Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)
Première partie. Principaux aspects précontractuels
A. VÉRIFICATION DES DISPOSITIONS DE DROIT IMPÉRATIF ET AUTRES EXIGENCES
Le cadre juridique applicable aux clients, aux fournisseurs ou aux uns et aux autres peut imposer des conditions pour la conclusion d’un contrat d’informatique en nuage. Ces conditions peuvent aussi provenir d’engagements contractuels, comme des licences de propriété intellectuelle. Les parties devraient en particulier avoir connaissance des lois et règlements relatifs aux données personnelles, à la protection des consommateurs, à la cybersécurité, au contrôle des exportations, aux douanes, aux impôts et aux secrets commerciaux, ainsi que des règlements relatifs à la propriété intellectuelle et des règlements sectoriels qui peuvent leur être applicables, ainsi qu’à tout contrat qu’elles pourront conclure. La non-observation de conditions impératives peut avoir de graves conséquences, comme la nullité ou le caractère non exécutoire de tout ou partie d’un contrat, des pénalités administratives ou la responsabilité pénale.
Les conditions de conclusion d’un contrat d’informatique en nuage peuvent varier selon le secteur et le pays concernés. Elles peuvent notamment concerner l’obligation de prendre des mesures spéciales pour assurer la protection des droits des sujets de données, de déployer un modèle particulier (par exemple, nuage privé plutôt que public), de chiffrer les données placées dans le nuage et d’enregistrer auprès des autorités publiques une transaction ou un logiciel utilisé dans le traitement de données personnelles. Elles peuvent aussi comprendre des exigences en matière de localisation des données, ainsi que des exigences concernant le fournisseur.
Localisation des données
Les exigences en matière de localisation des données peuvent en particulier découler de la loi applicable aux données personnelles, aux données comptables et aux données du secteur public, de la législation sur le contrôle des exportations et des règlements susceptibles de limiter le transfert de certains logiciels ou informations en provenance ou à destination de certains pays ou régions. Il est essentiel, pour les parties, de se conformer aux exigences en matière de localisation des données énoncées dans la loi applicable. Le contrat ne pourra pas ne pas en tenir compte.
Les exigences en matière de localisation des données peuvent aussi découler d’engagements contractuels (par exemple, de licences de propriété intellectuelle prévoyant que le contenu sous licence soit stocké sur les serveurs sécurisés de l’utilisateur). La localisation des données peut en outre être privilégiée à des fins purement pratiques, par exemple pour diminuer le temps de latence, ce qui est surtout important pour les opérations en temps réel comme le négoce en Bourse. (En ce qui concerne les garanties contractuelles relatives à la localisation des données, voir ici).
Choix d’une partie contractante
Le choix d’une partie contractante peut être limité non seulement par les conditions du marché mais également par des exigences légales. Ainsi, la législation peut interdire de conclure un contrat d’informatique en nuage avec des personnes étrangères, des ressortissants de certains pays ou des personnes non accréditées/certifiées auprès des autorités publiques compétentes. Elle peut exiger qu’une personne étrangère crée une coentreprise avec une entité nationale ou acquière des licences et autorisations locales, y compris des autorisations d’exportation, pour fournir des services d’informatique en nuage dans un pays donné. Le choix d’une partie contractante peut aussi être influencé par les exigences en matière de localisation des données (voir au dessus), ainsi que par les obligations légales qui imposent à chaque partie de communiquer des données et autres contenus, ou de donner accès à ceux-ci, aux autorités publiques d’autres États.
B. ÉVALUATION PRÉCONTRACTUELLE DES RISQUES
Les dispositions de droit impératif peuvent exiger qu’il soit procédé à une évaluation des risques avant la conclusion d’un contrat d’informatique en nuage. Même en l’absence d’exigences légales, les parties peuvent décider de procéder à une telle évaluation en vue de définir une stratégie de réduction des risques, y compris la négociation de clauses contractuelles adéquates.
Tous les risques inhérents à un contrat d’informatique en nuage ne sont pas spécifiquement liés au nuage. Certains seront abordés en dehors d’un contrat d’informatique en nuage (par exemple, les risques liés à une interruption de la connectivité en ligne) et tous ne pourront pas être limités à un coût acceptable (par exemple, une atteinte à la réputation). De plus, l’évaluation des risques ne se résume pas à une étape unique avant la conclusion d’un contrat. Elle peut se poursuivre pendant la durée d’existence du contrat, et ses résultats peuvent entraîner la modification, voire la résiliation du contrat.
