Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Deuxième partie. Rédaction d’un contrat

J. RESPONSABILITÉ

Statutory limitations to contractual freedom

Si la plupart des systèmes juridiques reconnaissent généralement le droit des parties contractantes de répartir les risques et les responsabilités et de limiter ou d’exclure la responsabilité par le biais de dispositions contractuelles, ce droit est habituellement soumis à diverses limitations et conditions. Ainsi, le rôle que chaque partie assume en ce qui concerne les données personnelles placées dans le nuage constitue un facteur important pour la répartition des risques et des responsabilités dans le cadre du traitement des données personnelles. Dans certains pays, la législation sur la protection des données impose une plus grande responsabilité aux responsables du contrôle des données qu’aux responsables du traitement des données personnelles. Nonobstant les dispositions contractuelles, c’est le maniement de ces données qui déterminera généralement le régime juridique auquel la partie serait soumise en vertu du droit applicable. Les sujets de données qui ont subi une perte résultant du traitement illicite de données personnelles ou de tout acte incompatible avec les dispositions nationales relatives à la protection des données peuvent être fondés à être indemnisés directement par le responsable du contrôle des données.

En outre, dans de nombreux pays, l’exclusion totale de la responsabilité du fait personnel n’est pas admissible ou est sujette à des limitations. Il est parfois impossible d’exclure totalement la responsabilité liée aux dommages corporels (y compris la maladie et le décès) et à la négligence grave, aux dommages intentionnels, aux défauts, à la violation des obligations essentielles du contrat ou au non-respect des exigences réglementaires applicables. On pourra juger abusives, et par conséquent nulles, certains types de clauses limitatives, comme une clause d’exonération de responsabilité du fournisseur pour les incidents de sécurité dans les cas où le client n’a aucun contrôle ni moyen d’assurer cette sécurité. Les conditions des contrats d’adhésion, qui ne sont généralement pas négociées mais préétablies par l’une des parties, pourront faire l’objet d’un examen plus poussé. Par ailleurs, la loi peut prévoir la responsabilité illimitée pour certains types de défauts (par exemple, matériels ou logiciels défectueux).

La législation peut limiter la capacité qu’ont les institutions publiques d’assumer certaines responsabilités ou leur imposer d’obtenir l’approbation préalable d’un organe compétent de l’État pour ce faire. Il peut aussi leur être interdit d’accepter l’exclusion ou la limitation de la responsabilité des fournisseurs soit de manière générale soit en ce qui concerne des omissions ou des actes définis dans la législation.

D’autre part, la loi applicable peut prévoir une exonération de responsabilité si certains critères sont remplis par une partie dont la responsabilité risquerait autrement d’être engagée. Par exemple, en vertu de la procédure dite de « notification et de retrait » (voir par. 82 ci-avant) qui a cours dans certains pays, le fournisseur sera dégagé de toute responsabilité relative à l’hébergement d’un contenu illicite sur son infrastructure en nuage s’il supprime ce contenu lorsqu’il en prend connaissance.

Dans certains pays, les clauses de non-responsabilité et de limitation de responsabilité convenues par les parties doivent être incluses dans le contrat pour être exécutoires. La loi applicable peut imposer des exigences, notamment de forme, pour que ces clauses soient valables et exécutoires.

Autres considérations à prendre en compte pour la rédaction de clauses de responsabilité

Dans la négociation relative à la répartition des risques et des responsabilités, on examinera tant le montant susceptible d’être facturé pour les services d’informatique en nuage que les risques liés à la prestation de ces services. Bien que les parties tendent généralement à exclure ou à limiter leur responsabilité en ce qui concerne les facteurs sur lesquels elles n’ont pas ou que peu de contrôle (par exemple, le comportement des utilisateurs finaux, les actes ou les omissions des sous-traitants), le niveau de contrôle n’est pas toujours une considération décisive. Une partie peut être prête à assumer les risques et les responsabilités liés à certains éléments qu’elle ne contrôle pas afin de se distinguer sur le marché. Il est néanmoins probable que les risques et les responsabilités de la partie augmentent progressivement en proportion des éléments qu’elle contrôle.

Par exemple, dans les modèles SaaS impliquant l’utilisation d’un logiciel de bureautique standard, il est probable que le fournisseur sera responsable de la quasi-totalité des ressources fournies au client et que sa responsabilité pourra être engagée en cas de non-fourniture ou de dysfonctionnements de ces ressources. Néanmoins, même dans ces cas, le client pourrait rester responsable de certains aspects des services, tels que le chiffrement ou la sauvegarde des données sous son contrôle. En cas de perte de données, le client qui n’aura pas effectué les sauvegardes de rigueur pourrait être privé de son droit de recours contre le fournisseur. En revanche, dans les modèles IaaS et PaaS, le fournisseur pourrait n’être responsable que de l’infrastructure ou des plateformes fournies (comme le matériel informatique, les systèmes d’exploitation ou les logiciels médiateurs) tandis que le client assumerait la responsabilité de tous les éléments lui appartenant (comme les applications exécutées au moyen de l’infrastructure ou des plateformes fournies et les données qu’elles contiennent).

