Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Deuxième partie. Rédaction d’un contrat

L. DURÉE ET RÉSILIATION DU CONTRAT

Date d’entrée en vigueur du contrat

La date d’entrée en vigueur du contrat peut différer de la date de signature, de la date d’acceptation de l’offre ou de la date d’acceptation de la configuration et d’autres actions requises pour que le client migre ses données vers le nuage. On peut considérer que la date d’entrée en vigueur du contrat est celle à laquelle le fournisseur met les services d’informatique en nuage à la disposition du client, même si ce dernier ne les utilise pas effectivement. Il est également possible de considérer que le contrat entre en vigueur le jour où le client effectue le premier paiement correspondant aux services d’informatique en nuage, même si le fournisseur ne les a pas encore mis à sa disposition. Pour ces raisons, et pour éviter toute incertitude, les parties pourront indiquer dans le contrat la date d’entrée en vigueur de celui-ci.

Durée du contrat

Le contrat peut être de durée courte, moyenne ou longue. Dans le cadre des solutions d’informatique en nuage normalisées pour multiabonnés, il est fréquent de prévoir une durée initiale fixe (courte ou moyenne), avec des renouvellements automatiques, à moins de résiliation par l’une ou l’autre partie. Le fournisseur peut convenir de notifier à l’avance au client la prochaine expiration du contrat. Différentes considérations pourront influer sur la décision de renouvellement d’un contrat, notamment le risque de verrouillage et le risque de passer à côté d’une offre plus intéressante.

Résiliation anticipée

Les contrats mentionnent généralement les motifs de résiliation autres que l’expiration de la durée fixe, comme la résiliation pour convenance ou pour violation, entre autres. Le contrat peut prévoir des modalités de résiliation anticipée, y compris l’obligation d’un préavis suffisant, la réversibilité et d’autres engagements de fin de contrat (voir par. 157 à 167 ci-après).

Résiliation pour convenance

En particulier dans le cadre des solutions d’informatique en nuage normalisées pour multiabonnés, les fournisseurs se réservent généralement le droit, dans leurs conditions générales, de résilier le contrat à tout moment sans qu’il y ait défaillance du client. Les parties peuvent convenir de limiter les circonstances dans lesquelles ce droit pourra s’exercer et d’obliger le fournisseur à signifier au client un préavis de résiliation suffisamment long.

Le droit du client de résilier le contrat pour convenance (c’est-à-dire sans qu’il y ait de défaillance du fournisseur) se rencontre surtout dans les contrats publics. Dans ce cas, le fournisseur peut exiger le paiement d’indemnités de résiliation anticipée, paiement que la législation peut toutefois limiter dans le cas des entités publiques. Dans les contrats à durée indéterminée, les fournisseurs peuvent être plus enclins à accepter la résiliation pour convenance par le client sans demander de compensation, mais peuvent pour cela demander un tarif plus élevé dans le contrat.

Résiliation pour violation

La violation fondamentale du contrat en justifie généralement la résiliation. Afin d’éviter toute ambiguïté, les parties peuvent définir dans le contrat les événements qui en constitueront une violation fondamentale. Parmi les violations fondamentales commises par le fournisseur, on mentionnera la perte ou l’utilisation abusive de données, les infractions à la protection des données personnelles, les incidents de sécurité récurrents (à savoir plus d’un certain nombre de fois par période mesurée), les violations de confidentialité et l’indisponibilité des services à certains moments ou pendant une certaine durée. Le défaut de paiement par le client et la violation de la politique d’utilisation acceptable par le client ou ses utilisateurs finaux sont les motifs les plus fréquents de résiliation du contrat par le fournisseur. Le droit d’une partie de résilier le contrat peut être subordonné à la notification d’un préavis, à la tenue de consultations de bonne foi et à la possibilité de remédier à la situation. Cette partie peut être tenue, conformément au contrat, de rétablir l’exécution du contrat dans un certain délai après que des mesures correctives ont été prises.

Le contrat pourra évoquer les engagements de fin de contrat du fournisseur qui survivraient à une violation fondamentale de celui-ci par le client, y compris la réversibilité des données et autres contenus du client (voir par. 157 à 167 ci-après).

Résiliation pour cause de modifications inacceptables du contrat

Certaines modifications apportées au contrat par une partie pourront être jugées inacceptables par l’autre partie et justifier la résiliation du contrat. Il peut s’agir de changements portant sur les exigences en matière de localisation des données ou sur les conditions de sous-traitance. Le contrat peut conférer le droit au client de le résilier dans son intégralité si des modifications découlant de la restructuration du portefeuille de services du fournisseur entraînent la cessation ou le remplacement de certains services (voir par. 105 à 124 ci-avant et par. 155 ci-après).

Résiliation pour cause d’insolvabilité

Les risques d’insolvabilité peuvent être identifiés lors de l’évaluation des risques (voir première partie, par. 15 j) et pendant la durée du contrat, par exemple dans le cas où ce dernier exige la communication périodique d’informations au sujet de la situation financière des parties. On rencontre fréquemment des clauses prévoyant la résiliation du contrat en cas d’insolvabilité de l’une des parties, clauses qui peuvent toutefois être primées par les dispositions impératives du droit de l’insolvabilité.

Un client insolvable aura peut-être besoin de continuer à utiliser les services d’informatique en nuage pendant qu’il résout ses difficultés financières. Les parties peuvent limiter le droit d’invoquer l’insolvabilité comme seul motif de résiliation du contrat en l’absence, par exemple, de défaut de paiement des montants dus au titre du contrat par le client.

