CONVENTION DE SERVICE SECNUMCLOUD

Convention de service SecNumCloud Version 6 décembre 2023


CONVENTION DE SERVICE SECNUMCLOUD





ENTRE LES SOUSSIGNÉES,



OUTSCALE, Société par Actions Simplifiée Unipersonnelle au capital de 1 849 930 €, immatriculée au registre du commerce et des sociétés de Nanterre sous le n° 527 594 493, dont le siège social est sis 0, xxx Xxxxxx, 000 Xxxxxxx xx xx Xxxxxxx, 00000 Xxxxx Xxxxx,



ci-après dénommé le « Prestataire » ou « 3DS OUTSCALE »,


D’UNE PART,


ET



Remplir les informations concernant l'identité de l'entité contractante (dénomination sociale, domiciliation, représentatant, le cas échéant le n° d'immatriculation.



ci-après dénommé le « CLIENT » ou le « COMMANDITAIRE »,


D’AUTRE PART.



3DS OUTSCALE et le CLIENT étant ci-après désignés individuellement la « Partie » et collectivement les « Parties ».

Préambule

3DS OUTSCALE est un Prestataire français de services informatiques en nuage s’appuyant sur des infrastructures situées sur le territoire français. 3DS OUTSCALE propose une série de services IaaS, PaaS et SaaS sécurisés, innovants et flexibles.


L’Agence Nationale de la Sécurité et des Systèmes d’Information (« ANSSI ») a publié le référentiel d’exigences « SecNumCloud » applicable aux prestataires de services informatiques en nuage qui font la démarche de se qualifier.


Ce référentiel permet aux clients qui choisissent des prestataires qualifiés SecNumCloud de disposer de garanties sur les compétences du prestataire et de son personnel, sur la qualité de sa prestation et sur la confiance que le client peut accorder au prestataire.


Les Parties ont conclu un Contrat constitué des Conditions Générales de Vente de 3DS OUTSCALE, complétées par la présente Convention de Service pour la fourniture des Services sur le périmètre de la Région « Secteur Public ».


Par dérogation aux Conditions Générales de Vente, en cas de contradiction entre celles-ci et la présente Convention de Service, cette dernière prévaudra.


Il est précisé que 3DS OUTSCALE est qualifié SecNumCloud par l’Agence Nationale de la Sécurité et des Systèmes d’Information (« ANSSI ») au titre du décret n°2015-350 du 27 mars 2015 pour ses services d’informatique en nuage de type IaaS – CLOUD ON DEMAND, une attestation de qualification est annexée à la présente Convention de Service (Annexe B). 3DS OUTSCALE est en mesure de fournir lesdits services IaaS en conformité avec les exigences du référentiel SecNumCloud.

  1. Définitions

Les termes et expressions identifiés par une majuscule dans la présente Convention ont le sens qui leur est donné dans le présent article ou dans le contrat spécifique ou dans les Conditions Générales de Vente 3DS OUTSCALE auxquelles se rattache la présente Convention.


À l’effet d’interpréter la présente Convention de Service, les Parties sont convenues des définitions suivantes qui complètent celles du contrat spécifique ou des Conditions Générales de Vente 3DS OUTSCALE :


Actions d’administration : Ensemble des actions d’installation, de suppression, de modification et de consultation de la configuration d’un système participant au Système d’Information du Service et susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.


Administrateur : Utilisateur disposant de droits privilégiés lui permettant de réaliser les tâches qui lui sont attribuées. On distingue les Administrateurs suivants :


  • Administrateur de sécurité : Administrateur en charge de la configuration de sécurité, notamment de la gestion des droits d’accès des Administrateurs.


  • Administrateur d’infrastructure : Administrateur en charge de la gestion et du maintien en conditions opérationnelles et en condition de sécurité de l’Infrastructure technique du Service. Il est toujours sous la responsabilité du Prestataire.


  • Administrateur système : Administrateur des ressources logiques supportées par l’Infrastructure technique du Service. Selon le type d’architecture du Service, l’administration système peut concerner les ressources abstraites (machines virtuelles, réseaux virtuels, etc.), les systèmes d’exploitation, les intergiciels, les logiciels métier, etc.


  • Administrateur métier : Administrateur en charge de l’administration fonctionnelle au niveau applicatif.


Audit : Processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les exigences d’un référentiel sont satisfaites.


Bien : Tout élément représentant de la valeur pour le Service.


Conditions Générales de Vente 3DS OUTSCALE : passées entre 3DS OUTSCALE et son CLIENT pour encadrer les Services liées à un Compte CLIENT accessibles à l'adresse xxxxx://xx.xxxxxxxx.xxx/xxxxxx/#xxx.


Contrat : Ensemble contractuel constitué du contrat spécifique ou des Conditions Générales de Vente de 3DS OUTSCALE, complétées par la présente Convention de Service pour la fourniture des Services sur le périmètre de la Région « Secteur Public ».


Convention de Service : Le présent document pris en application du contrat spécifique ou des Conditions Générales de Vente de 3DS OUTSCALE et conformément aux exigences du Référentiel SecNumCloud.


