Le contrat Amazon Web Services : derrière la rose, les épines ?

Les excellents résultats de AWS au 2ème trimestre 2015 confirment l’attractivité de son offre, parfaite implémentation des principes du cloud computing. Cependant, les entreprises françaises gagneraient à bien mesurer les risques nés des termes du contrat AWS...

Le cours de l’action Amazon à bondi de 17% dès l’annonce des excellents résultats de sa filiale AWS pour le second trimestre 2015 : un chiffre d’affaires de 1,8 Mrd$, soit une croissance de +81% sur un an. Les clients référencés par AWS sont prestigieux : NetFlix, AirBnB, Spotify, Shazam, Expedia, Siemens, Novartis … Il suffit de visiter le site aws.amazon.com/fr pour être séduit : leader du Gartner Magic Quadrant, ressources à la demande et paiement à l’utilisation, abondant écosystème, gratuité la 1ère année pour l’offre d’entrée (Amazon EC2). Tout est simple, clair, agréable, ludique. C’est très complet, largement illustré et, bien entendu, rédigé en français.  Tout en bas de la page d’accueil se trouve ainsi le lien : « Informations juridiques », un peu perdu parmi d’autres sujets bien plus captivants, tels que « Témoignages de réussite »,  « Evènements », « Livres blancs », « Solutions » « Ressources », ...

Sitôt cliqué sur « Informations juridiques », changement de décor ! Exit le français, bonjour l’anglais juridique, bienvenu au royaume du « Legal ». Après un rapide survol (I), quelques pistes d’actions peuvent être esquissées (II).

 (I) Rapide survol du « Legal » AWS

Parmi les sept documents auxquels renvoie le lien « Legal », le premier d’entre eux mérite une attention particulière. Il s’agit du  « AWS Customer Agreement » (A), complété notamment par les documents contractuels annexes désignés par les six autres liens (B).

 A/     AWS Customer Agreement

 Il regroupe les principaux termes du contrat auquel consent tout client AWS. En cas de conflit avec les autres documents contractuels AWS, ceux du Customer Agreement s’imposent, sauf s’agissant de l’annexe « AWS Services Terms ». Plutôt que d’entrer dans les détails des 14 articles de ce contrat (version du 19/6/2015), il convient de relever quelques règles particulièrement importantes.

  1. Loi applicable au contrat et juridictions compétentes 

En  cas de conflit, le Client ne pourra que se référer qu’à la loi de l’Etat de Washington et se tourner vers les juridictions du King County, Etat de Washington.

 2. Changements 

De « temps en temps », les services offerts peuvent être modifiés ou arrêtés. Il en va de même pour les SLA (Service Level Agreement) et les APIs (Application Programming Interfaces), avec toutefois un délai de prévenance de 90 jours s’agissant des SLA et une relative stabilité sur 12 mois s’agissant des APIs.

Les termes mêmes du contrat peuvent être modifiés unilatéralement par AWS.

 3. Résiliation

Le contrat peut être résilié pour convenance ou pour cause. AWS peut mettre fin au contrat dans un délai de 30 jours pour sa convenance ou immédiatement dans le cas d’une raison assez grave. Quant au client, le délai de prévenance n’est pas précisé s’agissant d’une résiliation pour convenance et il peut être de 30 jours en cas de manquement non réparé dans un délai de 30 jours après notification.

4. Support – assistance

Lorsque le contrat n’a pas été résilié pour cause, le client connaît le régime suivant durant les 30 jours post-résiliation : ses "contenus" (données et programmes) ne seront pas effacés; il pourra les retrouver s'il paie tous les montants dus, y compris ceux de l'utilisation post-résiliation des services AWS ; AWS lui fournira la même assistance que celle habituellement disponible pour tous ses clients.

     5. Responsabilité

Le contrat AWS l’exonère tant et si bien de sa responsabilité que l’on en arrive à se demander dans quels rares cas celle-ci pourrait être engagée. Le sens très large (bien plus que celui de notre Cour de cassation) donné à la Force Majeure parachève l’édifice puisque le contrat qualifie ainsi « toute cause en dehors du contrôle raisonnable » du prestataire. En tout état de cause,  l’indemnisation reste plafonnée par le total des sommes payées par le client à AWS durant les 12 derniers mois.

6. Sécurité et données privées

S’agissant de la sécurité des « contenus », c’est le client qui est responsable de leur back-up et de leur protection, devant même aller jusqu’à les encrypter afin de se prémunir contre les accès non-autorisés.

Quant aux données privées, AWS y range les données à caractère personnel au sens de la CNIL et revendique son adhésion aux « safe harbor programs » développé par le Département du Commerce américain avec l’Union Européenne d’une part et la Suisse d’autre part.