Vérification des informations relatives à un service d’informatique en nuage particulier et à la partie contractante sélectionnée
Les informations suivantes peuvent être pertinentes pour les parties lors-qu’elles envisagent de recourir à un service d’informatique en nuage particulier et de sélectionner une partie contractante :
a) Les licences de propriété intellectuelle requises pour utiliser un service d’informatique en nuage particulier ;
b) La politique existante en matière de protection de l’information, de confidentialité et de sécurité, en particulier en ce qui concerne la prévention des accès non autorisés, l’utilisation, l’altération ou la destruction des données pendant leur traitement, leur transit ou leur transfert au moyen de l’infrastructure d’informatique en nuage ;
c) Les mesures mises en place pour assurer l’accès continu aux métadonnées, aux journaux d’audit et à d’autres journaux attestant des mesures de sécurité ;
d) Le plan existant de reprise après sinistre et les obligations de notification en cas d’atteinte à la sécurité ou de dysfonctionnement du système ;
e) Les politiques adoptées en ce qui concerne la migration vers le nuage et l’assistance à la fin du contrat, ainsi que l’interopérabilité et la portabilité ;
f) Les mesures existantes pour effectuer des vérifications au sujet des employés, sous-traitants et autres tiers impliqués dans la fourniture des services d’informatique en nuage, ainsi que les former ;
g) Des statistiques relatives aux incidents de sécurité et des informations relatives aux expériences faites avec les procédures de reprise après sinistre ;
h) La certification de conformité aux normes techniques par un tiers indépendant ;
i) Des informations concernant la régularité et la portée des audits effectués par un organe indépendant ;
j) La viabilité financière ;
k) Les polices d’assurance ;
l) D’éventuels conflits d’intérêts ;
m) Le volume de la sous-traitance et des services d’informatique en nuage en couches ;
n) La mesure dans laquelle est assuré l’isolement des données et autres contenus dans l’infrastructure d’informatique en nuage ; et
o) Les attentes en matière de réciprocité et de responsabilités partagées en ce qui concerne les mesures de sécurité.
Risques d’atteinte à la propriété intellectuelle
Il peut exister des risques d’atteinte à la propriété intellectuelle lorsque, par exemple, le fournisseur n’est ni le propriétaire ni le concepteur des ressources fournies à ses clients, qu’il utilise en vertu d’un contrat de licence de propriété intellectuelle conclu avec un tiers. De tels risques peuvent aussi survenir lorsque le client est tenu, pour l’exécution du contrat, d’octroyer au fournisseur une licence d’utilisation du contenu qu’il souhaite placer dans le nuage. Dans certains pays, le stockage de contenu dans le nuage, même à des fins de sauvegarde, peut être qualifié de reproduction et exiger une autorisation préalable du propriétaire des droits de propriété intellectuelle.
Il est de l’intérêt des deux parties de s’assurer, avant la conclusion du contrat, que l’utilisation des services d’informatique en nuage ne portera pas atteinte aux droits de propriété intellectuelle et ne constituera pas un motif de retrait des licences de propriété intellectuelle qui leur auront été accordées. Le coût d’une atteinte à la propriété intellectuelle peut être très élevé. Il faudra peut-être prévoir le droit de conclure une sous-licence, ou envisager une licence directe avec le donneur de licence concerné, qui conférera le droit de gestion des licences. Pour pouvoir utiliser des logiciels ou autres contenus libres, il peut être nécessaire d’obtenir au préalable le consentement des tiers concernés et de révéler le code source avec toute modification apportée au logiciel ou autre contenu libre.
Risques en matière de sécurité, d’intégrité, de confidentialité et de protection des données
Avec la migration de tout ou partie de ses données vers le nuage, le client perd le contrôle exclusif sur ces données et sa capacité de déployer les mesures nécessaires pour garantir leur intégrité et leur confidentialité, ou pour vérifier si elles sont traitées et conservées de manière adéquate. La portée de cette perte de contrôle dépend du type de service d’informatique en nuage concerné.
En raison de certaines caractéristiques inhérentes aux services d’informatique en nuage, comme le large accès via le réseau, l’architecture multilocataire et la mutualisation des ressources, les parties pourront devoir prendre plus de précautions pour empêcher l’interception des communications et autres cyberattaques, qui peuvent entraîner la perte ou la compromission des identifiants permettant d’accéder aux services d’informatique en nuage, une perte de données et d’autres atteintes à la sécurité. Des mesures adéquates d’isolement des ressources et de ségrégation des données, ainsi que des procédures de sécurité efficaces sont particulièrement importantes dans un environnement partagé comme l’informatique en nuage.