Cloud computing (informatique en nuage) : Modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.


Disponibilité : Aptitude à rendre accessible et dans les performances attendues un Service conformément aux dispositions prévues aux SLA.


Durabilité : Probabilité de non-effacement d’une donnée de manière inopinée (l’effacement pouvant être causé par des phénomènes physiques comme le « bit flip », le dysfonctionnement d’une technologie particulière, le vieillissement des supports de stockage, etc.), par exemple : une durabilité de 99,9999999 % par an signifie que 0,0000001 % au plus des données peut être altérés dans l’année.


État de l’art : Ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine réglementaire.


Incident lié à la sécurité de l’information : Un ou plusieurs évènement(s) liés à la sécurité de l’information, indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme ou de menacer la sécurité de l’information.


Menace : Cause potentielle d’un incident indésirable pouvant nuire à un système ou à un organisme.


Mesure de sécurité : Mesure qui modifie la vraisemblance ou la gravité d’un risque. Elle comprend la politique, les procédures, les lignes directrices, et les pratiques ou structures organisationnelles, et peut être de nature administrative, technique, managériale ou juridique.


Pénalités : pénalités associées aux SLA, telles que prévues en Annexe A des Conditions Générales de Vente 3DS OUTSCALE - « Pénalités associées aux SLA ».


Politique : Intentions et orientations d’un organisme telles que formalisées par sa direction.


Prestataire d’Audit de la Sécurité des Systèmes d’Information : Organisme réalisant des prestations d’audit de la sécurité des systèmes d’information. Il est dit qualifié si un organisme de qualification a attesté de sa conformité au référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information.


Qualité de Service / SLA : Les engagements de qualité de service de 3DS OUTSCALE, niveau de disponibilité par exemple, relativement au(x) Service(s).


Référentiel SecNumCloud : le référentiel d’exigences des Prestataires de services d’informatique en nuage (SecNumCloud), dans sa version applicable telle que décrite en Annexe.


Responsable 3DS OUTSCALE/CLIENT : Le représentant de 3DS OUTSCALE et celui du CLIENT dans le cadre du Contrat et de la présente Convention de Service prise en application de lui. Les Responsables doivent avoir les compétences techniques requises et la capacité juridique d’engager leur société : ils sont les destinataires des notifications émises dans le cadre de la Convention de Service. Les Responsables sont définis à l’article « Contacts » de la présente Convention de Service.


Ressources virtualisées : Abstraction des ressources matérielles d’un système (CPU, RAM, etc.) qui sont mises à disposition par l’infrastructure technique.


Réversibilité : Les diligences qui doivent être effectuées par 3DS OUTSCALE, et par le CLIENT, en cas de résiliation ou terminaison du Contrat, pour que le CLIENT puisse transférer ses Données, programmes, applications, etc. vers d’autres ressources que celles mises à disposition par 3DS OUTSCALE conformément à l’article « Réversibilité » de la présente Convention de Service.


Risque : Effet de l’incertitude sur l’atteinte des objectifs. Il est exprimé en termes de combinaison des conséquences d’un évènement et de sa vraisemblance.


Sécurité d’un Système d’Information : Ensemble des moyens techniques et non techniques de protection permettant à un Système d’information d’assurer la disponibilité, l’intégrité et la confidentialité des données, traitées ou transmises, et des services connexes que ces systèmes offrent ou rendent accessibles.


Service(s) 3DS OUTSCALE ou Service(s) : Le(s) service(s) XxxX commandés par le CLIENT dans le cadre du Contrat et soumis à la présente Convention de Services prise en application dudit Contrat.


Supervision : Surveillance du bon fonctionnement d’un Système d’information ou d’un Service. Elle concerne la collecte de données (mesures, alarmes, etc.) mais elle ne permet pas d’agir sur l’élément surveillé (ce qui relève des tâches d’Administration).


Support Technique (ou Support) : Ensemble des actions de diagnostic ayant pour finalité la résolution des problèmes rencontrés par le CLIENT. Les tâches réalisées par les équipes en charge du support relèvent de la supervision. Si la résolution du problème nécessite une action de la part du Prestataire, cette dernière relève dès lors de l’Administration et doit être effectuée dans les conditions idoines.


Système(s) d’information : Ensemble organisé de ressources (matériels, logiciels, personnels, données et procédures) permettant de traiter et de diffuser de l’information.


Tiers : L’ensemble des participants à la mise en œuvre du Service (hébergeur, développeur, intégrateur, archiveur, sous-traitant opérant sur site ou à distance, fournisseurs de climatisation, etc.) listés à l’article 5 de la présente Convention de Service.


Utilisateur : Toute personne disposant d’un Compte d’Accès Cloud dans le périmètre du Service. Ce terme générique englobe les Utilisateurs finaux et les Administrateurs.


Utilisateur final ou Utilisateurs finaux : Personne jouissant in fine du Service mis en œuvre. Il peut s’agir du personnel du CLIENT dans le cas d’un service interne, ou de ses propres clients dans le cas d’un service proposé à l’extérieur.


