– Comment s’assurer que le droit applicable est bien le droit français ?
Les parties ont la faculté de désigner contractuellement le droit français pour régir le contrat.
Cependant, cette précaution – indispensable – n’en est pas moins insuffisante.
En effet, le principe même du « Cloud Computing » ou « informatique en nuage » induit le recours à des tiers, fournisseurs de services informatiques à distance. On n’est plus dans l’externalisation contrôlée vers des data centers permettant de choisir la localisation (France) et de procéder à des audits et contrôles. Au contraire, dans le « Cloud Computing », les données sont hébergées dans des data centers inconnus du client, le plus souvent délocalisés hors de France ou de l’Europe, dans des pays dont les mécanismes de protection juridique des données conservées électroniquement sont moindres ou moins efficaces que ceux prescrits dans l’Union européenne.
Il faut savoir que les fournisseurs d’informatique, dans la chaîne constituée, peuvent être soumis à des règles locales apportant des garanties ou des contraintes différentes de celles qui sont habituellement reconnues par la France. Certains prestataires peuvent donc être assujettis à des législations étrangères qui imposent des obligations de divulgation des données sur demande des autorités nationales. L’exemple le plus connu est le « US Patriot Act » qui permet au FBI d’obtenir la communication d’informations dans le cadre d’enquêtes en matière de terrorisme ou d’espionnage international.
Dans ce contexte, la première mesure protectrice consiste à s’assurer que les données sont bien stockées dans un pays de l’Union européenne. A défaut, il faut vérifier que le fournisseur a pris les mesures nécessaires pour garantir une protection équivalente.
Dans tous les cas, il conviendra de vérifier les règles locales du pays d’hébergement des données par rapport aux règlementations spécifiques du pays d’origine qui ont vocation à s’appliquer à certaines catégories de données (santé, banque…).
– Comment s’assurer de l’engagement du prestataire ? (rédaction des conditions générales de vente ?)
Le terme général de Cloud Computing ou « informatique en nuage » désigne une infrastructure informatique dans laquelle les données et les logiciels sont conservés et traités à distance dans le centre de données du fournisseur d’informatique en nuage ou dans des centres interconnectés, accessibles en tant que service par le biais d’internet, et cela dans une approche standardisée.
Il convient en premier lieu de vérifier la nature des services concernés, en distinguant les différentes solutions (contrat de dépôt de données hébergées dans un coffre-fort virtuel sécurisé; SaaS permettant au prestataire d’exploiter les données de l’utilisateur avec ses propres applications; PaaS, une solution intermédiaire entre le stockage et l’hébergement à distance…).
Tous ces services nécessitent le transfert ou la duplication des données de l’utilisateur directement chez le prestataire.
Le plus souvent, l’utilisateur doit signer un contrat d’adhésion. Par conséquent, il faudra le plus souvent adapter les conditions générales et relever le niveau des engagements du prestataire pour tenir compte du type de service recherché.
En d’autres termes, les conditions générales ne sont pas suffisantes et un travail d’analyse des risques est indispensable pour prendre en compte les particularités. Pour exemple, s’il s’agit de réduire les coûts – l’informatique en nuage permet de réduire les dépenses relatives à l’achat de serveurs et de logiciels ou, en facilitant le télétravail, des économies de loyer et de frais de déplacement. – il faut s’assurer de la flexibilité effective puisque les besoins de l’entreprise peuvent évoluer ou les coûts se réduire encore.
– Quels problèmes de droit posent les différentes formes de Cloud (public, privé, hybride ?)
Le Cloud « privé » offre à l’entreprise l’accès à une infrastructure de Cloud Computing qui lui est dédiée.
Le Cloud « public » lui permet d’accéder à des services qui sont mutualisés avec d’autres entreprises.
Le Cloud « hybride » permet à un groupe de sociétés de bénéficier d’une plate-forme commune qui n’est pas accessible aux sociétés qui ne font pas partie du groupe.
Le niveau de confidentialité, la hiérarchisation des accès et la sécurité souhaités ou imposés par les textes déterminent le plus souvent le choix du Cloud. Mais il convient également de vérifier la validité du modèle économique imposé par le fournisseur de Cloud avec, notamment, les engagements de durée, les préavis et conditions de résiliation, la lisibilité de la tarification, la souplesse des engagements, etc. – tous aspects qui, dans le B-to-B, dépendent quasi exclusivement des seuls termes contractuels.