Dans un environnement d’informatique en nuage, les mesures de sécurité sont la responsabilité partagée des parties, indépendamment du type de services utilisés. L’évaluation précontractuelle des risques est l’occasion pour les parties de définir, sans aucune ambiguïté, leurs rôles et responsabilités en ce qui concerne la sécurité, l’intégrité, la confidentialité et la protection des données. Les clauses contractuelles jouent un rôle important en ce qu’elles traduisent l’accord des parties au sujet de la répartition mutuelle des risques et des responsabilités liés à ces aspects, et à d’autres aspects de la fourniture de services d’informatique en nuage. Ces clauses ne sauraient toutefois primer sur les règles de droit impératives. Lire la suite
Tests d’intrusion, audits et inspections physiques
Des mesures peuvent être prises au stade précontractuel pour vérifier si l’isolement des ressources, la ségrégation des données, les procédures d’identification et les autres mesures de sécurité sont adéquats. Ces vérifications devraient viser à déterminer si les parties doivent prendre des précautions supplémentaires pour prévenir les atteintes à la sécurité des données et d’autres dysfonctionnements dans la fourniture des services d’informatique en nuage au client.
Les lois et règlements peuvent exiger la tenue d’audits, de tests d’intrusion et l’inspection physique des centres de données impliqués dans la fourniture des services d’informatique en nuage, afin en particulier de déterminer si leur emplacement satisfait bien aux exigences légales en matière de localisation des données. Les parties devront convenir des conditions relatives à ces vérifications, notamment en ce qui concerne le moment où elles seront entreprises, la répartition des coûts et l’indemnisation si elles provoquaient des dommages.
Risques de verrouillage
La capacité d’éviter ou de réduire les risques de verrouillage, qui sont souvent liés au manque d’interopérabilité et de portabilité, est peut-être l’une des considérations les plus importantes pour les parties. Ces risques pourront être plus importants avec des contrats à long terme ou avec des contrats à court ou moyen terme automatiquement renouvelables.
Les risques de verrouillage des applications et des données sont particulièrement élevés pour les modèles SaaS et PaaS. Les données peuvent exister dans des formats spécifiques à un système d’informatique en nuage, qui ne seront pas utilisables dans d’autres systèmes. De plus, l’utilisation d’une application ou d’un système propriétaire pour l’organisation des données pourra nécessiter que l’on ajuste les conditions de licence pour permettre l’exploitation dans un autre réseau. Il pourra être nécessaire de réécrire les programmes d’interaction avec les interfaces de programmation d’applications (API) pour tenir compte de l’API du nouveau système. La mise à niveau des connaissances des utilisateurs finaux peut aussi s’avérer coûteuse.
Dans le modèle PaaS, il y a aussi des risques de verrouillage des logiciels d’exécution puisque ces derniers (à savoir les logiciels conçus pour permettre l’exécution de programmes informatiques écrits dans un langage de programmation spécifique) sont souvent fortement personnalisés (par exemple, pour des aspects tels que l’allocation ou la libération de mémoire, le débogage, etc.). Dans le modèle IaaS, les risques de verrouillage varient en fonction des services d’infrastructure consommés. Tout comme dans le modèle PaaS, certains services d’infrastructure peuvent entraîner le verrouillage des applications si le service dépend de certaines caractéristiques de la politique du fournisseur (par exemple, les contrôles d’accès). D’autres services d’infrastructure peuvent aussi entraîner le verrouillage des données si des données supplémentaires sont déplacées vers le nuage à des fins de stockage.
Au stade précontractuel, il est possible d’effectuer des essais pour vérifier si les données et autres contenus peuvent être exportés vers un autre système et y être utilisés. Il peut être nécessaire d’assurer la synchronisation entre le nuage et les plateformes internes et la reproduction des données en un autre lieu. La négociation avec plusieurs parties et le choix d’une combinaison de divers types de services d’informatique en nuage, avec leur propre modèle de déploiement (par exemple, sources d’approvisionnement multiples), peuvent être des éléments clefs de la stratégie visant à atténuer les risques de verrouillage, même s’ils peuvent entraîner des coûts et d’autres conséquences. Les clauses contractuelles peuvent aussi contribuer à limiter ces risques. Lire la suite.