Les parties peuvent préciser dans le contrat, ou la loi prévoir, des mécanismes permettant de récupérer les données client en cas d’insolvabilité du fournisseur (par exemple, libération automatique du code source ou des clefs sous séquestre permettant d’accéder aux données et autres contenus du client). Autrement, le client pourra avoir des difficultés à récupérer ses données et autres contenus hébergés sur l’infrastructure en nuage du fournisseur insolvable. Lorsqu’une crise de confiance dans la situation financière du fournisseur provoque des sorties et des retraits de contenus à grande échelle, le fournisseur insolvable ou un représentant de l’insolvabilité peuvent limiter les quantités de contenus (données et code applicatif) susceptibles d’être retirées dans un délai donné, ou décider de remplir les engagements de fin de contrat dans l’ordre des demandes (« premiers venus, premiers servis »).

Résiliation en cas de changement de contrôle

Le changement de contrôle peut impliquer, par exemple, un changement de propriété ou des changements dans la capacité de déterminer, directement ou indirectement, les politiques opérationnelles et financières du fournisseur, ce qui peut entraîner des modifications du portefeuille de services de ce dernier. Il peut également entraîner la cession ou la novation du contrat, avec transfert à un tiers soit uniquement des droits, soit des droits et des obligations découlant du contrat. En conséquence, une partie initiale au contrat peut être remplacée, ou certains aspects du contrat, par exemple les paiements, peuvent devoir être accomplis par un tiers.

La loi applicable peut imposer la résiliation du contrat si, du fait du changement de contrôle, il devient impossible de remplir certaines dispositions législatives impératives (concernant notamment les exigences en matière de localisation des données ou l’interdiction de traiter avec certaines entités placées sous un régime de sanctions internationales ou constituant une menace à la sécurité nationale). Les contrats publics en particulier peuvent être affectés par des limitations réglementaires en matière de changement de contrôle. De plus, les parties peuvent convenir de résilier le contrat en cas de changement de contrôle en particulier si, en raison de ce changement, le fournisseur ou le contrat sont repris par un concurrent du client ou si la reprise entraîne l’abandon ou la transformation du portefeuille des services. Il est courant d’exiger la notification préalable d’un changement de contrôle à venir et des incidences prévues sur le contrat.

Clause relative à l’inactivité du compte

L’absence d’activité de la part du client pendant une période précisée dans le contrat peut justifier la résiliation unilatérale de ce dernier par le fournisseur. Les contrats portant sur la fourniture, contre rémunération, de services d’informatique en nuage d’entreprise à entreprise comportent toutefois rarement de telles clauses relatives à l’inactivité du compte.

Glossaire des termes clés

Exigences en matière de localisation des données : Exigences relatives à l’emplacement des données et d’autres contenus, des centres de données ou des fournisseurs. Elles peuvent interdire que certaines données (notamment des métadonnées et sauvegardes) soient stockées dans certains territoires ou pays, ou passent par ceux-ci, ou exiger pour ce faire l’autorisation préalable d’une instance publique compétente. Elles sont fréquemment énoncées dans des lois et règlements relatifs à la protection des données, lesquels sont susceptibles d’interdire en particulier que les données personnelles soient stockées ou passent dans des pays qui ne respectent pas certaines normes en matière de protection des données personnelles.

Incident de sécurité : Événement indiquant que l’intégrité du système ou des données a été compromise ou que les mesures adoptées pour protéger ceux-ci n’ont pas été efficaces. Un incident de sécurité perturbe le fonctionnement normal. On mentionnera comme exemples une tentative d’accès de sources non autorisées aux systèmes ou aux données, une perturbation non planifiée des services ou un déni de service, le traitement ou le stockage non autorisés de données et l’introduction de changements non autorisés dans l’infrastructure du système.

Politique d’utilisation acceptable : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont définies les limites de l’utilisation par le client et ses utilisateurs finaux des services d’informatique en nuage couverts par le contrat.

Réversibilité : Processus permettant au client d’extraire ses données, applications et autres contenus connexes du nuage, et au fournisseur de supprimer les données du client et autres contenus connexes après une période convenue.

Représentant de l’insolvabilité : Personne ou organe habilité à administrer le redressement ou la liquidation des biens du débiteur insolvable dans le cadre d’une procédure d’insolvabilité.

Solutions d’informatique en nuage normalisées pour multiabonnés : Services d’informatique en nuage fournis à un nombre illimité de clients en tant que ressource ou produit de masse, à des conditions standard non négociables déterminées par le fournisseur. Dans ce type de solutions, on trouve fréquemment des clauses de non-responsabilité générales et d’exonération de responsabilité du fournisseur. Le client pourra comparer différents fournisseurs et les contrats qu’ils proposent et choisir celui qui correspondra le mieux à ses besoins, mais il ne pourra pas négocier son contrat.

Verrouillage : Situation dans laquelle le client dépend d’un fournisseur unique parce que les coûts liés à un changement de prestataire sont considérables. Dans ce contexte, la notion de coût s’entend au sens large comme englobant non seulement les dépenses monétaires, mais aussi l’effort, le temps et les aspects relationnels.Insolvency representative: A person or body authorized in insolvency proceedings to administer the reorganization or the liquidation of the assets of the insolvent debtor that are subject to the insolvency proceedings.