Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)

Première partie. Principaux aspects précontractuels

A. VÉRIFICATION DES DISPOSITIONS DE DROIT IMPÉRATIF ET AUTRES EXIGENCES

Le cadre juridique applicable aux clients, aux fournisseurs ou aux uns et aux autres peut imposer des conditions pour la conclusion d’un contrat d’informatique en nuage. Ces conditions peuvent aussi provenir d’engagements contractuels, comme des licences de propriété intellectuelle. Les parties devraient en particulier avoir connaissance des lois et règlements relatifs aux données personnelles, à la protection des consommateurs, à la cybersécurité, au contrôle des exportations, aux douanes, aux impôts et aux secrets commerciaux, ainsi que des règlements relatifs à la propriété intellectuelle et des règlements sectoriels qui peuvent leur être applicables, ainsi qu’à tout contrat qu’elles pourront conclure. La non-observation de conditions impératives peut avoir de graves conséquences, comme la nullité ou le caractère non exécutoire de tout ou partie d’un contrat, des pénalités administratives ou la responsabilité pénale.

Les conditions de conclusion d’un contrat d’informatique en nuage peuvent varier selon le secteur et le pays concernés. Elles peuvent notamment concerner l’obligation de prendre des mesures spéciales pour assurer la protection des droits des sujets de données, de déployer un modèle particulier (par exemple, nuage privé plutôt que public), de chiffrer les données placées dans le nuage et d’enregistrer auprès des autorités publiques une transaction ou un logiciel utilisé dans le traitement de données personnelles. Elles peuvent aussi comprendre des exigences en matière de localisation des données, ainsi que des exigences concernant le fournisseur.

Localisation des données

Les exigences en matière de localisation des données peuvent en particulier découler de la loi applicable aux données personnelles, aux données comptables et aux données du secteur public, de la législation sur le contrôle des exportations et des règlements susceptibles de limiter le transfert de certains logiciels ou informations en provenance ou à destination de certains pays ou régions. Il est essentiel, pour les parties, de se conformer aux exigences en matière de localisation des données énoncées dans la loi applicable. Le contrat ne pourra pas ne pas en tenir compte.

Les exigences en matière de localisation des données peuvent aussi découler d’engagements contractuels (par exemple, de licences de propriété intellectuelle prévoyant que le contenu sous licence soit stocké sur les serveurs sécurisés de l’utilisateur). La localisation des données peut en outre être privilégiée à des fins purement pratiques, par exemple pour diminuer le temps de latence, ce qui est surtout important pour les opérations en temps réel comme le négoce en Bourse. (En ce qui concerne les garanties contractuelles relatives à la localisation des données, voir ici).

Choix d’une partie contractante

Le choix d’une partie contractante peut être limité non seulement par les conditions du marché mais également par des exigences légales. Ainsi, la législation peut interdire de conclure un contrat d’informatique en nuage avec des personnes étrangères, des ressortissants de certains pays ou des personnes non accréditées/certifiées auprès des autorités publiques compétentes. Elle peut exiger qu’une personne étrangère crée une coentreprise avec une entité nationale ou acquière des licences et autorisations locales, y compris des autorisations d’exportation, pour fournir des services d’informatique en nuage dans un pays donné. Le choix d’une partie contractante peut aussi être influencé par les exigences en matière de localisation des données (voir au dessus), ainsi que par les obligations légales qui imposent à chaque partie de communiquer des données et autres contenus, ou de donner accès à ceux-ci, aux autorités publiques d’autres États.

Termes de glossaire pertinents

Données personnelles : Données à caractère sensible ou non qui peuvent servir à identifier la personne physique à laquelle elles se rapportent. Dans certains pays, la définition des données personnelles peut englober toutes les données ou informations directement ou indirectement liées ou relatives à une personne identifiée ou identifiable (voir le sujet de données).

Droits des sujets de données : Droits associés aux données personnelles des sujets de données. En fonction de la législation, les sujets de données peuvent bénéficier du droit d’être informés de toutes les informations importantes relatives à leurs données personnelles, notamment l’emplacement de ces données, leur utilisation par des tiers, et d’éventuelles fuites et autres violations. Ils peuvent également disposer du droit d’accéder à tout moment à ces données personnelles, du droit à l’effacement (conséquence du droit à l’oubli), du droit d’en limiter le traitement et du droit à la portabilité de ces données.

Exigences en matière de localisation des données : Exigences relatives à l’emplacement des données et d’autres contenus, des centres de données ou des fournisseurs. Elles peuvent interdire que certaines données (notamment des métadonnées et sauvegardes) soient stockées dans certains territoires ou pays, ou passent par ceux-ci, ou exiger pour ce faire l’autorisation préalable d’une instance publique compétente. Elles sont fréquemment énoncées dans des lois et règlements relatifs à la protection des données, lesquels sont susceptibles d’interdire en particulier que les données personnelles soient stockées ou passent dans des pays qui ne respectent pas certaines normes en matière de protection des données personnelles.

Licence de propriété intellectuelle : Contrat conclu entre un titulaire de droits de propriété intellectuelle (donneur de licence) et une personne autorisée à utiliser ces droits (preneur de licence). Ces contrats imposent habituellement des restrictions et des obligations quant à la portée du contrat et à la manière dont le preneur de licence ou les tiers peuvent utiliser le bien sous licence. Par exemple, les logiciels et les contenus visuels (modèles, mises en pages et images) peuvent faire l’objet d’une licence en vue d’une exploitation spécifique, ne permettant pas la copie, la modification ou l’amélioration, et être limités à un support donné. Les licences peuvent être limitées à un marché particulier (par exemple, marché national ou (sous-)régional), à un nombre d’utilisateurs ou d’appareils donné, ou être limitées dans le temps. Les accords de sous-licence peuvent être interdits. Le donneur de licence peut exiger que le titulaire des droits de propriété intellectuelle soit mentionné chaque fois que ceux-ci sont utilisés.

Règlements sectoriels : Règlements relatifs aux finances, à la santé ou au secteur public, ou à d’autres secteurs ou professions particuliers (par exemple, en ce qui concerne le secret professionnel auquel sont tenus les avocats et les professionnels de santé) et règles relatives au traitement des informations classifiées (c’est-à-dire, au sens large, les informations dont la loi ou un règlement limitent l’accès à certaines catégories de personnes).