2013 02 impact juridique du cloud et bonnes pratiques contractuelles
1. Impact juridique du Cloud et bonnes pratiques
contractuelles
Me André MEILLASSOUX
ATM AVOCATS
Président de l’Association Française de Droit de
l’Informatique et de la Télécommunication
(AFDIT)
ameillassoux@atmavocats.com
www.atmavocats-associes.com
18, rue Jean Goujon 75008 Paris - 01 56 91 05 05
2. INTRODUCTION
La notion de « Cloud Computing », littéralement traduite en Français par
« informatique dans les nuages » est une expression valise qui couvre plusieurs
pratiques . Une définition existe toutefois et permet de déterminer ses contours
« Le terme "Cloud" désigne aujourd’hui de manière générale un nouveau
modèle à la fois de distribution et de consommation de l’informatique qui
consiste à mettre à disposition via les réseaux de communication et à la
demande (= "as a service"), un ensemble de "ressources" (puissance de
calcul, stockage de données, applications, etc.) et de "services" (gestion,
administration, etc.). Celles-ci seront mutualisées, dématérialisées,
contractualisées, évolutives et en libre-service. »
Source : Syntec numerique, « Cloud computing nouveaux modèles », Livre blanc, Mars 2012, p.6.
2
3. INTRODUCTION
L’utilisation du Cloud en entreprise représente un enjeu économique devenu
une nécessité mais qui implique de garder à l’esprit plusieurs points:
L’entreprise confie à un prestataire la fourniture de moyens informatiques à une
échelle jamais atteinte : elle remet entre les mains d’un tiers une partie importante (et
parfois sensible) de son activité (données, ressources, applicatifs…).
Si le prestataire est défaillant, les préjudices peuvent être importants :
préjudice financier lié à l’impossibilité/difficulté de mener son business
compromission/ ou perte du savoir-faire, de données clients ou internes, de secrets…
violation de droits de propriétés intellectuelles,
violation des obligations en matière de données personnelles (et mise en cause pénale du
responsable du traitement).
Préparer au mieux la phase contractuelle est la manière la plus efficace de se
prémunir contre ses risques.
3
4. INTRODUCTION
Le contrat signé avec le prestataire doit être pris au sérieux
Le contrat est la clé de voûte des relations entre le prestataire (ou « Cloud
Provider ») et le client.
Souvent, il existe peu de marge de manœuvres dans la négociation : le contrat Cloud
est trop souvent un contrat dit « d’adhésion » (pré-rédigé et non négociable).
Conséquence directe : la réalisation d’un audit en amont permettra à l’entreprise de
cerner ses besoins et rédiger un cahier des charges qui constituera le référentiel et
l’objectif contractuel de l’entreprise. La connaissance de son besoin permet de
mieux cerner les risques liés à l’absence de flexibilité du contrat.
Pour le client : le but est de conclure un contrat adapté et évolutif.
Pour le prestataire : le but est d’imposer ses conditions générales.
4
5. INTRODUCTION
Le choix des besoins détermine le niveau d’engagement du prestataire
Source : syntec numerique.
5
6. PLAN DE L’INTERVENTION
Le contrat Cloud comporte plusieurs points essentiels sur lesquels le Client doit
focaliser son attention lors de la phase d’avant-contrat.
I. PÉRIMÈTRE DES SERVICES ET PRESTATIONS
II. RESPONSABILITES DE CHAQUE PARTIE
III. DONNÉES – TRANSFERT ET TRAITEMENT
IV. PRIX – MODES DE FIXATION
V. RÉVERSIBILITÉ – ÉVOLUTIVITÉ
VI. DROIT APPLICABLE -
6
8. I. Détermination des services et prestations
1. La détermination des services.
C’est l’objet du contrat : il doit couvrir le « périmètre » des services fournis par le
prestataire et le « niveau d’engagement » attendu , deux notions clé,
Le Périmètre
Il permet de déterminer l’étendue et le contenu des services et prestations qui seront
fournis au titre du contrat
Les services fournis par le prestataire doivent être définis précisément.
Etablissement d’un catalogue des services/prestations rendus
Anticipation par le contrat des conditions d’évolution de ce catalogue.
La précision des « Définitions » est fondamentale.
Le niveau d’engagement est le point clé de la négociation.
Qualification juridique du niveau d’engagement : maîtrise d’œuvre, obligation de
résultat..
Le client cherchera à obtenir le plus haut niveau d’engagement de la part du
prestataire, pour chaque prestation contractualisée.
Le prestataire cherchera à limiter ses engagements à différents niveaux (obligation 8
de moyen, limitation basse de responsabilité).
9. I. Services
2. La fourniture des services et prestations
Le niveau de l’engagement doit être contractualisé.
Il faut prévoir les niveaux de services techniques : disponibilité, continuité, puissance
du service. Souvent dans les SLA.
