Cloud Computing, droit et contrat
Le « Cloud Computing » ou « informatique dématérialisée », est un nouveau système de fourniture de ressources informatiques via l’utilisation de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau. Le « cloud » permet de se dispenser de la location ou de l’achat de serveurs informatiques, un navigateur web suffisant à accéder aux services informatique souhaités (logiciel, plate-forme ou infrastructure). Ce modèle permet d’obtenir un service sur demande et quasi instantané, avec une concentration des ressources au bénéfice d’une plus grande sécurité.
Il concerne des services aussi divers que la messagerie, la comptabilité, les mailings, le management des ventes, les outils CRM…
Toutefois, un service fourni à une telle échelle ne va pas sans risques, dans la mesure où il entraîne une perte de contrôle du Client sur ses données et applications, lesquelles pourront être amenées à migrer, à un niveau régional voire international et ce en l’absence de législation spécifique.
Il convient donc d’aborder les problématiques juridiques spécifiques à ce service, afin de fournir une grille de lecture et de rédaction des contrats à l’attention de ses utilisateurs.
1.La protection des données.
Les services proposés par le fournisseur d’informatique dématérialisée ou « Cloud Provider » incluent nécessairement le traitement de données personnelles dans un cadre régional, voire international. Il est donc essentiel que le Client définisse le régime de protection des données personnelles qui lui sera applicable.
Les données peuvent concerner tant les salariés que les clients, fournisseurs, partenaires, patients…
1.La protection des données en Europe
En Europe, la Directive 95/46/CE du 24 octobre 19951 est directement applicable à défaut de transposition nationale. En France, la loi Informatique et Libertés (LIL) du 6 janvier 1978, mise en conformité avec la directive 95/46 CE par la loi du 6 août 2004, encadre le traitement des données personnelles.
Selon l’article 3 de la LIL, le responsable du traitement n’est pas de la personne qui effectue le traitement mais celle qui en détermine la nature et les « finalités ». Dans le cadre du « Cloud Computing », le responsable du traitement est donc le Client et l’organe de traitement le « Cloud Provider ». Pèsera sur le responsable du traitement la charge de recueillir le consentement de la personne après l’avoir dûment informée.
L’article 5 de la LIL soumet à la loi française les traitements de données à caractère personnel dont le responsable de traitement est établi sur le territoire français ou dont les moyens de traitement sont situés sur le territoire français, sauf lorsque le traitement consiste uniquement à faire transiter les données. A défaut, le Client devra définir si la législation applicable est la législation d’un autre pays européen selon les mêmes conditions, la législation européenne à défaut de transposition dans le pays concerné, ou la législation d’un pays tiers.
Par conséquent, le responsable du traitement devra procéder dans le respect des principes posés par la législation (équité, légalité, proportionnalité, nécessité du traitement, information des sujets, la sécurité des données,) et sous le contrôle de la CNIL. Le Client sera seul responsable vis-à-vis des autorités ainsi que du sujet dont les données sont traitées, même en cas d’externalisation2 au « Cloud Provider ».
Suivant les principes posés par la Directive, le transfert de ces données dans ou via un pays n’assurant pas un niveau suffisant de protection ne pourra s’effectuer qu’avec l’accord du sujet – obtenu après information exhaustive – ou lorsque d’autres procédures sont en place, qu’elles soient privées (clauses contractuelles standardisées) ou publiques (à l’instar des « Safe Harbour Principles »)
Afin d’éviter la mise en jeu de sa responsabilité, le Client devra vérifier que la clause de protection des données personnelles au sein du contrat reprendra l’ensemble de ses propres obligations en la matière à la charge du « Cloud Provider » ou s’assurera de la coopération de ce dernier. Une part importante sera dédiée à la sécurisation des données.
Le « Cloud Provider » verra sa responsabilité engagée en cas d’illégalité du contenu, responsabilité partagée avec le Client3, ainsi qu’au niveau de la gestion des infrastructures physiques.
Un audit pourra être prévu afin de vérifier la conformité dans la durée des engagements souscrits.
2.La protection des données personnelles hors Europe.
La protection des données personnelles dans des pays tiers implique la rédaction de clauses standardisées mettant à la charge du « Cloud Provider » des obligations en matière de protection des données personnelles semblables à celles qu’impose la Directive.
