Bienvenue aux Nations Unies
Langue:
  1. Accueil ONU
  2. Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Deuxième partie. Rédaction d’un contrat

M. ENGAGEMENTS DE FIN DE CONTRAT

Les engagements de fin de contrat peuvent soulever des questions non seulement contractuelles mais également réglementaires. Les parties pourront chercher à parvenir à un équilibre entre les intérêts du client, qui souhaite continuer à avoir accès à ses données et autres contenus (notamment pendant la période de transition) et ceux du fournisseur, à qui il importe de mettre fin, le plus rapidement possible, à toutes ses obligations à l’égard de son ancien client.

Les engagements de fin de contrat peuvent être identiques quelle que soit la cause de résiliation du contrat, ou être différents selon que la résiliation découle d’une violation du contrat ou d’autres raisons. Sont examinées dans les paragraphes ci-après diverses questions que les parties pourront souhaiter aborder dans leur contrat.

Délais d’exportation

Les parties peuvent préciser dans le contrat un délai d’exportation, qui sera suffisamment long pour permettre au client d’effectuer dans de bonnes conditions la migration de ses données et autres contenus vers un autre système.

Accès du client aux contenus faisant l’objet de l’exportation

Le contrat précisera les données et autres contenus qui sont susceptibles d’être exportés ainsi que les modalités d’accès des clients à ces données, y compris les éventuelles clefs de déchiffrement qui pourraient être détenues par le fournisseur ou des tiers (voir première partie, par. 28). Pour faciliter cette exportation et limiter le plus possible l’intervention du fournisseur, les parties peuvent convenir d’un arrangement de séquestre (c’est-à-dire l’intervention d’un tiers autorisé à remettre automatiquement au client le code source, les clefs de déchiffrement ou d’autres éléments lui donnant accès à ses données et autres contenus en cas de survenue de certains événements, notamment la résiliation du contrat (voir aussi par. 153 ci-avant)). Le contrat précise également, autant que possible, les options d’exportation (notamment les formats et les processus), tout en reconnaissant la possibilité qu’elles changent au fil du temps.

Aide à l’exportation apportée par le fournisseur

Le fournisseur ne sera peut-être pas toujours disposé à aider activement le client à exporter ses données vers un autre système, mais il pourra être tenu, de par la loi, de veiller à ce que cette exportation soit possible et simple. Lorsque les parties conviennent de l’intervention du fournisseur dans l’exportation des données client, le contrat peut préciser les détails, comme la portée, la procédure et la durée de cette assistance. Le fournisseur pourra exiger d’être payé séparément pour les frais relatifs à l’assistance à l’exportation. Dans ce cas, les parties pourront fixer le prix de cette assistance dans le contrat ou convenir de se reporter à la liste des tarifs du fournisseur à un moment donné. Autrement, elles peuvent convenir qu’une telle assistance fait partie du prix du contrat et qu’aucuns frais supplémentaires ne seront facturés si la résiliation du contrat résulte d’une violation par le fournisseur.

Suppression de données

Le contrat pourra devoir préciser les règles relatives à la suppression des données de l’infrastructure en nuage du fournisseur lors de l’exportation ou à l’expiration de la période prévue dans le contrat pour l’exportation. Cette suppression pourrait être effectuée automatiquement par le fournisseur, par exemple en cas de survenue de certains événements, à l’expiration de délais convenus par les parties ou lorsque la loi l’exige. Selon une autre possibilité, les données ne peuvent être supprimées qu’à la demande du client et suivant ses instructions spécifiques. Les parties peuvent convenir que la suppression de données à venir sera notifiée au client et que ce dernier se verra remettre une attestation, un rapport ou une déclaration confirmant que les données ont été supprimées, notamment des systèmes des tiers.

Conservation de données après la fin du contrat

Le fournisseur peut être tenu de conserver les données client par la loi, en particulier la législation sur la protection des données, cette dernière pouvant par ailleurs préciser une durée de conservation. La nécessité de conserver et de stocker les certificats de signature numérique, en particulier dans un contexte transfrontalier, peut poser des problèmes et des exigences spécifiques. Les parties peuvent convenir de la conservation des données client par le fournisseur après la fin du contrat. Certains fournisseurs peuvent proposer, contre rémunération, de les conserver pendant une certaine période après la fin du contrat.

Les parties peuvent prévoir des exigences particulières concernant les données qui ne sont pas ou ne peuvent pas être retournées au client et dont la suppression ne serait pas possible. Par exemple, le contrat peut prévoir que toutes les informations personnelles doivent être désidentifiées et que les données doivent être conservées sous forme chiffrée, ou dans un format utilisable et interopérable permettant leur extraction si besoin est. Les parties peuvent aussi convenir de leurs responsabilités respectives en ce qui concerne la conservation des données dans le format spécifié après la fin du contrat.

Clause de confidentialité après la fin du contrat

Les parties peuvent convenir d’une clause de confidentialité applicable après la fin du contrat. Les obligations de confidentialité peuvent survivre après la résiliation du contrat pendant un nombre d’années spécifié (par exemple, cinq ou sept ans) ou se poursuivre indéfiniment, en fonction de la nature des données et autres contenus des clients qui ont été placés dans l’infrastructure en nuage du fournisseur.

Audits après la fin du contrat

Les audits à réaliser après la fin du contrat peuvent être convenus par les parties ou imposés par la loi. Les parties peuvent s’entendre sur les conditions  d’exécution de ces audits, y compris pour ce qui est du calendrier et de la répartition des coûts.

Reliquats de compte

Les parties peuvent s’entendre sur les conditions de restitution au client du reliquat de son compte ou sur la déduction du montant de ce reliquat des sommes qui resteraient éventuellement dues au fournisseur, notamment pour les activités de fin de contrat ou pour régler des dommages-intérêts.

Glossaire des termes pertinents

Accord de niveau de service : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont indiqués les services d’informatique en nuage couverts par le contrat et le niveau de service attendu ou à atteindre aux termes du contrat (voir les paramètres de performance).

Suppression des données : Série d’opérations visant à supprimer de manière irréversible des données, y compris les sauvegardes et métadonnées correspondantes, et autres contenus de l’infrastructure d’informatique en nuage (physique et virtuelle). Dans certains cas, la suppression des données exige la destruction de l’infrastructure physique (par exemple, serveurs) sur laquelle celles-ci sont stockées. L’accord de niveau de service peut contenir un paramètre de performance spécifique lié à la suppression des données, par exemple selon lequel le fournisseur doit veiller à ce que les données du client soient supprimées de manière effective, irrévocable et définitive à la demande de celui-ci dans un certain délai précisé dans le contrat et conformément à la norme ou méthode prévue dans le contrat.