Risques concernant la continuité des opérations
Les parties pourront se préoccuper de la continuité des opérations en relation non seulement avec la fin programmée du contrat, mais aussi une éventuelle suspension unilatérale ou résiliation anticipée, notamment si l’une ou l’autre partie cesse ses activités. La législation pourra exiger la mise au point, en amont, d’une stratégie appropriée pour assurer la continuité des opérations, et notamment pour éviter les incidences négatives de la cessation ou de la suspension des services sur les utilisateurs finaux. L’élaboration de clauses contractuelles pourra aussi contribuer à limiter les risques en la matière. Lire la suite.
Stratégies de retrait
Pour garantir le succès de la stratégie de retrait, les parties pourront devoir déterminer dès le début : a) le contenu à retirer (par exemple, uniquement les données que le client aura entrées dans le nuage ou aussi les données dérivées des services en nuage) ; b) les modifications qu’il conviendra d’apporter aux licences de propriété intellectuelle pour pouvoir continuer d’utiliser ledit contenu dans un autre système ; c) le contrôle des clefs de déchiffrement et l’accès à ces dernières ; et d) le délai requis pour achever le retrait. Les clauses contractuelles relatives à la fin du contrat traduisent généralement l’accord des parties sur ces points. Lire la suite.
C. AUTRES QUESTIONS PRÉCONTRACTUELLES
Obligations d’information
La loi applicable peut exiger des parties à un contrat qu’elles se fournissent mutuellement les informations nécessaires pour décider en toute connaissance de cause si elles souhaitent ou non conclure ledit contrat. L’absence de communication, ou en tout cas de communication claire, à l’autre partie des informations indispensables pour satisfaire à cette obligation avant la conclusion d’un contrat peut entraîner la nullité, en tout ou en partie, du contrat ou fonder la partie lésée à réclamer des dommages-intérêts.
Dans certains pays, les informations précontractuelles peuvent être considérées comme faisant partie intégrante du contrat. Dans ce cas, les parties devront veiller à ce que celles-ci soient correctement enregistrées et que toute incohérence entre ces informations et le contrat même soit évitée. Elles devront aussi se préoccuper des incidences des informations ainsi communiquées avant la conclusion du contrat en matière de souplesse et d’innovation pendant la phase d’exécution du contrat.
Confidentialité
Certaines des informations communiquées avant la conclusion du contrat peuvent être jugées confidentielles, en particulier celles ayant trait aux mesures de sécurité, d’identification et d’authentification, aux sous-traitants et à l’emplacement et au type de centres de données (qui peuvent permettre d’identifier le type de données qui y sont enregistrées et les modalités d’accès des autorités publiques, qu’elles soient locales ou étrangères). Les parties peuvent convenir que certaines informations communiquées avant la conclusion du contrat doivent être traitées comme des données confidentielles. Des engagements écrits de confidentialité ou des accords de non-obligation d’information pourront également être exigés des tiers intervenant dans les vérifications précontractuelles (par exemple, auditeurs).
Migration vers le nuage
Avant d’effectuer la migration vers le nuage, le client devra généralement classer les données à migrer et les protéger en fonction de leur caractère sensible ou critique, et indiquer au fournisseur le niveau de protection exigé pour chaque type de données. Il sera peut-être aussi censé lui communiquer d’autres informations nécessaires pour la fourniture de services (par exemple, le calendrier de conservation et d’élimination de ses données, les mécanismes de gestion des identités et des accès et les procédures d’accès, le cas échéant, aux clefs de déchiffrement).
Outre le transfert des données et autres contenus vers le nuage du fournisseur, la migration vers le nuage peut aussi impliquer des opérations d’installation, de configuration, de chiffrement, des tests et la formation du personnel et des autres utilisateurs finaux du client. Ces aspects peuvent faire partie du contrat passé avec le fournisseur ou faire l’objet d’un accord distinct passé avec le fournisseur ou des tiers, notamment des partenaires de services d’informatique en nuage. Des dépenses supplémentaires peuvent être engagées. Les parties impliquées dans la migration s’entendront généralement sur leurs rôles et responsabilités respectifs pendant la migration, les conditions de leur engagement, le format dans lequel les données et autres contenus seront migrés vers le nuage, le calendrier de la migration, une procédure d’acceptation pour attester de sa bonne exécution et d’autres détails relatifs au plan de migration.