Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)
Deuxième partie. Rédaction d’un contrat
J. RESPONSABILITÉ
Statutory limitations to contractual freedom
Si la plupart des systèmes juridiques reconnaissent généralement le droit des parties contractantes de répartir les risques et les responsabilités et de limiter ou d’exclure la responsabilité par le biais de dispositions contractuelles, ce droit est habituellement soumis à diverses limitations et conditions. Ainsi, le rôle que chaque partie assume en ce qui concerne les données personnelles placées dans le nuage constitue un facteur important pour la répartition des risques et des responsabilités dans le cadre du traitement des données personnelles. Dans certains pays, la législation sur la protection des données impose une plus grande responsabilité aux responsables du contrôle des données qu’aux responsables du traitement des données personnelles. Nonobstant les dispositions contractuelles, c’est le maniement de ces données qui déterminera généralement le régime juridique auquel la partie serait soumise en vertu du droit applicable. Les sujets de données qui ont subi une perte résultant du traitement illicite de données personnelles ou de tout acte incompatible avec les dispositions nationales relatives à la protection des données peuvent être fondés à être indemnisés directement par le responsable du contrôle des données.
En outre, dans de nombreux pays, l’exclusion totale de la responsabilité du fait personnel n’est pas admissible ou est sujette à des limitations. Il est parfois impossible d’exclure totalement la responsabilité liée aux dommages corporels (y compris la maladie et le décès) et à la négligence grave, aux dommages intentionnels, aux défauts, à la violation des obligations essentielles du contrat ou au non-respect des exigences réglementaires applicables. On pourra juger abusives, et par conséquent nulles, certains types de clauses limitatives, comme une clause d’exonération de responsabilité du fournisseur pour les incidents de sécurité dans les cas où le client n’a aucun contrôle ni moyen d’assurer cette sécurité. Les conditions des contrats d’adhésion, qui ne sont généralement pas négociées mais préétablies par l’une des parties, pourront faire l’objet d’un examen plus poussé. Par ailleurs, la loi peut prévoir la responsabilité illimitée pour certains types de défauts (par exemple, matériels ou logiciels défectueux).
La législation peut limiter la capacité qu’ont les institutions publiques d’assumer certaines responsabilités ou leur imposer d’obtenir l’approbation préalable d’un organe compétent de l’État pour ce faire. Il peut aussi leur être interdit d’accepter l’exclusion ou la limitation de la responsabilité des fournisseurs soit de manière générale soit en ce qui concerne des omissions ou des actes définis dans la législation.
D’autre part, la loi applicable peut prévoir une exonération de responsabilité si certains critères sont remplis par une partie dont la responsabilité risquerait autrement d’être engagée. Par exemple, en vertu de la procédure dite de « notification et de retrait » (voir par. 82 ci-avant) qui a cours dans certains pays, le fournisseur sera dégagé de toute responsabilité relative à l’hébergement d’un contenu illicite sur son infrastructure en nuage s’il supprime ce contenu lorsqu’il en prend connaissance.
Dans certains pays, les clauses de non-responsabilité et de limitation de responsabilité convenues par les parties doivent être incluses dans le contrat pour être exécutoires. La loi applicable peut imposer des exigences, notamment de forme, pour que ces clauses soient valables et exécutoires.
Autres considérations à prendre en compte pour la rédaction de clauses de responsabilité
Dans la négociation relative à la répartition des risques et des responsabilités, on examinera tant le montant susceptible d’être facturé pour les services d’informatique en nuage que les risques liés à la prestation de ces services. Bien que les parties tendent généralement à exclure ou à limiter leur responsabilité en ce qui concerne les facteurs sur lesquels elles n’ont pas ou que peu de contrôle (par exemple, le comportement des utilisateurs finaux, les actes ou les omissions des sous-traitants), le niveau de contrôle n’est pas toujours une considération décisive. Une partie peut être prête à assumer les risques et les responsabilités liés à certains éléments qu’elle ne contrôle pas afin de se distinguer sur le marché. Il est néanmoins probable que les risques et les responsabilités de la partie augmentent progressivement en proportion des éléments qu’elle contrôle.
