Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Deuxième partie. Rédaction d’un contrat

D. DROIT D’ACCÉDER AUX DONNÉES CLIENT ET À D’AUTRES CONTENUS

Droit du fournisseur d’accéder aux données client pour la fourniture des services

Les fournisseurs se réservent généralement le droit d’accéder aux données client conformément au principe du « besoin d’en connaître ». Avec une telle disposition, les employés, sous-traitants et autres tiers (par exemple, auditeurs) peuvent accéder aux données du client lorsqu’ils en ont besoin pour fournir les services d’informatique en nuage (y compris à des fins de maintenance, d’assistance et de sécurité) ou pour vérifier le respect de la politique d’utilisation acceptable, de licences de propriété intellectuelle, d’un accord de niveau de service et d’autres documents contractuels. Les parties peuvent convenir des circonstances dans lesquelles le fournisseur sera autorisé à accéder aux données client et de mesures permettant d’assurer la confidentialité et l’intégrité de ces données.

On peut considérer que le client octroie implicitement au fournisseur certains droits d’accès à ses données lorsqu’il demande qu’un certain service lui soit fourni. Sans ces droits, le fournisseur ne pourrait en effet pas fournir le service en question. Par exemple, si le fournisseur a pour instruction de sauvegarder régulièrement les données du client, il devra pour s’acquitter de cette tâche se voir conférer le droit de copier celles-ci. De même, si des soustraitants doivent traiter les données du client, le fournisseur doit être en droit de les leur transférer.

Le contrat peut préciser quels droits liés aux données requises pour l’exécution du contrat le client octroie au fournisseur, la mesure dans laquelle ce dernier est autorisé à les transférer à des tiers (par exemple, à ses soustraitants) et la portée dans le temps et dans l’espace des droits accordés de manière implicite ou explicite. Les restrictions géographiques peuvent être particulièrement importantes lorsque la loi interdit de sortir les données d’une région ou d’un pays particulier (voir première partie, par. 10 et 11). Les contrats précisent souvent si le client peut retirer un droit accordé de manière implicite ou explicite, et dans quelles conditions. Étant donné que la capacité de fournir des services, au niveau de qualité exigé, peut dépendre des droits accordés par le client, le retrait de certains droits peut avoir pour conséquence d’entraîner la modification ou la fin du contrat.

Utilisation à d’autres fins des données client par le fournisseur

La plupart des pays ne confèrent pas au fournisseur le droit automatique d’utiliser les données client à ses propres fins. Le fournisseur pourra demander d’utiliser ces données à d’autres fins que la fourniture des services d’informatique en nuage prévus dans le contrat (par exemple, à des fins publicitaires, pour l’établissement de statistiques, de rapports analytiques ou prévisionnels ou pour d’autres pratiques d’extraction de données). Dans ce contexte, on examinera notamment les aspects suivants : a) la nature des informations concernant le client ou ses utilisateurs finaux qui seront réunies, ainsi que les raisons et le but de cette collecte et de leur utilisation par le fournisseur ; b) la question de savoir si ces informations seront partagées avec d’autres organisations, entreprises ou particuliers et, le cas échéant, pour quelles raisons, et si ce partage se fera avec ou sans le consentement du client ; et c) la manière dont le respect des politiques en matière de confidentialité et de sécurité sera assuré si le fournisseur partage ces informations avec des tiers. Si l’utilisation par le fournisseur des données client concerne des données personnelles, on attendra généralement des parties qu’elles évaluent soigneusement leurs obligations en matière de respect des règlements au titre de la loi applicable relative à la protection des données.

Lorsqu’il confère au fournisseur le droit d’utiliser les données client à ses propres fins, le contrat peut aussi énumérer les motifs légitimes d’utilisation, prévoir des obligations en ce qui concerne la désidentification et l’anonymisation de ces données pour garantir le respect de toute réglementation relative à la protection des données ou autre réglementation applicable et imposer des limites à la reproduction des contenus et à la communication d’informations au public. Souvent, le fournisseur est autorisé à utiliser ces données à ses propres fins uniquement sous forme de données ouvertes rendues anonymes, ou de données agrégées et désidentifiées, pendant la durée du contrat ou au-delà.

Utilisation par le fournisseur du nom, du logo et de la marque du client

Les conditions générales du fournisseur peuvent lui accorder le droit d’utiliser le nom, le logo et la marque du client à des fins publicitaires. Les parties peuvent convenir de supprimer ou de modifier ces dispositions, y compris en limitant cette utilisation au nom du client, ou en exigeant l’approbation préalable de ce dernier pour l’utilisation de son nom, de son logo ou de sa marque.

