Cloud Computing : des contrats à piège ?
Si la notion de Cloud Computing reste très large, embrassant des types de services aussi différents que le SaaS, le PaaS et le IaaS, les contrats qui en définissent les contours présentent des points communs bien spécifiques, avec des clauses d’autant moins engageantes qu’elles sont nombreuses… Selon les définitions communément admises, les services de Cloud Computing se caractérisent par la fourniture de fonctionnalités ou de ressources informatiques à distance, via les réseaux et en particulier l’internet, à la demande, avec une facturation en fonction de l’usage, et à partir d’un stockage mutualisé, le plus souvent virtualisé. La flexibilité des services, leur rapidité de mise en œuvre et la réduction de coût qu’ils permettent par rapport à l’informatique interne figurent au premier rang des avantages qu’on leur attribue. Pourtant, les clauses des fournisseurs ne suivent pas. S’agit-il d’une question de marketing ou bien l’épais nuage informatique cache-t-il des pièges contractuels ?
Des engagements flous et variables
Que des prestations vendues comme standards s’accompagnent de contrats standards n’est pas pour surprendre. La flexibilité et la rapidité attendues par les clients excluent par nature la négociation : les contrats pour les services de Cloud les plus courants sont des contrats d’adhésion, soumis à l’accord du client par un simple clic en ligne. Bien qu’elle concerne moins les services de Cloud privé, plus proches d’une infogérance classique, cette caractéristique semble inhérente aux contrats de Cloud public.
Pourtant, dans la famille des contrats d’adhésion, de nombreux contrats de Cloud hésitent à définir leur objet : ils se référent à des « Services » que l’on trouvera décrits dans un document externe, accessible dans le meilleur des cas par un lien hypertexte. Et cette description souvent imprécise des services pourra varier au gré du prestataire. Ainsi, un contrat mentionne « la forte évolutivité des technologies dans le secteur du Cloud Computing » pour réserver au fournisseur le droit de « mettre à jour » son catalogue de services, y compris en cours de fourniture aux clients. Un autre précise que des modifications substantielles des services pourront prendre effet de manière immédiate, et que seuls seront tenus informés de ces modifications les clients qui auront au préalable demandé à l’être.
Dans un monde qui attend de la règle de droit qu’elle apporte la sécurité des engagements, l’engagement dont l’objet est indéterminé est nul, de même que l’engagement dont la réalisation est au pouvoir de celui qui le prend, c’est-à-dire l’engagement potestatif. Et le juge contrôle que le client a pu s’engager en connaissance des clauses, même si celles-ci se trouvent déportées dans des documents hors du contrat. Or de nombreux contrats de Cloud semblent oublier ces règles de base….
Des performances, mais sans garantie
Le même flou recouvre les performances et les niveaux de service associés aux services de Cloud. Ainsi, un fournisseur pure player annonce un service disponible 24h/24h, 7jours/7, mais ne s’engage qu’à faire des efforts « commercialement raisonnables » pour le fournir – un engagement qui est tout, sauf de résultat. L’un des premiers fournisseurs du marché n’admet manquer à son obligation de disponibilité du service que lorsque la totalité du service est inaccessible en totalité – on ne fait pas dans la demi-mesure. De manière créative, un autre fournisseur accorde à ses clients des jours de service en sus pour compenser un éventuel manquement à ses niveaux de service : le service n’est pas au niveau mais le client pourra en profiter plus longtemps… La palme du niveau d’engagement devrait néanmoins revenir à ce fournisseur qui se déclare non-responsable pour tous dommages directs ou indirects, autrement dit qui refuse absolument toute responsabilité, y compris pour toute perte de données. Mais ce serait oublier ce client en fin de contrat qui dut mener une action en référé pour sécuriser le délai nécessaire au transfert de sa base de données Oracle On Demand, en l’absence d’engagement contractuel du fournisseur (Trib. gr. inst. Nanterre, ord. 30 nov. 2012, UMP c. Oracle, www.legalis.net 2 juil. 2013).
Certes, les fournisseurs de services Cloud sont dépendants des performances des réseaux, sur lesquelles ils n’ont pour la plupart aucune maîtrise, en particulier s’agissant du réseau internet qui est public. En matière de performances il paraît donc a priori difficile au fournisseur de Cloud de garantir un temps d’accès ou un débit rendu chez le Client.
Pourtant, la jurisprudence considère qu’un fournisseur d’accès internet a pour obligation essentielle la fourniture de cet accès, qu’il s’agit d’une obligation de résultat et qu’il ne peut s’exonérer totalement de responsabilité à cet égard. Les mêmes règles pourraient s’étendre aux fournisseurs de Cloud privé ou hybride, au moins dans la mesure où ils contractent eux-mêmes avec des FAI ou des opérateurs pour utiliser les réseaux télécoms sous-jacents.
La Commission européenne à la manœuvre pour rétablir l’équilibre contractuel
Depuis 2012 la Commission européenne a identifié le manque de niveaux de services (SLA) et de garantie de performances comme un frein au développement du nuage informatique. Avec l’aide de quelques acteurs importants du marché, rassemblés dans un Cloud Select Industry Group, elle s’est efforcée de proposer des lignes directrices pour normaliser la terminologie en matière de SLA et définir des niveaux de services complémentaires ou plus précis que les SLA habituels. Publié en juin 2014, son document propose par exemple que la disponibilité puisse être mesurée en nombre de requêtes satisfaites et pas seulement en durée, ou encore que les conditions de réversibilité précisent la durée de rétention des données ainsi que le degré d’effacement des données sur les plateformes du fournisseur. Ces propositions viennent appuyer les efforts menés par la Commission pour l’élaboration de normes internationales en matière de Cloud Computing, notamment les normes ISO/IEC 19086.
Cependant le chantier européen qui aura le plus d’impact sur le rééquilibrage des contrats de Cloud Computing est sans doute le projet de règlement sur la protection des données à caractère personnel, attendu maintenant pour la fin 2015. Dans le cadre de ce texte le fournisseur de Cloud Computing, aujourd’hui considéré comme un sous-traitant intervenant pour le compte de son client et tenu de suivre les instructions de celui-ci, sera réputé être responsable du traitement des données personnelles, au même titre que son client, dès lors qu’il en fixe lui-même les modalités de manière indépendante ou que son traitement de données poursuit des finalités distinctes de celui du client. Ainsi, un fournisseur de messagerie en SaaS qui profilerait ses utilisateurs à partir de leurs correspondances afin de leur diffuser des publicités « sur mesure » sera directement responsable à leur égard de son utilisation de leurs données, en parallèle du client qui l’aurait retenu pour fournir le service de messagerie à ses employés. En définitive il s’agit bien de reconnaître que, pour être standardisés et substituables, les services du nuage informatique sont définis par les fournisseurs seuls et qu’il revient à ces derniers, par conséquent, d’en assumer les responsabilités sans s’abriter derrière des clauses potentiellement nébuleuses.
Olivier de Courcel
Avocat associé, Féral-Schuhl / Sainte-Marie
Pour lire l’article sur CIO Online.
