Les enjeux juridiques du Cloud Computing

Le “cloud computing” désigne un nouveau mode de distribution mutualisée d’infrastructures informatiques ou d’applications logicielles permettant au client d’utiliser une puissance de calcul informatique, des logiciels standards ou métier et de stocker ses données, d’y accéder à la demande et de payer en fonction de son utilisation, tout en bénéficiant d’une ressource informatique fonction de ses besoins.

Rares sont les éditeurs de solutions à ne pas avoir migré vers ce modèle ou à ne pas l’envisager. Côté client, en période de grande vigilance sur les dépenses, le modèle séduit par la flexibilité qu’il promet en termes de gestion des coûts et par le fait que l’éditeur-prestataire prend à sa charge l’ensemble des problématiques liées à la maintenance et à la mise en oeuvre des montées de version des applicatifs mis en ligne à la disposition des clients. Pourtant, le passage vers ce modèle n’est pas sans susciter quelques interrogations.

Sur le plan juridique, en premier lieu, le recours à une solution de cloud computing proposée par un tiers nécessite la conclusion d’un contrat, lequel, sur un plan formel, peut être signé en ligne ou hors ligne.

Une solution “véritablement cloud” ne devrait sans doute pas donner lieu à la conclusion d’un contrat autrement qu’en ligne. Mais, le marketing étant ce qu’il est, les prestataires informatiques ont resque tous une solution cloud qui, dans les faits, n’en présente pas toutes les caractéristiques. Au point que les éditeurs de solutions logicielles ont rebaptisé en “cloud privé” ce que le marché connaît depuis très longtemps comme de l’hébergement dédié. La caractéristique qui fait ici défaut étant celle de la mutualisation et, partant de la méconnaissance du lieu de stockage des données ainsi hébergées.

Quel que soit le mode de conclusion du contrat proposé et, toujours sur le plan formel, le fait de pouvoir proposer un contrat d’adhésion, c’est-à-dire qui ne se négocie pas, séduit en général le prestataire qui y voit un gain de temps dans son processus de commercialisation et une réduction de son risque juridique. Le client demandant une offre “sur étagère”, le contrat sera à prendre ou à laisser. Evidemment, un tel mode de fonctionnement n’est pas sans risque pour le client. Mais celui-ci pourra plus facilement négocier le contrat qu’il ne se trouvera pas en situation de “véritable cloud”, qu’il sera le premier client d’importance du prestataire ou qu’il aura un poids économique plus important que celui-ci.

Sans prétendre être exhaustif, sur le fond, un premier enjeu, souvent négligé à tort, concerne encore et toujours les aspects relatifs aux droits d’utilisation en ligne d’un logiciel. Contrairement au modèle traditionnel de distribution des applications logicielles, celui du cloud computing ne permet pas au client de détenir une copie du logiciel. De ce point de vue, le cloud computing est d’ailleurs la réponse la plus adaptée qu’ont trouvé certains éditeurs à la jurisprudence de juillet 2012 de la Cour de Justice de l’Union Européenne permettant la “revente d’occasion” de logiciels précédemment téléchargés en ligne, étant précisé que cette revente était déjà permise pour les seuls logiciels commercialisés sur des supports physiques.

Or, il n’est pas rare actuellement, hélas, d’être confronté à la faillite d’un fournisseur. Même si la question de la récupération des données hébergées par le prestataire ne se pose pas (du fait d’une duplication par le client par exemple), le seul fait pour le client d’être privé, potentiellement du jour au lendemain, d’une application peut-être accessoire, mais peut-être aussi (devenue) critique pour son entreprise, est une question à prendre en considération sérieusement. Car, dans l’hypothèse d’une distribution classique (sur support physique ou par téléchargement), le client n’est pas privé du droit d’utiliser le logiciel. Il en dispose toujours. Au mieux, il aura même négocié une clause dite d’”entiercement” lui permettant d’accéder au code source du logiciel auprès d’un tiers (APP, LOGITAS…). En conséquence, même dans l’hypothèse où le client disposerait d’une copie de ses données, il doit se demander si le recours à une solution cloud computing lui permet de les réexploiter, rapidement de préférence, dans le contexte d’une autre solution aisément disponible sur le marché sans encourir de trop graves pertes d’exploitation. En effet, les clauses d’entiercement sont quasi systématiquement absentes des contrats de cloud computing.

Second enjeu qui, d’ailleurs, selon les études, freine le développement des solutions cloud computing : la sécurité. Pourtant, il n’est pas douteux que, pour nombre d’entreprises, le fait de recourir à un prestataire tiers produise une réelle plus-value en matière de sécurité informatique. Là où une PME sérieuse pourra déployer des efforts raisonnables, un prestataire spécialiste de cloud computing aura mis en oeuvre des moyens sans commune mesure. Cependant le doute demeure. Mais quels sont les risques ?

