage direct que pourrait subir le client, ce qui le fragilise. « Les clients ne lisent jamais les contrats » les possibilités de recours sont toujours possible, mais ces contrats peuvent néanmoins devenir très handicapants pour les clients.
Il est donc fortement recommandé de prendre des précautions lors d'un engagement avec un fournisseur, « il faut faire une analyse du risque en amont, notamment en regard de la criticité des données confiées à Amazon, et décider ensuite, en ayant tous les éléments en main. »
Le contrat d'Amazon est un exemple de complexité et verrouillage systématique des recours du client, mais il n'est pas le seul, « il faut faire reculer ces pratiques qui rendent les entreprises clientes vulnérables et faire émerger des acteurs du cloud qui seront plus respectueux des besoins de leurs clients. »
