Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)
Deuxième partie. Rédaction d’un contrat
E. AUDITS ET SUIVI
Activités de suivi
Pour assurer le respect des règlements et des dispositions contractuelles (par exemple, respect par le client et ses utilisateurs finaux de la politique d’utilisation acceptable et des licences de propriété intellectuelle, et respect par le fournisseur de l’accord de niveau de service et de la politique de protection des données), les parties devront peut-être surveiller leurs activités respectives. La loi peut rendre impératives certaines activités de suivi, liées notamment au traitement des données personnelles.
Le contrat pourra préciser les activités régulières ou périodiques de suivi et la partie qui sera chargée de les exécuter, ainsi que les obligations de l’autre partie pour ce qui est de faciliter ce suivi. Il pourra aussi anticiper toute activité de suivi exceptionnelle et prévoir les modalités d’exécution y relatives. Enfin, il pourra aussi prévoir l’obligation de communiquer des informations à ce sujet à l’autre partie, ainsi que tout engagement de confidentialité en relation avec ces activités de suivi.
Un suivi excessif peut avoir des conséquences négatives sur la performance et augmenter le coût des services. Le contrat pourra prévoir l’obligation de suspendre le suivi dans certaines circonstances, par exemple si celui-ci porte gravement atteinte à la prestation des services. Cette préoccupation pourra concerner particulièrement les services qui requièrent d’être exécutés en temps quasi réel.
Audits et tests de sécurité
Les audits et tests de sécurité sont courants, surtout ceux qui visent à contrôler l’efficacité des mesures de sécurité. Certains peuvent être exigés par la loi. Le contrat peut inclure des clauses relatives aux droits en matière d’audit des deux parties, à la portée et au rythme de ces audits, ainsi qu’aux formalités et coûts y relatifs. Il peut aussi obliger les parties à partager les résultats des audits ou tests de sécurité qu’elles font réaliser. Dans le contrat, on pourra mettre en regard, d’une part, les droits contractuels ou obligations légales en matière d’audits et de tests de sécurité, et, d’autre part, l’obligation de l’autre partie de faciliter l’exercice de ces droits ou l’exécution de ces obligations (par exemple, en donnant accès aux centres de données concernés).
Les parties pourront convenir que les audits et les tests de sécurité peuvent uniquement être réalisés par des organisations professionnelles, ou que le fournisseur ou le client peuvent choisir de les confier à une telle organisation. Le contrat pourra prévoir les qualifications requises du tiers concerné et les conditions de son engagement, y compris la répartition des coûts. Les parties pourront convenir de dispositions particulières concernant la réalisation d’audits ou de tests de sécurité à la suite d’un incident, en fonction de la gravité et du type d’incident (par exemple, la partie responsable de l’incident pourra être tenue de rembourser partiellement ou intégralement les coûts).