Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)
Deuxième partie. Rédaction d’un contrat
A. CONSIDÉRATIONS GÉNÉRALES
Liberté contractuelle
Le principe de la liberté contractuelle, largement reconnu dans les relations commerciales, permet aux parties de conclure un contrat et d’en déterminer le contenu. Cette liberté peut être restreinte par la législation relative aux conditions non négociables applicable à certains types de contrats ou par des règles qui sanctionnent l’abus de droits et les atteintes à l’ordre public, à la moralité, etc. Les conséquences du non-respect de ces restrictions peuvent aller du caractère non exécutoire de tout ou partie d’un contrat à une responsabilité civile, administrative ou pénale.
Formation du contrat
Les concepts d’offre et d’acceptation de l’offre sont traditionnellement utilisés pour déterminer si et à quel moment les parties se sont entendues sur leurs droits et obligations respectifs, qui les lieront pendant toute la durée du contrat. La loi applicable peut exiger que certaines conditions soient remplies pour que la proposition de conclusion du contrat constitue une offre définitive et irrévocable (par exemple, exiger que cette proposition indique de manière suffisamment précise les services d’informatique en nuage couverts et les conditions de paiement).
Le contrat est conclu lorsque l’acceptation de l’offre devient effective. Il peut exister divers mécanismes d’acceptation (par exemple, le client coche une case sur une page Web, il s’enregistre en ligne pour un service d’informatique en nuage, ou il commence à utiliser un service ou à payer une commission ; le fournisseur commence ou continue de fournir des services ; les deux parties signent un contrat en ligne* ou sur papier). Lorsque des modifications importantes sont apportées à l’offre (par exemple, concernant les responsabilités, la qualité et la quantité de services à fournir ou les conditions de paiement), cela peut constituer une contre-offre, qui devra être acceptée par l’autre partie pour que le contrat soit conclu.
* Pour les textes de la CNUDCI portant sur les signatures électroniques, voir la Convention des Nations Unies sur l’utilisation de communications électroniques dans les contrats internationaux (New York, 2005), la Loi type de la CNUDCI sur le commerce électronique (1996) et la Loi type de la CNUDCI sur les signatures électroniques (2001). Voir également le texte explicatif élaboré par le secrétariat de la Commission intitulé « Promouvoir la confiance dans le commerce électronique : questions juridiques relatives à l’utilisation internationale des méthodes d’authentification et de signature électroniques (2007) ».
Les solutions d’informatique en nuage normalisées pour multiabonnés sont généralement offertes par le biais d’applications interactives (par exemple, accords par clic). Dans ce cas, il y aura souvent très peu, voire pas, de marge de manœuvre pour négocier et ajuster l’offre standard. Pour conclure un tel contrat, il suffit de cliquer sur une mention comme « J’accepte », « Oui » ou « Je suis d’accord ». Lorsqu’un contrat est négocié, la formation du contrat peut résulter d’une série d’étapes, notamment un échange préliminaire d’informations, des négociations, la remise et l’acceptation d’une offre et la préparation du contrat.
Forme du contrat
Les contrats d’informatique en nuage sont généralement conclus en ligne. Ils peuvent revêtir diverses appellations (accords de services d’informatique en nuage, accords-cadres de services, ou conditions de service) et comprendre un ou plusieurs documents, comme une politique d’utilisation acceptable, un accord de niveau de service, un accord de traitement des données ou une politique de protection des données, une politique en matière de sécurité et un accord de licence.
Les règles législatives applicables aux contrats d’informatique en nuage peuvent exiger que le contrat soit conclu par écrit, surtout lorsqu’il implique le traitement de données personnelles, et que tous les documents qui y sont mentionnés soient joints au contrat-cadre. Même lorsque la forme écrite n’est pas requise, les parties peuvent décider, par souci de commodité, de clarté et d’exhaustivité, et aussi pour en assurer l’exécution et l’efficacité, de conclure le contrat par écrit, en lui incorporant tous les accords accessoires.
La loi applicable peut exiger la signature du contrat sur papier à des fins spécifiques, notamment fiscales, même si la dématérialisation croissante de l’environnement fait que ce type d’exigence se rencontre de plus en plus rarement.
Définitions et terminologie
Compte tenu de la nature des services d’informatique en nuage, les contrats y relatifs contiennent nécessairement de nombreux termes techniques. On pourra inclure un glossaire dans le contrat, ainsi que des définitions des principaux termes qui y sont utilisés, afin d’éviter toute ambiguïté dans leur interprétation. Les parties voudront peut-être envisager d’utiliser la terminologie établie à l’échelle internationale pour assurer la cohérence et la clarté juridique du texte.
Contenu habituel du contrat
Habituellement, tout contrat : a) désigne les parties contractantes ; b) définit son objet et sa portée ; c) précise les droits et obligations des parties, y compris les conditions de paiement ; d) établit sa durée et ses conditions de résiliation et de renouvellement ; e) prévoit des recours en cas de rupture ainsi que des exemptions de responsabilité ; et f) prévoit les effets de sa résiliation. Il contient aussi généralement des clauses relatives au règlement des litiges et au choix de la loi et du for. Le contenu, le style et la structure des contrats peuvent varier sensiblement en fonction des traditions juridiques, des styles rédactionnels, des exigences légales et des besoins et préférences des parties.
B. DÉSIGNATION DES PARTIES CONTRACTANTES
La désignation correcte des parties au contrat peut avoir des incidences directes sur la formation et l’exécution de celui-ci. La loi applicable précisera les informations requises pour déterminer la personnalité juridique d’une entité commerciale et sa capacité de conclure un contrat. Elle pourra exiger des renseignements supplémentaires à des fins spécifiques, par exemple un numéro d’identification fiscal ou une procuration pour déterminer la capacité d’une personne physique de signer et de s’engager pour le compte d’une personne morale.
C. DÉFINITION DE L’OBJET ET DE LA PORTÉE DU CONTRAT
Les contrats d’informatique en nuage varient sensiblement, de par le type et la complexité de leur objet, compte tenu de la diversité des services d’informatique en nuage concernés. Cet objet peut changer au cours de la durée d’un contrat : certains services pourront être annulés et d’autres ajoutés. Il peut prévoir la fourniture de services de base, auxiliaires et optionnels.
L’indication de l’objet du contrat contient généralement une description du type de services d’informatique en nuage (SaaS, PaaS, IaaS ou combinaison de ceux-ci), de leur modèle de déploiement (public, communautaire, privé ou hybride), de leurs caractéristiques techniques, en termes de qualité et de performance et de toute norme technique applicable. Plusieurs documents qui constituent le contrat peuvent entrer en ligne de compte pour en déterminer l’objet (lire la suite).
Accord de niveau de service
L’accord de niveau de service définit les paramètres de performance à l’aide desquels la fourniture des services d’informatique en nuage et la portée des obligations contractuelles et d’une éventuelle rupture du contrat par le fournisseur seront mesurées. Des informaticiens interviennent normalement dans la formulation des paramètres de performance.
Les paramètres de performance quantitatifs concernent généralement la capacité (capacité donnée de stockage de données ou quantité donnée de mémoire disponible pour le programme en cours), les temps d’arrêt ou d’interruption, les temps de latence, la pérennité du stockage de données, les temps de disponibilité, les services d’assistance (par exemple, pendant les horaires de bureau du client ou 24 heures sur 24 et 7 jours sur 7) et les plans de gestion des incidents et des sinistres et plans de reprise. Ces derniers peuvent comprendre le temps maximum de résolution des incidents, le temps maximum de réaction initiale, l’objectif de point de reprise et l’objectif de délai de reprise.
Les paramètres de performance qualitatifs peuvent concerner la suppression des données, les exigences en matière de localisation des données, la portabilité, la sécurité et la protection des données/confidentialité. Certains aspects des services peuvent être mesurés à l’aune de paramètres de performance tant qualitatifs que quantitatifs. Ainsi, l’élasticité et l’extensibilité peuvent être définies par rapport soit aux ressources maximales disponibles pendant une période minimum spécifiée, soit à la qualité et à la sécurité des mesures susceptibles d’être adaptées aux différents niveaux de sensibilité des données client stockées. Le chiffrement peut être exprimé sous la forme d’un nombre donné de bits pour les données au repos, en transit et en utilisation. En plus ou à la place de ce paramètre quantitatif, on peut aussi mesurer le chiffrement à l’aune d’un paramètre qualitatif (par exemple, le fournisseur doit s’assurer que les données des clients sont chiffrées lorsqu’elles sont transportées par un réseau de communication public et lorsqu’elles sont au repos dans des centres de données utilisés par le fournisseur).
On pourra convenir de divers engagements (par exemple, obligations de résultats ou de moyens) en fonction, notamment, des conditions de paiement et de l’existence ou non de solutions normalisées pour multiabonnés. Le type d’engagement aura des implications, notamment en ce qui concerne la charge de la preuve en cas de litige.
Mesure de la performance
Les parties peuvent prévoir dans le contrat une méthode et des procédures de mesure, et définir en particulier la période de référence choisie pour mesurer les services (quotidienne, hebdomadaire, mensuelle, etc.), les mécanismes de communication d’informations relatives à la fourniture des services (c’està-dire la fréquence et la forme de cette communication), les rôles et responsabilités des parties et le type de mesures à effectuer (par exemple, mesure au moment de la fourniture ou de la consommation des services). Elles pourront s’entendre sur un mécanisme indépendant de mesure de la performance et la répartition des frais y relatifs.
Le client s’intéresse normalement aux mesures effectuées pendant les heures de pointe, c’est-à-dire au moment où les services sont le plus nécessaire. Il est généralement à même de mesurer (ou de vérifier les mesures fournies par le fournisseur ou un tiers) uniquement les données chiffrées reflétant la performance du système au moment de la consommation, et non celles reflétant la performance au moment de la fourniture des services. Il pourra peut-être évaluer ces dernières à partir des rapports sur la performance communiqués par le fournisseur ou un tiers. Le fournisseur pourra accepter de fournir de tels rapports à la demande du client, soit à un rythme régulier (quotidien, hebdomadaire, mensuel, etc.) soit à la suite d’un incident particulier. Il pourra aussi autoriser le client à examiner ses données relatives à l’évaluation du niveau de service. Certains fournisseurs autorisent leurs clients à suivre les données relatives à la performance du service en temps réel.
Le contrat pourra obliger l’une des parties, voire les deux, à conserver les données relatives à la fourniture et à la consommation de services pendant une certaine durée. Ces informations peuvent être utiles pour négocier tout changement à apporter au contrat ou en cas de litige.
Politique d’utilisation acceptable
La politique d’utilisation acceptable définit les conditions de l’utilisation, par le client et ses utilisateurs finaux, des services d’informatique en nuage visés par le contrat. Elle entend protéger le fournisseur contre toute responsabilité découlant de la conduite de ses clients et de leurs utilisateurs finaux. Tout client potentiel devra accepter cette politique, qui fera partie du contrat passé avec le fournisseur. La grande majorité des politiques standard interdit toute une série d’activités dont les fournisseurs considèrent qu’elles constituent une utilisation abusive ou illégale des services d’informatique en nuage. Les politiques d’utilisation acceptable peuvent restreindre non seulement le type de contenus susceptibles d’être placés dans le nuage, mais aussi le droit du client de donner accès aux données et autres contenus envoyés dans le nuage à des tiers (par exemple, des ressortissants de certains pays ou des personnes figurant sur des listes de sanctions). Les parties peuvent convenir d’écarter certaines interdictions pour tenir compte des besoins commerciaux spécifiques du client, dans les limites autorisées par la loi.
