Contrat d’ASP | Application Service Provider

  • Description de ce document juridique

  • Votre accès ne vous permet pas de télécharger ce document

  • Modèle de Contrat d'ASP ayant pour objet de définir les conditions dans lesquelles le Prestataire, Application Service Provider, consent au Client, un droit privatif d’utilisation de ses Services applicatifs. Le droit d’utilisation est assorti de prestations informatiques connexes, le tout formant une indivisibilité contractuelle au sens du Code civil.  Le Prestataire est également investi des droits patrimoniaux sur l’ensemble de la documentation, notice et livrets de formation des Services applicatifs. 

    Ce contrat d'ASP est accompagné de la recommandation CNIL sur le respect des données personnelles en matière de Cloud computing et d'externalisation.

    Au sens du Contrat d'ASP, le Prestataire propose au Client une solution ASP :

    - Spécialiste (ou fonctionnel) : application seule ;

    - Verticale : une solution sous forme de progiciel pour un type de Client spécifique ;

    - Entreprise : spectre complet de solutions ;

    - Locale : services dans une zone géographique limitée.

    La solution ASP peut être distribuée selon le mode de service suivant :

    - SaaS : « Software as a Service » : fourniture de logiciel en ligne ;

    - PaaS : « Platform as a Service » : fourniture d’une plateforme de développement d’applications en ligne;

    - IaaS : « Infrastructure as a Service » : fourniture d’infrastructures de calcul et de stockage en ligne.

    La solution ASP peut porter sur les métiers d’entreprise suivants :

    - Gestion des ressources humaines ;

    - Gestion des achats ;

    - Gestion de la logistique ;

    - Gestion de l’hébergement ;

    - Gestion du CRM / Relation client

    - Gestion de la comptabilité …

    Par défaut, le Prestataire propose au Client un hébergement des Services applicatifs sur serveur mutualisé aux conditions fixées en Annexe des présentes. Le Prestataire peut proposer au Client, sur option, un hébergement sur serveur dédié.

    Le Prestataire assure au Client que l’ensemble des lieux d’hébergement et d’exécution de la  prestation répondent d’une part aux exigences de sécurité du Client et d’autre part aux obligations légales et réglementaires, notamment en ce qui concerne la protection des données à caractère personnel. Il en va de même des sites de télémaintenance s’ils peuvent accéder aux données.

    En tant que professionnel, le Prestataire déclare avoir une connaissance suffisante de la loi informatique et libertés  n° 78-17 du 6 janvier 1978 et du Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGDP »).

    Le Prestataire est particulièrement vigilant aux solutions d’hébergement hors Union européenne nécessitant des transferts de données personnelles et/ou constituées sous forme de Cloud computing. A ce titre, le Prestataire utilise, lorsqu’il fait appel à des sous traitants localisés hors de l’Union européenne, des clauses contractuelles types assurant un haut niveau de protection aux personnes dont les données sont traitées.

    Par ailleurs, le Client, éventuellement après audit ou accompagnement du Prestataire déclare avoir procédé à une évaluation du caractère significatif de ses activités à risques et déterminé si ces dernières peuvent être impactées par les présentes. Cette évaluation doit être faite sur les bases suivantes :

    (a) le caractère critique des activités à externaliser et le profil de risque inhérent à ces dernières, c’est-à-dire déterminer si les activités sont critiques pour la viabilité/continuité d’activité du Client et ses obligations envers ses propres clients;

    (b) l’incidence opérationnelle directe des interruptions de service, et les risques juridiques et de réputation connexes;

    (c) l’incidence que toute interruption de l’activité pourrait avoir sur les perspectives de revenus du Client ;

    (d) l’incidence potentielle qu’une violation de la confidentialité ou l’incapacité à assurer l’intégrité des données pourraient avoir sur le Client et ses propres clients.

    A ce titre, le Prestataire conseille au Client de tenir à jour un registre des informations sur l’ensemble de ses activités significatives et non significatives externalisées vers tous ses fournisseurs de Services en nuage (publics ou privés, communautaires, hybrides …) à l’échelon de son établissement.

    Le Client s’engage également à mettre en place ses registres de sécurité destinés à :

    (a) recenser et classifier ses activités, ses processus et les données et systèmes connexes en matière de sensibilité et de protection requise;

    (b) procéder à une sélection minutieuse, fondée sur les risques, des activités, des processus et des données et systèmes connexes susceptibles d’être externalisés vers une infrastructure informatique en nuage;

    (c) définir et décider d’un niveau approprié de protection de la confidentialité des données, de continuité des activités externalisées, ainsi que d’intégrité et de traçabilité des données et des systèmes dans le cadre de l’externalisation en nuage envisagée.

    Le Client est invité à examiner des mesures spécifiques, le cas échéant, applicables aux données en transit, aux données en mémoire et aux données au repos, telles que l’utilisation de technologies de cryptage associées à une architecture de gestion des clés appropriée.

    Le Client, déclare adopter une approche fondée sur le risque concernant la localisation et le traitement des données lorsqu’il recourt à l’externalisation vers un environnement en nuage. L’évaluation faite par le Client doit porter sur la possible incidence des risques, y compris les risques juridiques et les questions de conformité, ainsi que sur les limites de la surveillance dans les pays où les services externalisés sont fournis ou susceptibles de l’être et les données stockées ou susceptibles de l’être. L’évaluation devrait tenir compte de considérations relatives à la stabilité politique et sécuritaire plus large des juridictions en cause, aux lois en vigueur au sein de ces juridictions (y compris la législation relative à la protection des données), et aux dispositions sur l’application des lois en vigueur dans ces juridictions.

    Le Client s’engage à  prévoir et mettre en œuvre des dispositions visant à maintenir la continuité de ses activités si la prestation de services ASP devait être interrompue. Ces dispositions incluent des plans d’urgence (scénarii) et une stratégie de retrait clairement définie.

    Thème Réponses Dernières réponses Actualisé
    Aucune Question Réponse

    Connectez-vous pour poser votre question

    « Retour à Tous les téléchargements

    Haut
    AIDE / QUESTION ?
    close slider
    Question juridique ? Abonnement express ? Réponse assurée dans la journée
    Civilité*
    Email:*
    Sujet :