Le développement des services de cloud computing, l’informatique dématérialisée, pose notamment la question de la protection des données personnelles. Revue des problématiques juridiques spécifiques à ce service, afin de fournir une grille de lecture et de rédaction des contrats à l’attention de ses futurs  utilisateurs.

Le «Cloud Computing» ou «informatique dématérialisée» est un système de fourniture de ressources informatiques via l’utilisation de la mémoire et des capacités de calcul d’ordinateurs  et de serveurs répartis dans le monde entier et liés par un réseau.  Le « cloud » permet  de se dispenser de la location ou de l’achat de serveurs informatiques, un navigateur web suffisant à accéder aux services informatiques souhaités (logiciel, plate-forme ou infrastructure).  Il concerne des services aussi divers que la messagerie, la comptabilité, les mailings, le management des ventes, les outils CRM... Toutefois, un service fourni à une telle échelle ne va pas sans risques, dans la mesure où il entraîne une perte de contrôle du client sur ses données et applications, lesquelles pourront être amenées à migrer, à un niveau régional, voire international et ce, en l’absence de législation spécifique.

La protection des données personnelles

Les services proposés par le fournisseur d’informatique dématérialisée ou «Cloud Provider» incluent nécessairement le traitement de données personnelles dans un cadre régional, voire international. Il est donc essentiel que le client définisse le régime de protection des données personnelles qui lui sera applicable. Ces données peuvent concerner tant les salariés que les clients, fournisseurs, partenaires ou patients...

. En Europe. La directive 95/46/CE du 24 octobre 1995 est directement applicable à défaut de transposition nationale. En France, la loi Informatique et Libertés (LIL) du 6 janvier 1978, mise en  conformité avec la directive  par la loi du 6 août 2004, encadre le traitement des données personnelles. Selon l’article 3 du texte, le responsable du traitement n’est pas  la personne qui effectue le traitement, mais celle qui en détermine la nature et les «finalités». Dans le cadre du «Cloud Computing», le responsable du traitement est donc le client et l’organe de traitement, le «Cloud Provider». Pèsera sur le responsable du traitement la charge de recueillir le consentement de la personne après l’avoir dûment informée. L’article 5 soumet à la loi française les traitements de données à caractère personnel dont le responsable de traitement est établi sur le territoire français ou dont les moyens de traitement sont situés sur le territoire français, sauf lorsque le traitement consiste uniquement à faire transiter les données. A défaut, le client devra définir si la législation applicable est la législation d’un autre pays européen selon les mêmes conditions, la législation européenne à défaut de transposition dans le pays concerné, ou celle d’un pays tiers. Par conséquent, le responsable du traitement devra procéder dans le respect des principes posés par la législation (équité, légalité, proportionnalité, nécessité du traitement, information des sujets, sécurité des données,) et sous le contrôle de la Cnil (Commission nationale Informatique et libertés). Le client sera seul responsable vis-à-vis des autorités ainsi que du sujet dont les données sont traitées, même en cas d’externalisation(1) au « Cloud Provider ». Suivant les principes posés par la directive, le transfert de ces données dans ou via un pays n’assurant pas un niveau suffisant de protection ne pourra s’effectuer qu’avec l’accord du sujet - obtenu après information exhaustive - ou lorsque d’autres procédures sont en place, qu’elles soient privées (clauses contractuelles standardisées) ou publiques (à l’instar des « Safe Harbour Principles »)  Afin d’éviter la mise en jeu de sa responsabilité, le client devra vérifier que la clause de protection des données personnelles au sein du contrat reprendra l’ensemble de ses propres obligations en la matière à la charge du « Cloud Provider » ou s’assurera de la coopération de ce dernier. Une part importante sera dédiée à la sécurisation des données. Le «Cloud Provider» verra sa responsabilité engagée en cas d’illégalité du contenu, responsabilité partagée avec le client(2), ainsi qu’au niveau de la gestion des infrastructures physiques. Un audit pourra être prévu afin de vérifier la conformité dans la durée des engagements souscrits.

. Hors Europe. La protection des données personnelles dans des pays tiers implique la rédaction de clauses standardisées mettant à la charge du « Cloud Provider » des obligations en matière de protection des données personnelles semblables à celles qu’impose la directive. En toute hypothèse, il est utile de connaître le lieu d’implantation des serveurs et de prévoir, notamment pour les sauvegardes, une procédure d’anonymisation des données.

Confidentialité 

Les informations confiées au « Cloud Provider » peuvent nécessiter un secret absolu, d’où l’importance d’une clause ou d’un accord de confidentialité ainsi que du niveau d’engagement attendu, les personnes concernées et sa durée. Il est important qu’elle s’applique aux salariés et aux propres sous-traitants du prestataire.

Propriété intellectuelle

Les parties doivent  déterminer au sein du contrat quels sont leurs droits respectifs sur les objets qu’elles apportent ou entendent réaliser ainsi que leurs possibilités respectives d’utilisation de ces objets (possibilité de concéder une licence à un tiers ou pas par exemple, allocation d’une redevance à l’autre partie, etc.).

Faute professionnelle 

En cas de défaillance du service externalisé, plusieurs responsabilités sont susceptibles d’être engagées : responsabilité du fournisseur de service vis-à-vis de son client, du client vis-à-vis de ses propres clients, du client vis-à-vis de ses salariés. Lors de la conclusion du contrat, il convient donc d’établir toutes les responsabilités pouvant être soulevées en relation avec le service fourni et effectuer un partage de ces responsabilités  au sein de la clause limitative de responsabilité ou clause responsabilité. La question de la réparation (et de son assurance) doit être abordée, elle nécessite de définir les fonctions stratégiques de l’entreprise cliente et les impacts possibles d’une défaillance sur son activité.

Intuitu personae 

Que le contrat soit négocié ou non par le client, ce dernier contracte avec le «Cloud Provider» pour partie du fait de sa réputation. En ce sens, le contrat conclu est un contrat intuitu personae. Par conséquent, cette relation de confiance sera mise en danger en cas de rachat du prestataire par un tiers, ou l’arrivée d’un nouvel actionnaire ou en cas de recours du prestataire à un sous-traitant. Si le client souhaite prévenir ces éventualités, il devra en fixer les termes dans le contrat. En l’absence de législation harmonisée et mondialement partagée, il est nécessaire que le client prête une extrême attention aux documents contractuels auxquels il adhèrera ou qu’il négociera, l’outil contractuel étant son principal atout pour se protéger, de « l’envol de ses données dans le nuage ». Ces contrats renverront fréquemment à des Service Level Agreement (SLA) spécifiques par objectif (sécurité, anonymisation des données hébergées, sauvegarde etc).

Blandine POIDEVIN et Audrey ARBUSA