Par exemple, dans les modèles SaaS impliquant l’utilisation d’un logiciel de bureautique standard, il est probable que le fournisseur sera responsable de la quasi-totalité des ressources fournies au client et que sa responsabilité pourra être engagée en cas de non-fourniture ou de dysfonctionnements de ces ressources. Néanmoins, même dans ces cas, le client pourrait rester responsable de certains aspects des services, tels que le chiffrement ou la sauvegarde des données sous son contrôle. En cas de perte de données, le client qui n’aura pas effectué les sauvegardes de rigueur pourrait être privé de son droit de recours contre le fournisseur. En revanche, dans les modèles IaaS et PaaS, le fournisseur pourrait n’être responsable que de l’infrastructure ou des plateformes fournies (comme le matériel informatique, les systèmes d’exploitation ou les logiciels médiateurs) tandis que le client assumerait la responsabilité de tous les éléments lui appartenant (comme les applications exécutées au moyen de l’infrastructure ou des plateformes fournies et les données qu’elles contiennent).
Conditions générales du fournisseur
Les conditions générales des fournisseurs peuvent exclure toute responsabilité découlant du contrat et faire valoir que les clauses de responsabilité ne sont pas négociables. Une autre possibilité est que le fournisseur accepte d’engager sa responsabilité (même illimitée) pour des violations qu’il serait en mesure de contrôler (comme une violation des licences de propriété intellectuelle concédées au fournisseur par le client) mais pas pour celles qui pourraient survenir pour des raisons indépendantes de sa volonté (par exemple, des événements imprévisibles ou des fuites de données confidentielles).
Les conditions générales des fournisseurs excluent généralement toute responsabilité pour des dommages indirects (par exemple, perte de chiffre d’affaires résultant de l’indisponibilité du service d’informatique en nuage). Lorsque la responsabilité est acceptée de façon générale ou pour certains cas précis, les conditions générales des fournisseurs limitent souvent le montant des pertes qui seront couvertes (par incident, par série d’incidents ou par période de temps). En outre, les fournisseurs fixent souvent un plafond global de responsabilité dans le cadre du contrat, qui peut être lié aux recettes attendues du contrat, au chiffre d’affaires du fournisseur ou à la couverture d’assurance.
Les conditions générales des fournisseurs rendent généralement le client responsable en cas de non-respect de la politique d’utilisation acceptable.
Modifications possibles des conditions générales
Certains événements (comme une violation de la protection des données personnelles ou une atteinte aux droits de propriété intellectuelle) peuvent exposer l’une ou l’autre partie à la responsabilité – potentiellement élevée – à l’égard des tiers ou donner lieu à des amendes réglementaires. Il arrive fréquemment que les parties conviennent d’un régime de responsabilité plus strict (responsabilité illimitée ou dédommagement plus élevé) pour les événements qui résultent d’une faute ou d’une négligence de l’autre partie.
La responsabilité des parties pour des actes commis par des tiers qui échappent à leur contrôle (par exemple, responsabilité du client pour les actes des utilisateurs finaux ou du fournisseur pour des actes du client ou de ses utilisateurs finaux) pourra être limitée, voire exclue par le contrat ou par la loi.
Assurance responsabilité
Le contrat peut prévoir des obligations en matière d’assurance visant l’une ou l’autre partie, voire les deux, notamment en ce qui concerne les exigences de qualité que les compagnies d’assurance doivent remplir et le montant minimal de la couverture d’assurance demandée. Il peut également préciser que les parties doivent s’aviser mutuellement de toute modification apportée à la couverture d’assurance ou se communiquer des copies des polices d’assurance en vigueur.