Quel régime juridique pour le Cloud ?

1/ multitude de définition et de caractéristiques du cloud.

Le cloud ne fait pas l’objet d’une définition uniforme [1]. De prime abord, on peut le définir comme un procédé qui consiste à stocker de manière externalisée des données dans un « nuage » informatique. Ce service à distance est fourni à ses clients par une entreprise prestataire, les transferts s’effectuant notamment par le biais d’Internet.

Une telle définition mérite toutefois d’être précisée :

  • CNIL :

Si l’on se réfère à la définition retenue par la CNIL, deux caractéristiques sont particulièrement mises en avant. L’externalisation et la simplicité.

Le cloud est défini comme une technique virtuelle de gestion des ressources. Le stockage est en effet dématérialisé ; on bascule d’une gestion interne vers une gestion extérieure au matériel de l’utilisateur. Il s’agit, selon la CNIL, de « la forme la plus évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant ».

Le second aspect souligné par la CNIL est que les services de cloud sont fondés sur la simplicité et la rapidité puisqu’ils fonctionnent à la demande. Simplicité, parce qu’ils se caractérisent par « une facturation à l’usage ». Rapidité, parce qu’ils offrent une « disponibilité quasi-immédiate des ressources » [2].

  • National Institute of Standards and Technology :

Pour le “National Institute of Standards and Technology”. Le cloud est « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables » [3]. Sont ici mises en avant la disponibilité mondiale des services cloud et l’ouverture à tous les utilisateurs, qui peuvent même intervenir, simultanément, sur des ressources partagées à travers le réseau.

  • Commission de terminologie et de néologie :

La définition de la Commission de terminologie et de néologie, publiée au Journal officiel, est quant à elle moins positive : « le cloud computing est une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance du client » [4]. Ici, c’est l’abstraction sur la localisation des données hébergées dans le cloud qui est mise en lumière.

  • European Bankin Authority :

La définition présente dans le « final report – Recommendations on outsourcing to cloud service providers » indique que le Cloud comprend : des services fournis à l’aide du cloud computing, c’est-à-dire un modèle permettant d’accéder à un réseau omniprésent, pratique et à la demande à un pool partagé de ressources informatiques configurables (réseaux, serveurs, stockage, applications et services, par exemple) qui peuvent être rapidement mises à disposition et diffusées avec un minimum d’efforts de gestion ou d’interaction entre fournisseurs de services.

« Services provided using cloud computing, that is, a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction ».

Il existe une grande variété d’accès et de services regroupés sous l’appellation cloud : cela va du webmail, d’accès gratuit, à un stockage avec niveau de service garanti, accessible sur abonnement.

Mais relèvent également de cette catégorie le cloud d’accès public, le cloud privé réservé aux collaborateurs autorisés et tiers d’une entreprise, le cloud hybride combinant ces deux types d’accès, ou encore le cloud communautaire (la possibilité pour plusieurs entités ou membres d’organisations ayant les mêmes besoins d’utiliser une seule et unique solution Cloud), partagé par des clients autour d’intérêts ou de projets communs.

2 / Difficile qualification juridique du cloud.

Une des principales difficultés de la qualification juridique d’un contrat de cloud réside dans la multitude des cas de figure qui peuvent être envisagés. En réalité, la qualification de la relation client‐prestataire dépendra avant tout des obligations contractuelles de ce dernier.

Pour cette raison, la doctrine tout comme les praticiens s’inquiètent parfois de la « nébulosité » des contrats de cloud (Papin E., Que se cache‐t‐il derrière la nébulosité des contrats de Cloud Computing ?, 16 déc. 2014, www.cio‐online.com) ou considèrent qu’ « en réalité, c’est le caractère protéiforme du cloud computing qui pose problème » (Brunaux G., Cloud computing, protection des données : et si la solution résidait dans le droit des contrats spéciaux ?, D. 2013, p. 1158).

On peut cependant rejeter d’emblée certaines qualifications. Ainsi qu’un prestataire de cloud soit généralement amené à fournir à son client une documentation détaillée sur le fonctionnement des systèmes et des applications qui se rapproche fortement de celle fournie lors d’une vente, on doit écarter immédiatement cette qualification. En effet, aucun transfert de propriété, ni corporelle ni incorporelle, ne résulte du contrat de cloud.

La location pourrait, en revanche, apparaître comme une qualification plus adaptée à cette opération. En effet, les contrats de cloud (comme les contrats de SaaS en particulier) se traduisent généralement par la mise à disposition du client de certaines ressources applicatives et de l’utilisation privative d’espaces de stockage de données. Mais ramener toute l’opération à une location, au sens de l’article 1709 du Code civil, serait certainement trop réducteur, car cela reviendrait à ignorer tous les services complémentaires qui sont fournis en complément et autour de la mise à disposition des applications et du simple hébergement.

Un contrat d’entreprise ?

Dès lors, et comme souvent en matière de contrat informatique, la qualification en contrat de louage de service ou contrat d’entreprise semble être la mieux adaptée et la plus représentative des multiples particularités des contrats de cloud. Cette qualification est aujourd’hui clairement adoptée par la doctrine (Cordier G., Le contrat ASP, Comm. com. électr. 2008, no 10, prat. 9 ; et à propos du cloud dans son ensemble : Chantepie G., L’inexécution du contrat de cloud computing, RLDI 2013/98, p. 117 ; également Brunaux G. dans son article précité, qui exclut la qualification de contrat de dépôt au profit de celle de prestation de services).

