En matière de sécurité des données, le guide renvoie à la loi Informatique et Liberté, mais encourage en cas d'informations sensibles le recours au cryptage. Par ailleurs, un audit technique doit être intégré dans le contrat « compte tenu du caractère très confidentiel de telles ou telles données circulant en mode SaaS ». Cet audit est encadré, tiers indépendant, coûts, modalités, périodicité, personnes autorisées, etc.

Une réversibilité balbutiante

Au coeur des débats sur le cloud, la question de la réversibilité du contrat, c'est-à-dire la récupération des données lorsque le contrat avec un prestataire est rompu, trouve un début de réponse dans ce guide. « Si en mode SaaS, la réversibilité est simplifiée, le rapatriement  en interne d'une application hébergée peut s'avérer problématique, s'il faut convertir le format des données » explique le guide. Cela suppose de vérifier l'intégrité des données et de déterminer un mode d'exécution en parallèle jusqu'à la fin de la conversion. Si les conditions techniques ne sont pas résolues, « les parties doivent prévoir de renvoyer l'élaboration du plan de réversibilité, dans un délai donné, lors de l'exécution du contrat » précise le guide.

Par ailleurs, le contrat doit bien préciser le pays de localisation des serveurs et donc d'hébergement des données  pour deux raisons : éviter qu'en cas de litige ce ne soit la loi du pays où se trouvent les serveurs qui s'applique, même si la localisation du serveur ne suffit pas, à elle seule, à déterminer la loi applicable. En second lieu, permettre aux clients d'effectuer les déclarations requises auprès de la CNIL.