Vulnérabilité : Faiblesse d’un bien ou d’une mesure pouvant être exploitée par une menace ou un groupe de menaces.

  1. Objet

La présente Convention de Service a pour objet de définir les conditions spécifiques de fourniture, par 3DS OUTSCALE, en conformité avec les exigences du Référentiel SecNumCloud, du ou des Services commandé(s) par le CLIENT aux termes du Contrat.

  1. Révision

Toute modification de la présente Convention de Service doit être soumise à l’acceptation du CLIENT.


  1. Résiliation en cas de perte de la qualification

Il est précisé que la Convention de Service pourra être résiliée sans pénalité en cas de perte par 3DS OUTSCALE de sa qualification SecNumCloud. Si 3DS OUTSCALE perdait sa qualification SecNumCloud, elle devrait immédiatement le notifier au CLIENT par lettre recommandée avec avis de réception.


  1. Les tiers impliqués dans la fourniture du Service, leurs obligations, droits et responsabilités et ceux de 3DS OUTSCALE

  1. Datacenters

Dans le cadre des Services, 3DS OUTSCALE fera appel aux datacenters suivants qui sont certifiés ISO/IEC 27001 et situés en France métropolitaine :

Nom

Services

EQUINIX

Datacenter (site de production)

INTERXION

Datacenter (site de sauvegarde)

TELEHOUSE

Datacenter (site de production)


Le Service « Datacenter » consiste en :


    • la mise à disposition de locaux d’hébergement pour l’Infrastructure 3DS OUTSCALE,

    • la fourniture de ressources électriques,

    • le système de refroidissement,

    • la détection incendie,

    • le contrôle d’accès,

    • la surveillance des locaux,

    • ainsi que la continuité et la reprise d’activité sur l’ensemble des obligations mentionnées ci-dessus.


  1. Autres tiers impliqués dans la fourniture du Service


Dans le cadre des Services, en sus des tiers « Datacenter », 3DS OUTSCALE fera appel aux tiers suivants :


Nom

Services

LUMEN (anciennement LEVEL 3 / CenturyLink)

Transit IP

COGENT

Transit IP

SIPARTECH

Fibre noire

RATPConnect (anciennement Telcité)

Fibre noire

INTERDATA

Fibre noire


Le Service « Transit IP » consiste en l’accès Internet dédié, HSIP (High Speed Internet Protocol) port et services.


Le Service « Fibre noire » consiste en la fourniture et la maintenance de fibre noire.




  1. Obligations, droits et responsabilités des tiers et de 3DS OUTSCALE


Aucune autre obligation de 3DS OUTSCALE que celles mentionnées ci-dessus en (i) et (ii) n’est reportée aux entités ci-dessus.


3DS OUTSCALE est responsable du respect par les tiers ci-dessus de ses obligations découlant de la présente Convention de Service au titre des Services qu’elle leur confie. 


  1. Changement d’un tiers impliqué dans la fourniture du Service


3DS OUTSCALE informera le CLIENT si un changement de tiers participant à la mise en œuvre du Service affecte le niveau de sécurité du Service.

  1. Obligations, droits et responsabilités des Parties

En sus des obligations générales des Parties stipulées au Contrat, les Parties s’engagent aux obligations suivantes.


  1. Localisation du Service et des Données / transfert à l’étranger


3DS OUTSCALE s’engage à fournir le Service et toutes les opérations associées tel que le Support exclusivement sur le territoire de l’Union européenne.


Les Données du CLIENT, qu’elles soient personnelles ou non, seront hébergées dans des Datacenters situés sur le territoire français.




  1. Qualité des Services / respect des normes


3DS OUTSCALE apportera tout son savoir-faire aux Services en vue de les exécuter conformément aux règles de l’art et à leurs spécifications et dans le respect de sa certification ISO/IEC 27001 et du Référentiel SecNumCloud.


  1. Administration, Supervision et Support


Les Actions d’administration, de Supervision et de Support sont réalisées depuis la France ou l’Union européenne.


  1. Régionalisation


Les interfaces du Service sont disponibles en langue française.


Le Support peut être fourni en français ou en anglais au choix du CLIENT lors de la création de son ticket.


  1. Obligations de 3DS OUTSCALE quant aux accès à distance


Les Administrateurs de la plateforme peuvent-être amenés pour des opérations en astreinte à se connecter à distance au réseau d'Administration de la plateforme.


Les postes d'administration utilisés dans ce cadre sont dédiés à ces opérations d'Administration et uniquement à ces opérations et ne peuvent être utilisés pour autre chose en conformité avec le Référentiel SecNumCloud.



  1. Éléments explicitement exclus de la responsabilité de 3DS OUTSCALE


Dans le cadre de la présente Convention de Service, 3DS OUTSCALE exclut explicitement toute responsabilité, dans la limite de ce que prévoient les exigences légales et réglementaires en vigueur, sur tous les éléments ci-dessous qui ne sont pas indiqués comme faisant partie du périmètre du Service fourni par 3DS OUTSCALE.





