Le Cloud Computing et la protection des données sensibles
novembre 1, 2021
Régulation
La compétitivité économique déchaînée par la globalisation des échanges incite les entreprises à tirer profit des multiples possibilités offertes par l’informatique et en général les nouvelles technologies de l’information et de la communication dont l’usage véhiculé à travers le réseau internet. Parmi les multiples évolutions de l’informatique, les modèles d’organisation et d’exploitation des technologies le Cloud Computing. L’épanouissement du cloud computing a bénéficié de la convergence de plusieurs phénomènes dont, l’extension considérable et la multiplication de la puissance des équipements informatique et par conséquent l’obsolescence rapide de l’équipement dépassé, la numérisation, l’enchaînement d’invention de procédés de calcul, logiciels et la transformation du mode d’usage ou de consommation des entreprises et des particuliers d’où l’agilité d’organisation devient une nécessité dans un marché globalisé. Le cloud computing[1] ou « l’informatique dans les nuages»[2] se caractérise par la mise à disposition, des entreprises et des particuliers en libre-service à l’échelle mondiale, des moyens et ressources pour satisfaire suivant les besoins d’organisations de fonctionnement et de stockage. L’intérêt du Cloud Computing réside dans la mise à disposition d’équipements, la fourniture de fonctionnalités ou de ressources informatiques à distance, via l’internet ou de réseaux privé, et le paiement en fonction de l’utilisation. Plusieurs définitions ont été avancées pour décrire le cloud computing mais d’une façon générale « L’informatique dans les nuages est un modèle permettant d’établir un accès par le réseau à un réservoir partagé de ressources informatiques standard configurables (réseau, serveurs, stockage, applications ) et de services qui peuvent être rapidement mobilisées et mises à disposition en minimisant les efforts de gestion ou les contacts avec le fournisseur de service »[3],L’aspect technique du cloud computing a été développé dans plusieurs publications au Maroc[4] et ailleurs il convient de rappeler brièvement que le cloud computing est constitué de différentes composantes ou catégories de services dont il est indifféremment l’une, les deux ou les trois combinées:
IaaS : infrastructure as a service, (serveurs virtuels, réseaux…) plateforme de système.
PaaS : platform as a service (cloud d’exécution, applications)
SaaS : software as a service (logiciel en tant que service).
Le mode de déploiement du cloud computing peut se présenter sous différentes configurations qui se réduisent à deux principaux[5]
Le cloud public : Services géré par un prestataire propriétaire des infrastructures et ressources partagés auxquels toute personne peut accéder à l’aide d’une connexion internet et d’une carte de paiement. Le cloud privé : plate-forme qui vise à fournir, les services et ressources tout en bénéficiant des avantages des services de gestion par un tiers. Il peut être accessible par Internet ou par un réseau privé. Ce type de cloud est plus sûr en termes de sécurité et de confidentialité.
Le cloud est en quelque sorte l’évolution des services d’outsourcing informatique que nombre d’entreprises utilisent « facilities management » ou depuis peu la fourniture de service d’application informatique « Application Service Provider» (ASP) ,dans les deux cas il ya externalisation mais le Cloud Computin prend des dimensions plus importantes.
Les services Cloud computing dérivent du model d’outsourcing. Sauf que dans le cas du Cloud, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du fournisseur. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même l’infrastructure informatique nécessaire, des licences d’utilisation de progiciels etc.
Le cloud computing présente de multiples avantages la souplesse et adaptabilité des services, leur rapidité de mise en œuvre et la réduction de coût qu’ils permettent par rapport à l’informatique interne constituent les avantages les plus cités.
Le cloud computing peut permettre également à son gérant de réaliser des économies, grâce à la mutualisation des services sur un grand nombre de clients et d’effectuer des prix adaptés ainsi, le coût est fonction de la durée de l’utilisation du service. De même que le caractère souple «élastique» du cloud permet des services évolutifs dont l’ampitude varie suivant les besoins et tolérer des montées en charge.
