Analyse des conditions générales de Gandi Hébergement
Je planche sur une offre de service d'hébergement qui se base sur des prestataires capables d'offrir un accès flexible à une infrastructure fiable et un tant soit peu moderne (il y a encore beaucoup d'hébergeurs qui sont à la ramasse sur des choses aussi évidentes qu'un accès SSH ou SFTP, ou qui en sont encore à mutualiser des clients sur des serveurs non virtualisés avec des configurations et des outils grotesques, ce que j'ai qualifié par le passé d'hébergement « à la papa »). Parmi les acteurs qui émergent avec une offre intéressante, se trouve le registrar français Gandi et son offre Gandi Hébergement. Comme je l'avais fait en son temps avec l'offre Dedibox d'Illiad, je vous propose ci-après une analyse des conditions générales de Gandi Hébergement (PDF).
Quelques mises en garde utiles pour commencer : d'une part je ne suis pas juriste et mon analyse doit être prise avec toutes les pincettes nécessaires selon vos propres besoins, d'autre part il ne s'agit pas ici de vous présenter l'offre technique mais ses conditions contractuelles de vente et d'exploitation. Ceci dit, j'ai fait partie des beta-testeurs de l'offre Gandi Hébergement que j'ai donc eu l'occasion de tester avant de me plonger dans les délices de la lecture de la dizaine de pages de ces CGV. Ma lecture concerne la version 2.1 en date du 7 octobre 2008 (le lien ci-dessus doit normalement vous mener vers la dernière version en vigueur). Comme pour tout processus de vente en ligne, vous devrez accepter pleinement et entièrement les CGV proposées avant toute utilisation du service, sans possibilité d'en modifier ne serait-ce qu'une virgule.
Tout d'abord, et c'est suffisamment rare pour être signalé, le texte est écrit en français, et non dans le langage abscons de ces coupeurs de cheveux en quatre et empêcheurs de faire du business en rond que sont les juristes d'entreprise. Il a bien sûr été rédigé à la base par des juristes, mais on sent qu'il y a eu un réel travail d'explication de la part de Gandi à l'attention de la cible visée. Le document explique clairement les rôles et les obligations des parties.
Autre chose assez surprenante dans ce genre de document, mais pas dans l'esprit maison, est l'obligation de respect de l'éthique Gandi. J'ai mes doutes sur l'efficacité juridique d'une telle clause (cf. clause 3.1), mais je préfère lire ça plutôt que l'obligation assez répandue de ne pas porter atteinte à l'image de la société. Sachez donc que si vous prenez une part de serveur chez Gandi, il vous incombera de la respecter et de la faire respecter si vous agissez comme intermédiaire et/ou revendez cet hébergement à des tiers. Cette éthique revient, ni plus ni moins, à respecter la loi française, mais Gandi prend pratiquement une page complète pour en dresser les grandes lignes.
La LCEN est mise en exergue, avec une mention particulière sur la cascade de responsabilité entre le rôle éditorial exclusif du client sur ses contenus et le rôle de prestataire technique sur les machines de Gandi, qui peut conduire à l'arrêt total du serveur et donc de tous les services en cas de défaillance du client. Gandi rappelle cependant, et c'est heureux, que leur intervention sera contrainte et forcée, faute au client d'avoir géré le problème. On peut espérer qu'en cela ils sauront veiller au respect du formalisme exigé en cas de plainte, et ne pas céder immédiatement à la moindre demande de retrait, surtout infondée. Il me semble important de signaler aux clients étrangers que Gandi se place exclusivement sous le cadre de la loi française (ils auraient bien du mal à faire autrement) et qu'ils sont tenus de la respecter, notamment en ce qui concerne les obligations d'identification de l'éditeur ou/et de l'hébergeur (précisément, vous l'avez deviné, pour permettre l'application de la LCEN en cascade entre éditeur et hébergeur). De par son activité principale de registrar et sa volonté de lutter activement contre le spam et autres nuisances du genre, Gandi a l'habitude de gérer des données d'identification et ne rigole pas avec ça, je conseillerai fortement à quiconque veut flirter avec la loi de manière anonyme de songer à d'autres aubergistes pour ce faire.
Sur l'éthique, j'ai tout de même deux ou trois messages personnels à faire passer à Stephan Ramoin parce que ça va mieux en le disant (pas taper, Stephan ;-) :- Fuck les « bonnes mœurs » ! J'emmerde, par ma seule existence, les bonnes mœurs, et ça me fait réellement hurler quand je vois ce genre de pudibonderie moraliste classé sous le mot éthique, outre le fait que comme ce qui suit, ça ne veut rien dire
- le terme « bon père de famille » est aujourd'hui strictement vide de sens d'un point de vue juridique, et il peut rejoindre celui de bonnes mœurs là où je pense
- je suis déçu qu'une boite de geeks comme Gandi ait pu associer le terme « hacking » à des pratiques, je cite, « abusives ou déviantes », participant ainsi à dévoyer ce mot pour le confondre avec celui de pirate comme le font les mauvais journalistes. Un hacker est un bricoleur, et j'en suis un comme tous les geeks que je connais.
