Cloud computing et contrats informatiques : du nouveau ou du bruit ?

Le Cloud Computing : rupture technologique ou simple effet de mode ? À travers le prisme du droit des contrats, le bilan des nouveautés est décevant !

Le Journal Officiel du 6 juin 2010 définit l'informatique en nuage comme le "Mode de traitement des données d'un client, dont l'exploitation s'effectue par l'Internet, sous la forme de services fournis par un prestataire".

Il est ensuite précisé : "L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients."

De cette définition, il ressort que le Cloud Computing impose trois conditions cumulatives :
  • Internet
  • Externalisation
  • Incertitude quant à l'emplacement et au fonctionnement du service.
     
    En définitive, la seule spécificité du Cloud Computing est constituée par l'incertitude quant à l'emplacement et au fonctionnement du nuage.
     
    Celui-ci ne connaissant aucune frontière, la question du droit applicable se pose.
    Dès l'année 1910, la Cour de Cassation apportait la réponse en affirmant le principe d'autonomie : "La loi applicable est celle choisie par les parties". (Civ. 5/12/1910 - Arrêt American Trading). La convention de Rome du 19 juin 1980 ne fait rien d'autre que reprendre ce principe.

    Ainsi, le choix exprès de la loi applicable permet aisément aux parties de réduire l'insécurité juridique résultant du fonctionnement en nuage.  De même, une clause attributive de juridiction apporte la faculté de désigner par avance le tribunal compétent en cas de litige.

    Ces règles générales connaissent quelques exceptions, notamment lorsqu'elles se heurtent à une loi de police ou atteignent la protection de la partie faible. Mais ces exceptions viennent précisément conforter la sécurité juridique et sont donc de nature à rassurer ceux qui font appel aux services de l'informatique en nuage.
     
    Reste ensuite la question des transferts hors du territoire français des données à caractère personnel.  Ceux-ci sont encadrés par la loi du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés.
     
    Mais l'article 69 de ladite loi prévoit que le transfert de données à caractère personnel peut être effectué vers un État, quel qu'il soit, "si la personne à laquelle se rapportent les données a consenti expressément à leur transfert". Un tel consentement est déjà chose courante chez les professionnels de l'externalisation.
     
    En synthèse, l'informatique en nuage ne soulève guère de difficultés spécifiques d'un point de vue juridique.
     
    Pourtant, les inquiétudes concernant la sécurité et la confidentialité représentent en pratique le plus grand obstacle à l'adhésion au Cloud Computing.
     
    Et la fameuse élasticité promise par le Cloud Computing (qui n'est que la "scalabilité" des années 1995) impose des engagements de niveaux de services particulièrement précis.
     
    C'est donc par un travail d'équipe, combinant intimement contrats, Service Level Agreements et certifications SAS 70 Type II ou ISO 27001 que l'informatique en nuage pourra continuer à se développer. 
     
  • Autour du même sujet