Par ailleurs l’abonnement aux services de cloud computing peut permettre à l’entreprise de ne plus avoir à acquérir des équipements informatiques comptabilisés dans le bilan sous forme dépenses d’investissement et nécessitant une durée d’amortissement. Les frais d’abonnement peuvent être comptabilisés en tant que dépenses de fonctionnement.
Enfin une meilleure maîtrise des coûts car la maintenance, la sécurisation et les mises à jour des services étant intégrée au modèle locatif et incluses dans l’abonnement donc à la charge exclusive du prestataire, celles-ci ont tendance à être mieux réalisées et plus rapidement que lorsque sous la responsabilité du client.
Dans l’ensemble le «cloud computing», offre des perspectives très intéressantes pour les entreprises utilisatrices d’importantes ressources informatiques notamment les finances (banque et bourse) les organismes publics et les laboratoires de recherches dont le besoin de calcul est important dans un laps de temps réduit.
Tout cela permet de profiter pleinement de l’utilité de la donnée en la rendant accessible partout et à tous, sans limitation de moyen et de stockage et ceci à moindre frais. De ce fait l’importance de la donnée s’accroît et représente un véritable gisement de valeur pour les entreprises.
Face à ces avantages les risques liés à l’usage du cloud computing sont diverses :
· Les utilisateurs le cloud public, courent des risques, dans la mesure où la connexion entre les postes et les serveurs passe par le réseau internet non sécurisé, et les exposes à la possibilité de cyber attaques, et de violation de confidentialité.
· Le client d’un service de cloud computing devient très dépendant de la qualité du réseau pour accéder à ce service.
· le défaut de localisation précise du cloud fait qu’une fois les données externalisées vers le cloud les entreprises n’ont plus la maîtrise sur leurs données. Puisqu’ils ne savent pas où est situé le cloud qui les héberges
· les modes de facturation proposés sont parfois « flou », et dépendent de plusieurs paramètres : volumétrie, le coût de production ou de mise à disposition, et enfin le tarif locatif du service.
La conciliation entre les avantages qu’offre le cloud computing et les inconvénients qu’il représente réside dans la relation formée entre le client et le prestataire l’équilibre contractuel entre les deux.
De point de vue économique, le cloud computing se présente comme une offre commerciale de location dématérialisé de machines, ou d’abonnement à des applications et données suivant les besoins et à la demande (as a service). Pour les entreprises utilisatrices le Cloud Computing peut se présenter aussi comme un moyen leur permettant de disposer d’applications, de puissance de calcul, de moyens de stockage sans investissement important.
Si les considérations d’ordre économique sont importantes pour les entreprises comme pour les particuliers les aspects juridiques sont encore plus importants car ils établissent les règles de conduites de chaque partie et s’ils ne sont pas pris en compte les gains économiques attendus seront anéantis.
Les considérations juridiques sont de deux ordres :
– celles qui sont d’ordre légal et qui visent à protéger les intérêts fondamentaux de tous instaurant une situation d’équilibre entre les parties et,
– celles qui sont d’ordre contractuel qui déterminent les engagements pris par chacun et les obligations qui en résultent.
La particularité du service cloud computing est de se déployer dans un espace sans frontière ce qui met en relation des clients et des fournisseurs de différents pays du monde. D’où la question du droit applicable.
Jusqu’à présent il n’y a pas de convention internationale prévoyant des résolutions sur les services cloud computing pouvant constituer une base de droit international. La plupart des fournisseurs de services Cloud Computing relèvent du droit Américain[6] ce qui fait prévaloir les lois des Etats Unis[7],.
En principe lorsque le fournisseur de service cloud est installé ou représenté dans un pays c’est la législation du pays hôte qui s’applique. A cet effet il convient de préciser que le Conseil de l’Europe par sa directive 95/46/CE prévoit que les données traitées sur le territoire de l’Union Européenne ne peuvent être transférées qu’entre pays européens ou vers les pays dont la législation est reconnue par l’Europe comme « assurant un niveau de protection adéquat ».