Les conditions générales du fournisseur prévoient habituellement que les utilisateurs finaux du client doivent aussi observer la politique d’utilisation acceptable et que le client doit déployer ses meilleurs efforts ou des efforts commercialement raisonnables pour en assurer le respect. Certains fournisseurs peuvent exiger des clients qu’ils empêchent activement tout usage non autorisé ou abusif par des tiers des services d’informatique en nuage offerts au titre du contrat. Les parties pourront s’entendre sur des obligations limitées, par exemple en prévoyant que le client communique la politique d’utilisation acceptable aux utilisateurs finaux connus, n’autorise pas, ni ne permet en connaissance de cause, de tels usages, et notifie au fournisseur tout usage non autorisé ou abusif dont il aura connaissance.
Dans un petit nombre de pays, la loi peut imposer au fournisseur des devoirs en ce qui concerne les contenus hébergés sur son infrastructure d’informatique en nuage, par exemple l’obligation de signaler la présence de contenus illicites aux autorités publiques. Il se peut que ces obligations ne puissent pas être transférées au client ou aux utilisateurs finaux par la politique d’utilisation acceptable ou autrement. Elles peuvent avoir des incidences sur la confidentialité, entre autres, et comptent parmi les facteurs à prendre en compte pour choisir un fournisseur adéquat (lire la suite).
Politique de sécurité
La sécurité du système, y compris celle des données du client, implique le partage des responsabilités entre les parties. Le contrat devrait préciser les rôles et responsabilités de chaque partie en ce qui concerne les mesures de sécurité, en traduisant les obligations qui peuvent leur être imposées par les dispositions de droit impératif.
Habituellement, le fournisseur suit sa propre politique en matière de sécurité. Dans certains cas, il sera peut-être possible de s’accorder pour qu’il suive la politique du client en la matière. Cela n’est toutefois pas possible pour les solutions d’informatique en nuage normalisées pour multiabonnés. Le contrat pourra prévoir des mesures de sécurité précises (par exemple, exigences de nettoyage ou de suppression des données sur un support endommagé, stockage de paquets de données séparés à différents endroits, stockage des données du client sur du matériel spécifique qui lui est propre). La communication excessive d’informations concernant la sécurité dans le contrat peut toutefois présenter un risque.
Certaines mesures de sécurité portent exclusivement sur les activités habituelles de la partie concernée, par exemple les inspections, par le fournisseur, du matériel sur lequel les données sont stockées et les services sont fournis, et la prise de mesures efficaces pour assurer un accès contrôlé à celui-ci ; elles ne nécessitent donc aucune contribution de la part de l’autre partie. Dans d’autres cas, pour permettre à la partie concernée de remplir ses obligations ou d’évaluer et de contrôler la qualité des mesures de sécurité mises en œuvre, l’intervention de l’autre partie pourra être nécessaire. Ainsi le client devra-t-il mettre à jour la liste des identifiants des utilisateurs et de leurs droits d’accès et communiquer tout changement au fournisseur en temps utile pour garantir le bon fonctionnement des mécanismes de gestion des identités et des accès. Il devra aussi lui indiquer le niveau de sécurité à attribuer à chaque catégorie de données.
Certaines menaces à la sécurité peuvent se situer en dehors du cadre contractuel liant le client et le fournisseur, et exiger l’alignement des conditions du contrat d’informatique en nuage sur d’autres contrats passés par le fournisseur et le client (par exemple, avec des fournisseurs de services Internet).
Intégrité des données
Les contrats standard du fournisseur peuvent contenir une clause de non-responsabilité générale prévoyant que la responsabilité finale en ce qui concerne la préservation de l’intégrité des données incombe au client.
Certains fournisseurs accepteront peut-être de prendre un engagement concernant l’intégrité des données (par exemple, par le biais de sauvegardes régulières), éventuellement moyennant paiement. Indépendamment de l’arrangement contractuel passé avec le fournisseur, le client pourra se demander s’il serait utile de garantir l’accès à au moins une copie utilisable de ses données placée hors du contrôle, de la portée et de l’influence du fournisseur et de ses sous-traitants, et n’impliquant pas leur participation.
Clause de confidentialité
La volonté du fournisseur de s’engager à garantir la confidentialité des données client dépend de la nature des services qu’il fournit au titre du contrat et, en particulier, de la question de savoir s’il aura besoin d’avoir un accès non chiffré aux données pour fournir lesdits services. Certains fournisseurs pourraient ne pas être en mesure de proposer une clause de confidentialité ou de non-obligation d’information et ainsi expressément écarter toute obligation de confidentialité en ce qui concerne les données client. D’autres pourront être disposés à assumer une responsabilité pour la confidentialité des données communiquées par le client lors de la négociation du contrat, mais pas pour les données traitées dans le cadre de la fourniture des services. Certaines clauses standard de confidentialité offertes par les fournisseurs ne seront pas suffisantes pour assurer le respect de la loi applicable.
En l’absence d’engagements contractuels et d’obligations légales auxquels le fournisseur peut être soumis pour ce qui est d’assurer la confidentialité, le client pourra devoir assumer l’entière responsabilité de la confidentialité des données (par exemple, au moyen du chiffrement). Lorsqu’il est impossible de négocier une clause générale de confidentialité applicable à toutes les données client placées dans le nuage, les parties peuvent prendre un engagement de confidentialité pour certaines données sensibles (avec un régime de responsabilité distinct en cas de violation de la confidentialité de ces dernières). Le client pourra en particulier s’inquiéter de la protection de ses secrets commerciaux, de son savoir-faire et des informations dont il doit assurer la confidentialité conformément à la législation ou à des engagements pris auprès de tiers. Les parties peuvent convenir de limiter l’accès à ces données à un nombre limité de membres du personnel, dont elles exigeront des engagements de confidentialité à titre individuel, en particulier de ceux qui exercent une fonction à risque (par exemple, administrateurs de système, auditeurs et personnes s’occupant des dispositifs de détection des intrusions et de la réponse aux incidents). Dans ces cas, le client indiquera normalement au fournisseur les informations concernées, le niveau de protection requis, toute loi ou exigence contractuelle applicable et tout changement concernant ces informations, y compris tout changement apporté à la loi applicable.
Dans certains cas, la communication des données du client sera nécessaire aux fins de l’exécution du contrat. Dans d’autres, elle sera exigée par la loi, par exemple au titre de l’obligation de fournir des informations aux autorités publiques compétentes (voir ci-après, D. Droit d'accéder aux données client et à d’autres contenus). Il sera alors nécessaire de prévoir des exceptions appropriées aux clauses de confidentialité.
Le fournisseur pourra, de son côté, imposer au client l’obligation de ne pas communiquer d’informations au sujet de ses mesures de sécurité, ni d’autres détails concernant les services qu’il lui fournit, au titre du contrat ou de la loi.
Protection des données/politique de confidentialité ou accord de traitement des données
Les données personnelles font l’objet d’une protection particulière en vertu de la loi dans de nombreux pays. La loi applicable au traitement de ces données peut différer de la loi applicable au contrat. Elle prévaudra sur toute clause contractuelle non conforme.
Le contrat peut contenir une clause relative à la protection des données ou à la confidentialité ou un accord de traitement des données ou autre type d’accord similaire, même si certains fournisseurs s’engageront uniquement de manière générale à respecter la loi applicable en matière de protection des données. Dans certains pays, un tel engagement général pourrait être insuffisant et le contrat devra énoncer au minimum l’objet et la durée, la nature et l’objectif du traitement des données personnelles, le type de données et les catégories de sujets de données, et les droits et obligations du responsable du contrôle des données et du responsable du traitement des données. Lorsqu’il est impossible de négocier une clause de protection des données dans le contrat, le client souhaitera peut-être examiner les conditions générales pour déterminer si celles-ci lui donnent des garanties suffisantes quant au traitement licite des données personnelles et prévoient des recours en dommages-intérêts adéquats.
Le client jouera probablement le rôle de responsable du contrôle des données et assumera la responsabilité du respect de la législation relative à la protection des données en ce qui concerne les données personnelles réunies et traitées dans le nuage. Les parties peuvent convenir de clauses contractuelles visant à assurer le respect des règles applicables en matière de protection des données, y compris les demandes liées aux droits des sujets de données. Elles peuvent aussi convenir de voies de droit distinctes en cas de violation de ces clauses, notamment la résiliation unilatérale du contrat et l’indemnisation.
Les contrats standard des fournisseurs prévoient généralement que ceux-ci n’assument aucun rôle de responsable de contrôle des données. Normalement, le fournisseur agit en tant que responsable du traitement des données uniquement lorsqu’il traite les données du client conformément à ses instructions, dans le seul but de lui fournir des services d’informatique en nuage. Dans certains pays, il pourra toutefois être considéré comme assumant le rôle de responsable du contrôle des données, indépendamment des clauses contractuelles, lorsqu’il traite plus avant les données à ses propres fins ou selon les instructions des autorités publiques, et pourrait par conséquent assumer la pleine responsabilité de la protection des données personnelles pour ce qui est de ce traitement supplémentaire (voir ci-après, J. Responsabilité, Dispositions légales limitant la liberté contractuelle).
Obligations découlant d’une violation des données et d’autres incidents de sécurité
Les parties peuvent être tenues, de par la loi ou les dispositions contractuelles (voire les deux), de se notifier mutuellement tout incident de sécurité ayant un lien avec le contrat ou tout soupçon en la matière qui vient à leur connaissance. Cette obligation peut s’ajouter à l’obligation générale, qui peut être prévue par la loi, de notifier tout incident de sécurité aux parties prenantes concernées (y compris les sujets de données, les assureurs et les autorités publiques, ou le grand public), afin de prévenir les incidents ou d’en minimiser l’impact.
La loi peut prévoir des exigences spécifiques en matière de notification d’un incident de sécurité, et préciser notamment le moment où celle-ci doit être donnée et les personnes responsables de ce faire. Sous réserve de ces dispositions obligatoires, les parties peuvent préciser dans le contrat le délai de notification (par exemple, un jour après la prise de connaissance, par la partie, de l’incident ou de la menace), la forme et le contenu de la notification relative à l’incident de sécurité. Cette dernière indique généralement les circonstances et la cause de l’incident, le type de données touchées, les mesures à prendre pour résoudre l’incident, le moment où celui-ci devrait être résolu et le plan d’urgence, le cas échéant, à mettre en œuvre en attendant qu’il soit réglé. Elle peut également comporter des informations sur les tentatives de violations et les attaques contre des cibles spécifiques (par utilisateur client, par application donnée, par appareil spécifique), ainsi que des tendances et des statistiques. Toute exigence en matière de notification tient normalement compte de la nécessité de ne pas communiquer d’informations sensibles susceptibles de nuire au système, aux opérations ou au réseau de la partie affectée.