Mesures prises par le fournisseur à l’égard des données client sur ordre de l’État ou aux fins du respect des règlements

Dans ses conditions générales, le fournisseur peut se réserver le droit de communiquer, s’il le juge approprié, des données client aux autorités publiques ou de leur donner accès à celles-ci (par exemple, avec une formule du type « lorsque cela sert au mieux les intérêts du fournisseur »). Ces conditions prévoient aussi généralement le droit du fournisseur de supprimer ou de bloquer des données client dès qu’il prend connaissance ou conscience d’un contenu illégal, ou lorsqu’il doit mettre en œuvre le droit à l’oubli du sujet de données, afin d’éviter toute responsabilité prévue par la loi (procédure « de notification et de retrait » (voir par. 128 ci-après)). Les parties peuvent convenir de limiter les circonstances dans lesquelles le fournisseur peut prendre ce genre de mesures (par exemple, lorsqu’il reçoit l’ordre d’un tribunal ou d’une autre autorité publique de fournir un accès aux données) ou de supprimer ou modifier celles-ci.

Les parties pourront convenir, au minimum, que le client sera notifié sans délai de tout ordre reçu de l’État ou des décisions du fournisseur concernant ses données, avec des précisions relatives aux données concernées, à moins qu’une telle notification ne soit contraire à la loi. Lorsque la notification préalable et l’intervention du client sont impossibles, le contrat peut exiger du fournisseur qu’il adresse une notification ex post immédiate au client contenant les mêmes informations. Les parties peuvent aussi convenir de dispositions concernant la conservation de tous les ordres, requêtes et autres activités concernant les données du client, et la fourniture à ce dernier d’un accès à ces informations et aux registres correspondants.

Droits relatifs aux données dérivées des services en nuage

Les parties peuvent s’entendre sur les droits du client relatifs aux données dérivées des services en nuage et la manière dont ces droits peuvent être exercés pendant la relation contractuelle et au terme du contrat.

Clause de protection des droits de propriété intellectuelle

Certains types de contrats d’informatique en nuage peuvent entraîner la création d’objets soumis à des droits de propriété intellectuelle, soit conjointement par le fournisseur et le client (par exemple, améliorations du service proposées par le client) soit par le client uniquement (nouvelles applications, nouveaux logiciels et autres œuvres originales). Le contrat pourra contenir une clause expresse relative à la propriété intellectuelle, qui déterminera la partie au contrat qui jouira des droits de propriété intellectuelle sur divers objets déployés ou développés dans le nuage et l’utilisation que les parties pourront faire de ces droits. Lorsqu’il n’existe pas de possibilité de négociation dans ce domaine, le client pourra souhaiter examiner toute clause relative à la propriété intellectuelle pour déterminer si le fournisseur lui offre des garanties suffisantes et des moyens appropriés pour protéger ses droits et en jouir, et éviter tout risque de verrouillage (voir première partie, par. 23 à 26).

Interopérabilité et portabilité

La loi n’exigera pas nécessairement que l’interopérabilité et la portabilité soient assurées. Il peut appartenir entièrement au client de créer des routines d’exportation compatibles, à moins que le contrat n’en dispose autrement, par exemple en prévoyant des engagements en ce qui concerne l’interopérabilité et la portabilité, et l’assistance pour l’exportation des données à la fin du contrat (voir par. 161 ci-dessous). Le contrat pourra exiger l’utilisation de formats d’exportation de données et autres contenus qui soient normalisés ou interopérables et couramment utilisés, ou permettre le choix parmi les formats disponibles. On pourra également prévoir des clauses contractuelles concernant les droits aux produits communs et aux applications ou logiciels, sans lesquels l’utilisation des données et autres contenus dans un autre système risque d’être impossible (voir par. 85 ci-avant).

Extraction de données à des fins judiciaires

Les clients pourraient devoir être à même de rechercher des données placées dans le nuage sous leur forme initiale pour répondre à des exigences juridiques, notamment dans le cadre d’une enquête. Les documents électroniques pourraient devoir satisfaire à des exigences en matière d’audit et de preuve. Certains fournisseurs pourraient offrir une assistance aux clients en vue de l’extraction de données dans le format requis par la loi. Le contrat pourra définir la forme et les conditions de cette assistance.

Suppression des données

La question de la suppression des données pourra se poser pendant la durée du contrat, mais surtout à la fin de ce dernier (voir par. 162 ci-après). Ainsi, certaines données devront peut-être être supprimées conformément au plan de conservation du client. Il faudra peut-être détruire les données sensibles à un moment donné (par exemple, destruction des disques durs à la fin de la durée de vie des supports sur lesquels ces données ont été stockées). Les données devront peut-être aussi être détruites pour répondre à une demande de suppression émanant des services de police ou en cas d’atteinte avérée à la propriété intellectuelle (voir par. 82 ci-avant).