Au Maroc les exigences pour le transfert à l’étranger de fichiers contenant des données à caractère personnel sont similaires ainsi la loi n°09-08 dispose : « Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat étranger que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet [8]». Pour sa part la commission nationale établit la liste des Etats répondant au critère de protection suffisante.
Il y a lieu de préciser que le Maroc a procédé à la mise en adéquation de sa législation avec la directive précitée de la Commission Européenne, de même que la procédure d’adhésion du Maroc à la Convention 108 et son protocole additionnel a été entamée.
Il en résulte pour les entreprises Marocaines qui désirent transférer leurs données informatiques[9] vers un cloud ils doivent observer les dispositions de la loi n°09-08 et les indications de la CNDP.
Dans les opérations qui mettent en relation un fournisseur de service et le client (entreprise ou particulier) dont le Cloud Computin, les rapports juridiques sont régis par un contrat (négocié, ou d’adhésion) lequel contrat relève d’un système législatif et réglementaire prévalent dans le pays où est installé le fournisseur, car c’est lui qui établi le contrat[10].
L’aspect contractuel du cloud
Selon le mode de déploiement des services cloud public ou privé les risques et la situation juridique diffèrent.
1- En cloud public : le rapport juridique est régit par un contrat «standard» établi et arrêté par le fournisseur (propriétaire du cloud) le client ne peut qu’adhérer[11] au contrat en cochant une case et se retrouver lié[12] par les mesures qui y sont contenues sans pouvoir ni ajouter ou soustraire une clause ou la discuter.
En principe même en s’engageant par contrat vis à vis d’un fournisseur de service si on n’est pas un professionnel on est protégé par la loi contre tout abus du fournisseur. Cependant, en raison de la nouveauté et la technicité des opérations du cloud computing, il n’existe pas encore de loi mettant à la charge fournisseurs de cloud des mesures les obligeant à améliorer leurs prestations et les responsabilisant sur les risques encourus par les données sensibles pendant leur hébergement dans le cloud.
Malgré l’absence de loi spécifique le juge saisi d’une affaire mettant en cause le service du cloud peu faire valoir le droit commun sur la protection du consommateur
Toutefois lorsque le client et le fournisseur du service cloud ne résident pas dans le même pays le problème se pose de la détermination de la juridiction compétente et le droit applicable. En pratique dans toutes les offres de cloud public le fournisseur prévoit dans les conditions de service, qu’en cas de litige la compétence de la juridiction de son pays.
Dans le cas où le fournisseur du service cloud est présent[13] ou représenté au Maroc la loi protège la partie la plus faible contre les éventuels abus du fournisseur. Cette protection réside d’une part dans les mesures prévues par le droit des contrats[14] dans la mesure où les conditions et procédures d’un engagement libre et éclairé soit respectées, de même que les dispositions du code civil sur le louage d’ouvrages et louage de services[15] d’autre part dans la loi sur la protection du consommateur[16] qui protège le client contre les clauses abusives qui peuvent être insérés dans le contrat[17].
2- Cloud Privé : destiné aux organismes spécialisés et aux entreprises grands comptes, le cloud privé offre des services adaptés aux besoins et à l’architecture définis par le client. Dans ce cas les ressources et services offerts sont élaborés sur mesure et par voie de conséquence le contrat devrait être établi comme il convient pour prévenir les risques et éviter les inconvénients qui peuvent résulter du service offert.
L’externalisation des données du client vers le prestataire est une mesure inhérente à l’opération cloud computing mais constitue en elle-même un risque pour les données.
les contrats portant sur les services cloud sont jugés par les entreprises comme étant complexes et trop en faveur des prestataires.
L’ accord avec les fournisseurs de service et ressources cloud nécessite de la part du client une analyse approfondie des risques que représente le nouveau model, et exige des compétences techniques pointues et une maitrise juridique permettant de neutraliser les inconvénients sus mentionnées
Ce genre de contrat relève de la catégorie de contrats de louage d’ouvrage régis par le code civil dans les articles 723 à 745 quater et 759 à 780[18]. C’est l’un des multiples contrats innomés sur lesquels la réglementation reste peu développée[19], laissant ainsi une large place à la volonté des parties pour fixer leurs obligations mutuelles.