Le fournisseur ou le client (ou les deux) peuvent être tenus, de par la loi ou le contrat, de prendre des mesures à la suite d’un incident de sécurité (« mesures postincident »), y compris en faisant intervenir un tiers. Ces mesures peuvent comprendre l’isolement ou la mise en quarantaine des zones touchées, l’analyse des causes profondes et l’élaboration d’un rapport d’analyse de l’incident. Ce dernier peut être établi par la partie touchée, seule ou conjointement avec l’autre partie, ou par un tiers indépendant. Ces mesures peuvent varier en fonction des catégories de données stockées dans le nuage et d’autres facteurs.
Un incident de sécurité grave entraînant, par exemple, la perte de données pourra déboucher sur la résiliation du contrat.
Exigences en matière de localisation des données
Dans ses conditions générales, le fournisseur peut expressément se réserver le droit de stocker les données client dans tout pays dans lequel lui-même ou ses sous-traitants exercent des activités. Le plus souvent, une telle pratique sera suivie même en l’absence d’un droit contractuel explicite, car il est clair que les services d’informatique en nuage sont, de par leur nature, généralement fournis à partir de plus d’un endroit (par exemple, la sauvegarde et la protection antivirus peuvent être assurées à distance, et l’assistance peut être offerte depuis le monde entier, selon un modèle ajusté aux fuseaux horaires (modèle « follow-the-sun », c’est-à-dire que le soutien suit littéralement le soleil). Cette pratique ne sera peut-être pas conforme aux exigences en matière de localisation des données applicables à l’une ou l’autre partie, voire aux deux (lire la suite).
Des garanties visant à assurer le respect des exigences en matière de localisation des données peuvent être incluses dans le contrat, comme l’interdiction de déplacer les données et autres contenus en dehors de l’emplacement prévu, ou l’obligation d’obtenir l’approbation préalable de l’autre partie. Ainsi, on pourra inclure un paramètre de performance qualitatif dans l’accord de niveau de service pour garantir que les données client (y compris toute copie, métadonnée et sauvegarde) seront exclusivement stockées dans des centres de données physiquement situés dans les pays indiqués dans le contrat et détenus et exploités par des entités établies dans ces pays. Autrement, on pourra prévoir, par exemple, que les données ne doivent jamais sortir d’un certain pays ou d’une certaine région, mais peuvent être copiées dans un pays tiers donné ou ailleurs, mais en aucun cas dans tel autre pays qui sera expressément mentionné.
D. DROIT D’ACCÉDER AUX DONNÉES CLIENT ET À D’AUTRES CONTENUS
Droit du fournisseur d’accéder aux données client pour la fourniture des services
Les fournisseurs se réservent généralement le droit d’accéder aux données client conformément au principe du « besoin d’en connaître ». Avec une telle disposition, les employés, sous-traitants et autres tiers (par exemple, auditeurs) peuvent accéder aux données du client lorsqu’ils en ont besoin pour fournir les services d’informatique en nuage (y compris à des fins de maintenance, d’assistance et de sécurité) ou pour vérifier le respect de la politique d’utilisation acceptable, de licences de propriété intellectuelle, d’un accord de niveau de service et d’autres documents contractuels. Les parties peuvent convenir des circonstances dans lesquelles le fournisseur sera autorisé à accéder aux données client et de mesures permettant d’assurer la confidentialité et l’intégrité de ces données.
On peut considérer que le client octroie implicitement au fournisseur certains droits d’accès à ses données lorsqu’il demande qu’un certain service lui soit fourni. Sans ces droits, le fournisseur ne pourrait en effet pas fournir le service en question. Par exemple, si le fournisseur a pour instruction de sauvegarder régulièrement les données du client, il devra pour s’acquitter de cette tâche se voir conférer le droit de copier celles-ci. De même, si des soustraitants doivent traiter les données du client, le fournisseur doit être en droit de les leur transférer.
Le contrat peut préciser quels droits liés aux données requises pour l’exécution du contrat le client octroie au fournisseur, la mesure dans laquelle ce dernier est autorisé à les transférer à des tiers (par exemple, à ses soustraitants) et la portée dans le temps et dans l’espace des droits accordés de manière implicite ou explicite. Les restrictions géographiques peuvent être particulièrement importantes lorsque la loi interdit de sortir les données d’une région ou d’un pays particulier (lire la suite). Les contrats précisent souvent si le client peut retirer un droit accordé de manière implicite ou explicite, et dans quelles conditions. Étant donné que la capacité de fournir des services, au niveau de qualité exigé, peut dépendre des droits accordés par le client, le retrait de certains droits peut avoir pour conséquence d’entraîner la modification ou la fin du contrat.
Utilisation à d’autres fins des données client par le fournisseur
La plupart des pays ne confèrent pas au fournisseur le droit automatique d’utiliser les données client à ses propres fins. Le fournisseur pourra demander d’utiliser ces données à d’autres fins que la fourniture des services d’informatique en nuage prévus dans le contrat (par exemple, à des fins publicitaires, pour l’établissement de statistiques, de rapports analytiques ou prévisionnels ou pour d’autres pratiques d’extraction de données). Dans ce contexte, on examinera notamment les aspects suivants : a) la nature des informations concernant le client ou ses utilisateurs finaux qui seront réunies, ainsi que les raisons et le but de cette collecte et de leur utilisation par le fournisseur ; b) la question de savoir si ces informations seront partagées avec d’autres organisations, entreprises ou particuliers et, le cas échéant, pour quelles raisons, et si ce partage se fera avec ou sans le consentement du client ; et c) la manière dont le respect des politiques en matière de confidentialité et de sécurité sera assuré si le fournisseur partage ces informations avec des tiers. Si l’utilisation par le fournisseur des données client concerne des données personnelles, on attendra généralement des parties qu’elles évaluent soigneusement leurs obligations en matière de respect des règlements au titre de la loi applicable relative à la protection des données.
Lorsqu’il confère au fournisseur le droit d’utiliser les données client à ses propres fins, le contrat peut aussi énumérer les motifs légitimes d’utilisation, prévoir des obligations en ce qui concerne la désidentification et l’anonymisation de ces données pour garantir le respect de toute réglementation relative à la protection des données ou autre réglementation applicable et imposer des limites à la reproduction des contenus et à la communication d’informations au public. Souvent, le fournisseur est autorisé à utiliser ces données à ses propres fins uniquement sous forme de données ouvertes rendues anonymes, ou de données agrégées et désidentifiées, pendant la durée du contrat ou au-delà.
Utilisation par le fournisseur du nom, du logo et de la marque du client
Les conditions générales du fournisseur peuvent lui accorder le droit d’utiliser le nom, le logo et la marque du client à des fins publicitaires. Les parties peuvent convenir de supprimer ou de modifier ces dispositions, y compris en limitant cette utilisation au nom du client, ou en exigeant l’approbation préalable de ce dernier pour l’utilisation de son nom, de son logo ou de sa marque.
Mesures prises par le fournisseur à l’égard des données client sur ordre de l’État ou aux fins du respect des règlements
Dans ses conditions générales, le fournisseur peut se réserver le droit de communiquer, s’il le juge approprié, des données client aux autorités publiques ou de leur donner accès à celles-ci (par exemple, avec une formule du type « lorsque cela sert au mieux les intérêts du fournisseur »). Ces conditions prévoient aussi généralement le droit du fournisseur de supprimer ou de bloquer des données client dès qu’il prend connaissance ou conscience d’un contenu illégal, ou lorsqu’il doit mettre en œuvre le droit à l’oubli du sujet de données, afin d’éviter toute responsabilité prévue par la loi (procédure « de notification et de retrait » (voir par. 128 ci-après)). Les parties peuvent convenir de limiter les circonstances dans lesquelles le fournisseur peut prendre ce genre de mesures (par exemple, lorsqu’il reçoit l’ordre d’un tribunal ou d’une autre autorité publique de fournir un accès aux données) ou de supprimer ou modifier celles-ci.
Les parties pourront convenir, au minimum, que le client sera notifié sans délai de tout ordre reçu de l’État ou des décisions du fournisseur concernant ses données, avec des précisions relatives aux données concernées, à moins qu’une telle notification ne soit contraire à la loi. Lorsque la notification préalable et l’intervention du client sont impossibles, le contrat peut exiger du fournisseur qu’il adresse une notification ex post immédiate au client contenant les mêmes informations. Les parties peuvent aussi convenir de dispositions concernant la conservation de tous les ordres, requêtes et autres activités concernant les données du client, et la fourniture à ce dernier d’un accès à ces informations et aux registres correspondants.
Droits relatifs aux données dérivées des services en nuage
Les parties peuvent s’entendre sur les droits du client relatifs aux données dérivées des services en nuage et la manière dont ces droits peuvent être exercés pendant la relation contractuelle et au terme du contrat.
Clause de protection des droits de propriété intellectuelle
Certains types de contrats d’informatique en nuage peuvent entraîner la création d’objets soumis à des droits de propriété intellectuelle, soit conjointement par le fournisseur et le client (par exemple, améliorations du service proposées par le client) soit par le client uniquement (nouvelles applications, nouveaux logiciels et autres œuvres originales). Le contrat pourra contenir une clause expresse relative à la propriété intellectuelle, qui déterminera la partie au contrat qui jouira des droits de propriété intellectuelle sur divers objets déployés ou développés dans le nuage et l’utilisation que les parties pourront faire de ces droits. Lorsqu’il n’existe pas de possibilité de négociation dans ce domaine, le client pourra souhaiter examiner toute clause relative à la propriété intellectuelle pour déterminer si le fournisseur lui offre des garanties suffisantes et des moyens appropriés pour protéger ses droits et en jouir, et éviter tout risque de verrouillage (lire la suite).
Interopérabilité et portabilité
La loi n’exigera pas nécessairement que l’interopérabilité et la portabilité soient assurées. Il peut appartenir entièrement au client de créer des routines d’exportation compatibles, à moins que le contrat n’en dispose autrement, par exemple en prévoyant des engagements en ce qui concerne l’interopérabilité et la portabilité, et l’assistance pour l’exportation des données à la fin du contrat (voir ci-dessous, M. Engagements de fin de contrat, Aide à l’exportation apportée par le fournisseur). Le contrat pourra exiger l’utilisation de formats d’exportation de données et autres contenus qui soient normalisés ou interopérables et couramment utilisés, ou permettre le choix parmi les formats disponibles. On pourra également prévoir des clauses contractuelles concernant les droits aux produits communs et aux applications ou logiciels, sans lesquels l’utilisation des données et autres contenus dans un autre système risque d’être impossible (voir ci-avant, Clause de protection des droits de propriété intellectuelle).
Extraction de données à des fins judiciaires
Les clients pourraient devoir être à même de rechercher des données placées dans le nuage sous leur forme initiale pour répondre à des exigences juridiques, notamment dans le cadre d’une enquête. Les documents électroniques pourraient devoir satisfaire à des exigences en matière d’audit et de preuve. Certains fournisseurs pourraient offrir une assistance aux clients en vue de l’extraction de données dans le format requis par la loi. Le contrat pourra définir la forme et les conditions de cette assistance.