Les engagements de Gandi se résument, contractuellement, à une obligation de moyen, ce qui est la seule obligation réalisable à ce niveau de prix pour une telle offre. Il est important de comprendre que Gandi est, comme beaucoup d'hébergeurs, lui-même dépendant d'autres prestataires et intermédiaires techniques (les serveurs physiques sont placés en colocation dans un ou plusieurs datacenters opérés par d'autres sociétés, lesquelles sont clientes d'opérateurs de réseau leur fournissant la connectivité internet). Aucun prestataire de service basant son offre au dessus de celle de Gandi ne pourra proposer autre chose qu'une obligation de moyen, du moins en ce qui concerne la disponibilité des services hébergés.
La garantie d'intervention (attention, il ne s'agit pas d'une GTR, garantie de temps de rétablissement) en cas de problème matériel ou réseau détecté par Gandi, est de six heures « dans la mesure du possible ». Tous les problèmes logiciels circonscrits à votre serveur sont de votre ressort, et Gandi n'offre aucun service de monitoring au niveau applicatif ou du système d'exploitation. Leur rôle consiste essentiellement à vous fournir des ressources physiques (CPU, disque, bande passante) en bon état de fonctionnement.
A ce titre, Gandi ne fournit aucun service de sauvegarde de données et précise explicitement que la sauvegarde des données et de la configuration serveur (et leur restauration, par conséquent) est entièrement à la charge du client. Il y a à mon avis un flou dans les clauses 3.5 (obligation de sauvegarde des données) et 14 (sécurité matérielle et logique) sur l'offre RAID60, qui donne une indication sur les moyens de stockage mais strictement aucune information ni engagement sur la restauration de données en cas de défaillance matérielle majeure du système de stockage partagé. Je comprends que Gandi dispose d'un moyen de restaurer son ou ses « filers » mais il n'y a rigoureusement aucun engagement en ce sens dans le contrat.
Il y a là une opportunité pour des revendeurs à valeur ajoutée ([pub]comme moi :)[/pub]) de proposer ce service à leurs clients. Un bon conseil, car ces choses-là tombent toujours en panne un jour ou l'autre, n'hébergez rien de sérieux chez Gandi sans avoir au préalable réglé la question de la sauvegarde quotidienne de vos données et du paramétrage de votre serveur. Et surtout de leur restauration, car il y a un monde entre récupérer un simple fichier écrasé et devoir recréer un serveur de toute pièce.
Au delà de l'infrastructure, toutefois, Gandi propose deux modes d'assistance logicielle à l'installation : un mode « Gandi AI en mode pré-packagé » où ils gèrent l'installation et l'administration du serveur (avec une configuration prédéterminée et imposée), et un mode « Gandi AI » permettant une certaine personnalisation dans une liste d'applications prédéterminées. Dans ces deux modes, vous ne disposez pas d'un accès complet au serveur, dont le système d'exploitation et la configuration logicielle sont alors gérés par Gandi à qui vous donnez un droit d'accès au serveur. Il existe un mode « expert » dans lequel vous, et vous seul, disposez de l'accès au compte super-utilisateur ("root") qui permet l'administration du serveur.
L'approvisionnement d'un serveur se fait par location d'une ou plusieurs parts, une part étant une unité de ressources CPU, mémoire, espace disque et bande passante. Au préalable, il vous faudra créer un compte hébergement chez Gandi (ou utiliser votre compte existant si vous êtes déjà client pour un nom de domaine) et créditer un compte prépayé à hauteur de votre première commande (au minimum 30€ en cas de paiement par chèque ou virement). Le maintien de vos parts (serveurs et disques) est subordonné à la position suffisamment créditrice de votre compte prépayé. En cas de position insuffisante (et plus généralement en cas de rupture du contrat) Gandi désactivera purement et simplement les parts en question, puis les supprimera définitivement au bout de cinq jours. Si la désactivation est due à un défaut de paiement, vous pouvez réactiver les parts avant l'expiration des cinq jours. Ce mode de désactivation, qui empêche l'accès aux données si vous ne réactivez pas le service, renforce la nécessité de veiller à toujours sauvegarder ses données ailleurs.
La durée et la reconduction du contrat dépendent des options choisies, et Gandi propose une rare flexibilité. Vous pouvez souscrire à l'année, au mois, voire à la journée. Vous pouvez ajouter de la puissance sous le capot (tous les hébergeurs font ça) mais vous pouvez également réduire la voilure à tout moment si nécessaire (ce qui est par contre exceptionnel). Gandi va jusqu'à proposer une option « Flex » qui permet de disposer d'un surcroît de puissance pendant seulement quelques heures. S'il vous prend l'envie de tester l'offre pour seulement une journée, vous pouvez le faire et payer cette seule journée (soit la fortune de 40 centimes HT pour une part). A noter que si vous passez votre temps à souscrire puis résilier des services, Gandi se réserve le droit de vous faire payer des frais de gestion à hauteur de 5€ HT par transaction. Assez curieusement, la résiliation anticipée d'une option annuelle ne donne droit à aucun remboursement, alors que celle d'une offre mensuelle sans engagement est remboursée au prorata des jours non utilisés. L'option annuelle permet toutefois une réduction du prix de la part de l'ordre de 20%, à vous de voir ce qui est intéressant entre le coût et la flexibilité.