Le contrat de cloud computing comporte des clauses communes à tous les contrats de services et des clauses qui sont spécifiques aux contrats inspirée du droit Anglo Saxon. Nous allons mentionner succinctement quelques clauses relatives aux contrats de services et préciser les caractéristiques des clauses particulières aux contrats de cloud computing.
A-Forme du contrat :
Contrat sous forme électronique :
Le contrat pour le service de cloud computing est presque toujours conclut sous forme électronique dans la mesure où il lie des parties éloignées et porte sur les services sous forme virtuelle. Au Maroc la loi relative à l’échange électronique des données juridiques[20] a complété le code civil[21]. A cet effet il convient de préciser que la loi 53-05 précitée a complété le code civil en ce qui concerne la validité de la forme électronique pour la formation du contrat, des conditions de conclusion de contrat sous forme électronique ou transmis par voie électronique, les modalités de la preuve littérale de l’écrit sur support électronique et de la sécurisation de la signature électronique et de la certification électronique.
Convention cadre et contrat global.
Il s’agit souvent d’un ensemble de documents qui constituent un tout (conditions générales, conditions particulières, accord sur le niveau de service…). Dans la plupart des cas le service fourni s’effectue par étape ou évolutif, les parties concluent une convention cadre qui comporte une feuille de route de leur rapport de travail, par la suite le service du prestataire s’opère sur la base de contrats d’exécution « work orders » adressés par le client au prestataire et décrivant les opérations à effectuer. Cette méthode d’organisation permet à l’entrepreneur client de suivre l’exécution du service et l’évolution des données externalisées, conformément aux conditions et procédures convenues avec le prestataire, et éventuellement d’opérer des modifications, le cas échéant, dans la réalisation du service ou l’octroi de ressources.
B- élection du domicile le droit et juridiction applicable
Il s’agit de la détermination de la législation et la réglementation à la lumière desquelles seront examiné et interprété les clauses du contrat. En matière de prestation de cloud computing souvent les parties font élection du domicile dans des pays de juridictions différentes. Comme ce genre de contrat est négocié il serait utile d’y insérer une clause précisant le droit applicable aux dispositions dudit contrat. En cas d’absence de stipulation dans le contrat sur la loi applicable, et si en cas de problème, les parties ne s’entendent pas sur le droit applicable, c’est le droit international privé qui s’applique[22].
Il est de pratique courante que le prestataire soumette par contrat les litiges au droit de son pays et à sa juridiction nationale. Dans ce cas le client devra alors passer par des rouages complexes (comme des frais de procédure et d’avocat plus élevés, l’emploi de la langue anglaise et une loi étrangère appliquée au contrat). C’est aussi permettre l’accès à ses données à une autorité étrangère, en particulier sur un marché dominé par les acteurs américains.
C- Rédaction du contrat du service cloud computing
La langue du contrat.
La langue dans laquelle est rédigé le contrat est importante pour l’appréciation et l’interprétation des clauses du contrat, dans les contrats de service d’hébergement cloud c’est toujours la langue anglaise qui est employée parce que la nomenclature technique est en anglais de même que le langage de l’usage en informatique est l’anglais ;
Détermination de l’objet du contrat
Le service, ou les ressources sollicités doivent être clairement défini. Il est important pour le client de déterminer avec précision les tâches que doit assumer le prestataire et la mise à jour des éventuelles évolutions,
La mission à accomplir peut-être déterminée et arrêtée dans le contrat initial ; comme elle peut être précisée par des demandes et instructions ponctuelles et successives du maitre d’ouvrage. Enfin elle peut être définie puis affectée par d’éventuelles modifications ultérieures. Souvent le contrat du service cloud comporte des clauses spécifiques qui stipulent des arrangements et mesures d’entente.
