Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)
Deuxième partie. Rédaction d’un contrat
B. DÉSIGNATION DES PARTIES CONTRACTANTES
La désignation correcte des parties au contrat peut avoir des incidences directes sur la formation et l’exécution de celui-ci. La loi applicable précisera les informations requises pour déterminer la personnalité juridique d’une entité commerciale et sa capacité de conclure un contrat. Elle pourra exiger des renseignements supplémentaires à des fins spécifiques, par exemple un numéro d’identification fiscal ou une procuration pour déterminer la capacité d’une personne physique de signer et de s’engager pour le compte d’une personne morale.
C. DÉFINITION DE L’OBJET ET DE LA PORTÉE DU CONTRAT
Les contrats d’informatique en nuage varient sensiblement, de par le type et la complexité de leur objet, compte tenu de la diversité des services d’informatique en nuage concernés. Cet objet peut changer au cours de la durée d’un contrat : certains services pourront être annulés et d’autres ajoutés. Il peut prévoir la fourniture de services de base, auxiliaires et optionnels.
L’indication de l’objet du contrat contient généralement une description du type de services d’informatique en nuage (SaaS, PaaS, IaaS ou combinaison de ceux-ci), de leur modèle de déploiement (public, communautaire, privé ou hybride), de leurs caractéristiques techniques, en termes de qualité et de performance et de toute norme technique applicable. Plusieurs documents qui constituent le contrat peuvent entrer en ligne de compte pour en déterminer l’objet (voir par. 38 ci-avant).
Accord de niveau de service
L’accord de niveau de service définit les paramètres de performance à l’aide desquels la fourniture des services d’informatique en nuage et la portée des obligations contractuelles et d’une éventuelle rupture du contrat par le fournisseur seront mesurées. Des informaticiens interviennent normalement dans la formulation des paramètres de performance.
Les paramètres de performance quantitatifs concernent généralement la capacité (capacité donnée de stockage de données ou quantité donnée de mémoire disponible pour le programme en cours), les temps d’arrêt ou d’interruption, les temps de latence, la pérennité du stockage de données, les temps de disponibilité, les services d’assistance (par exemple, pendant les horaires de bureau du client ou 24 heures sur 24 et 7 jours sur 7) et les plans de gestion des incidents et des sinistres et plans de reprise. Ces derniers peuvent comprendre le temps maximum de résolution des incidents, le temps maximum de réaction initiale, l’objectif de point de reprise et l’objectif de délai de reprise.
Les paramètres de performance qualitatifs peuvent concerner la suppression des données, les exigences en matière de localisation des données, la portabilité, la sécurité et la protection des données/confidentialité. Certains aspects des services peuvent être mesurés à l’aune de paramètres de performance tant qualitatifs que quantitatifs. Ainsi, l’élasticité et l’extensibilité peuvent être définies par rapport soit aux ressources maximales disponibles pendant une période minimum spécifiée, soit à la qualité et à la sécurité des mesures susceptibles d’être adaptées aux différents niveaux de sensibilité des données client stockées. Le chiffrement peut être exprimé sous la forme d’un nombre donné de bits pour les données au repos, en transit et en utilisation. En plus ou à la place de ce paramètre quantitatif, on peut aussi mesurer le chiffrement à l’aune d’un paramètre qualitatif (par exemple, le fournisseur doit s’assurer que les données des clients sont chiffrées lorsqu’elles sont transportées par un réseau de communication public et lorsqu’elles sont au repos dans des centres de données utilisés par le fournisseur).
On pourra convenir de divers engagements (par exemple, obligations de résultats ou de moyens) en fonction, notamment, des conditions de paiement et de l’existence ou non de solutions normalisées pour multiabonnés. Le type d’engagement aura des implications, notamment en ce qui concerne la charge de la preuve en cas de litige.