La reconduction des souscriptions n'est pas automatique par défaut. Il est nécessaire de les reconduire manuellement avant leur échéance, la veille pour une option mensuelle, le mois précédent pour une option annuelle. Il est possible d'opter pour une reconduction automatique, à condition de disposer d'un crédit suffisant sur le compte prépayé.
Le support, ou assistance clientèle, est disponible via le site web Gandi ou par courriel. Gandi ne s'engage pas contractuellement sur un délai de réponse mais précise que le temps moyen de réponse est de trois jours (ma propre expérience montre un délai de l'ordre de un à deux jours ouvrés). La communauté est mise à contribution en mode entraide sur un wiki et les forums Gandi. Si vous connaissez (et participez à) cette communauté, vous serez en terrain familier. Ne vous attendez cependant pas à des miracles si vous n'avez aucune idée de ce que vous faites avec votre serveur. L'offre est attractive et peut sembler à la portée du commun des mortels, mais le niveau de certaines questions (du genre « j'ai oublié mon mot de passe "root" ôsecouraidémoikessekejedoifaire ») montre qu'il y a une marge entre la présentation de l'offre et la réalité concrète (c'est le même problème que chez les concurrents, gérer un serveur web c'est un métier, et c'est un poil plus difficile que déposer un nom de domaine ou tenir un blog hébergé).
Sur les opérations de maintenance de l'infrastructure qui peuvent intervenir à tout moment (par exemple pour une mise à jour de sécurité), Gandi se réserve la possibilité d'interrompre tout ou partie du service en cas d'absolue nécessité. Gandi s'engage à prévenir à l'avance des opérations programmées, sauf évidemment en cas de force majeure. Sur une infrastructure mutualisée de ce type, les interruptions sont à prévoir et il ne faudra pas vous attendre à pouvoir en négocier les créneaux horaires.
En matière de sécurité, Gandi est confronté au même problème que tous les autres fournisseurs d'infrastructure mutualisée : les serveurs sont directement connectés au même réseau, sans isolation matérielle (de type pare-feu) entre eux. Ceci implique juridiquement que Gandi se dégage de toute responsabilité en matière de sécurité informatique des serveurs, laquelle repose entièrement sur chaque client. Dans la pratique, considérez que votre serveur est directement connecté au grand méchant réseau internet (dont chacun sait qu'il est un repère de criminels et de pédophiles gens qui ne sont pas de bons pères de famille et ne respectent pas les bonnes mœurs :p) et que le méchant peut être votre voisin de palier. Ou vous-même, sans le savoir, si vous ne faites pas attention et que votre serveur est compromis et exploité par un spammeur pour parer au manque de virilité de l'humanité (femmes comprises). Le non-suivi de la sécurité de votre serveur (système d'exploitation et logiciels) est un motif de résiliation sans préavis par Gandi.
La revente des services est autorisée et encadrée par un article spécifique (19). Il incombe au revendeur de faire accepter et respecter les conditions générales de Gandi Hébergement. Il existe également une obligation d'assurance (art. 20) qui s'impose à tout le monde, et qui pour les particuliers devrait s'apparenter à une responsabilité civile (dans la pratique j'ai des doutes sur la portée de ce genre de contrat dans ce cadre).
Pour terminer sur les choses qui fâchent vraiment dans les contrats juridiques, mais qui sont importantes, il existe deux clauses d'appel en garantie (articles 12 et 19), où vous vous engagez à indemniser et garantir Gandi de toute conséquence ou condamnation liée à votre utilisation des services, ou à vos contenus, ou leur utilisation par des tiers faite par votre intermédiaire. Pour être clair, si elle n'a rien de scandaleux ou d'exceptionnel, j'ai horreur de ce genre de clause que je fais sauter chaque fois que possible, ou que je limite de manière réciproque. Or ici, chose courante hélas dans ce genre de contrat monolithique et unilatéralement imposé, la limitation n'existe qu'en faveur de Gandi, dont la responsabilité pécuniaire est, dans le cas inverse où vous subissez un préjudice de leur faute avérée, limitée à la fraction de ce que vous avez réellement payé et correspondant au service effectivement indisponible pour la période considérée. Pour les revendeurs, il sera difficile, mais impératif compte-tenu du risque juridique réel et des conséquences pécuniaires potentielles, de transférer cette clause de garantie sur leurs clients. Je pressens déjà des coupages de cheveux en quatre discussions à n'en plus finir avec les services juridiques concernés.
Si j'ai oublié, ou mal interprété quelque chose, je vous fais confiance pour ajouter votre grain de sel en commentaire. Merci à l'avance de rester pertinent et dans le sujet, à savoir les conditions juridiques de l'offre et non ses mérites ou caractéristiques techniques (qui feront l'objet d'un autre billet en temps utile).