Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Deuxième partie. Rédaction d’un contrat

E. AUDITS ET SUIVI

Activités de suivi

Pour assurer le respect des règlements et des dispositions contractuelles (par exemple, respect par le client et ses utilisateurs finaux de la politique d’utilisation acceptable et des licences de propriété intellectuelle, et respect par le fournisseur de l’accord de niveau de service et de la politique de protection des données), les parties devront peut-être surveiller leurs activités respectives. La loi peut rendre impératives certaines activités de suivi, liées notamment au traitement des données personnelles.

Le contrat pourra préciser les activités régulières ou périodiques de suivi et la partie qui sera chargée de les exécuter, ainsi que les obligations de l’autre partie pour ce qui est de faciliter ce suivi. Il pourra aussi anticiper toute activité de suivi exceptionnelle et prévoir les modalités d’exécution y relatives. Enfin, il pourra aussi prévoir l’obligation de communiquer des informations à ce sujet à l’autre partie, ainsi que tout engagement de confidentialité en relation avec ces activités de suivi.

Un suivi excessif peut avoir des conséquences négatives sur la performance et augmenter le coût des services. Le contrat pourra prévoir l’obligation de suspendre le suivi dans certaines circonstances, par exemple si celui-ci porte gravement atteinte à la prestation des services. Cette préoccupation pourra concerner particulièrement les services qui requièrent d’être exécutés en temps quasi réel.

Audits et tests de sécurité

Les audits et tests de sécurité sont courants, surtout ceux qui visent à contrôler l’efficacité des mesures de sécurité. Certains peuvent être exigés par la loi. Le contrat peut inclure des clauses relatives aux droits en matière d’audit des deux parties, à la portée et au rythme de ces audits, ainsi qu’aux formalités et coûts y relatifs. Il peut aussi obliger les parties à partager les résultats des audits ou tests de sécurité qu’elles font réaliser. Dans le contrat, on pourra mettre en regard, d’une part, les droits contractuels ou obligations légales en matière d’audits et de tests de sécurité, et, d’autre part, l’obligation de l’autre partie de faciliter l’exercice de ces droits ou l’exécution de ces obligations (par exemple, en donnant accès aux centres de données concernés).

Les parties pourront convenir que les audits et les tests de sécurité peuvent uniquement être réalisés par des organisations professionnelles, ou que le fournisseur ou le client peuvent choisir de les confier à une telle organisation. Le contrat pourra prévoir les qualifications requises du tiers concerné et les conditions de son engagement, y compris la répartition des coûts. Les parties pourront convenir de dispositions particulières concernant la réalisation d’audits ou de tests de sécurité à la suite d’un incident, en fonction de la gravité et du type d’incident (par exemple, la partie responsable de l’incident pourra être tenue de rembourser partiellement ou intégralement les coûts).

Glossaire des termes clés

Accord de niveau de service : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont indiqués les services d’informatique en nuage couverts par le contrat et le niveau de service attendu ou à atteindre aux termes du contrat (voir les paramètres de performance).

Données personnelles : Données à caractère sensible ou non qui peuvent servir à identifier la personne physique à laquelle elles se rapportent. Dans certains pays, la définition des données personnelles peut englober toutes les données ou informations directement ou indirectement liées ou relatives à une personne identifiée ou identifiable (voir le sujet de données).

Licence de propriété intellectuelle : Contrat conclu entre un titulaire de droits de propriété intellectuelle (donneur de licence) et une personne autorisée à utiliser ces droits (preneur de licence). Ces contrats imposent habituellement des restrictions et des obligations quant à la portée du contrat et à la manière dont le preneur de licence ou les tiers peuvent utiliser le bien sous licence. Par exemple, les logiciels et les contenus visuels (modèles, mises en pages et images) peuvent faire l’objet d’une licence en vue d’une exploitation spécifique, ne permettant pas la copie, la modification ou l’amélioration, et être limités à un support donné. Les licences peuvent être limitées à un marché particulier (par exemple, marché national ou (sous-)régional), à un nombre d’utilisateurs ou d’appareils donné, ou être limitées dans le temps. Les accords de sous-licence peuvent être interdits. Le donneur de licence peut exiger que le titulaire des droits de propriété intellectuelle soit mentionné chaque fois que ceux-ci sont utilisés.

Politique d’utilisation acceptable : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont définies les limites de l’utilisation par le client et ses utilisateurs finaux des services d’informatique en nuage couverts par le contrat.