  1. Matrice de responsabilité


Les obligations, droits et responsabilités de 3DS OUTSCALE et ceux du CLIENT qui ont un impact dans le cadre de la relation contractuelle entre le CLIENT et 3DS OUTSCALE dans le cadre d’un Service rendu en application de la présente Convention de Service et conformément au Référentiel SecNumCloud sont décrits dans la Matrice des responsabilités (xxxxx://xx.xxxxxxxx.xxx/xxxxxx/#xxxxxxx), sans préjudice des autres obligations des Parties stipulées ailleurs dans la présente Convention de Service.


Les obligations, droits et responsabilités des tiers sont indiqués à l’article « Les Tiers impliqués dans la fourniture du Service, leurs obligations, droits et responsabilités et ceux de 3DS OUTSCALE » de la présente Convention de Service.



  1. Réversibilité

Conformément au Contrat, 3DS OUTSCALE met à la disposition du CLIENT des Services permettant l’hébergement de données, d’applications, etc. (les « Systèmes d’Information » du CLIENT comme dit à l’article « Définitions »).


La Réversibilité consiste à permettre au CLIENT de récupérer tous les éléments qui composent ses Systèmes d’Information (ci-après les « Éléments du CLIENT » ou les « Éléments ») en vue de les transférer chez un autre prestataire que 3DS OUTSCALE.


Pour ce faire, 3DS OUTSCALE met à la disposition du CLIENT (ou des tiers compétents désignés par lui) des API ouvertes, ainsi que la documentation associée, qui lui permettent d’assurer la récupération et le transfert de ses éléments chez lui-même ou un autre prestataire que 3DS OUTSCALE.


3DS OUTSCALE confère, pendant un (1) mois à compter de la fin de la Convention de Service, au CLIENT, un droit d’accès en vue de la Réversibilité, comme expliqué ci-dessous.


En cas de terminaison de la Convention de Service, pour quelque raison que ce soit, y compris à l’initiative de 3DS OUTSCALE, le CLIENT bénéficiera d’un accès à la Plateforme d’un (1) mois à compter de la date de la fin de la Convention de Service lui permettant uniquement de récupérer l’ensemble de ses éléments.


À l’issue de ce délai d’un (1) mois, le CLIENT transmettra à 3DS OUTSCALE un procès-verbal signé de « Récupération des données terminée ». À compter de la réception de ce procès-verbal, 3DS OUTSCALE mettra fin à l’accès nécessaire à la récupération des Données et effacera toutes les Données du CLIENT et n’en conservera aucune trace.


À partir de ce délai d’un (1) mois et si le CLIENT n’a pas adressé de procès-verbal signé de « Récupération des données terminée » et après mise en demeure par lettre recommandée avec avis de réception au CLIENT, d’émettre le procès-verbal signé de « Récupération des données terminée », restée infructueuse pendant les quinze (15) jours ouvrés suivants sa réception, 3DS OUTSCALE pourra facturer l’immobilisation des espaces de stockages sur lesquels les Données sont encore présentes pendant 13 (treize) mois maximum. Au-delà de ce délai, 3DS OUTSCALE se réserve le droit de supprimer les Données dont il est question.


Toutes les données du CLIENT sont effacées au plus tard deux (2) semaines et un (1) jour après la fin de la Réversibilité.


Par ailleurs, 3DS OUTSCALE peut proposer une prestation d’assistance du CLIENT à la Réversibilité soumise à la passation d’un bon de commande.

  1. Procédure d’effacement

L’effacement sécurisé de l'intégralité des données du COMMANDITAIRE est assuré par 3DS OUTSCALE que le Contrat arrive à son terme ou pour toute autre raison.

Les données techniques relatives aux clients sont supprimées 90 jours après les actions de clôture du compte.


Un certificat de suppression des données est fourni au client (Annexe A).

  1. Exigences de disponibilité du service

Conformément au Contrat, les SLAs ne sont parfois applicables qu’à condition que le CLIENT déploie ses Systèmes sur toutes les Zones de disponibilité qui existent dans la Région. Dans le cas où, alors que c’est possible, le CLIENT décide de ne pas déployer dans toutes les Zones de disponibilité de la Région, il ne pourra pas demander l’application du SLA. Ces SLAs sont marqués d’une étoile (*).

Cette limitation ne concerne ni les APIs fournies par 3DS OUTSCALE, ni l’Infrastructure mise en place et infogérée par 3DS OUTSCALE et donc de la responsabilité de 3DS OUTSCALE. Pour ces dernières, les SLAs s’appliquent en général, quel que soit le type de déploiement choisi par le CLIENT.

La méthode de calcul des SLA est détaillée dans le contrat spécifique ou dans les Conditions Générales de Vente de 3DS OUTSCALE.


Ces garanties permettent à 3DS OUTSCALE de s’engager sur les SLA suivants sur une base 24 h/ 24 et 7 j/ 7 :

SLA1 –Domaine de disponibilité

  • La Disponibilité individuelle d’une Région est de 99,9% par an,

  • La Disponibilité individuelle d’une Zone de disponibilité est de 99,7% par an.