Suppression des données
La question de la suppression des données pourra se poser pendant la durée du contrat, mais surtout à la fin de ce dernier (voir ci-après, Suppression des données). Ainsi, certaines données devront peut-être être supprimées conformément au plan de conservation du client. Il faudra peut-être détruire les données sensibles à un moment donné (par exemple, destruction des disques durs à la fin de la durée de vie des supports sur lesquels ces données ont été stockées). Les données devront peut-être aussi être détruites pour répondre à une demande de suppression émanant des services de police ou en cas d’atteinte avérée à la propriété intellectuelle (voir ci-avant, Mesures prises par le fournisseur à l’égard des données client sur ordre de l’État ou aux fins du respect des règlements).
Les conditions générales du fournisseur peuvent ne contenir que des déclarations concernant la suppression occasionnelle des données client. Les parties pourront convenir de la suppression immédiate, effective, irrévocable et définitive des données, sauvegardes et métadonnées, conformément au calendrier de conservation et d’élimination ou à une autre forme d’autorisation ou de requête que le client aura communiqué au fournisseur. Le contrat pourra définir les délais et autres conditions relatifs à la suppression des données, y compris les obligations concernant la confirmation de la suppression des données et l’accès aux journaux d’audit y relatifs.
Des normes ou techniques de suppression particulières pourront être définies, en fonction de la nature et du caractère sensible des données. Le fournisseur pourra avoir obligation de supprimer des données stockées à différents emplacements et sur divers supports, y compris sur les systèmes des sous-traitants et d’autres tiers, avec des niveaux de suppression différents, allant du nettoyage des données pour en assurer la confidentialité jusqu’à leur suppression complète, voire à la destruction du matériel. Une suppression plus sûre impliquant la destruction, plutôt que le redéploiement du matériel, risque d’être plus coûteuse et de ne pas toujours être possible (par exemple, si les données d’autres personnes sont stockées sur le même support). Par conséquent, on pourra souhaiter prévoir dans le contrat que le fournisseur doit utiliser une infrastructure isolée pour stocker les données les plus sensibles du client.
E. AUDITS ET SUIVI
Activités de suivi
Pour assurer le respect des règlements et des dispositions contractuelles (par exemple, respect par le client et ses utilisateurs finaux de la politique d’utilisation acceptable et des licences de propriété intellectuelle, et respect par le fournisseur de l’accord de niveau de service et de la politique de protection des données), les parties devront peut-être surveiller leurs activités respectives. La loi peut rendre impératives certaines activités de suivi, liées notamment au traitement des données personnelles.
Le contrat pourra préciser les activités régulières ou périodiques de suivi et la partie qui sera chargée de les exécuter, ainsi que les obligations de l’autre partie pour ce qui est de faciliter ce suivi. Il pourra aussi anticiper toute activité de suivi exceptionnelle et prévoir les modalités d’exécution y relatives. Enfin, il pourra aussi prévoir l’obligation de communiquer des informations à ce sujet à l’autre partie, ainsi que tout engagement de confidentialité en relation avec ces activités de suivi.
Un suivi excessif peut avoir des conséquences négatives sur la performance et augmenter le coût des services. Le contrat pourra prévoir l’obligation de suspendre le suivi dans certaines circonstances, par exemple si celui-ci porte gravement atteinte à la prestation des services. Cette préoccupation pourra concerner particulièrement les services qui requièrent d’être exécutés en temps quasi réel.
Audits et tests de sécurité
Les audits et tests de sécurité sont courants, surtout ceux qui visent à contrôler l’efficacité des mesures de sécurité. Certains peuvent être exigés par la loi. Le contrat peut inclure des clauses relatives aux droits en matière d’audit des deux parties, à la portée et au rythme de ces audits, ainsi qu’aux formalités et coûts y relatifs. Il peut aussi obliger les parties à partager les résultats des audits ou tests de sécurité qu’elles font réaliser. Dans le contrat, on pourra mettre en regard, d’une part, les droits contractuels ou obligations légales en matière d’audits et de tests de sécurité, et, d’autre part, l’obligation de l’autre partie de faciliter l’exercice de ces droits ou l’exécution de ces obligations (par exemple, en donnant accès aux centres de données concernés).
Les parties pourront convenir que les audits et les tests de sécurité peuvent uniquement être réalisés par des organisations professionnelles, ou que le fournisseur ou le client peuvent choisir de les confier à une telle organisation. Le contrat pourra prévoir les qualifications requises du tiers concerné et les conditions de son engagement, y compris la répartition des coûts. Les parties pourront convenir de dispositions particulières concernant la réalisation d’audits ou de tests de sécurité à la suite d’un incident, en fonction de la gravité et du type d’incident (par exemple, la partie responsable de l’incident pourra être tenue de rembourser partiellement ou intégralement les coûts).
F. CONDITIONS DE PAIEMENT
Facturation à l’usage
Le prix est une condition essentielle du contrat. Ainsi, le fait de ne pas inclure le prix ou un mécanisme de fixation du prix dans le contrat peut en entraîner la nullité.
Dans des services d’informatique en nuage caractérisés par le libre-service à la demande, la facturation se fait généralement à l’usage. Il arrive couramment que le contrat précise le tarif à l’unité pour le volume convenu de services fournis (par exemple, pour un nombre défini d’utilisateurs, d’utilisations ou en fonction du temps utilisé). Les barèmes ou autres ajustements de prix, y compris les rabais de volume, peuvent être conçus comme des mesures incitatives ou dissuasives pour l’une ou l’autre des parties. Les essais gratuits sont courants, de même que la fourniture de certains services à titre gracieux. S’il peut y avoir de nombreuses options en matière de calcul des prix, une clause claire et transparente dans ce domaine, bien comprise par les deux parties, peut permettre d’éviter des conflits et des litiges.
Frais de licence
Les parties voudront peut-être préciser dans le contrat si le coût des services d’informatique en nuage englobe les frais pour toute licence que le fournisseur peut accorder au client en relation avec ces services. Les contrats de type SaaS, en particulier, prévoient souvent l’utilisation, par le client, de logiciels donnés en licence par le fournisseur.
Les frais de licence peuvent être calculés par poste ou par instance et varier en fonction de la catégorie d’utilisateurs (par exemple, les utilisateurs professionnels, par opposition aux utilisateurs non professionnels, pourront entrer dans l’une des catégories les plus chères). Des structures de paiement différentes peuvent avoir des incidences différentes. Ainsi, les frais de licence d’un client peuvent considérablement augmenter si le logiciel est facturé par instance, chaque fois qu’une nouvelle machine est reliée, même si le client utilise le même nombre d’instances de machines pour la même durée.
Le contrat pourra préciser le nombre total d’utilisateurs potentiels du logiciel couvert par l’accord de licence, le nombre d’utilisateurs dans chaque catégorie (par exemple, employés, entrepreneurs indépendants et fournisseurs) et les droits à accorder à chaque catégorie. Il pourra aussi préciser les droits d’accès et d’utilisation qui entreront dans la portée de la licence, ainsi que les cas d’accès et d’utilisation par le client et ses utilisateurs finaux qui nécessiteront l’élargissement de cette portée et entraîneront par conséquent une hausse des frais de licence.
Coûts supplémentaires
Les conditions de paiement peuvent prévoir les modalités de facturation (par exemple, facturation électronique), ainsi que la forme et le contenu des factures, aux fins notamment du respect des obligations fiscales. Les autorités fiscales de certains pays pourront ne pas accepter les factures électroniques (même si cela devient peu courant au fil de l’avancée de la dématérialisation), ou exiger qu’elles se présentent sous une forme particulière, et notamment qu’elles indiquent séparément les taxes applicables aux services d’informatique en nuage.
Dans certains pays, les services d’informatique en nuage entrent dans la catégorie des biens ou services imposables. Les parties pourront souhaiter aborder, dans le contrat, la question de l’impact fiscal sur les conditions de paiement.
Autres conditions de paiement
Payment terms may cover invoicing modalities (e.g., e-invoicing) and the form and content of the invoice, which may be important for tax compliance. Tax authorities of some jurisdictions may not accept electronic invoices (although this is becoming rare in an increasingly paperless environment) or may require a special format, including that any tax applicable to the cloud computing services may need to be stated separately.
Les parties pourront souhaiter préciser, parmi les conditions de paiement, les échéances, la monnaie, le taux de change applicable, les modalités de paiement, les sanctions en cas de retards de paiement et les procédures de règlement des litiges relatifs à des demandes de paiement.
G. MODIFICATION DES SERVICES
Les services d’informatique en nuage sont par nature souples et variables. les nombreuses options contractuelles permettent au client de tirer parti de certaines caractéristiques de ces services, à savoir l’élasticité, l’extensibilité et le libre-service à la demande, afin d’ajuster sa consommation en fonction de ses besoins. Cela lui évite d’avoir à renégocier le contrat à chaque fois qu’il souhaite modifier sa consommation.
De son côté, le fournisseur peut se réserver le droit d’ajuster son portefeuille de services selon qu’il le juge approprié. Il pourra être nécessaire de traiter différemment, dans le contrat, les changements concernant les services de base et ceux qui concernent les services auxiliaires et les aspects relatifs à l’assistance. Il faudra peut-être également distinguer les changements qui pourraient avoir une incidence négative sur les services de ceux qui apportent une amélioration (par exemple, le passage d’une offre classique à une offre améliorée comportant des niveaux de sécurité plus élevés ou des délais de réponse plus courts). Certaines modifications unilatérales apportées aux clauses et conditions contractuelles par le fournisseur peuvent avoir de graves conséquences pour le client et se traduire, en particulier, par des frais élevés de migration vers un autre système.
Modification du prix
Le fournisseur peut se réserver le droit de modifier unilatéralement le prix ou les barèmes de prix. Les parties peuvent convenir de définir dans le contrat la méthode de fixation des coûts (par exemple, la fréquence et l’ampleur des éventuelles augmentations). Les prix peuvent être liés à un indice des prix à la consommation particulier, limités à un pourcentage défini ou fixés selon le barème de prix du fournisseur à un moment donné. Le contrat peut exiger la notification préalable de toute hausse de prix et prévoir les conséquences de la non-acceptation, par le client, d’une telle hausse.
Mises à niveau
Si elles peuvent être dans l’intérêt du client, les mises à niveau peuvent également perturber la disponibilité des services d’informatique en nuage, car elles peuvent se traduire par des temps d’arrêt relativement longs pendant les heures ouvrables normales, même si le service est censé être fourni 24 heures sur 24 et 7 jours sur 7. Les parties peuvent convenir que le client doit être notifié à l’avance des mises à niveau prévues et de leurs implications, et que celles-ci doivent, en règle générale, être effectuées pendant des périodes de faible demande ou d’absence de demande pour le client. Le contrat peut aussi prévoir des procédures pour signaler et pour résoudre les problèmes éventuels.
Les mises à niveau peuvent avoir d’autres effets négatifs, par exemple exiger des modifications des applications ou des systèmes informatiques des clients, ou l’actualisation de la formation des utilisateurs. Le contrat peut prévoir la répartition des coûts découlant des mises à niveau. Dans les cas où des modifications importantes doivent être apportées à une version en cours d’utilisation, les parties peuvent aussi convenir de maintenir en parallèle les ancienne et nouvelle versions pendant une période convenue, afin d’assurer au client la continuité de ses activités commerciales. Le contrat peut également prévoir l’assistance qui pourra être offerte par le fournisseur dans le contexte des modifications à apporter aux applications ou aux systèmes informatiques du client et, le cas échéant, de l’actualisation de la formation des utilisateurs finaux.