La pratique contractuelle Anglo-saxonne, très répandue en matière de cloud suggère un ensemble de clauses qui régissent les relations entre, d’une part, l’entrepreneur client et d’autre part, le prestataire ou fournisseur du service. Ces clauses sont la formulation des obligations qu’assume chacune des parties.
Transfert de données
Les services du cloud supposent le plus souvent un transfert des données de l’entreprise vers les serveurs du prestataire de cloud(ou ses sous-traitants) de ce fait l’entreprise se dessaisie de ses données et encourt un certains nombres de risques liés à cette dépossession (divulgation, violation, détérioration ou perte) pour contrecarrer ces risques les dispositions de la loi[23] sur la protection des données personnelles doivent être pris en compte.
La donnée qui est l’élément central du système informationnel subit plusieurs manipulations notamment de classification, d’analyse, d’exploitation et de valorisation et de ce fait nécessite protection
Si la protection de la donnée au sein de l’entreprise s’effectue avec plus ou moins d’aisance en gérant et maitrisant les risques y afférents avec le Cloud Computing le risque s’agrandit et son champ s’étend à l’ensemble du monde.
Bien que les risques pesant sur la donne au sein du cloud soient insoutenables pour les entreprises Les prestataires n’ont pas encore, pris en compte dans leurs offres les besoins des entreprises sur la protection de leur données, notamment des données sensibles et à caractère personnel.
Dans l’état actuel de la législation[24] la protection de la donnée incombe au responsable du traitement qui assume aussi les fautes du sous-traitant l’entreprise utilisatrice endosse alors la responsabilité civile et pénale sur les données en qualité de Data Controller.
Il y a lieu de préciser néanmoins que la loi Marocaine admet la personne physique ou morale, ou toute autre organisme qui est considéré comme responsable du traitement peut être responsable seul ou conjointement avec le sous-traitant. Cette notion de coresponsabilité (Joint Controller) constitue un élément de pondération entre utilisateurs et opérateurs.
Localisation des données
L’emplacement géographique du ou des «Data Centers » hébergeant les données détermine la loi applicable à ces dernières. Cette information n’est pas spécifiée par tous les prestataires et les données circulent parfois de manière confidentielle d’un data center à l’autre, d’un pays à l’autre, pour des raisons d’optimisation des ressources. La localisation des données est pourtant cruciale pour le client. Certaines données ne doivent pas circuler en-dehors du pays du client et ce dernier sera pénalement responsable si cette règle est enfreinte, notamment dans le cas de données à caractère personnel de données de santé de factures électroniques ou encore d’archives publiques
Pour pallier la perte de données, il sera préconisé de prévoir la réplication de celles-ci sur plusieurs sites distants et l’obligation de restauration des données dans des délais définis contractuellement. Aussi l’insertion dans le contrat de la clause de réplication est-elle indispensable. Elle doit prévoir que les données seront dupliquées sur d’autres sites distants et/ou feront l’objet d’une restauration dans des délais et des modalités prédéfinis
Niveaux de service fourni par le prestataire de Cloud Computing
Dans les contrats régis par la Common Law, l’obligation est absolue. En droit international, des précisions axées sur la diligence, les efforts raisonnables, la compétence professionnelle sont insérées dans le contrat. Dans la pratique, les engagements varient de l’obligation d’offrir des prestations « pleinement satisfaisante » à l’engagement de déployer la « compétence d’un professionnel ». La qualité du service attendue est stipulée dans l’acronyme (QDS) en Anglais (Quality of Service (QoS).
Dès lors que le Cloud computing est un service en ligne, il importe de garantir le délai de mise service (temps maximum) ou sa disponibilité sur le mois. Plus encore, le non-respect des niveaux garantis par contrat doit ouvrir droit à des pénalités, généralement sous forme de compensation financière ou d’avoir.