SLA2 –Service de fourniture réseau intra Cloud

Le réseau intra Cloud est sécurisé au même titre que le réseau en provenance d’Internet via les groupes de sécurité. Le CLIENT est averti que s’il décide de passer outre les groupes de sécurité via l’API de commande pour ses ressources internes, la configuration des groupes de sécurité ne SERA PAS appliquée.

La latence dans le réseau interne dépend de nombreux paramètres, notamment de la proximité des Zones de disponibilité. La redondance d’une Région est un équilibre entre l’écartement géographique des Zones de disponibilité et la latence maximale supportable par le Service.

Disponibilité du réseau interne : 99,99 % par an,

Latence maximale inter ressource (hors Stockage Objet) : 10 ms.





SLA3 –Service de fourniture de Services Internet (DNS, NTP) et de Service métadonnées du Cloud Computing

Le CLIENT est informé par OUTSCALE que ses Systèmes sont protégés contre leur utilisation intensive pouvant mener au déni de service. Toute activation automatique de contre mesure due à une utilisation abusive du CLIENT et entraînant une indisponibilité de Service pour ce dernier ne pourra être comptabilisée comme telle.

Disponibilité des Services DNS, NTP, DHCP : 99,8% par mois,

Disponibilité des Services métadonnées : 99,8% par mois.

SLA4 –Service de fourniture réseau sécurisé vers Internet

OUTSCALE est à l’état de l’art en ce qui concerne ses connexions via Internet. Il utilise notamment plusieurs fournisseurs d’accès et le protocole BGP4 pour assurer une redondance. Ce protocole peut entraîner des changements de routes intempestifs indépendants de la volonté de OUTSCALE, mais qui en général permettent de garantir une disponibilité de l’accès.

En cas d’incident, les premières 2 minutes ne sont jamais prises en compte, car le temps de convergence du protocole BGP4 est de 90 secondes. Le calcul de disponibilité enlèvera donc 2 minutes par incident.

Disponibilité de l’accès Internet : 99,999%* par an

En cas de cyber attaque, notamment en cas d’attaque en déni de service distribué (DDoS), OUTSCALE pourra modifier sa configuration de routage Internet pour mitiger au maximum cette attaque et protéger son Infrastructure. Si c’est une IP du CLIENT qui est visée par l’attaque, OUTSCALE pourra utiliser la communauté BGP de type « blackhole » pour interdire en amont de ses fournisseurs tout trafic vers l’IP attaquée afin de protéger les autres ressources du CLIENT, mais aussi des autres clients de OUTSCALE ainsi que son Infrastructure.

OUTSCALE incite le CLIENT à faire de même, notamment en utilisant des logiciels WAF du marché, mais aussi via la configuration des groupes de sécurité via l’API de commande. OUTSCALE par défaut filtre tout trafic entrant vers les IPs publiques du CLIENT et c’est le CLIENT qui ouvre les flux dont il a besoin. OUTSCALE insiste pour que le CLIENT ouvre ses flux a minima et notamment n’ouvre pas les flux d’administration SSH (port TCP 22) et RDP (port TCP 3389) à l’ensemble de l’Internet (subnet 0.0.0.0/0), ainsi que les protocoles internes comme SMB (port TCP/UDP 445) ou NFS (port TCP/UDP 2049).

Disponibilité des Firewalls Logiques en charge des groupes de sécurité : 99,8%* par mois, ▪ Disponibilité du Service d’API de commande : 99,9% par mois.


SLA5 –Service de répartition de charge à la demande

Disponibilité des load balancers virtuels : 99,78% par mois,

Disponibilité du Service d’API de commande : 99,9% par mois.



SLA6 -Service de Stockage Objet

La Durabilité du Stockage d’un Objet sur une Région considérée est garantie à 99,9999999999% par an.

La Disponibilité de l’API fournie par OUTSCALE et permettant de publier et manipuler les objets du CLIENT par ce dernier est de 99,97% par an,

La Disponibilité des APIs fournies par OUTSCALE et permettant aux Utilisateurs d’accéder aux objets stockés est de 99,97% par an pour les objets déployés sur une Région.


À titre indicatif, il est précisé qu’une latence vers ou depuis le Stockage Objet inférieure à 200 ms est un critère de Disponibilité du Service de Stockage Objet.

Concernant le Service Stockage Objet, la Durabilité s’entend sous réserve d’une utilisation dans l’état de l’art des Services et en dehors de toute altération de données volontaire ou non ayant pour origine une action du CLIENT.

Le Service Stockage Objet , comme son nom l’indique, ne doit pas être utilisé en mode bloc (par exemple pour une base de données en activité). L’utilisation d’un Stockage Objet en mode bloc via des moyens techniques de contournement (par exemple FUSE sous Linux), n’est pas une utilisation dans l’état de l’art du Stockage Objet et tout incident lié à cette utilisation ne sera pas couverte par le présent SLA.


SLA7 - Service de Stockage Persistant


Le stockage persistant est un Service souscrit par le Client dans son interface de gestion ou API.


