C’est là que le bât blesse, surtout quand la perte de données ou d’un site web externalisé survient au bout d’une chaîne de sous-traitants. Ainsi, quand une entreprise achète des services Cloud, qu’il s’agisse du traitement ou de la sauvegarde de ses données et applications, le niveau de service varie grandement selon qu’elle signe directement avec des éditeurs de logiciels vendus en SaaS ou en PaaS, ou avec leurs revendeurs, voire avec des opérateurs télécoms/Cloud et/ou des hébergeurs, pour ne citer que ces catégories les plus courantes.
« Les responsabilités sont différentes. Elles se déterminent par rapport à une réalité technique et opérationnelle. Dans le cas d’OVH, l’intéressé a une triple casquette, celle de vendeur de serveurs, d’hébergeur et d’opérateur de datacenters », explique Me Olivier Iteanu. « Le premier outil pour analyser les responsabilités respectives est le contrat signé. Dans un cas où l’entreprise est cliente d’un éditeur de logiciels hébergé chez un tiers, qui lui-même sous-traite son hébergement dans le datacenter d’un prestataire tiers, le client doit être informé de cette chaîne de sous-traitances. Mais au final, il n’a qu’un seul interlocuteur, l’éditeur de logiciels s’il a signé avec lui car il est responsable de ses données et il peut engager des recours contre ses sous-traitants en cas de problèmes. A lui de se faire garantir leurs qualités de service ».