Cas particulier : Les difficultés d’application des Safe Harbour Principles
Les « Safe Harbour Principles » sont des principes de bonne conduite élaborés par le ministère du commerce américain afin que les entreprises nationales respectent la Directive Européenne 95 /46/CE pour les données en provenance de l’Union Européenne. Toutefois, ces principes n’ont manifestement pas été respectés au nom du « Patriot Act », lequel donne au gouvernement Américain le droit d’accéder à toute donnée stockée sur son territoire, en cas d’urgence ou s’il juge que cela est nécessaire pour assurer la sécurité nationale.
La Commission européenne a lancé un projet de mandat de négociation d’accord avec les Etats-Unis sur le transfert des données bancaires à des fins de lutte contre le terrorisme, projet contenant d’importantes garanties en matière de protection des données personnelles. Dans l’intervalle, la révision annoncée du « Patriot Act » devrait permettre une meilleure protection des données personnelles.
En toute hypothèse, il est utile de connaître le lieu d’implantation des serveurs et de prévoir, notamment pour les sauvegardes, une procédure d’anonymisation des données.
2.Confidentialité
Les informations confiées au « Cloud Provider » peuvent nécessiter un secret absolu, d’où l’importance d’une clause ou d’un accord de confidentialité ainsi que du niveau d’engagement attend, les personnes concerneés et sa durée. Il est important qu’elle s’applique aux salariés et aux propres sous-traitants du prestataire.
En cas d’intrusion dans le système par un tiers non autorisé, la confidentialité des données du Client sera mise à mal, provoquant un préjudice tant pour le fournisseur que pour le Client. Le « Cloud Provider » pourra agir sur le fondement des articles L 323-1 et suivants du Code pénal. Le Client, quant à lui, devra prouver cette atteinte, opération nécessitant les informations techniques dont dispose le fournisseur. Par conséquent, il sera nécessaire que le Client prenne des garanties contractuelles pour s’assurer de la coopération du « Cloud Provider » afin de faire valoir son préjudice (par exemple, via la communication au Client d’un rapport en cas d’atteinte au système).
3.Propriété intellectuelle
Dans le cadre d’un service fournissant logiciels, plateformes et infrastructures informatiques, les droits de propriété intellectuelle sont inévitables. Ces droits peuvent constituer l’apport du Client, à savoir les services, données et applications transférés au « Cloud Provider ». Il peut également s’agir de droits créés par l’utilisation du service, à savoir le développement d’un logiciel via une plate-forme fournie par le « Cloud Provider », ou de procédés mis au point par les deux parties, à l’instar d’un système de gestion des données. En l’absence de clauses définissant les droits de chacun, ces objets originaux risquent d’être réutilisés en dehors du service par une des parties sans l’accord de l’autre, provoquant un contentieux nuisible au service.
Les parties doivent donc déterminer au sein du contrat quels sont leurs droits respectifs sur les objets qu’elles apportent ou entendent réaliser ainsi que leurs possibilités respectives d’utilisation desdits objets (possibilité de concéder une licence à un tiers ou pas par exemple, allocation d’une redevance à l’autre partie, etc.).
4.Faute professionnelle
En cas de défaillance du service externalisé, plusieurs responsabilités sont susceptibles d’être engagées : responsabilité du fournisseur de service vis-à-vis de son Client, du Client vis-à-vis de ses propres Clients, du Client vis-à-vis de ses salariés. Par conséquent, lors de la conclusion du contrat, il convient d’établir toutes les responsabilités pouvant être soulevées en relation avec le service fourni et effectuer un partage de ces responsabilités au sein de la clause limitative de responsabilité ou clause responsabilité.
La question de la réparation (et de son assurance) doit être abordée, elle nécessite de définir les fonctions stratégiques de l’entreprise cliente et les impacts possibles d’une défaillance sur son activité.
5.Intuitu personae
Que le contrat soit négocié ou non par le Client, ce dernier contracte avec le « Cloud Provider » pour partie du fait de sa réputation. En ce sens, le contrat conclu est un contrat intuitu personae. Par conséquent, cette relation de confiance sera mise en danger en cas de rachat du prestataire par un tiers, ou l’arrivée d’un nouvel actionnaire ou en cas de recours du prestataire à un sous -raitant. Si le Client souhaite prévenir ces éventualités, il devra en fixer les termes dans le contrat.
Conclusion
En l’absence de législation harmonisée et mondialement partagée, il est nécessaire que le Client prête une extrême attention aux documents contractuels auxquels il adhèrera ou qu’il négociera, l’outil contractuel étant son principal atout pour se protéger, de « l’envol de ses données dans le nuage ». Ces contrats renverront fréquemment à des Service Level Agreement (SLA) spécifiques par objectif (ex : sécurité, anonymisation des données hébergées, sauvegarde etc.).