Mesure de la performance
Les parties peuvent prévoir dans le contrat une méthode et des procédures de mesure, et définir en particulier la période de référence choisie pour mesurer les services (quotidienne, hebdomadaire, mensuelle, etc.), les mécanismes de communication d’informations relatives à la fourniture des services (c’està-dire la fréquence et la forme de cette communication), les rôles et responsabilités des parties et le type de mesures à effectuer (par exemple, mesure au moment de la fourniture ou de la consommation des services). Elles pourront s’entendre sur un mécanisme indépendant de mesure de la performance et la répartition des frais y relatifs.
Le client s’intéresse normalement aux mesures effectuées pendant les heures de pointe, c’est-à-dire au moment où les services sont le plus nécessaire. Il est généralement à même de mesurer (ou de vérifier les mesures fournies par le fournisseur ou un tiers) uniquement les données chiffrées reflétant la performance du système au moment de la consommation, et non celles reflétant la performance au moment de la fourniture des services. Il pourra peut-être évaluer ces dernières à partir des rapports sur la performance communiqués par le fournisseur ou un tiers. Le fournisseur pourra accepter de fournir de tels rapports à la demande du client, soit à un rythme régulier (quotidien, hebdomadaire, mensuel, etc.) soit à la suite d’un incident particulier. Il pourra aussi autoriser le client à examiner ses données relatives à l’évaluation du niveau de service. Certains fournisseurs autorisent leurs clients à suivre les données relatives à la performance du service en temps réel.
Le contrat pourra obliger l’une des parties, voire les deux, à conserver les données relatives à la fourniture et à la consommation de services pendant une certaine durée. Ces informations peuvent être utiles pour négocier tout changement à apporter au contrat ou en cas de litige.
Politique d’utilisation acceptable
La politique d’utilisation acceptable définit les conditions de l’utilisation, par le client et ses utilisateurs finaux, des services d’informatique en nuage visés par le contrat. Elle entend protéger le fournisseur contre toute responsabilité découlant de la conduite de ses clients et de leurs utilisateurs finaux. Tout client potentiel devra accepter cette politique, qui fera partie du contrat passé avec le fournisseur. La grande majorité des politiques standard interdit toute une série d’activités dont les fournisseurs considèrent qu’elles constituent une utilisation abusive ou illégale des services d’informatique en nuage. Les politiques d’utilisation acceptable peuvent restreindre non seulement le type de contenus susceptibles d’être placés dans le nuage, mais aussi le droit du client de donner accès aux données et autres contenus envoyés dans le nuage à des tiers (par exemple, des ressortissants de certains pays ou des personnes figurant sur des listes de sanctions). Les parties peuvent convenir d’écarter certaines interdictions pour tenir compte des besoins commerciaux spécifiques du client, dans les limites autorisées par la loi.
Les conditions générales du fournisseur prévoient habituellement que les utilisateurs finaux du client doivent aussi observer la politique d’utilisation acceptable et que le client doit déployer ses meilleurs efforts ou des efforts commercialement raisonnables pour en assurer le respect. Certains fournisseurs peuvent exiger des clients qu’ils empêchent activement tout usage non autorisé ou abusif par des tiers des services d’informatique en nuage offerts au titre du contrat. Les parties pourront s’entendre sur des obligations limitées, par exemple en prévoyant que le client communique la politique d’utilisation acceptable aux utilisateurs finaux connus, n’autorise pas, ni ne permet en connaissance de cause, de tels usages, et notifie au fournisseur tout usage non autorisé ou abusif dont il aura connaissance.
Dans un petit nombre de pays, la loi peut imposer au fournisseur des devoirs en ce qui concerne les contenus hébergés sur son infrastructure d’informatique en nuage, par exemple l’obligation de signaler la présence de contenus illicites aux autorités publiques. Il se peut que ces obligations ne puissent pas être transférées au client ou aux utilisateurs finaux par la politique d’utilisation acceptable ou autrement. Elles peuvent avoir des incidences sur la confidentialité, entre autres, et comptent parmi les facteurs à prendre en compte pour choisir un fournisseur adéquat (voir première partie, par. 12).