Les conditions de suspension doivent être limitées aux cas les plus stricts.
L’occurrence des maintenances ou mises à jour doivent être déterminées de concert
entre les parties.
Exemples de clauses pertinentes ou de niveaux de services à déterminer dans le
SLA:
Bande passante/Volumétrie (minimum contractuel à prévoir).
Volume de stockage du prestataire/performance des serveurs.
Contractualisation de la fonction support du prestataire (temps d’intervention minimum,
délai de temps avant une réponse technique).
Contractualisation possible de « back up plans » : audit de plan de secours, réplication des
données.
Attention à la terminologie ! Les phrases types : « mettons en œuvre nos meilleurs
efforts pour vous garantir la continuité du service » n’engagent le prestataire 9
11. II. RESPONSABILITÉS
1. L’organisation des responsabilités est nécessaire pour l’économie du contrat.
Le contrat sert à la prise en compte des conséquences de l’inexécution des
prestations, dès la conclusion de l’engagement.
Ce sont des sujets qui fâchent en négociation, mais qui sont stratégiques
Le niveau de « responsabilité » du prestataire est essentiel, car c’est la preuve
de son sérieux
Il faut aller voir, presque avant tout, cette clause qui est entre la clause 15 et
la clause 18 (à la fin)
Il est indispensable de l’étudier, la négocier et la contractualiser
Et ce, à plusieurs niveaux :
La responsabilité du prestataire à l’égard du client (clause indispensable).
La responsabilité du client dans les cas litigieux
Envisager également les impacts sur les tiers (par ex : Les perte de données de tiers)
Les clauses d’assurance sur les risques spécifiques au Cloud ne doivent pas perturber
l’économie du contrat. 11
12. II. Responsabilité
2. Analyse des clauses courantes:
La responsabilité contractuelle du prestataire :
L’assiette des préjudices couverts : les prestataires cherchent à exclure certains
préjudices
Attention aux clauses pré-qualifiant en dommages « indirects » certains
préjudices pour les exclure (refus courant d’indemniser la perte de CA, de
bénéfice, de la clientèle, les gains manqués, le préjudice d’image : attention à ne
pas vider la responsabilité de toute substance).
Attention aux limitations à un montant contractuellement établi (somme fixe ou
montant des redevances perçues pendant une période déterminée).
Les niveaux diffèrent selon les services fournis (Iaas, Saas, Paas).
La responsabilité contractuelle du client :
Les contrats prévoient souvent des cas prédéfinis de mise en jeu de la
responsabilité du client, il s’engage généralement à assumer les conséquences de
ses fautes (attention aux définitions).
Dans ce cas, les limites doivent être strictes, le Prestataire ne doit pas se défausser
12
sur son Client.
14. III. Les Données
1. La sécurisation des données
Désormais, les données sont, à juste titre, au centre de l’attention : où sont
elles stockées, dans quelles conditions, comment sont elles sécurisées,
comment on les récupère ?
Faire un audit
Prévoir, au moins en interne, un audit spécifique et préalable, qui est
nécessaire afin de cerner le statut des données traitées.
Problème de la sous-traitance
Il faut prévoir quelles opérations peuvent être sous-traitées et à qui (c’est une
obligation légale de la loi du 31 décembre 1975 sur la sous-traitance)
liste et missions des sous-traitants au sein même du contrat.
Insertion possible dans le contrat d’une obligation pour le prestataire de
répercuter ses obligations en matière de données dans les contrats passés avec
les sous-traitants.
14
15. III. Données
2. La propriété des données
Un droit de propriété du Client sur ses données : réaffirmation nécessaire
dans les termes du contrat.
La propriété intellectuelle sur les données : Déterminer l’éventualité de
revendication de propriété de certains éléments confiés au prestataire et la
paternité des droits de chacune des parties au contrat (difficulté possible en
cas d’œuvres créées avec du matériel fourni par le prestataire).
15
16. III. Données
3. Le traitement des données personnelles :
3.1 La localisation des données
La législation est stricte en matière de données personnelles (sanctions pénales):
En cas de traitement de données sensibles : déclarations Cnil obligatoires.
Données stockées hors de l’UE et notion de « safe harbor »
rédaction de clauses dans le contrat mettant à la charge du prestataire des obligations
supplémentaires de sécurisation des données (Possibilité également de contractualiser le
maintien des données sur un Cloud « européen »).
Souvent, le Client souhaite organiser la localisation géographique du serveur
3.2 Le responsable du traitement
Aménagement contractuel possible sur l’identité du responsable du traitement des
données (par principe l’entreprise cliente est systématiquement responsable mais
négociation possible pour obtenir un partage de responsabilité).
Le responsable du traitement reste et demeure responsable même si les données
sont externalisées (art 35 de la loi Cnil du 6 janvier 1978).