Pour pallier les risques précédemment évoqués, il conviendra d’un point de vue général de mettre en place, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » pour « Service Level Agreement », définit les conditions et modalités d’accomplissement du service, permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement. La convention pourra également comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire
Confidentialité
La contribution du fournisseur à la réalisation d’un service pour l’entrepreneur client suppose l’association du premier au processus de production du second, ce qui constitue une immixtion dans la gestion de l’entreprise et par conséquent crée des liens étroits de collaboration à travers le partage d’informations et de données scientifiques, techniques, comptables ou juridiques qui sont importantes.
Dès le début, l’entrepreneur met à la disposition du prestataire des données et informations relatives à la réalisation de service. Ces données sont importantes et de nature souvent sécrètes. Par conséquent le prestataire de service assume une obligation de confidentialité et de sécurité, tant durant la vie du contrat qu’après l’expiration de celui-ci. En général, l’obligation de secret de la nature et du contenue des données est expressément stipulée dans des clauses contractuelles qui elles-mêmes déterminent les conditions de leur duplication éventuelle et sur autorisation préalable et expresse du client.
Aussi, pour ce qui est de l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service.
La modification des circonstances et l’adaptation du contrat
La modification des circonstances de mise en œuvre du contrat cloud peut être indépendante de la volonté des parties (objective) ou causée par le fait d’une partie (subjective). Dans les deux cas il faut des mesures pour continuer la coopération et la relation des parties.
Les contrats de longue durée sont souvent soumis à une approche globale, celle de la gestion des risques encourus par l’entreprise dans l’exercice de ses activités
1-Les facteurs subjectifs de modification du contrat
Le retard d’exécution, défaut d’exécution des obligations ou l’exécution défectueuse pour non respect des dispositions contractuelles constituent une faute. Dans tous ces cas la responsabilité de la partie défaillante est engagée sans considération, si la faute a causé ou non un préjudice à l’autre partie.
Le droit civil ne fait pas expressément référence à une “responsabilité contractuelle” il prévoit les dommages et intérêts dus par le débiteur au créancier en cas d’inexécution de l’obligation ou de retard dans l’exécution[25]
La Clause Pénale
Une clause pénale est une clause contractuelle qui a pour but de déterminer à l’avance quelle sera la sanction pécuniaire applicable au cas où l’une des parties n’exécuterait pas ses obligations. Malgré sa dénomination, il s’agit d’une sanction civile. La réparation se résout en dommage-intérêts.
Les parties contractantes peuvent convenir des dommages-intérêts dus au titre du préjudice que subirait l’une d’elles en raison de l’inexécution de l’obligation ou en raison du retard apporté à son exécution. Si les parties n’ont pas prévu une sanction pour le manquement de l’obligation, c’est au juge saisi de l’affaire d’évaluer le montant de la réparation.
La Clause de garantie d’indemnisation « hold harmless agreement »
On retrouve dans les contrats de service cloud des mesures inspirées des contrats internationaux. C’est le cas de la clause de garantie d’indemnisation ou « hold harmless agreement ». Par cette clause, une partie le gestionnaire du cloud s’engage à dédommager l’entreprise cliente de toute indemnité que cette dernière devrait payer à des titulaires de données en raison de la perte ou violation des données personnelles. Souvent l’engagement de non rupture d’abonnement s’accompagne d’un engagement de garantie d’indemnisation de l’autre partie.
Ces clauses de garantie ont leur utilité, notamment dans les situations suivantes :
– compléter une clause d’abandon de recours, afin de lui conférer un maximum d’efficacité en ne réglant pas seulement la question de la responsabilité entre parties, mais en y incluant les dommages causés aux tiers ;
– dans un contrat de développement de software, le fait pour le client de se faire garantir par le développeur contre le recours de tiers fondés sur une violation (par le software développé) de leurs droits intellectuels[26];
Sur ce point, la clause de garantie d’indemnisation ou « hold harmless » s’apparente à un contrat d’assurance, mais elle se distingue de l’assurance en ce qu’elle n’est pas conclue avec une entreprise d’assurance et qu’elle ne s’accompagne pas du paiement d’une prime.