La disponibilité d’un volume est garantie à 99,7% par mois. Par défaut un volume n’est disponible que sur sa Zone de disponibilité d’origine.

La disponibilité d’un Snapshot est de 99,7% par mois. Un Snapshot est disponible sur toute la Région.

La Durabilité d’un Snapshot est de 99,9999999999%. Cette Durabilité n’est acquise que 24h après sa création.

Pour les Machines Virtuelles possédant des disques de stockage persistant à IOPS garantie attachés, OUTSCALE s’engage à fournir le nombre d’IOPS souscrits dans la limite technique par disque et par Machine Virtuelle, pour des blocs de 4 ko, au moins 90% du temps sur un mois.

La Durabilité d’un volume n’est pas garantie, car c’est un stockage en mode bloc actif qui peut être impacté par tout problème d’arrêt de service impromptu. Par exemple, le crash d’un élément physique de l’Infrastructure de OUTSCALE peut entraîner l’arrêt d’une ressource type Machine Virtuelle et la corruption d’un volume de Stockage Persistant qui a été brutalement arrêté dans un état non cohérent. De même, une commande « terminate » ou « force-stop », peut causer l’arrêt brutal de la ressource Machine Virtuelle et donc corrompre les ressources volumes attachées.

La responsabilité de OUTSCALE ne peut jamais être engagée sur les problèmes de cohérence concernant les volumes ; c’est au CLIENT de s’assurer qu’il a bien réalisé toutes les sauvegardes nécessaires afin de pérenniser ses données et qu’il a mis en place des architectures à l’état de l’art pour pouvoir retrouver un état cohérent de ses volumes.

SLA8 –Service de Stockage Non Persistant

Le Service de stockage non persistant est un espace de stockage utilisé par la Machine Virtuelle, dont les données seront effacées au redémarrage de la machine.


Le Service de Stockage Non Persistant ne dispose d’absolument AUCUNE garantie. OUTSCALE informe le CLIENT que le Service peut s’arrêter ou dysfonctionner à tout moment, et que c’est au CLIENT de redémarrer sa ressource Machine Virtuelle dans le cas où le défaut de ce Service a un impact sur sa disponibilité.

Ce Service ne doit être utilisé que pour des cas précis comme emplacement de stockage temporaire et non critique et surtout pas pour des données comme celles de production à conserver qui doivent être stockées sur d’autres types de stockage plus durable.

SLA9 –Service de fourniture de Machines Virtuelles à la carte

La Disponibilité individuelle d’une ressource matérielle (bare-metal) de l’Infrastructure est de 99,7% par mois, ▪ La Disponibilité d’une Machine Virtuelle est de 99,7% par mois,

La Disponibilité du Service d’API de commande est de 99,9% par mois.

Dans le cas où une ressource matérielle de l’Infrastructure de OUTSCALE provoque l’arrêt d’une Machine Virtuelle du CLIENT, par exemple l’arrêt d’un serveur physique de OUTSCALE provoquant l’arrêt d’une Machine Virtuelle du CLIENT, par défaut la Machine Virtuelle du CLIENT est dans un état « stoppé » afin d’éviter que son redémarrage ne provoque des dégâts supplémentaires (notamment perte de données, corruption). Il est de la responsabilité du CLIENT de superviser ses Machines Virtuelles et de les redémarrer si besoin. Le temps nécessaire au CLIENT pour réaliser cela ne rentre pas dans le calcul de l’indisponibilité d’une Machine Virtuelle.

Le temps à comptabiliser dans l’indisponibilité d’une ressource est le temps pendant lequel, suite à l’arrêt de la ressource, le CLIENT est dans l’impossibilité de la redémarrer.

OUTSCALE informe le CLIENT que toute utilisation anormale de son Infrastructure et notamment en cas de surcharge de ses APIs de commande (hammering), des contre-mesures de sécurité pourront s’activer automatiquement et bloquer l’accès aux APIs de commande ou à certains Services OUTSCALE. Dans ce cas, il ne s’agit pas d’une indisponibilité, mais d’une procédure de sauvegarde de l’Infrastructure de OUTSCALE, et le CLIENT ne pourra comptabiliser cela en indisponibilité.

Enfin OUTSCALE informe le CLIENT que les requêtes parfaitement identiques (duplicate) vers ses API sont limitées à une par seconde (Throttling). Le fait que le CLIENT verrait des requêtes identiques présentées à l’API à une fréquence supérieure et refusées à ce titre, ne saurait être comptabilisé en indisponibilité.

SLA10 – Support

Chaque besoin ou incident doit faire l’objet de la création d’un ticket auprès du support OUTSCALE. L’ouverture de ce ticket avec l’ensemble des informations requises est le préalable nécessaire et le point de départ pour évaluer le respect des engagements de OUTSCALE.

Le calcul du délai de la Garantie de Temps d’Intervention (GTI) est la différence entre l’horaire d’ouverture du ticket par le CLIENT et la première réponse du support OUTSCALE.