Dégradation ou interruption des services
Les développements technologiques, la pression concurrentielle et d’autres raisons peuvent entraîner la dégradation ou l’interruption de certains services d’informatique en nuage, avec ou sans remplacement par d’autres services. Dans le contrat, le fournisseur peut se réserver le droit d’adapter son offre (par exemple, en mettant fin à une partie des services). L’abandon de certains services par le fournisseur peut toutefois engager la responsabilité du client vis-à-vis de ses utilisateurs finaux.
Le contrat peut prévoir la notification préalable de tels changements au client, le droit de ce dernier de résilier le contrat en cas de changements inacceptables, ainsi qu’un délai de conservation adéquat pour garantir la réversibilité en temps utile des données ou d’autres contenus concernés du client. Certains contrats interdisent toute modification susceptible d’affecter négativement la nature, l’étendue ou la qualité des services fournis, ou limitent les changements autorisés aux « modifications commercialement raisonnables ».
Notification des modifications
Aux termes de leurs conditions générales, les fournisseurs peuvent être tenus d’informer le client des modifications des conditions de service. Dans le cas contraire, les clients seront peut-être censés vérifier régulièrement si des changements ont été apportés au contrat. Le contrat peut être constitué par plusieurs documents (voir par. 38 ci-avant). Certains contrats peuvent renvoyer à des conditions et politiques contenues dans d’autres documents, lesquels peuvent aussi renvoyer à d’autres conditions et politiques, tous ces documents pouvant faire l’objet de modifications unilatérales de la part du fournisseur. Ces différents documents ne seront pas nécessairement tous publiés au même endroit sur le site Internet du fournisseur, si bien qu’il sera parfois difficile de repérer les éventuels changements introduits par le fournisseur.
La poursuite de l’utilisation des services par le client étant réputée valoir acceptation des conditions modifiées, les parties pourront convenir que le client sera notifié des changements destinés à être apportés aux conditions de service dans un délai suffisant avant leur date d’entrée en vigueur. Elles pourront aussi convenir que le client aura accès aux journaux d’audit relatifs à l’évolution des services et que toutes les conditions convenues et les services définis par référence à une version particulière seront conservés.
H. SUSPENSION DES SERVICES
Les conditions générales des fournisseurs peuvent leur octroyer le droit de suspendre les services à tout moment, s’ils le jugent opportun. Pour justifier la suspension unilatérale des services, les fournisseurs invoquent souvent des « événements imprévisibles », qui sont habituellement définis comme englobant de manière générale tous les obstacles échappant au contrôle du fournisseur, y compris les défaillances de sous-traitants, de sous-fournisseurs et d’autres tiers impliqués dans la fourniture des services d’informatique en nuage au client, notamment les fournisseurs de réseaux Internet.
Les parties peuvent convenir qu’une telle suspension pourra uniquement intervenir dans certains cas limités, indiqués dans le contrat (par exemple, en raison d’une violation fondamentale du contrat par le client, notamment en cas du non-paiement de sommes dues). Le droit de suspension en raison d’événements imprévisibles peut être subordonné à la bonne mise en œuvre d’un plan de continuité des opérations et de reprise après sinistre. Le contrat peut exiger que ce plan contienne des mesures de protection contre les facteurs qui menacent le plus fréquemment la prestation des services d’informatique en nuage et qu’il soit soumis aux commentaires et à l’approbation de l’autre partie. Parmi les mesures de protection, on mentionnera l’établissement, dans un lieu géographiquement distinct, d’un site de reprise après sinistre assurant une transition sans heurt, ainsi que l’utilisation d’une alimentation électrique sans coupure et de générateurs de secours.
I. SOUS-TRAITANTS, SOUS-FOURNISSEURS ET EXTERNALISATION
Identification de la chaîne de sous-traitance
La sous-traitance, les services d’informatique en nuage en couches et l’externalisation se rencontrent fréquemment dans l’environnement de l’informatique en nuage. Dans leurs conditions générales, les fournisseurs peuvent se réserver expressément le droit d’avoir recours à des tiers pour la prestation des services en nuage au client, ou alors ce droit peut être implicite du fait de la nature des services à fournir. Le fournisseur peut souhaiter conserver autant de latitude que possible à cet égard.
La loi pourra exiger que les parties désignent nommément dans le contrat tout tiers intervenant dans la fourniture des services d’informatique en nuage. Une telle identification pourra aussi être dans l’intérêt du client à des fins de vérification, entre autres pour s’assurer du respect, par les tiers, des exigences législatives ou contractuelles en matière notamment de sécurité, de confidentialité et de protection des données, et l’absence de conflit d’intérêt chez des tiers.
Ces informations peuvent aussi servir à réduire les risques de nonexécution du contrat par le fournisseur en raison de défaillances des tiers. Ainsi, le client peut choisir de conclure un accord directement avec les tiers qui interviennent dans l’exécution du contrat d’informatique en nuage, en particulier en ce qui concerne des questions sensibles telles que la confidentialité et le traitement des données personnelles. Il peut également essayer de négocier avec les tiers les plus importants une obligation d’intervenir si le fournisseur n’exécute pas le contrat comme il se doit (notamment si ce dernier devient insolvable).
Le fournisseur pourra être en mesure d’identifier les tiers qui jouent un rôle important, mais pas nécessairement tous les tiers impliqués. Le groupe de tiers qui interviennent dans la fourniture des services d’informatique en nuage peut varier pendant la durée du contrat (voir ci-après).
Modifications de la chaîne de sous-traitance
Les changements unilatéraux de la chaîne de sous-traitance sont fréquents. Le contrat peut préciser si de tels changements sont autorisés et prévoir, le cas échéant, dans quelles conditions (par exemple, en prévoyant que le client peut se réserver le droit d’effectuer des vérifications et d’opposer son veto à tout nouveau tiers intervenant dans la fourniture des services d’informatique en nuage, avant que cette intervention ne devienne effective). Une autre solution est d’inclure dans le contrat une liste de tiers préalablement approuvés par le client, à laquelle le fournisseur pourra se référer en cas de besoin. On peut également soumettre les changements à l’approbation, a posteriori, par le client. En l’absence de cette approbation, les services continuent d’être fournis par le tiers précédent ou un autre tiers préalablement approuvé, ou par un autre tiers choisi d’un commun accord par les parties. Dans les autres cas, le contrat peut être résilié.
La loi impérative applicable peut prévoir des circonstances dans lesquelles des modifications de la chaîne de sous-traitance d’un fournisseur peuvent entraîner la résiliation du contrat.
Harmonisation des conditions du contrat avec les contrats liés
La loi ou le contrat même peuvent exiger des parties qu’elles harmonisent les conditions dudit contrat avec les contrats existants ou futurs qui lui sont liés afin d’assurer la confidentialité et le respect des exigences en matière de localisation et de protection des données. Le contrat peut obliger les parties à se communiquer mutuellement des copies des contrats liés à des fins de vérification.
Responsabilité des sous-traitants, des sous-fournisseurs et d’autres tiers
Bien qu’ils puissent être désignés dans le contrat, les tiers qui jouent un rôle dans l’exécution du contrat d’informatique en nuage ne sont pas euxmêmes parties au contrat entre le fournisseur et le client. Les obligations qu’ils sont tenus d’exécuter sont celles qui découlent de leurs propres contrats avec le fournisseur. Le fait de créer des droits de tiers bénéficiaire au profit du client dans des contrats liés, ou de faire du client une partie à ces contrats, permettrait à celui-ci de se retourner directement contre le tiers dans le cas où ce dernier manquerait aux obligations lui incombant au titre d’un contrat lié.
Conformément au contrat ou à la loi applicable, le fournisseur peut être tenu responsable envers le client de tout problème relevant de la responsabilité d’un tiers qu’il a fait intervenir aux fins de l’exécution du contrat. En particulier, la responsabilité conjointe du fournisseur et de ses soustraitants peut être établie par la loi pour tout problème lié au traitement des données personnelles, selon le degré de participation des sous-traitants à ce traitement.
J. RESPONSABILITÉ
Statutory limitations to contractual freedom
Si la plupart des systèmes juridiques reconnaissent généralement le droit des parties contractantes de répartir les risques et les responsabilités et de limiter ou d’exclure la responsabilité par le biais de dispositions contractuelles, ce droit est habituellement soumis à diverses limitations et conditions. Ainsi, le rôle que chaque partie assume en ce qui concerne les données personnelles placées dans le nuage constitue un facteur important pour la répartition des risques et des responsabilités dans le cadre du traitement des données personnelles. Dans certains pays, la législation sur la protection des données impose une plus grande responsabilité aux responsables du contrôle des données qu’aux responsables du traitement des données personnelles. Nonobstant les dispositions contractuelles, c’est le maniement de ces données qui déterminera généralement le régime juridique auquel la partie serait soumise en vertu du droit applicable. Les sujets de données qui ont subi une perte résultant du traitement illicite de données personnelles ou de tout acte incompatible avec les dispositions nationales relatives à la protection des données peuvent être fondés à être indemnisés directement par le responsable du contrôle des données.
En outre, dans de nombreux pays, l’exclusion totale de la responsabilité du fait personnel n’est pas admissible ou est sujette à des limitations. Il est parfois impossible d’exclure totalement la responsabilité liée aux dommages corporels (y compris la maladie et le décès) et à la négligence grave, aux dommages intentionnels, aux défauts, à la violation des obligations essentielles du contrat ou au non-respect des exigences réglementaires applicables. On pourra juger abusives, et par conséquent nulles, certains types de clauses limitatives, comme une clause d’exonération de responsabilité du fournisseur pour les incidents de sécurité dans les cas où le client n’a aucun contrôle ni moyen d’assurer cette sécurité. Les conditions des contrats d’adhésion, qui ne sont généralement pas négociées mais préétablies par l’une des parties, pourront faire l’objet d’un examen plus poussé. Par ailleurs, la loi peut prévoir la responsabilité illimitée pour certains types de défauts (par exemple, matériels ou logiciels défectueux).
La législation peut limiter la capacité qu’ont les institutions publiques d’assumer certaines responsabilités ou leur imposer d’obtenir l’approbation préalable d’un organe compétent de l’État pour ce faire. Il peut aussi leur être interdit d’accepter l’exclusion ou la limitation de la responsabilité des fournisseurs soit de manière générale soit en ce qui concerne des omissions ou des actes définis dans la législation.
D’autre part, la loi applicable peut prévoir une exonération de responsabilité si certains critères sont remplis par une partie dont la responsabilité risquerait autrement d’être engagée. Par exemple, en vertu de la procédure dite de « notification et de retrait » (voir par. 82 ci-avant) qui a cours dans certains pays, le fournisseur sera dégagé de toute responsabilité relative à l’hébergement d’un contenu illicite sur son infrastructure en nuage s’il supprime ce contenu lorsqu’il en prend connaissance.
Dans certains pays, les clauses de non-responsabilité et de limitation de responsabilité convenues par les parties doivent être incluses dans le contrat pour être exécutoires. La loi applicable peut imposer des exigences, notamment de forme, pour que ces clauses soient valables et exécutoires.