Politique de sécurité
La sécurité du système, y compris celle des données du client, implique le partage des responsabilités entre les parties. Le contrat devrait préciser les rôles et responsabilités de chaque partie en ce qui concerne les mesures de sécurité, en traduisant les obligations qui peuvent leur être imposées par les dispositions de droit impératif.
Habituellement, le fournisseur suit sa propre politique en matière de sécurité. Dans certains cas, il sera peut-être possible de s’accorder pour qu’il suive la politique du client en la matière. Cela n’est toutefois pas possible pour les solutions d’informatique en nuage normalisées pour multiabonnés. Le contrat pourra prévoir des mesures de sécurité précises (par exemple, exigences de nettoyage ou de suppression des données sur un support endommagé, stockage de paquets de données séparés à différents endroits, stockage des données du client sur du matériel spécifique qui lui est propre). La communication excessive d’informations concernant la sécurité dans le contrat peut toutefois présenter un risque.
Certaines mesures de sécurité portent exclusivement sur les activités habituelles de la partie concernée, par exemple les inspections, par le fournisseur, du matériel sur lequel les données sont stockées et les services sont fournis, et la prise de mesures efficaces pour assurer un accès contrôlé à celui-ci ; elles ne nécessitent donc aucune contribution de la part de l’autre partie. Dans d’autres cas, pour permettre à la partie concernée de remplir ses obligations ou d’évaluer et de contrôler la qualité des mesures de sécurité mises en œuvre, l’intervention de l’autre partie pourra être nécessaire. Ainsi le client devra-t-il mettre à jour la liste des identifiants des utilisateurs et de leurs droits d’accès et communiquer tout changement au fournisseur en temps utile pour garantir le bon fonctionnement des mécanismes de gestion des identités et des accès. Il devra aussi lui indiquer le niveau de sécurité à attribuer à chaque catégorie de données.
Certaines menaces à la sécurité peuvent se situer en dehors du cadre contractuel liant le client et le fournisseur, et exiger l’alignement des conditions du contrat d’informatique en nuage sur d’autres contrats passés par le fournisseur et le client (par exemple, avec des fournisseurs de services Internet).
Intégrité des données
Les contrats standard du fournisseur peuvent contenir une clause de non-responsabilité générale prévoyant que la responsabilité finale en ce qui concerne la préservation de l’intégrité des données incombe au client.
Certains fournisseurs accepteront peut-être de prendre un engagement concernant l’intégrité des données (par exemple, par le biais de sauvegardes régulières), éventuellement moyennant paiement. Indépendamment de l’arrangement contractuel passé avec le fournisseur, le client pourra se demander s’il serait utile de garantir l’accès à au moins une copie utilisable de ses données placée hors du contrôle, de la portée et de l’influence du fournisseur et de ses sous-traitants, et n’impliquant pas leur participation.
Clause de confidentialité
La volonté du fournisseur de s’engager à garantir la confidentialité des données client dépend de la nature des services qu’il fournit au titre du contrat et, en particulier, de la question de savoir s’il aura besoin d’avoir un accès non chiffré aux données pour fournir lesdits services. Certains fournisseurs pourraient ne pas être en mesure de proposer une clause de confidentialité ou de non-obligation d’information et ainsi expressément écarter toute obligation de confidentialité en ce qui concerne les données client. D’autres pourront être disposés à assumer une responsabilité pour la confidentialité des données communiquées par le client lors de la négociation du contrat, mais pas pour les données traitées dans le cadre de la fourniture des services. Certaines clauses standard de confidentialité offertes par les fournisseurs ne seront pas suffisantes pour assurer le respect de la loi applicable.