Le calcul du délai de la Garantie de Temps de Rétablissement (GTR) est mesuré entre l’ouverture du ticket avec l’ensemble des informations obligatoires à fournir par le CLIENT et la résolution de l’incident par le support OUTSCALE. Le temps de réponse du CLIENT pour répondre à une question du support OUTSCALE est déduit du calcul du délai de la Garantie de Temps de Rétablissement (GTR).

Un incident qui n’est pas constaté par l’équipe support OUTSCALE ne peut être mesuré que si le CLIENT apporte les éléments permettant de tracer une coupure ou une dégradation de service.

Les Garanties de Temps d’Intervention (GTI) et les Garanties de Temps de Rétablissement (GTR) sont détaillées ci-dessous par sévérité d’incident :


GTI

GTR

Sévérité Incident

Description

15 minutes

2 heures

1 (Majeure)

Indisponibilité totale et durable d'un service :

- Stockage Objet

- FCU

- API

- Réseau

- EIM

Hors maintenance programmée.

30 minutes

4 heures

2 (Élevée)

Dégradation d’un service ou de la performance d'un service :

- Stockage Objet

- FCU

- API

- Réseau

- EIM

- Portail client

- Outils pour lesquels une solution de contournement existe (exemple : Cockpit)

1 heure

48 heures ouvrées (soit 6 jours)

3 (Mineure)

Incident isolé, bug ou régression, demande d'analyse sur un incident CLIENT.


En cas de demande qui ne relève pas d’un incident, le support Outscale traitera le ticket dans les meilleurs délais compatibles avec les horaires d’ouverture du support, à savoir de 8h à 20h du lundi au vendredi.


  1. Exigences de confidentialité du service

3DS OUTSCALE s’engage à ne pas divulguer d’informations relatives à la prestation à des tiers, sans l’autorisation formelle et écrite du CLIENT.

  1. Données du CLIENT

3DS OUTSCALE ne peut disposer des Données transmises et générées par le CLIENT, leur disposition étant réservée au CLIENT.


3DS OUTSCALE ne peut se prévaloir de la propriété des Données transmises et générées par le CLIENT, ces Données relèvent de la propriété du CLIENT.


3DS OUTSCALE demandera l’accord préalable du CLIENT pour utiliser des Données du CLIENT issues de la production pour réaliser des tests.


Dans le cadre de support technique, si des actions nécessaires au diagnostic et à la résolution d’un problème nécessitent un accès aux données du CLIENT, alors 3DS OUTSCALE demandera préalablement au client son consentement avant d’intervenir.


Les Services de 3DS OUTSCALE donnent au CLIENT la possibilité de stocker et traiter ses Données exclusivement en France ou au sein de l’Union européenne.


Le CLIENT s’engage à informer 3DS OUTSCALE s’il lui confie des Données soumises à des contraintes légales, réglementaires ou sectorielles spécifiques.


L’ensemble des éléments composant les Systèmes d’Information du CLIENT et ses Données reste en tout état de cause la propriété du CLIENT, la présente Convention de Service n’emportant aucun transfert ou cession de droits de propriété intellectuelle et/ou industrielle (brevet).


  1. Conformité du Service

Les Services délivrés par 3DS OUTSCALE sous l’empire de la présente Convention de Service sont qualifiés au regard du Référentiel SecNumCloud.


Une attestation de qualification est annexée à la présente Convention de Service (Annexe B). Toute modification ou renouvèlement de l’attestation sera notifiée au Responsable des opérations CLIENT et remplacera la présente l’Annexe B.


Le COMMANDITAIRE peut déposer une réclamation relative au service qualifié auprès de l’ANSSI.


3DS OUTSCALE s’engage à informer dans un délai d’un mois le COMMANDITAIRE de tout changement juridique, organisationnel ou technique pouvant avoir un impact sur la conformité de la prestation aux exigences du référentiel notamment concernant la protection vis-à-vis du droit extra-européen.


  1. Évaluation et audit

En signant la présente Convention de Service, le CLIENT autorise :

  • L’ANSSI et l’organisme de qualification à procéder à la vérification que le Service et son Système d’Information respectent les exigences du Référentiel SecNumCloud,

  • Un prestataire d’Audit de la Sécurité des Systèmes d’Information qualifié et mandaté par 3DS OUTSCALE à procéder à des audits de sécurité du Service sur le Système d’Information de 3DS Outscale,


De son côté, 3DS OUTSCALE s’engage à :

  • Mettre à la disposition du CLIENT, ou tout auditeur tiers que ce dernier aurait mandaté, la documentation nécessaire pour démontrer le respect de toutes les obligations relatives à la conformité aux dispositions de l’article 28 du Règlement Général sur la Protection des Données pour permettre la réalisation d’audits.

  1. Contacts

Responsable des opérations CLIENT :


Nom :      

Fonction :      

Email :      

Téléphone :      


Responsable des opérations 3DS OUTSCALE :

Nom : Xxxxxx XXXXXX

Fonction : Chief Operations Officer

Email : xxxxxxx@xxxxxxxx.xxx

Téléphone : 0 000 00 00 00 ou x00 0 00 00 00 00


Attention, ces contacts seront notifiés en cas de changements apportés au Service ou en cas d’incident.