16
17. III. Données
3. Le traitement des données personnelles :
3.3 Clauses à prévoir
Il faut prévoir une obligation d’information du prestataire en cas de déviation ou
risque de déviation par rapport au référentiel de conformité.
C’est désormais une infraction pénale
Une clause de confidentialité étendue est nécessaire au contrat.
Il faut prévoir, en amont, toutes les pénalités afférentes au dépassement des services
par le client et aux inexécutions par le prestataire.
Possibilité de prévoir des clauses de « devoir d’alerte » en cas d’utilisation excessive
du service par le client.
17
18. III. Données
3. Le traitement des données personnelles (suite)
Recommandation de la Cnil (25/06/12) :
Faire respecter au prestataire Cloud, par la voie du contrat, les contraintes légales
(localisation des données, réglementations spécifiques à certains types de données,
etc.), les contraintes pratiques (assurer la pérennité, la disponibilité,
réversibilité/portabilité des données etc.) et les contraintes techniques
(interopérabilité avec le système existant, etc.) afin de sécuriser au mieux les
échanges de données.
Après avoir réalisé un audit spécifique sur les données concernées, la Cnil conseille
aux entreprises de choisir des solutions Cloud différentes en fonction des traitements
: possible donc de choisir « un service IaaS public français pour le site
Internet … un SaaS européen privé pour les messages électroniques »,
En fonction des métiers prévoir des dispositions spécifiques :
Par ex un hébergeur de santé homologué pour les données de santé (plus 18
sensibles) et».
19. III. Données
Point d’actualité : réforme de la directive données personnelles
Vers un Règlement Européen en 2014-2015
Volonté d’harmonisation des protections, de renforcement des devoirs d’alerte en
cas de compromission, et de renforcement des sanctions (pouvoir autonome de la
Cnil)
La finalité est de renforcer la sécurité des données personnelles face aux atteintes
liées aux nouvelles technologies (dont le Cloud computing).
Les lobbys américains, présents au Parlement Européen, font pression pour réduire
la portée de ce qui constituera le futur règlement européen. Des suggestions,
proposées entre autres par Amazon ou la Chambre Américaine de Commerce sont
ainsi reprises mot pour mot dans certains amendements proposés par des députés
européens.
19
21. IV. Le Prix
1. Les conditions tarifaires
Le contrat peut fixer le prix selon différents critères :
A la consommation selon des prestations mesurables en fonction de l’utilisation. Dans ce
cas, les unités de mesure qui influent sur le prix doivent être prédéfinies (bande passante,
stockage, trafic mensuel),
Au forfait, en fonction d’un nombre d’utilisateurs par exemple, ou en fonction des services
choisis
Mélange des deux modes de fixation.
21
22. IV. Le Prix
2. Le Benchmark
Négociation possible autour de l’insertion d’une clause de « benchmarking »
permettant l’examen, au cours du contrat, de la qualité et du prix des
prestations proposées par la concurrence. En cas d’écart trop important, la
clause prévoit le sort du contrat (renégociation, résiliation)
Si un benchmark est inséré, il faut prévoir :
les prestations concernées
les outils et méthodes d’évaluation
la méthode d’analyse des résultats
les solutions applicables en cas d’écart trop important.
22
24. V. La Réversibilité
Objectif : permettre à l’entreprise cliente de reprendre la main sur ce qu’elle
a confié au prestataire.
Ce qui doit être prévu dans le contrat (et éventuellement négocié) :
La portée de la clause : restitution des données et des informations.
Le prix éventuel de la restitution.
Les conditions de la restitution : la durée évaluée du rapatriement des
informations.
La qualité des données restituées : exploitables par le client (clause de portabilité
et d’interopérabilité des données).
L’aménagement de la période de transition.
La possibilité, en retour, pour le client de devoir coopérer ou d’effectuer ses
meilleurs efforts pour coopérer à la réversibilité.
La contractualisation d’une modification éventuelle des prestations attendues
durant le transfert.
24
26. VI. Le droit applicable
La détermination de la loi applicable :
Clause contractuelle qui permet d’attribuer le droit applicable et la juridiction
compétente en cas de litiges.
Attention à la compatibilité de certaines clauses avec le droit français :
Règlementation en matière de données personnelles, notamment les données
sensibles (santé, bancaire).
Le Secret bancaire français s’oppose au « Patriot act américain » qui permet aux
autorités américaines d’inspecter les serveurs situés sur leur territoire.
26
27. Points clés.
Multiplication des audits et évaluation des besoins.
Négocier en amont les difficultés prévisibles.
Redoubler de vigilance sur le traitement des données
personnelles.
Essayer d’introduire un Benchmark des engagements.
Sécuriser au maximum la réversibilité des données.
27