Autres considérations à prendre en compte pour la rédaction de clauses de responsabilité
Dans la négociation relative à la répartition des risques et des responsabilités, on examinera tant le montant susceptible d’être facturé pour les services d’informatique en nuage que les risques liés à la prestation de ces services. Bien que les parties tendent généralement à exclure ou à limiter leur responsabilité en ce qui concerne les facteurs sur lesquels elles n’ont pas ou que peu de contrôle (par exemple, le comportement des utilisateurs finaux, les actes ou les omissions des sous-traitants), le niveau de contrôle n’est pas toujours une considération décisive. Une partie peut être prête à assumer les risques et les responsabilités liés à certains éléments qu’elle ne contrôle pas afin de se distinguer sur le marché. Il est néanmoins probable que les risques et les responsabilités de la partie augmentent progressivement en proportion des éléments qu’elle contrôle.
Par exemple, dans les modèles SaaS impliquant l’utilisation d’un logiciel de bureautique standard, il est probable que le fournisseur sera responsable de la quasi-totalité des ressources fournies au client et que sa responsabilité pourra être engagée en cas de non-fourniture ou de dysfonctionnements de ces ressources. Néanmoins, même dans ces cas, le client pourrait rester responsable de certains aspects des services, tels que le chiffrement ou la sauvegarde des données sous son contrôle. En cas de perte de données, le client qui n’aura pas effectué les sauvegardes de rigueur pourrait être privé de son droit de recours contre le fournisseur. En revanche, dans les modèles IaaS et PaaS, le fournisseur pourrait n’être responsable que de l’infrastructure ou des plateformes fournies (comme le matériel informatique, les systèmes d’exploitation ou les logiciels médiateurs) tandis que le client assumerait la responsabilité de tous les éléments lui appartenant (comme les applications exécutées au moyen de l’infrastructure ou des plateformes fournies et les données qu’elles contiennent).
Conditions générales du fournisseur
Les conditions générales des fournisseurs peuvent exclure toute responsabilité découlant du contrat et faire valoir que les clauses de responsabilité ne sont pas négociables. Une autre possibilité est que le fournisseur accepte d’engager sa responsabilité (même illimitée) pour des violations qu’il serait en mesure de contrôler (comme une violation des licences de propriété intellectuelle concédées au fournisseur par le client) mais pas pour celles qui pourraient survenir pour des raisons indépendantes de sa volonté (par exemple, des événements imprévisibles ou des fuites de données confidentielles).
Les conditions générales des fournisseurs excluent généralement toute responsabilité pour des dommages indirects (par exemple, perte de chiffre d’affaires résultant de l’indisponibilité du service d’informatique en nuage). Lorsque la responsabilité est acceptée de façon générale ou pour certains cas précis, les conditions générales des fournisseurs limitent souvent le montant des pertes qui seront couvertes (par incident, par série d’incidents ou par période de temps). En outre, les fournisseurs fixent souvent un plafond global de responsabilité dans le cadre du contrat, qui peut être lié aux recettes attendues du contrat, au chiffre d’affaires du fournisseur ou à la couverture d’assurance.
Les conditions générales des fournisseurs rendent généralement le client responsable en cas de non-respect de la politique d’utilisation acceptable.
Modifications possibles des conditions générales
Certains événements (comme une violation de la protection des données personnelles ou une atteinte aux droits de propriété intellectuelle) peuvent exposer l’une ou l’autre partie à la responsabilité – potentiellement élevée – à l’égard des tiers ou donner lieu à des amendes réglementaires. Il arrive fréquemment que les parties conviennent d’un régime de responsabilité plus strict (responsabilité illimitée ou dédommagement plus élevé) pour les événements qui résultent d’une faute ou d’une négligence de l’autre partie.
La responsabilité des parties pour des actes commis par des tiers qui échappent à leur contrôle (par exemple, responsabilité du client pour les actes des utilisateurs finaux ou du fournisseur pour des actes du client ou de ses utilisateurs finaux) pourra être limitée, voire exclue par le contrat ou par la loi.
Assurance responsabilité
Le contrat peut prévoir des obligations en matière d’assurance visant l’une ou l’autre partie, voire les deux, notamment en ce qui concerne les exigences de qualité que les compagnies d’assurance doivent remplir et le montant minimal de la couverture d’assurance demandée. Il peut également préciser que les parties doivent s’aviser mutuellement de toute modification apportée à la couverture d’assurance ou se communiquer des copies des polices d’assurance en vigueur.
K. RECOURS EN CAS DE VIOLATION DU CONTRAT
Types de recours
Les parties sont libres de choisir des recours dans les limites de la loi applicable. Parmi les recours figurent les demandes de réparations en nature, qui visent à fournir à la partie lésée le même avantage ou un avantage équivalent à celui attendu de l’exécution du contrat (entre autres, le remplacement du matériel défectueux), les demandes de réparations pécuniaires (par exemple, les crédits de service) ou le recours en résiliation du contrat. Le contrat pourrait établir une distinction entre les types de violations et préciser les recours correspondants.
Suspension ou résiliation des services
La suspension ou la résiliation de la prestation des services d’informatique en nuage constitue un recours habituel du fournisseur en cas de rupture de contrat de la part du client ou de violation de la politique d’utilisation acceptable par les utilisateurs finaux du client. Le contrat peut prévoir des garanties contre des droits étendus de suspension ou de résiliation. Par exemple, le droit du fournisseur de suspendre ou de résilier la prestation des services d’informatique en nuage au client pourra être limité aux cas de violations fondamentales du contrat par le client et de menaces sérieuses pour la sécurité ou l’intégrité des systèmes du fournisseur, et aux cas énoncés dans la loi applicable. Le droit de suspension ou de résiliation dont bénéficie le fournisseur pourra aussi être limité aux services affectés par la violation, lorsque cette possibilité existe.
Crédits de service
Le système des crédits de service est un mécanisme souvent utilisé pour indemniser le client lorsque le fournisseur ne remplit pas ses obligations. Ces crédits se présentent sous la forme d’une baisse du prix des services fournis conformément au contrat au cours de la période mesurée suivante. Un barème dégressif peut s’appliquer, c’est-à-dire qu’un pourcentage de la réduction du prix peut dépendre de l’écart entre la performance effective du fournisseur au titre du contrat et les paramètres définis dans l’accord de niveau de service ou dans d’autres parties du contrat. Un plafond global en matière de crédits de service peut également s’appliquer. Les fournisseurs peuvent limiter les circonstances dans lesquelles des crédits de service sont accordés, par exemple aux cas où les défaillances sont dues à des aspects qu’ils contrôlent, ou limiter les délais dans lesquels les clients peuvent utiliser ces crédits. Certains fournisseurs peuvent aussi être disposés à rembourser des frais déjà payés ou à fournir un ensemble de services amélioré au cours de la période mesurée suivante (comportant par exemple un soutien informatique gratuit). S’il existe un éventail d’options, les conditions générales des fournisseurs peuvent préciser que toute réparation en cas d’inexécution de la part du fournisseur sera laissée au choix de ce dernier.
Le fait de prévoir des crédits de service comme seul et unique recours contre un fournisseur qui ne remplit pas ses obligations contractuelles peut limiter le droit du client de se prévaloir d’autres recours, y compris des actions en réparation ou en résiliation du contrat. En outre, il peut être inutile de proposer des crédits de service sous la forme d’une baisse du coût ou d’un ensemble de services amélioré au cours de la période mesurée suivante si le contrat est résilié. Par ailleurs, la mise en œuvre de crédits excessifs peut être impossible si ceux-ci sont considérés comme une approximation déraisonnable du préjudice lors de la formation du contrat. D’autres mesures, comme l’imposition de pénalités (lorsqu’il s’agit d’une mesure admissible) ou le paiement de dommages et intérêts forfaitaires, seront peut-être mieux à même d’assurer le respect des obligations contractuelles.
Formalités à observer en cas de violation du contrat
Le contrat peut prévoir des procédures à suivre en cas de violation, par exemple exiger d’une partie qu’elle notifie l’autre partie en cas de violation présumée d’une de ses clauses et qu’elle lui donne l’occasion de remédier à la violation invoquée. Des délais de recours peuvent également être fixés.
L. DURÉE ET RÉSILIATION DU CONTRAT
Date d’entrée en vigueur du contrat
La date d’entrée en vigueur du contrat peut différer de la date de signature, de la date d’acceptation de l’offre ou de la date d’acceptation de la configuration et d’autres actions requises pour que le client migre ses données vers le nuage. On peut considérer que la date d’entrée en vigueur du contrat est celle à laquelle le fournisseur met les services d’informatique en nuage à la disposition du client, même si ce dernier ne les utilise pas effectivement. Il est également possible de considérer que le contrat entre en vigueur le jour où le client effectue le premier paiement correspondant aux services d’informatique en nuage, même si le fournisseur ne les a pas encore mis à sa disposition. Pour ces raisons, et pour éviter toute incertitude, les parties pourront indiquer dans le contrat la date d’entrée en vigueur de celui-ci.
Durée du contrat
Le contrat peut être de durée courte, moyenne ou longue. Dans le cadre des solutions d’informatique en nuage normalisées pour multiabonnés, il est fréquent de prévoir une durée initiale fixe (courte ou moyenne), avec des renouvellements automatiques, à moins de résiliation par l’une ou l’autre partie. Le fournisseur peut convenir de notifier à l’avance au client la prochaine expiration du contrat. Différentes considérations pourront influer sur la décision de renouvellement d’un contrat, notamment le risque de verrouillage et le risque de passer à côté d’une offre plus intéressante.
Résiliation anticipée
Les contrats mentionnent généralement les motifs de résiliation autres que l’expiration de la durée fixe, comme la résiliation pour convenance ou pour violation, entre autres. Le contrat peut prévoir des modalités de résiliation anticipée, y compris l’obligation d’un préavis suffisant, la réversibilité et d’autres engagements de fin de contrat (lire la suite).
Résiliation pour convenance
En particulier dans le cadre des solutions d’informatique en nuage normalisées pour multiabonnés, les fournisseurs se réservent généralement le droit, dans leurs conditions générales, de résilier le contrat à tout moment sans qu’il y ait défaillance du client. Les parties peuvent convenir de limiter les circonstances dans lesquelles ce droit pourra s’exercer et d’obliger le fournisseur à signifier au client un préavis de résiliation suffisamment long.
Le droit du client de résilier le contrat pour convenance (c’est-à-dire sans qu’il y ait de défaillance du fournisseur) se rencontre surtout dans les contrats publics. Dans ce cas, le fournisseur peut exiger le paiement d’indemnités de résiliation anticipée, paiement que la législation peut toutefois limiter dans le cas des entités publiques. Dans les contrats à durée indéterminée, les fournisseurs peuvent être plus enclins à accepter la résiliation pour convenance par le client sans demander de compensation, mais peuvent pour cela demander un tarif plus élevé dans le contrat.
