Bienvenue aux Nations Unies
Langue:
  1. Accueil ONU
  2. Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Deuxième partie. Rédaction d’un contrat

I. SOUS-TRAITANTS, SOUS-FOURNISSEURS ET EXTERNALISATION

Identification de la chaîne de sous-traitance

La sous-traitance, les services d’informatique en nuage en couches et l’externalisation se rencontrent fréquemment dans l’environnement de l’informatique en nuage. Dans leurs conditions générales, les fournisseurs peuvent se réserver expressément le droit d’avoir recours à des tiers pour la prestation des services en nuage au client, ou alors ce droit peut être implicite du fait de la nature des services à fournir. Le fournisseur peut souhaiter conserver autant de latitude que possible à cet égard.

La loi pourra exiger que les parties désignent nommément dans le contrat tout tiers intervenant dans la fourniture des services d’informatique en nuage. Une telle identification pourra aussi être dans l’intérêt du client à des fins de vérification, entre autres pour s’assurer du respect, par les tiers, des exigences législatives ou contractuelles en matière notamment de sécurité, de confidentialité et de protection des données, et l’absence de conflit d’intérêt chez des tiers.

Ces informations peuvent aussi servir à réduire les risques de nonexécution du contrat par le fournisseur en raison de défaillances des tiers. Ainsi, le client peut choisir de conclure un accord directement avec les tiers qui interviennent dans l’exécution du contrat d’informatique en nuage, en particulier en ce qui concerne des questions sensibles telles que la confidentialité et le traitement des données personnelles. Il peut également essayer de négocier avec les tiers les plus importants une obligation d’intervenir si le fournisseur n’exécute pas le contrat comme il se doit (notamment si ce dernier devient insolvable).

Le fournisseur pourra être en mesure d’identifier les tiers qui jouent un rôle important, mais pas nécessairement tous les tiers impliqués. Le groupe de tiers qui interviennent dans la fourniture des services d’informatique en nuage peut varier pendant la durée du contrat (voir par. 120 et 121 ci-après).

Modifications de la chaîne de sous-traitance

Les changements unilatéraux de la chaîne de sous-traitance sont fréquents. Le contrat peut préciser si de tels changements sont autorisés et prévoir, le cas échéant, dans quelles conditions (par exemple, en prévoyant que le client peut se réserver le droit d’effectuer des vérifications et d’opposer son veto à tout nouveau tiers intervenant dans la fourniture des services d’informatique en nuage, avant que cette intervention ne devienne effective). Une autre solution est d’inclure dans le contrat une liste de tiers préalablement approuvés par le client, à laquelle le fournisseur pourra se référer en cas de besoin. On peut également soumettre les changements à l’approbation, a posteriori, par le client. En l’absence de cette approbation, les services continuent d’être fournis par le tiers précédent ou un autre tiers préalablement approuvé, ou par un autre tiers choisi d’un commun accord par les parties. Dans les autres cas, le contrat peut être résilié.

La loi impérative applicable peut prévoir des circonstances dans lesquelles des modifications de la chaîne de sous-traitance d’un fournisseur peuvent entraîner la résiliation du contrat.

Harmonisation des conditions du contrat avec les contrats liés

La loi ou le contrat même peuvent exiger des parties qu’elles harmonisent les conditions dudit contrat avec les contrats existants ou futurs qui lui sont liés afin d’assurer la confidentialité et le respect des exigences en matière de localisation et de protection des données. Le contrat peut obliger les parties à se communiquer mutuellement des copies des contrats liés à des fins de vérification.

Responsabilité des sous-traitants, des sous-fournisseurs et d’autres tiers

Bien qu’ils puissent être désignés dans le contrat, les tiers qui jouent un rôle dans l’exécution du contrat d’informatique en nuage ne sont pas euxmêmes parties au contrat entre le fournisseur et le client. Les obligations qu’ils sont tenus d’exécuter sont celles qui découlent de leurs propres contrats avec le fournisseur. Le fait de créer des droits de tiers bénéficiaire au profit du client dans des contrats liés, ou de faire du client une partie à ces contrats, permettrait à celui-ci de se retourner directement contre le tiers dans le cas où ce dernier manquerait aux obligations lui incombant au titre d’un contrat lié.

Conformément au contrat ou à la loi applicable, le fournisseur peut être tenu responsable envers le client de tout problème relevant de la responsabilité d’un tiers qu’il a fait intervenir aux fins de l’exécution du contrat. En particulier, la responsabilité conjointe du fournisseur et de ses soustraitants peut être établie par la loi pour tout problème lié au traitement des données personnelles, selon le degré de participation des sous-traitants à ce traitement.

Glossaire des termes clés

Exigences en matière de localisation des données : Exigences relatives à l’emplacement des données et d’autres contenus, des centres de données ou des fournisseurs. Elles peuvent interdire que certaines données (notamment des métadonnées et sauvegardes) soient stockées dans certains territoires ou pays, ou passent par ceux-ci, ou exiger pour ce faire l’autorisation préalable d’une instance publique compétente. Elles sont fréquemment énoncées dans des lois et règlements relatifs à la protection des données, lesquels sont susceptibles d’interdire en particulier que les données personnelles soient stockées ou passent dans des pays qui ne respectent pas certaines normes en matière de protection des données personnelles.

Services d’informatique en nuage en couches : Dans ce cadre, le fournisseur n’est pas le propriétaire de l’ensemble, ou d’une partie, des ressources informatiques qu’il utilise pour fournir des services d’informatique en nuage à ses clients ; il est lui-même le client de tout ou partie des services d’informatique en nuage. Par exemple, le fournisseur de services de type PaaS ou SaaS peut utiliser les infrastructures de stockage et de serveur (centres de données, serveurs de données) dont une autre entité est propriétaire ou qu’elle fournit. Par conséquent, un ou plusieurs sous-fournisseurs peuvent intervenir dans la prestation des services d’informatique en nuage au client. Ce dernier ne saura pas nécessairement quelles couches participent à la prestation de services à un moment donné, ce qui complique l’identification et la gestion des risques. Les services d’informatique en nuage en couches sont fréquents dans le modèle SaaS en particulier.

Traitement des données personnelles : Collecte, enregistrement, organisation, stockage, adaptation ou altération, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, blocage, effacement ou destruction de données personnelles.