En l’absence d’engagements contractuels et d’obligations légales auxquels le fournisseur peut être soumis pour ce qui est d’assurer la confidentialité, le client pourra devoir assumer l’entière responsabilité de la confidentialité des données (par exemple, au moyen du chiffrement). Lorsqu’il est impossible de négocier une clause générale de confidentialité applicable à toutes les données client placées dans le nuage, les parties peuvent prendre un engagement de confidentialité pour certaines données sensibles (avec un régime de responsabilité distinct en cas de violation de la confidentialité de ces dernières). Le client pourra en particulier s’inquiéter de la protection de ses secrets commerciaux, de son savoir-faire et des informations dont il doit assurer la confidentialité conformément à la législation ou à des engagements pris auprès de tiers. Les parties peuvent convenir de limiter l’accès à ces données à un nombre limité de membres du personnel, dont elles exigeront des engagements de confidentialité à titre individuel, en particulier de ceux qui exercent une fonction à risque (par exemple, administrateurs de système, auditeurs et personnes s’occupant des dispositifs de détection des intrusions et de la réponse aux incidents). Dans ces cas, le client indiquera normalement au fournisseur les informations concernées, le niveau de protection requis, toute loi ou exigence contractuelle applicable et tout changement concernant ces informations, y compris tout changement apporté à la loi applicable.
Dans certains cas, la communication des données du client sera nécessaire aux fins de l’exécution du contrat. Dans d’autres, elle sera exigée par la loi, par exemple au titre de l’obligation de fournir des informations aux autorités publiques compétentes (voir par. 82 ci-après). Il sera alors nécessaire de prévoir des exceptions appropriées aux clauses de confidentialité.
Le fournisseur pourra, de son côté, imposer au client l’obligation de ne pas communiquer d’informations au sujet de ses mesures de sécurité, ni d’autres détails concernant les services qu’il lui fournit, au titre du contrat ou de la loi.
Protection des données/politique de confidentialité ou accord de traitement des données
Les données personnelles font l’objet d’une protection particulière en vertu de la loi dans de nombreux pays. La loi applicable au traitement de ces données peut différer de la loi applicable au contrat. Elle prévaudra sur toute clause contractuelle non conforme.
Le contrat peut contenir une clause relative à la protection des données ou à la confidentialité ou un accord de traitement des données ou autre type d’accord similaire, même si certains fournisseurs s’engageront uniquement de manière générale à respecter la loi applicable en matière de protection des données. Dans certains pays, un tel engagement général pourrait être insuffisant et le contrat devra énoncer au minimum l’objet et la durée, la nature et l’objectif du traitement des données personnelles, le type de données et les catégories de sujets de données, et les droits et obligations du responsable du contrôle des données et du responsable du traitement des données. Lorsqu’il est impossible de négocier une clause de protection des données dans le contrat, le client souhaitera peut-être examiner les conditions générales pour déterminer si celles-ci lui donnent des garanties suffisantes quant au traitement licite des données personnelles et prévoient des recours en dommages-intérêts adéquats.
Le client jouera probablement le rôle de responsable du contrôle des données et assumera la responsabilité du respect de la législation relative à la protection des données en ce qui concerne les données personnelles réunies et traitées dans le nuage. Les parties peuvent convenir de clauses contractuelles visant à assurer le respect des règles applicables en matière de protection des données, y compris les demandes liées aux droits des sujets de données. Elles peuvent aussi convenir de voies de droit distinctes en cas de violation de ces clauses, notamment la résiliation unilatérale du contrat et l’indemnisation.
Les contrats standard des fournisseurs prévoient généralement que ceux-ci n’assument aucun rôle de responsable de contrôle des données. Normalement, le fournisseur agit en tant que responsable du traitement des données uniquement lorsqu’il traite les données du client conformément à ses instructions, dans le seul but de lui fournir des services d’informatique en nuage. Dans certains pays, il pourra toutefois être considéré comme assumant le rôle de responsable du contrôle des données, indépendamment des clauses contractuelles, lorsqu’il traite plus avant les données à ses propres fins ou selon les instructions des autorités publiques, et pourrait par conséquent assumer la pleine responsabilité de la protection des données personnelles pour ce qui est de ce traitement supplémentaire (voir par. 125 ci-après).