Résiliation pour violation
La violation fondamentale du contrat en justifie généralement la résiliation. Afin d’éviter toute ambiguïté, les parties peuvent définir dans le contrat les événements qui en constitueront une violation fondamentale. Parmi les violations fondamentales commises par le fournisseur, on mentionnera la perte ou l’utilisation abusive de données, les infractions à la protection des données personnelles, les incidents de sécurité récurrents (à savoir plus d’un certain nombre de fois par période mesurée), les violations de confidentialité et l’indisponibilité des services à certains moments ou pendant une certaine durée. Le défaut de paiement par le client et la violation de la politique d’utilisation acceptable par le client ou ses utilisateurs finaux sont les motifs les plus fréquents de résiliation du contrat par le fournisseur. Le droit d’une partie de résilier le contrat peut être subordonné à la notification d’un préavis, à la tenue de consultations de bonne foi et à la possibilité de remédier à la situation. Cette partie peut être tenue, conformément au contrat, de rétablir l’exécution du contrat dans un certain délai après que des mesures correctives ont été prises.
Le contrat pourra évoquer les engagements de fin de contrat du fournisseur qui survivraient à une violation fondamentale de celui-ci par le client, y compris la réversibilité des données et autres contenus du client (lire la suite).
Résiliation pour cause de modifications inacceptables du contrat
Certaines modifications apportées au contrat par une partie pourront être jugées inacceptables par l’autre partie et justifier la résiliation du contrat. Il peut s’agir de changements portant sur les exigences en matière de localisation des données ou sur les conditions de sous-traitance. Le contrat peut conférer le droit au client de le résilier dans son intégralité si des modifications découlant de la restructuration du portefeuille de services du fournisseur entraînent la cessation ou le remplacement de certains services (lire la suite).
Résiliation pour cause d’insolvabilité
Les risques d’insolvabilité peuvent être identifiés lors de l’évaluation des risques (lire la suite) et pendant la durée du contrat, par exemple dans le cas où ce dernier exige la communication périodique d’informations au sujet de la situation financière des parties. On rencontre fréquemment des clauses prévoyant la résiliation du contrat en cas d’insolvabilité de l’une des parties, clauses qui peuvent toutefois être primées par les dispositions impératives du droit de l’insolvabilité.
Un client insolvable aura peut-être besoin de continuer à utiliser les services d’informatique en nuage pendant qu’il résout ses difficultés financières. Les parties peuvent limiter le droit d’invoquer l’insolvabilité comme seul motif de résiliation du contrat en l’absence, par exemple, de défaut de paiement des montants dus au titre du contrat par le client.
Les parties peuvent préciser dans le contrat, ou la loi prévoir, des mécanismes permettant de récupérer les données client en cas d’insolvabilité du fournisseur (par exemple, libération automatique du code source ou des clefs sous séquestre permettant d’accéder aux données et autres contenus du client). Autrement, le client pourra avoir des difficultés à récupérer ses données et autres contenus hébergés sur l’infrastructure en nuage du fournisseur insolvable. Lorsqu’une crise de confiance dans la situation financière du fournisseur provoque des sorties et des retraits de contenus à grande échelle, le fournisseur insolvable ou un représentant de l’insolvabilité peuvent limiter les quantités de contenus (données et code applicatif) susceptibles d’être retirées dans un délai donné, ou décider de remplir les engagements de fin de contrat dans l’ordre des demandes (« premiers venus, premiers servis »).
Résiliation en cas de changement de contrôle
Le changement de contrôle peut impliquer, par exemple, un changement de propriété ou des changements dans la capacité de déterminer, directement ou indirectement, les politiques opérationnelles et financières du fournisseur, ce qui peut entraîner des modifications du portefeuille de services de ce dernier. Il peut également entraîner la cession ou la novation du contrat, avec transfert à un tiers soit uniquement des droits, soit des droits et des obligations découlant du contrat. En conséquence, une partie initiale au contrat peut être remplacée, ou certains aspects du contrat, par exemple les paiements, peuvent devoir être accomplis par un tiers.
La loi applicable peut imposer la résiliation du contrat si, du fait du changement de contrôle, il devient impossible de remplir certaines dispositions législatives impératives (concernant notamment les exigences en matière de localisation des données ou l’interdiction de traiter avec certaines entités placées sous un régime de sanctions internationales ou constituant une menace à la sécurité nationale). Les contrats publics en particulier peuvent être affectés par des limitations réglementaires en matière de changement de contrôle. De plus, les parties peuvent convenir de résilier le contrat en cas de changement de contrôle en particulier si, en raison de ce changement, le fournisseur ou le contrat sont repris par un concurrent du client ou si la reprise entraîne l’abandon ou la transformation du portefeuille des services. Il est courant d’exiger la notification préalable d’un changement de contrôle à venir et des incidences prévues sur le contrat.
Clause relative à l’inactivité du compte
L’absence d’activité de la part du client pendant une période précisée dans le contrat peut justifier la résiliation unilatérale de ce dernier par le fournisseur. Les contrats portant sur la fourniture, contre rémunération, de services d’informatique en nuage d’entreprise à entreprise comportent toutefois rarement de telles clauses relatives à l’inactivité du compte.
M. ENGAGEMENTS DE FIN DE CONTRAT
Les engagements de fin de contrat peuvent soulever des questions non seulement contractuelles mais également réglementaires. Les parties pourront chercher à parvenir à un équilibre entre les intérêts du client, qui souhaite continuer à avoir accès à ses données et autres contenus (notamment pendant la période de transition) et ceux du fournisseur, à qui il importe de mettre fin, le plus rapidement possible, à toutes ses obligations à l’égard de son ancien client.
Les engagements de fin de contrat peuvent être identiques quelle que soit la cause de résiliation du contrat, ou être différents selon que la résiliation découle d’une violation du contrat ou d’autres raisons. Sont examinées dans les paragraphes ci-après diverses questions que les parties pourront souhaiter aborder dans leur contrat.
Délais d’exportation
Les parties peuvent préciser dans le contrat un délai d’exportation, qui sera suffisamment long pour permettre au client d’effectuer dans de bonnes conditions la migration de ses données et autres contenus vers un autre système.
Accès du client aux contenus faisant l’objet de l’exportation
Le contrat précisera les données et autres contenus qui sont susceptibles d’être exportés ainsi que les modalités d’accès des clients à ces données, y compris les éventuelles clefs de déchiffrement qui pourraient être détenues par le fournisseur ou des tiers (lire la suite). Pour faciliter cette exportation et limiter le plus possible l’intervention du fournisseur, les parties peuvent convenir d’un arrangement de séquestre (c’est-à-dire l’intervention d’un tiers autorisé à remettre automatiquement au client le code source, les clefs de déchiffrement ou d’autres éléments lui donnant accès à ses données et autres contenus en cas de survenue de certains événements, notamment la résiliation du contrat (voir aussi ci-avant, Résiliation pour cause d’insolvabilité)). Le contrat précise également, autant que possible, les options d’exportation (notamment les formats et les processus), tout en reconnaissant la possibilité qu’elles changent au fil du temps.
Aide à l’exportation apportée par le fournisseur
Le fournisseur ne sera peut-être pas toujours disposé à aider activement le client à exporter ses données vers un autre système, mais il pourra être tenu, de par la loi, de veiller à ce que cette exportation soit possible et simple. Lorsque les parties conviennent de l’intervention du fournisseur dans l’exportation des données client, le contrat peut préciser les détails, comme la portée, la procédure et la durée de cette assistance. Le fournisseur pourra exiger d’être payé séparément pour les frais relatifs à l’assistance à l’exportation. Dans ce cas, les parties pourront fixer le prix de cette assistance dans le contrat ou convenir de se reporter à la liste des tarifs du fournisseur à un moment donné. Autrement, elles peuvent convenir qu’une telle assistance fait partie du prix du contrat et qu’aucuns frais supplémentaires ne seront facturés si la résiliation du contrat résulte d’une violation par le fournisseur.
Suppression de données
Le contrat pourra devoir préciser les règles relatives à la suppression des données de l’infrastructure en nuage du fournisseur lors de l’exportation ou à l’expiration de la période prévue dans le contrat pour l’exportation. Cette suppression pourrait être effectuée automatiquement par le fournisseur, par exemple en cas de survenue de certains événements, à l’expiration de délais convenus par les parties ou lorsque la loi l’exige. Selon une autre possibilité, les données ne peuvent être supprimées qu’à la demande du client et suivant ses instructions spécifiques. Les parties peuvent convenir que la suppression de données à venir sera notifiée au client et que ce dernier se verra remettre une attestation, un rapport ou une déclaration confirmant que les données ont été supprimées, notamment des systèmes des tiers.
Conservation de données après la fin du contrat
Le fournisseur peut être tenu de conserver les données client par la loi, en particulier la législation sur la protection des données, cette dernière pouvant par ailleurs préciser une durée de conservation. La nécessité de conserver et de stocker les certificats de signature numérique, en particulier dans un contexte transfrontalier, peut poser des problèmes et des exigences spécifiques. Les parties peuvent convenir de la conservation des données client par le fournisseur après la fin du contrat. Certains fournisseurs peuvent proposer, contre rémunération, de les conserver pendant une certaine période après la fin du contrat.
Les parties peuvent prévoir des exigences particulières concernant les données qui ne sont pas ou ne peuvent pas être retournées au client et dont la suppression ne serait pas possible. Par exemple, le contrat peut prévoir que toutes les informations personnelles doivent être désidentifiées et que les données doivent être conservées sous forme chiffrée, ou dans un format utilisable et interopérable permettant leur extraction si besoin est. Les parties peuvent aussi convenir de leurs responsabilités respectives en ce qui concerne la conservation des données dans le format spécifié après la fin du contrat.
Clause de confidentialité après la fin du contrat
Les parties peuvent convenir d’une clause de confidentialité applicable après la fin du contrat. Les obligations de confidentialité peuvent survivre après la résiliation du contrat pendant un nombre d’années spécifié (par exemple, cinq ou sept ans) ou se poursuivre indéfiniment, en fonction de la nature des données et autres contenus des clients qui ont été placés dans l’infrastructure en nuage du fournisseur.
Audits après la fin du contrat
Les audits à réaliser après la fin du contrat peuvent être convenus par les parties ou imposés par la loi. Les parties peuvent s’entendre sur les conditions d’exécution de ces audits, y compris pour ce qui est du calendrier et de la répartition des coûts.
Reliquats de compte
Les parties peuvent s’entendre sur les conditions de restitution au client du reliquat de son compte ou sur la déduction du montant de ce reliquat des sommes qui resteraient éventuellement dues au fournisseur, notamment pour les activités de fin de contrat ou pour régler des dommages-intérêts.
N. RÈGLEMENT DES LITIGES
Méthodes de règlement des litiges
Les parties peuvent convenir du mode de règlement des éventuels différends contractuels. Parmi ces méthodes figurent la négociation, la médiation, le règlement des litiges en ligne, l’arbitrage et les procédures judiciaires. Différents types de litiges peuvent justifier la mise en œuvre de diverses procédures de règlement. Ainsi, les litiges portant sur des questions financières et techniques peuvent être soumis à la décision contraignante d’un tiers expert (qu’il s’agisse d’un particulier ou d’un organisme) tandis que des négociations directes entre les parties peuvent s’avérer plus efficaces pour résoudre d’autres types de différends. Pour les litiges de faible montant, les négociations assistées ou la médiation en ligne peuvent constituer des méthodes rapides et économiques permettant aux parties de parvenir à un accord en ligne. Pour les litiges portant sur un montant plus élevé, le règlement des litiges en ligne spécifique à l’informatique en nuage peut offrir une plateforme spécialisée compétente et faciliter les procédures judiciaires. La législation de certains pays peut imposer aux parties d’épuiser certains mécanismes alternatifs de règlement des litiges avant de pouvoir saisir la justice.
