Juridique

Les pièges juridiques des contrats de cloud computing

Retrouvez cet article dans le CIO FOCUS n°94 !

Cloud : de l'achat à la mise en oeuvre

Si le cloud est devenu une réalité quotidienne dans les entreprises, sa généralisation entraîne de nouvelles problématiques. Tout ne peut pas être externalisé, les besoins en matière de niveaux de service peuvent varier et l'administration des multiples clouds déployés doit être industrialisée....

Découvrir

---

CIO a organisé une conférence « Cloud : de l'achat à la mise en oeuvre » le 5 février 2015. L'avocat Olivier de Courcel, du cabinet Féral-Schuhl / Sainte-Marie, y a expliqué les pièges juridiques des contrats de cloud computing.

Publicité« Le contrat de cloud computing, si on s'en tient aux définitions communément admises pour le concept de cloud, est quelque chose de très large » a observé Olivier de Courcel, avocat associé du cabinet Féral-Schuhl / Sainte-Marie. Il s'est exprimé au cours de la Matinée Stratégique « Cloud : de l'achat à la mise en oeuvre » organisée par CIO le 5 février 2015 à Paris. IaaS, PaaS et SaaS sont des modalités différentes de cloud public ou privé. Mais à chaque fois, il y a des modalités contractuelles liées à la mise en oeuvre des clouds qui sont d'une grande complexité, avec de nombreux pièges. De plus, le cloud est le plus souvent une prestation externalisée avec l'obligation d'utiliser Internet pour accéder à la ressource externalisée. Le cloud public avec mutualisation des ressources matérielles (notamment le SaaS) est évidemment le plus délicat.

D'un côté, l'entreprise utilisatrice attend flexibilité, réduction des coûts, rapidité de déploiement, innovation, modèle économique innovant... Mais elle se retrouve avec des contrats d'adhésion, des engagements instables, des performances non-garanties, une responsabilité mal partagée, des informations potentiellement exposées aux tiers... et des contrats complexes. Olivier de Courcel souligne notamment : « dans le cas du SaaS, le prestataire s'occupe de tout et l'éditeur de logiciel devient aussi mainteneur, infogérant, etc. alors qu'il manque le chaînon télécom. »

Des contrats complexes à objet incertain

Les contrats de cloud sont en fait des ensembles contractuels, des séries de documents faisant référence les uns aux autres (dispositions cadres, dispositions relatives aux données personnelles, annexes sur la sécurité, etc.). Les « épisodes » de cette série sont à multiples rebondissements.
Et, dans le cas des clouds publics, ces documents ne sont généralement pas du tout négociables. A l'inverse, le prestataire peut décider de modifier les clauses contractuelles pratiquement comme bon lui semble avec un préavis faible. Les modifications peuvent toucher les tarifs mais aussi la nature même des services proposés, y compris les caractéristiques substantiels de la définition du service. Le client n'est même pas nécessairement informé des modifications. « A-t-on encore un contrat dans le sens du droit français, étant donné qu'un contrat doit avoir un objet certain ? J'attends qu'un tribunal français se prononce sur ce point » relève Olivier de Courcel.

Et ce n'est pas tout ! En effet, les performances des systèmes mis à disposition ne sont pas garanties. Au mieux, on voit des obligations de moyen avec des clauses tellement limitatives que ces clauses n'ont plus beaucoup de sens. Olivier de Courcel s'offusque : « même les pénalités sont en trompe-l'oeil ! » Ces pénalités en cas de dysfonctionnements se traduisent au mieux par une indemnisation sous forme d'avoirs. « Il y a quelques années, Amazon avait connu un ennui très sérieux avec pertes définitives de données des clients mais le prestataire avait présenté des excuses publiques et accordé des jours gratuits d'un service déplorable » se souvient Olivier de Courcel. Mais même en cas de pertes de données, les dommages directs et indirects ne sont pas couverts par la garantie du prestataire.

PublicitéCela dit, Olivier de Courcel a rappelé qu'une jurisprudence de la Cour de Cassation en 2007 a établi une responsabilité d'un fournisseur d'accès Internet qui proposait des services avec des clauses de ce type. La disponibilité du service étant l'objet même du contrat, il ne saurait être admis une clause vidant le contrat de sa substance.
Au niveau de la Commission Européenne comme de l'ISO, des normes sont en train d'être discutées pour cadrer les contrats de cloud. Des lignes directrices ont déjà été édictées en 2014. Mais on est bien sûr encore très loin du compte.

Une responsabilité proche de l'irresponsabilité

Au delà de la question du niveau de service, la responsabilité engagée par les traitements est également définie de façon très mal partagée. Lorsqu'un processus est placé dans le cloud, il est probable que le traitement porte au moins en partie sur des données personnelles. « La notion de données personnelles est très large puisqu'il s'agit de toutes les données se rapportant à au moins une personne physique identifiable » rappelle Olivier de Courcel.
Dans la réglementation européenne et française, il n'existe que deux statuts de responsabilité : le responsable du traitement et le sous-traitant. Or le « client », c'est à dire l'entreprise utilisant le service de cloud, reste responsable du traitement lorsqu'il recourt au cloud. Il doit donc définir les mesures de sécurité et informer les individus concernés.
Le prestataire cloud, lui, pour conserver son statut de sous-traitant, ne doit traiter les données que sur instruction de « responsable », autrement dit l'entreprise qui est son client. Il lui incombe cependant de respecter des mesures techniques et une organisation apte à garantir la sécurité des données personnelles.

Mais cette dichotomie client/sous-traitant est mal adaptée pour le cloud car le client est incapable de donner des instructions (notamment de sécurité) ou d'auditer le fournisseur. La CNIL a émis des recommandations tendant à considérer le prestataire cloud comme co-responsable du traitement. « Les prestataires n'ont aucunement l'envie d'avoir ce statut » relève Olivier de Courcel. Dans les contrats, les prestataires se déclarent évidemment sous-traitants. Reste à savoir si cette mention serait suffisante en cas de litige.
La confidentialité des données est également mise en cause par la législation américaine. Olivier de Courcel pointe : « il suffit qu'il y ait un citoyen américain dans le dispositif, même si les données sont hébergées en Europe et concernent des citoyens européens, pour que le droit américain s'applique. » Des décisions plus ou moins récentes de la justice américaine ont rappelé ce point.
Or les « clients » continuent souvent de ne faire attention qu'au lieu de stockage des données. Le traité Data Protection Umbrella Protection, destiné à remplacer le Safe Harbor, est toujours en cours de discussion entre l'Europe et les Etats-Unis car les difficultés sont très importantes. De ce fait, l'évolution de la législation européenne tend actuellement vers un effacement de la distinction entre le responsable du traitement et le sous-traitant, rendant le prestataire de cloud responsable, mais aucun texte n'a été à ce jour publié.

L'émergence du brokering

Face aux immenses difficultés dans la contractualisation du cloud apparaissent des prestataires dédiés à la négociation, les brokers de cloud. Mais ces brokers amènent eux-même une complexité. Olivier de Courcel s'interroge : « le broker n'est-il que le mandataire de ses clients ou est-il maître d'oeuvre assumant la responsabilité de ses propres sous-traitants ? » Certains prestataires de cloud comme Amazon n'accordent d'ailleurs plus aucune garantie dès lors qu'ils ne sont pas en relation avec le client final.
« Ne cliquez pas pour accepter les contrats de cloud sans les lire : vous n'imaginez pas tout ce que cela implique » conclut Olivier de Courcel.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article