Un changement de Responsable d’une Partie doit donner lieu à un document, sous quelque forme que ce soit, signé entre les représentants légaux des deux Parties.


De plus, le CLIENT et 3DS OUTSCALE s’engagent à fournir une liste tenue à jour de contacts complémentaires afin de garantir la bonne gestion de la présente Convention à compléter en Annexe C de la présente Convention.

  1. Droit applicable

À défaut de stipulation contractuelle particulière, le droit applicable est le droit français.


Le respect du droit applicable à la présente Convention de Service est garanti par le respect d’une liste d’exigences applicables à 3DS OUTSCALE.


Les exigences prises en compte par 3DS OUTSCALE sont les suivantes :


  • La conformité aux obligations légales et réglementaires applicables,

  • Le respect des obligations contractuelles,

  • La protection des données à caractère personnel,

  • Le secret professionnel,

  • L’abus de confiance, 

  • Le secret des correspondances privées, 

  • L'atteinte à la vie privée,

  • L’accès ou le maintien frauduleux à un système d’information, 

  • La loi pour la confiance dans l'économie numérique et le respect de la réglementation en matière de contrôles cryptographiques, 

  • La loi de programmation militaire,

  • La responsabilité sociétale des entreprises, 

  • Le respect des droits de propriété intellectuelle,

  • La collecte d'éléments de preuve.


Cette garantie est assurée par le service juridique de 3DS OUTSCALE chargé notamment :

  1. du suivi de la veille juridique, légale et réglementaire permanente sur les activités de l'entreprise en suivant à la fois les évolutions des réglementations nationales, européennes et internationales, ainsi que la jurisprudence, assurant également une veille économique et concurrentielle pour informer l'entreprise sur les pratiques des autres entreprises du secteur ;

  2. d’élaborer les contrats émis par 3DS OUTSCALE, de revoir les contrats reçus des tiers et de superviser les négociations juridiques et le suivi des contrats par la mise à jour des contrats, grâce à une plateforme de « contract management » dans laquelle tous les contrats sont archivés et, le cas échéant, assortis d’alertes.


La veille est réalisée par le biais d'inscriptions à des sites d'informations et d'alertes par thème au regard de la liste des exigences applicables. Les informations concernant les différentes exigences applicables sont détaillées mensuellement sous la forme d’articles de blog ou de bulletins de veille juridique. Ces articles et bulletins identifient les impacts potentiels pour 3DS OUTSCALE. Ils sont ensuite revus par les membres du service juridique de 3DS OUTSCALE et des plans d'actions et des procédures sont documentés et mis en œuvre en fonction des exigences applicables et des impacts identifiés pour 3DS OUTSCALE. 3DS OUTSCALE identifie également les mesures de sécurité à mettre en œuvre pour répondre aux exigences applicables.




Société 3DS OUTSCALE


Nom :      


Titre :      


Signature

Le CLIENT


Nom :      


Titre :      


Signature :





Annexe A – Modèle d’attestation de suppression des données* (ne pas compléter)







ATTESTATION DE SUPPRESSION DE COMPTE/DONNEES



3DS OUTSCALE atteste que les données du compte _____________________ ont bien été supprimées.


L’équipe de support 3DS OUTSCALE a reçu le ticket de demande fermeture le « date » et a vérifié que les données (instances, volumes de stockage, snapshots et objets) ont bien été supprimées.


Une fois les requêtes de suppression soumises via l’API, les données sont définitivement supprimées au maximum 2 semaines et un jour après la requête sur l’intégralité de notre infrastructure (incluant les sauvegardes automatiques).



Fait à :


Le :




Nom du signataire :


Titre :


Signature :






Cachet de l’entreprise



*(PS : Il s’agit d’un modèle d’attestation de suppression des données , il n’est pas nécessaire de le compléter).


Annexe B – Attestation de qualification SecNumCloud.













Annexe C – Liste de contacts

Cette liste de contacts est à compléter par les Parties de la manière la plus précise possible afin de garantir la bonne exécution de la présente Convention.


Les Parties s’engagent à mettre à jour cette liste de contacts en cas de changements.



Service Sécurité ou RSSI CLIENT :

Informations :      

Email :      



Service Sécurité ou RSSI 3DS OUTSCALE :

Informations : Service sécurité

Email : xxxxxxxx@xxxxxxxx.xxx



Service Juridique CLIENT

Informations :      

Email :      



Service Juridique 3DS OUTSCALE

Informations : Service juridique

Email : xxxxx-xx@xxxxxxxx.xxx



Service Compliance ou DPO CLIENT

Informations :      

Email :      



Service Compliance ou DPO 3DS OUTSCALE

Informations : DPO

Email : xxxxxxx-xxxxxxxxxxxx@xxxxxxxx.xxx



Service Commercial CLIENT

Informations :      

Email :      



Service Commercial 3DS OUTSCALE

Informations : Service commercial

Email : xxxxx-xx@xxxxxxxx.xxx









Page 20 sur 20


Document Metadata

Filed: December 6th, 2023