Conditions générales du fournisseur

Les conditions générales des fournisseurs peuvent exclure toute responsabilité découlant du contrat et faire valoir que les clauses de responsabilité ne sont pas négociables. Une autre possibilité est que le fournisseur accepte d’engager sa responsabilité (même illimitée) pour des violations qu’il serait en mesure de contrôler (comme une violation des licences de propriété intellectuelle concédées au fournisseur par le client) mais pas pour celles qui pourraient survenir pour des raisons indépendantes de sa volonté (par exemple, des événements imprévisibles ou des fuites de données confidentielles).

Les conditions générales des fournisseurs excluent généralement toute responsabilité pour des dommages indirects (par exemple, perte de chiffre d’affaires résultant de l’indisponibilité du service d’informatique en nuage). Lorsque la responsabilité est acceptée de façon générale ou pour certains cas précis, les conditions générales des fournisseurs limitent souvent le montant des pertes qui seront couvertes (par incident, par série d’incidents ou par période de temps). En outre, les fournisseurs fixent souvent un plafond global de responsabilité dans le cadre du contrat, qui peut être lié aux recettes attendues du contrat, au chiffre d’affaires du fournisseur ou à la couverture d’assurance.

Les conditions générales des fournisseurs rendent généralement le client responsable en cas de non-respect de la politique d’utilisation acceptable.

Modifications possibles des conditions générales

Certains événements (comme une violation de la protection des données personnelles ou une atteinte aux droits de propriété intellectuelle) peuvent exposer l’une ou l’autre partie à la responsabilité – potentiellement élevée – à l’égard des tiers ou donner lieu à des amendes réglementaires. Il arrive fréquemment que les parties conviennent d’un régime de responsabilité plus strict (responsabilité illimitée ou dédommagement plus élevé) pour les événements qui résultent d’une faute ou d’une négligence de l’autre partie.

La responsabilité des parties pour des actes commis par des tiers qui échappent à leur contrôle (par exemple, responsabilité du client pour les actes des utilisateurs finaux ou du fournisseur pour des actes du client ou de ses utilisateurs finaux) pourra être limitée, voire exclue par le contrat ou par la loi.

Assurance responsabilité

Le contrat peut prévoir des obligations en matière d’assurance visant l’une ou l’autre partie, voire les deux, notamment en ce qui concerne les exigences de qualité que les compagnies d’assurance doivent remplir et le montant minimal de la couverture d’assurance demandée. Il peut également préciser que les parties doivent s’aviser mutuellement de toute modification apportée à la couverture d’assurance ou se communiquer des copies des polices d’assurance en vigueur.

Glossaire des termes clés

Données personnelles : Données à caractère sensible ou non qui peuvent servir à identifier la personne physique à laquelle elles se rapportent. Dans certains pays, la définition des données personnelles peut englober toutes les données ou informations directement ou indirectement liées ou relatives à une personne identifiée ou identifiable (voir le sujet de données).

Data subject: A natural person who can be identified, directly or indirectly, by data, including by reference to such identifiers as name, an identification number, location and any factors specific to the physical, genetic, mental, economic, cultural or social identity of the person. In a number of jurisdictions, data subjects enjoy under data protection or data privacy regulations certain rights with respect to the data that can identify them. Those regulations may trigger the inclusion in the service level agreement (SLA) of data protection-specific performance parameters, such as that the services provided under the contract are certified at least annually by an independent auditor against the data protection/privacy standard identified in the contract. (See also data subject's rights and personal data)

Incident de sécurité : Événement indiquant que l’intégrité du système ou des données a été compromise ou que les mesures adoptées pour protéger ceux-ci n’ont pas été efficaces. Un incident de sécurité perturbe le fonctionnement normal. On mentionnera comme exemples une tentative d’accès de sources non autorisées aux systèmes ou aux données, une perturbation non planifiée des services ou un déni de service, le traitement ou le stockage non autorisés de données et l’introduction de changements non autorisés dans l’infrastructure du système.

Infrastructure en tant que service (IaaS) : Types de services d’informatique en nuage par le biais desquels le client peut obtenir et utiliser des ressources liées au traitement, au stockage et aux réseaux. Le client ne gère ni ne contrôle les ressources physiques ou virtuelles sous-jacentes, mais il contrôle les systèmes d’exploitation, les espaces de stockage et les applications déployées qui font usage de ces ressources. Il peut également exercer un contrôle restreint sur certaines composantes des réseaux (par exemple, les pare-feu hôtes).

Logiciel en tant que service (SaaS) : Types de services d’informatique en nuage par le biais desquels le client peut utiliser les applications du fournisseur dans le nuage.

Plateforme en tant que service (PaaS) : Types de services d’informatique en nuage par le biais desquels le client peut déployer, gérer et exploiter dans le nuage des applications ou des logiciels qu’il a créés ou acquis en utilisant un ou plusieurs langages de programmation et environnements d’exécution existants pris en charge par le fournisseur.

Politique d’utilisation acceptable : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont définies les limites de l’utilisation par le client et ses utilisateurs finaux des services d’informatique en nuage couverts par le contrat.

Responsable du contrôle des données : Personne qui décide de l’objet et des moyens du traitement des données personnelles.

Responsable du traitement des données : Personne qui traite les données pour le compte du responsable du contrôle des données.

Traitement des données personnelles : Collecte, enregistrement, organisation, stockage, adaptation ou altération, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, blocage, effacement ou destruction de données personnelles.