2-Extinction du contrat obligations subséquentes
Pour diverses raisons, le contrat est susceptible de prendre fin prématurément : retard d’exécution ou non-exécution de l’obligation contractuel, non-respect des engagements, clause résolutoire ou force majeure. En matière de cloud computing l’extinction du contrat engendre des obligations pour le prestataire.
La clause résolutoire prévoyant la résiliation automatique du contrat de service cloud est souvent écartée car le service s’apparente à un abonnement ou location, dont la durée initialement prévue est prorogeable sur tacite reconduction ou après préavis.
La résolution du contrat en cas de non reconduction entraine sa liquidation, mais elle laisse survivre un certain nombre d’obligations, le paiement des arriérés par l’entrepreneur et inversement le retour par le prestataire de l’activité ou l’ouvrage et des données au client.
la clause de non reconduction du contrat détermine les modalités de clôture de celui-ci, notamment une période de préavis et le sort des opérations en cours pendant la période de préavis « handover period », de la collaboration du prestataire à la réalisation d’une transition ordonnée au profit de son successeur éventuel et la restitution des données mises à sa disposition.
Clause de Réversibilité
La clause de réversibilité est liée aux contrats d’hébergement cloud dans la mesure où elle constitue la contrepartie de l’externalisation. Au début du contrat l’entreprise externalise les données vers le prestataire et à la fin du contrat, le prestataire retourne (reverse) les données au client d’origine.
L’opération d’externalisation comporte pour l’entrepreneur le risque de devenir dépendant de son fournisseur pour la prestation que ce dernier lui assure. Pour éviter cette dépendance, la clause de réversibilité permet qu’au terme du contrat ou à la résolution de celui-ci, la reprise par l’entrepreneur client des données et service externalisée.
Un plan de réversibilité permet de reprendre les données hébergées et d’assurer le transfert des services à d’autres prestataires. Au sein de ce plan, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci. La clause de réversibilité des données permet d’organiser le retour des données chez le client ou leur transfert chez un autre prestataire sera nécessaire, elle doit fixer les conséquences pratiques de la fin du contrat (remise d’une copie des données, modalités de transfert des données, délais, etc.)[27].
Conclusion
Le cloud computing est avant tout un modèle évolué d’organisation de l’entreprise, fondé sur des considérations de souplesse et de rentabilité donc de compétitivité. Mais d’un point de vue juridique, cette organisation s’articule autour des règles applicables au contrat de louage de ressources et de service. Il s’agit d’un rapport d’affaires réalisé dans le cadre d’un contrat de droit privé. Cependant, la référence uniquement aux règles contractuelles classiques ne permet de saisir la spécificité de ce concept que de manière superficielle.
Le cadre contractuel de l’opération de service cloud computing, très perfectionné, montre que la pratique a dégagé un ensemble de règles appropriées. La préoccupation d’un maximum de rendement dans les meilleures conditions et en un minimum de temps. En matière de responsabilité demeure un déséquilibre entre les parties contractantes en faveur des prestataires.
Le résultat atteint n’est pas encore à la hauteur des espoirs attaché au cloud computing. Beaucoup de clauses insérées dans les contrats du cloud lui sont propres et certaines d’entre elles, dérogent au droit commun.C’est là que réside la principale caractéristique de ce nouveau mode d’organisation qu’il convient de prendre en compte.
Le perfectionnement constant des clauses relatives à la durée de location ou d’abonnement (fixant les modalités de sa prorogation et de son éventuel renouvellement), mais également de celles permettant l’assouplissement des aléas du temps (renégociation, modification unilatérale), démontrent de manière parfaitement claire une volonté d’adaptation permanente du cadre conventionnel à l’évolution du contexte économique.
Tout cela est la preuve de l’application d’un volontarisme contractuel remarquable. La pratique a été une fois de plus le champ d’expérimentation de l’autorégulation dont les partenaires économiques font preuve dans leurs relations d’affaires.
Nouveau mode d’organisation, agilité et adaptabilité de fonctionnement, transformation des comportements et variation des priorités de l’agent économique, sont autant de facteurs qui forcent le changement de l’entreprise.