Procédures arbitrales
Si les parties en sont convenues, les différends qui ne sont pas réglés à l’amiable peuvent être soumis à l’arbitrage. Toutes les questions ne peuvent toutefois pas être réglées par cette voie ; certaines doivent, de par la loi, être tranchées par un tribunal. Les parties pourront par conséquent souhaiter vérifier l’arbitrabilité de leur différend avant d’opter pour ce mode de règlement. La clause d’arbitrage contenue dans un contrat renverra généralement à un règlement d’arbitrage destiné à régir toute procédure arbitrale. Le contrat peut comprendre une clause type faisant référence à l’utilisation d’un règlement internationalement reconnu pour la conduite des procédures de règlement des différends (par exemple, le Règlement d’arbitrage de la CNUDCI). À défaut d’une telle précision, la procédure arbitrale est normalement régie par le droit procédural de l’État où l’arbitrage se déroule ou, si une institution arbitrale est choisie par les parties, par le règlement de cet organisme.
Règlement des litiges en ligne
Les parties peuvent opter pour un mécanisme de règlement des litiges en ligne pour certaines, voire toutes les catégories de litiges découlant de leur contrat, sous réserve des limites imposées par la loi. Le contrat pourra préciser la nature des questions soumises à ce type de règlement, la plateforme utilisée et les règles à appliquer dans la procédure. Dans certains cas, le règlement des litiges en ligne peut faire partie intégrante de l’ensemble de services en nuage offert par le fournisseur, avec la possibilité d’une exclusion expresse.
La procédure de règlement des litiges en ligne comprend généralement les étapes suivantes : a) négociation menée entre les parties par l’intermédiaire de la plateforme de règlement des litiges en ligne ; b) règlement assisté par un tiers neutre désigné qui communique avec les parties pour tenter de parvenir à un accord ; et c) dernière étape, lors de laquelle l’administrateur de la procédure de règlement des litiges en ligne ou le tiers neutre présente aux parties la nature de la dernière étape et la forme que celle-ci pourrait prendre. Le résultat de la procédure n’est pas contraignant pour les parties, à moins que le contrat ou la loi applicable n’en disposent autrement.
Procédure judiciaire
Si une procédure judiciaire doit avoir lieu, plusieurs États pourront se déclarer compétents en raison de la nature particulière des services d’informatique en nuage. Dans la mesure du possible, les parties peuvent convenir d’une clause attributive de compétence les obligeant à soumettre tout litige à un tribunal particulier (lire la suite).
Retention of data
Pendant la phase de règlement du litige, il peut être essentiel pour le client de continuer d’accéder à ses données, notamment aux métadonnées et autres données dérivées des services en nuage, non seulement aux fins de la continuité de ses opérations, mais aussi aux fins de sa participation à la procédure de règlement (par exemple, pour étayer une demande ou une demande reconventionnelle). Le contrat peut prévoir expressément qu’en cas de différend opposant les parties, les données du client sont conservées par le fournisseur et le client peut y avoir accès pendant une période de temps raisonnable, indépendamment de la nature du litige. Les parties peuvent aussi convenir d’un arrangement de séquestre (voir ci-avant, M.Engagement de fin de contrat, Accès du client aux contenus faisant l’objet de l’exportation ).
Délais de prescription pour les demandes
Les parties peuvent préciser dans le contrat les délais de prescription applicables aux demandes. Les délais de prescription prévus dans la loi peuvent être applicables et, le cas échéant, l’emporteront sur les conditions non conformes du contrat.
O. DISPOSITIONS RELATIVES AU CHOIX DE LA LOI ET DU FOR
En règle générale, la liberté contractuelle permet aux parties de choisir la loi qui s’appliquera à leur contrat ainsi que la juridiction ou le for qui connaîtra des différends. Selon l’objet du litige, la législation impérative (sur la protection des données, par exemple) peut cependant l’emporter sur les clauses relatives au choix de la loi applicable et du for convenues par les parties contractantes. En outre, indépendamment du choix de la loi et du for, plusieurs lois impératives (loi sur la protection des données, loi sur l’insolvabilité, par exemple), qui peuvent émaner de plusieurs territoires ou pays, peuvent être applicables au contrat.
Considérations relatives au choix de la loi et du for
Les clauses relatives au choix de la loi applicable et du for sont liées. La question de savoir si la loi choisie par les parties s’appliquera en fin de compte dépendra du for où la clause de choix de loi sera présentée à un tribunal ou à un autre organe juridictionnel, par exemple un tribunal arbitral. C’est la loi de ce for qui déterminera si la clause est valide et si le for respecte le choix de la loi applicable fait par les parties. En raison de l’importance de la loi du for pour la clause de choix de loi, tout contrat comportant une telle clause comporte généralement aussi une clause d’élection de for.
Pour choisir le for, les parties tiennent habituellement compte de l’incidence de la loi choisie ou autrement applicable et de la mesure dans laquelle une décision judiciaire rendue dans ce for serait reconnue et exécutoire dans les pays où l’exécution serait probablement demandée. Il peut être important de préserver une certaine souplesse dans les options d’exécution, en particulier s’agissant d’un environnement d’informatique en nuage où de nombreux facteurs habituellement pris en compte dans la formulation des clauses relatives au choix de la loi applicable et du for peuvent être incertains, notamment l’emplacement des actifs intervenant dans la prestation des services, et le lieu de situation du fournisseur et du client.
Loi et for obligatoires
La loi et le for d’un pays donné peuvent être obligatoires pour divers motifs, par exemple :
a) Le fait que les services d’informatique en nuage soient accessibles sur le territoire d’un État donné peut être suffisant pour que s’applique la législation de cet État en matière de protection des données ;
b) La nationalité ou le lieu de résidence du sujet de données ou des parties contractantes, en particulier du responsable du contrôle des données, peuvent déclencher l’application de la loi dont relève ce sujet ou la partie concernée ; et
c) Le lieu d’origine de l’activité (l’emplacement du matériel) ou le lieu auquel cette activité est destinée à des fins de profit peut déclencher l’application de la loi de ce lieu. L’utilisation d’un domaine national de premier niveau associé à un lieu particulier, d’une langue locale pour le site Web, la tarification en monnaie locale et l’existence de points de contact locaux comptent parmi les facteurs qui peuvent être pris en compte pour cette détermination.
Loi et for du lieu d’établissement du fournisseur ou du client
Les contrats relatifs à des solutions d’informatique en nuage normalisées pour multiabonnés précisent souvent qu’ils sont régis par le droit du lieu où le fournisseur a son établissement principal. En règle générale, ils accordent aux tribunaux de ce pays la compétence exclusive pour connaître de tous les litiges qui pourraient découler du contrat. Le client peut préférer la loi et la compétence de son propre pays. Ainsi, la capacité d’institutions publiques de consentir à l’application de la loi et à la compétence de pays étrangers serait très limitée. Les fournisseurs qui sont actifs dans plusieurs pays peuvent faire preuve de souplesse s’agissant d’accepter le choix de la loi et du for du pays où le client est situé.
Options multiples
es parties peuvent également préciser diverses options pour le choix de la loi et du for pour différents aspects du contrat. Elles peuvent aussi opter pour la juridiction du défendeur afin d’éliminer l’avantage dont bénéficie le demandeur quand le for est celui de son pays de domicile et de favoriser ainsi le règlement informel des différends.
Absence de choix de loi ou d’élection de for
Les parties peuvent préférer ne pas inclure, dans leur contrat, de clause relative au choix de la loi applicable et du for, laissant la question ouverte à un examen ultérieur, le cas échéant. Dans certains cas, il pourrait s’agir de la seule solution viable. Le règlement des litiges en ligne peut aussi faire partie de la solution pour les questions de compétence et de droit applicable (lire la suite).
P. NOTIFICATIONS
Les clauses de notification portent généralement sur la forme, la langue, le destinataire et les moyens de notification, ainsi que sur le moment d’entrée en vigueur de la notification (lors de la remise, de l’expédition ou de l’accusé de réception). En l’absence de dispositions législatives contraignantes, les parties peuvent convenir des formalités de notification, qui peuvent être uniformes ou varier en fonction de l’importance, de l’urgence et d’autres considérations. Elles pourront convenir d’exigences plus strictes que pour les notifications de routine, par exemple, en cas de suspension ou de résiliation unilatérale du contrat. Les parties peuvent convenir des délais, en tenant compte de la nécessité d’assurer la réversibilité et la continuité des opérations. Le contrat peut contenir des références aux notifications et délais imposés par la loi.
Les parties peuvent opter pour que les notifications écrites soient remises à l’adresse physique ou électronique des personnes de contact indiquées dans le contrat. Le contrat peut préciser les conséquences juridiques d’un manquement à l’obligation de notification et de l’absence de réponse à une notification qui en exige une.
Q. DISPOSITIONS DIVERSES
Les parties regroupent souvent sous l’intitulé « divers » les dispositions qui ne relèvent pas d’autres parties du contrat. Certaines d’entre elles peuvent contenir un texte normalisé figurant dans tous les types de contrats commerciaux (en quelque sorte des « dispositions standard »). Il peut s’agir, par exemple, d’une clause de sauvegarde permettant de supprimer les dispositions invalides du contrat tout en conservant le reste ou d’une clause linguistique identifiant une certaine version linguistique du contrat comme faisant foi en cas de conflit d’interprétation entre différentes versions linguistiques. Le fait de placer des clauses contractuelles au sein de ces dispositions diverses n’enlève rien à leur signification juridique. Les parties pourront adapter certaines d’entre elles aux spécificités des services d’informatique en nuage.
R. MODIFICATION DU CONTRAT
L’une ou l’autre des parties pourra souhaiter apporter des modifications au contrat. Ce dernier précisera la procédure à suivre pour introduire des modifications et les rendre effectives. Il pourra également aborder les conséquences du rejet des modifications par l’une ou l’autre partie.
Compte tenu de la nature des services d’informatique en nuage, il peut être difficile de distinguer les changements qui constituent une modification du contrat de ceux qui n’en constituent pas. Par exemple, l’utilisation par le client de n’importe quelle option mise à sa disposition dès l’entrée en vigueur du contrat ne constituerait pas nécessairement une modification du contrat initial, pas plus que des changements des services qui résulteraient de l’entretien ordinaire et d’autres activités du fournisseur prises en compte dans le contrat (lire la suite). En revanche, l’ajout d’éléments non couverts dans les conditions initialement convenues et justifiant ainsi des modifications de prix peut constituer une modification du contrat. Toute mise à jour entraînant des changements importants des conditions et politiques convenues antérieurement peut également constituer une modification du contrat.
L’ampleur des modifications susceptibles d’être apportées aux contrats publics peut être limitée par les règles de passation des marchés publics, qui restreignent généralement la liberté des parties de renégocier les clauses d’un marché ayant fait l’objet d’une procédure d’adjudication publique.
Compte tenu des modifications fréquentes des conditions initialement convenues, chaque partie pourra souhaiter conserver sa propre copie de l’ensemble de ces conditions initialement convenues et leurs modifications.