Selon la CNIL, « Safe Harbor » désigne un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l'Union européenne. Le Safe Harbor permet donc d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l'Union européenne vers des entreprises établies aux Etats-Unis.

Tout client peut choisir les régions du monde dans lesquelles il souhaite que ses contenus soient stockés. AWS conserve toutefois la faculté de s’affranchir de ce choix à la condition de notifier ce changement.

7. Notifications 

Toutes les notifications aux clients peuvent être communiquées par simple affichage sur le site internet AWS. Tous les mails envoyés par AWS sont réputés bien lus par chaque client. Après délai de prévenance, toute modification publiée sera réputée acceptés du fait de l’utilisation postérieure des services.

B/ Documents contractuels annexes

Au delà de l’AWS Customer Agreement, six autres documents sont proposés dans la section « Legal ». Il s’agit successivement :

-       des règles d’utilisations propres à certains services AWS

-       des interdictions relatives à l’utilisation des services AWS

-       des règles protégeant les droits de propriété intellectuelle AWS

-       des règles relatives à l’utilisation de site internet AWS

-       de la politique AWS de respect des données privées

-       de renseignements relatifs aux aspects fiscaux.

Dans le cadre du présent survol, un exposé rapide de ces documents annexes n’aurait guère de pertinence. Il suffit de retenir que ces documents annexes sont tous traversés par un même état d’esprit : protéger les droits de AWS, limiter ceux des clients et les responsabiliser.

En cas de conflit de règles avec l’AWS Customer Agreement, celui l’emporte sur les documents annexes, à l’exception des règles d’utilisations propres à certains services AWS. Ce qui paraît de bon sens et n’est rien d’autre que l’application de vieil adage « Specialia generalibus derogant ».

II) Esquisse de pistes d’actions

A l’issue de ce premier survol, il apparaît clairement que le contrat AWS n’est pas fait pour plaire aux directions juridiques des entreprises françaises.  Ce serait même plutôt le contraire.

Plusieurs clauses apparaissent potestatives puisque AWS se laissent de nombreuses possibilités de s’affranchir de ses obligations : certains juges y trouveraient d’ailleurs matière à intervenir. Mais le droit français ne s’applique pas car le contrat impose de se référer à la loi de l’Etat de Washington et de se tourner vers les juridictions du King County. En définitive, chacune de ses règles serait à elle seule une bonne raison de dire « niet » à AWS.

De leur coté, les DSI ne devraient guère apprécier de devoir subir les changements que s’autorise AWS, notamment en matière de services, d’API ou de SLA. Encore moins peut-être de se voir exposées à un délai de prévenance de 30 jours en cas de résiliation. Point de rassurant plan de réversibilité ici ni de zakouskis financiers pour compenser les dysfonctionnements du prestataire.

Plus généralement, les DSI sont placées dans une situation particulièrement inconfortable car elles devront supporter de très nombreuses obligations si elles entendent être irréprochables : encryptage des données, sauvegardes, suivi permanent des notifications et adaptations aux changements …

Dans ces conditions, pourquoi diable s’embarrasser avec AWS ? Pour autant, ses 81% de croissance annuelle résultent-ils d’entreprises irrationnelles ?  Le marché français est-il rendu atypique, voire impénétrable, par les principes protecteurs de son droit ?

En partie oui, mais seulement en partie. Car il est bien évident que les entreprises françaises sont elles aussi soumises aux lois d’airain du business : flexibiliser leurs charges et adapter leurs ressources IT aux besoins du marché. Tandis que les prestataires IT ne sont pas des entreprises philanthropiques.

« Think large, start small, upgrade fast » : le motto à la mode aux premières heures de l’internet trouve dans le cloud sa parfaite illustration, spécialement avec AWS. Quelle start-up, même française,  pourrait résister aux charmes du modèle de l’informatique « élastique » ?  Mais quelle entreprise bien établie accepterait de se rendre trop vulnérable en dépendant d’un prestataire si puissant ?

Pour autant, rejeter systématiquement AWS serait dommage. Comme aimait à le dire J.P. Morgan : « je ne paie pas mon juriste pour qu’il me dise ce que je ne dois pas faire … ».

Encore une fois, le bon équilibre se trouve probablement dans les modalités de mise en œuvre de l’externalisation. Délimiter les domaines candidats, identifier les risques associés, fixer ses mesures d’accompagnement et valoriser tous les coûts associés restent indispensables. Bien entendu, l’étude comparative des solutions concurrentes, sans oublier les françaises, devra faire partie du processus de décision. Et une fois le contrat signé, il s’agira de le faire vivre opérationnellement pour mitiger ses risques.  Mais ceci est une autre histoire …           

Amazon Web Services