Premier risque : l’accès par des tiers mal intentionnés, soit qui prennent connaissance, copient voire divulguent des données, soit – pire – qui les corrompent en y introduisant des données fausses, en modifiant ou supprimant les données existantes. Il s’agira de la commission d’un délit potentiellement réprimé par 5 ans d’emprisonnement outre une peine d’amende. Mais comment le prouver si les éléments de preuve se trouvent chez le prestataire ? Il va de soi qu’aux clauses, voire aux annexes de sécurité, il convient d’ajouter des clauses de confidentialité… et d’audit. A défaut, seule une expertise judiciaire pourrait permettre au client de faire examiner les serveurs du prestataire pour établir la commission de ces faits délictueux. Opération, souvent coûteuse si elle est effectuée dans un contexte civil et non pénal, qui, sans être forcément très longue, se révèlera d’une portée sans doute inversement proportionnelle à l’éloignement du prestataire par rapport aux juridictions françaises.

Pour se prémunir dans ce type de litige, les prestataires stipulent des règles d’attribution des droits d’accès et une “convention sur la preuve” qui prévoit que seuls les enregistrements sur leurs serveurs ont valeur probante à l’exclusion de tout autre moyen de preuve. En conclusion, en cas de litige entre les parties, il conviendra d’examiner les fichiers de logs par exemple pour déterminer qui s’est connecté, quand et pour effectuer quelles opérations. Mais il faut savoir que, si la clause est systématique, les règles de l’art ne sont pas toujours correctement respectées.

Deuxième risque : l’accès par une puissance gouvernementale et, pour citer directement le sujet, la question du “patriot act”. En résumé, par cette loi, le fait de faire héberger ses données par une société située aux USA implique que le gouvernement américain peut demander à l’hébergeur la communication de ces données sans que le client en soit informé sauf si l’hébergeur américain, par ailleurs totalement déchargé par la loi d’une quelconque responsabilité, sollicite à ses frais, soit de ne pas déférer à une telle requête, soit de pouvoir a minima en informer son client. Autrement dit, aucune chance pour qu’il le fasse… En cette période de révélations fracassantes d’écoutes illicites par la NSA du monde entier, cette donnée légale a de quoi inquiéter. En réalité, il n’en irait pas autrement en France où une réglementation similaire existe. Ce qui peut en réalité “choquer”, c’est qu’une telle réglementation s’applique également à des hébergeurs non situés aux USA, mais à capitaux américains. Si s’offusquer revient à faire semblant de découvrir que les USA légifèrent pour le monde entier, il est possible de négocier, par exemple, un contrat dans lequel le prestataire déclare ne pas être soumis à cette loi et, notamment, ne pas être détenu par des capitaux américains. Clause complétée par la faculté pour le client de résilier le contrat de manière anticipée en cas de soumission de l’hébergeur au patriot act pendant l’exécution du contrat.

Si le patriot act pose question, il convient d’examiner au cas par cas de nombreux critères. Citons notamment la criticité de l’application et le métier du client (selon que l’on vend des satellites ou des cuisines, la concurrence n’est peut-être pas aussi prête à tout dans un cas que dans l’autre).

Enfin, il ne faut jamais oublier de regarder la poutre que l’on a soi-même dans l’oeil. Or, la Cour d’appel de Paris dans un arrêt Google du 31 août 2012 a permis à l’Administration fiscale française, non pas seulement d’aller saisir des données chez des tiers hébergeurs, mais des données de tiers hébergées à l’étranger, au seul prétexte que le contribuable français saisi y a lui-même accès depuis le sol français, et ce sans que les tiers en cause soient préalablement informés de cette saisie qui se réalise ainsi à leur insu.

Troisième enjeu : la disponibilité du service.

Pendant le contrat, une convention de niveau de service (Service Level Agreement – SLA) déterminera les conditions et modalités selon lesquelles le client pourra accéder à la plate-forme (plages horaires d’indisponibilité du service, etc.). Il faut que le client se protège des désastres pouvant affecter tout prestataire, aussi diligent soit-il, en exigeant de celui-ci qu’il prenne des obligations en matière de sauvegarde des données et de plan de reprise ou de continuation d’activité.

Enfin, en cette matière, il convient particulièrement de prendre garde au fait que la preuve d’un manquement du prestataire à ses engagements ne soit pas à la charge du client. Dans ce dernier cas, même si le prestataire a prévu des pénalités dans ses conditions générales par exemple, elles seront presque toujours d’application théorique.

Au terme du contrat, il convient de prévoir la restitution des données… sous un format qui soit exploitable. En pratique, la remise de fichiers à plat est le plus fréquemment prévue lorsqu’il n’est pas stipulé qu’il appartient au client de faire lui-même la copie de ses données, ce dont le client doit se méfier… tout comme du coût parfois associé aux prestations de fin de contrat.

Maître Frédéric Guénin, est avocat au sein du département Propriété intellectuelle & Technologies de l’information du Cabinet Hoche Société d’avocats.

Article publié pour la première fois dans la revue "MSIT Network", n°3, novembre 2013