Devant un marché de plus en plus exigeant et évolutif, les opérateurs économiques Marocains savent que pour résister aux offensives concurrentielles, ils doivent adopter une approche nouvelle d’organisation entrepreneuriale et accepter de s’organiser suivant les modèles de management modernes. Faute pour eux d’anticiper les changements, du moins emboiter le pas aux évolutions.
Par Dr SENHAJI ABDELAZIZ, Docteur en droit
[1] Cf. article de Imane Khaouja « Tout savoir sur le cloud computing en 10 questions » paru dans la magazine LTE de septembre 2016.
[2] le néologisme proposé en 2009 par l’Office Québécois de la langue française est Le terme « infonuagique ».
[3] Le National Institute of Standards and Technology (NIST) organisme américain sans but lucratif
[4] Voir notamment la présentation détaillée et très clair sur power point de l’ANRT (direction de la concurrence.
[5] On peut citer également le cloud communautaire et le cloud hybride qui regroupe deux modes ou plus
[6] les géants du cloud computing (Salesforce, Amazon, Google, Microsoft, Cisco, EMC, etc.)
[7]Les Etats Unis ont promulgué en 2001une loi anti terroriste la «PATRIOT Act» Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act. Cette loi autorise les services secrets (NSA) à accéder aux données personnelles hébergés dans les cloud sans considération de leurs origines.
[8] Article 43 de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
[9] Dans la mesure où lesdites données font l’objet de traitement de données à caractère personnel ce qui est le cas de la quasi totalité des traitements.
[10] Jusqu’à une date récente les services du cloud computing n’étaient assurés au Maroc que par des fournisseurs étrangers.
[11] D’où la dénomination de « contrat d’adhésion » établit et proposé unilatéralement par le prestataire.
[12] Il convient de préciser qu’au vu du droit Marocain l’approbation de conditions de vente par voie électronique fait foi cf. article 425-6 du DOC tel que modifié et complété par la loi 53-05.
[13] Depuis septembre 2016 des opérateurs Télécoms offrent des services de CC notamment Google Apps for Work,
[14] Dans le cas Marocain c’est le Dahir sur les Obligations et Contrats (D.O.C ) §2 section 2 du chapitre 1er titre 1er du livre 1er.
[15] Articles 723 et suivant du DOC
[16] Dahir n° 1-11-03 du 18 février 2011 portant promulgation de la loi n°31-08 édictant les mesures de protection du consommateur
[17] Le titre III (articles 15-19) de la loi 31-08 susvisée détermine les cas où il y a clause abusive et précise le traitement applicable
[18] Dahir formant code des obligations et contrats du 12 août 1913 tel qu’il a été modifié et complété.
[19] Absence de loi spécifique sur le cloud computing.
[20] Dahir n° 1-07-129 du 30 novembre 2007 portant promulgation de La loi 53-05 relative à l’échange électronique des données juridiques.
[21]Un chapitre premier bis « du contrat conclu sous forme électronique ou transmis par voie électronique »
[22] Dans la pratique les contrats mettant en relation d’affaires des parties de différents pays incluent une clause d’arbitrage qui détermine les modalités de règlement du différend.
[23] Notamment la section 3 de la loi 09-08 concernant les obligations de confidentialité et de sécurité des traitements et de secret professionnel
[24] Cela est pareil dans les directives européennes que dans la législation Marocaine
[25] L’article 263 du D.O.C stipule « les dommages-intérêts sont dus, soit à raison de l’inexécution de l’obligation, soit à raison de retard, et encore qu’il n y ait aucune mauvaise foi de la part du débiteur
[26] Marc GOUDEN Avocat aux Barreaux de Luxembourg et de Bruxelles PHILIPPE & PARTNERS DEXIA Congress Center Bruxelles 26 octobre 2010.
[27] Pascal ALIX & Gwendoline PERFETTI, VIRTUALEGIS, cabinet d’avocats