Les conditions générales du fournisseur peuvent ne contenir que des déclarations concernant la suppression occasionnelle des données client. Les parties pourront convenir de la suppression immédiate, effective, irrévocable et définitive des données, sauvegardes et métadonnées, conformément au calendrier de conservation et d’élimination ou à une autre forme d’autorisation ou de requête que le client aura communiqué au fournisseur. Le contrat pourra définir les délais et autres conditions relatifs à la suppression des données, y compris les obligations concernant la confirmation de la suppression des données et l’accès aux journaux d’audit y relatifs.

Des normes ou techniques de suppression particulières pourront être définies, en fonction de la nature et du caractère sensible des données. Le fournisseur pourra avoir obligation de supprimer des données stockées à différents emplacements et sur divers supports, y compris sur les systèmes des sous-traitants et d’autres tiers, avec des niveaux de suppression différents, allant du nettoyage des données pour en assurer la confidentialité jusqu’à leur suppression complète, voire à la destruction du matériel. Une suppression plus sûre impliquant la destruction, plutôt que le redéploiement du matériel, risque d’être plus coûteuse et de ne pas toujours être possible (par exemple, si les données d’autres personnes sont stockées sur le même support). Par conséquent, on pourra souhaiter prévoir dans le contrat que le fournisseur doit utiliser une infrastructure isolée pour stocker les données les plus sensibles du client.

Glossaire des termes clés

Accord de niveau de service : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont indiqués les services d’informatique en nuage couverts par le contrat et le niveau de service attendu ou à atteindre aux termes du contrat (voir les paramètres de performance).

Données dérivées des services en nuage : Données placées sous le contrôle du fournisseur qui sont dérivées de l’utilisation, par le client, des services d’informatique en nuage proposés par ce fournisseur. Il s’agit notamment des métadonnées et de toutes autres données enregistrées générées par les fournisseurs, qui indiquent l’identité des utilisateurs des services, les dates et heures d’utilisation des services, ainsi que les fonctions et les types de données concernés. Elles peuvent également englober des renseignements sur les utilisateurs autorisés, leurs identifiants, et les configurations, personnalisations et modifications éventuelles.

Droits des sujets de données : Droits associés aux données personnelles des sujets de données. En fonction de la législation, les sujets de données peuvent bénéficier du droit d’être informés de toutes les informations importantes relatives à leurs données personnelles, notamment l’emplacement de ces données, leur utilisation par des tiers, et d’éventuelles fuites et autres violations. Ils peuvent également disposer du droit d’accéder à tout moment à ces données personnelles, du droit à l’effacement (conséquence du droit à l’oubli), du droit d’en limiter le traitement et du droit à la portabilité de ces données.

Interopérabilité : Capacité de deux ou plusieurs systèmes ou applications à échanger des informations et à utiliser mutuellement les informations échangées.

Métadonnées : Informations de base sur les données (comme l’auteur, la date de création, la date de modification et la taille du fichier). Elles contribuent à faciliter la recherche et l’utilisation des données et peuvent être requises pour garantir l’authenticité des données enregistrées. Elles peuvent être générées par le client ou par le fournisseur.

Politique d’utilisation acceptable : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont définies les limites de l’utilisation par le client et ses utilisateurs finaux des services d’informatique en nuage couverts par le contrat.

Portabilité : Capacité de transférer facilement des données, des applications et d’autres contenus d’un système à un autre (c’est-à-dire à faible coût, avec un minimum de perturbations et sans avoir à ressaisir les données, à réorganiser les processus ou à reprogrammer les applications). La portabilité est assurée s’il est possible de récupérer les données dans le format accepté dans un autre système ou par une transformation simple et directe à l’aide d’outils couramment disponibles. L’accord de niveau de service peut contenir des paramètres de performance liés à la portabilité, par exemple un paramètre selon lequel le client peut récupérer ses données par le biais d’un seul lien de téléchargement ou d’une interface de programmation d’applications (API) bien documentée ; ou selon lequel le format de données est structuré et documenté de manière suffisante pour permettre au client de le réutiliser ou de le restructurer dans un format différent s’il le désire.

Verrouillage : Situation dans laquelle le client dépend d’un fournisseur unique parce que les coûts liés à un changement de prestataire sont considérables. Dans ce contexte, la notion de coût s’entend au sens large comme englobant non seulement les dépenses monétaires, mais aussi l’effort, le temps et les aspects relationnels.