Obligations découlant d’une violation des données et d’autres incidents de sécurité
Les parties peuvent être tenues, de par la loi ou les dispositions contractuelles (voire les deux), de se notifier mutuellement tout incident de sécurité ayant un lien avec le contrat ou tout soupçon en la matière qui vient à leur connaissance. Cette obligation peut s’ajouter à l’obligation générale, qui peut être prévue par la loi, de notifier tout incident de sécurité aux parties prenantes concernées (y compris les sujets de données, les assureurs et les autorités publiques, ou le grand public), afin de prévenir les incidents ou d’en minimiser l’impact.
La loi peut prévoir des exigences spécifiques en matière de notification d’un incident de sécurité, et préciser notamment le moment où celle-ci doit être donnée et les personnes responsables de ce faire. Sous réserve de ces dispositions obligatoires, les parties peuvent préciser dans le contrat le délai de notification (par exemple, un jour après la prise de connaissance, par la partie, de l’incident ou de la menace), la forme et le contenu de la notification relative à l’incident de sécurité. Cette dernière indique généralement les circonstances et la cause de l’incident, le type de données touchées, les mesures à prendre pour résoudre l’incident, le moment où celui-ci devrait être résolu et le plan d’urgence, le cas échéant, à mettre en œuvre en attendant qu’il soit réglé. Elle peut également comporter des informations sur les tentatives de violations et les attaques contre des cibles spécifiques (par utilisateur client, par application donnée, par appareil spécifique), ainsi que des tendances et des statistiques. Toute exigence en matière de notification tient normalement compte de la nécessité de ne pas communiquer d’informations sensibles susceptibles de nuire au système, aux opérations ou au réseau de la partie affectée.
Le fournisseur ou le client (ou les deux) peuvent être tenus, de par la loi ou le contrat, de prendre des mesures à la suite d’un incident de sécurité (« mesures postincident »), y compris en faisant intervenir un tiers. Ces mesures peuvent comprendre l’isolement ou la mise en quarantaine des zones touchées, l’analyse des causes profondes et l’élaboration d’un rapport d’analyse de l’incident. Ce dernier peut être établi par la partie touchée, seule ou conjointement avec l’autre partie, ou par un tiers indépendant. Ces mesures peuvent varier en fonction des catégories de données stockées dans le nuage et d’autres facteurs.
Un incident de sécurité grave entraînant, par exemple, la perte de données pourra déboucher sur la résiliation du contrat.
Exigences en matière de localisation des données
Dans ses conditions générales, le fournisseur peut expressément se réserver le droit de stocker les données client dans tout pays dans lequel lui-même ou ses sous-traitants exercent des activités. Le plus souvent, une telle pratique sera suivie même en l’absence d’un droit contractuel explicite, car il est clair que les services d’informatique en nuage sont, de par leur nature, généralement fournis à partir de plus d’un endroit (par exemple, la sauvegarde et la protection antivirus peuvent être assurées à distance, et l’assistance peut être offerte depuis le monde entier, selon un modèle ajusté aux fuseaux horaires (modèle « follow-the-sun », c’est-à-dire que le soutien suit littéralement le soleil). Cette pratique ne sera peut-être pas conforme aux exigences en matière de localisation des données applicables à l’une ou l’autre partie, voire aux deux (voir première partie, par. 10 et 11).
Des garanties visant à assurer le respect des exigences en matière de localisation des données peuvent être incluses dans le contrat, comme l’interdiction de déplacer les données et autres contenus en dehors de l’emplacement prévu, ou l’obligation d’obtenir l’approbation préalable de l’autre partie. Ainsi, on pourra inclure un paramètre de performance qualitatif dans l’accord de niveau de service pour garantir que les données client (y compris toute copie, métadonnée et sauvegarde) seront exclusivement stockées dans des centres de données physiquement situés dans les pays indiqués dans le contrat et détenus et exploités par des entités établies dans ces pays. Autrement, on pourra prévoir, par exemple, que les données ne doivent jamais sortir d’un certain pays ou d’une certaine région, mais peuvent être copiées dans un pays tiers donné ou ailleurs, mais en aucun cas dans tel autre pays qui sera expressément mentionné.