La possibilité d’utiliser des applications et des espaces de stockage moyennant le paiement d’une redevance est presque toujours accompagnée d’autres prestations, qu’il s’agisse de conseil, de formation, de maintenance ou de sauvegarde. Et par ailleurs, l’accès à l’application elle‐même est assuré au travers d’un service de communication à distance sécurisé qui constitue également une prestation technique particulière (et à propos de laquelle le prestataire prend des engagements spécifiques de performance et de disponibilité). Tous ces éléments se conjuguent alors facilement dans le cadre de la souplesse d’un contrat (y compris en comportant – comme le souligne G. Chantepie, dans son article précité – une obligation accessoire de garde des données du client).

Bien évidemment, comme cela est souvent le cas pour des contrats portant sur un ensemble complexe de prestations, cette qualification dominante de l’ensemble de l’opération contractuelle n’est pas exclusive de ce que l’exécution de certaines prestations ou fournitures particulières puissent être régies par des clauses appartenant à des types spécifiques de contrats spéciaux (vente, location, licence, …).

En définitive, les contours du cloud computing méritent d’être précisés, autour de certaines spécificités incontournables : externalisation et hyper-capacité du stockage, disponibilité mondiale et quasi-immédiate des ressources, accessibilité à tous et sur tout type d’appareils, facturation à la demande mais aussi, ce qui ne va pas sans poser de nombreux problèmes.

3/ Les avantages du Cloud.

Le Cloud computing est un ensemble de prestations informatiques, accessibles à la demande, via des réseaux sécurisés ou non, permettant au client de disposer de capacités de stockage et de puissance informatique, sans investir matériellement dans l’infrastructure correspondante ; les clients n’étant plus que propriétaires des données qui y sont hébergées.

Le « nuage » correspond à une myriade de serveurs et d’applications liés par Internet et disséminés ou centralisés dans un ou plusieurs sites du prestataire qui peuvent être répartis dans le monde entier.

Le Cloud computing se compose de trois catégories de services :

IaaS (Infrastructure as a Service) : accès et mise à disposition à distance, d’une infrastructure informatique hébergée, pour utiliser des serveurs, de la capacité de stockage ou de traitements supplémentaires ;

PaaS (Platform as a Service) : accès et mise à disposition à distance, d’une plateforme permettant de créer des applications, de bénéficier d’environnements notamment de développement, de test ;

SaaS (Software as a Service) : accès à distance à des applications hébergées chez le prestataire.

Ces services sont fournis soit via un réseau Internet ouvert au public avec un accès en libre-service (Cloud public) soit via un réseau intranet dans un espace dédié et sécurisé, réservé aux utilisateurs autorisés par le client (Cloud privatif).

Le Cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, qui d’un point de vue juridique se classe au croisement des services d’externalisation et des services d’ASP (Application Service Provider). La différence entre ASP et SaaS n’est pas évidente : l’ASP se limite à la fourniture d’applications en mode hébergé tandis que le SaaS désigne une application modulaire à laquelle le client a accès après authentification via Internet et qui comprend des outils et des personnalisations pour répondre à ses besoins.

Le Cloud computing présente des avantages financiers d’une part, i) en affranchissant le client d’investissements préalable (homme ou machine) et de frais de maintenance associés, puisqu’il bénéficie de l’infrastructure totalement autonome du prestataire et déconnectée de la sienne et d’autre part, ii) en payant le prix du service en fonction de sa consommation effective tout en bénéficiant d’un effet de volume.

Tableau schématisant les différents types de Cloud computing :

Le Cloud computing offre une flexibilité permettant d’étendre le système d’information d’une entreprise sur simple demande, en fonction de son besoin (pics d’activité, pics de fréquentation, etc.) dans des délais plus rapides que ceux offerts par les prestations traditionnelles et pour un grand nombre de services. Ce modèle dispense le client de la responsabilité de maintenir et garantir la disponibilité de l’application ou de l’infrastructure qui est prise en charge par le prestataire sous réserve d’une contractualisation des engagements de qualité, de disponibilité, de sécurité, d’évolutivité du produit dans le temps.

4/ Les risques du Cloud.

Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.

Ce sont notamment :

1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;

2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats…

3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;

4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;

5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;

6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;

7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;

8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;

9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;

10. Utilisation frauduleuse des technologies cloud en vue de cacher l’identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation ou des accès achetés frauduleusement ;

11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;

12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l’architecture externe d’interfaçage avec les utilisateurs.

Ainsi afin de pallier certains de ces risques le prestataire de cloud doit respecter différentes obligations particulières afférentes au service proposé.

5/ Obligations du prestataire de cloud.

Outre ses obligations de conseil, d’information et de mise en garde, le prestataire de cloud doit assumer plusieurs obligations particulières découlant des caractéristiques des services de cloud qu’il fournit, à savoir notamment :

  • garantir la conformité des fonctionnalités et des performances annoncées pour son système : la prestation assurée doit être celle attendue par le client et en adéquation avec ses besoins ;
  • garantir la sécurité, la confidentialité, l’intégrité ; la disponibilité des données : le prestataire doit veiller à la sécurité des données informatiques transmises par son client ainsi que de son système d’information en général. Le prestataire doit s’assurer que le système qu’il a mis en place soit protégé contre tout accès physique ou logique non autorisé. Il conviendra de préciser les moyens techniques mis en œuvre et leur fréquence ;
  • garantir la continuité avec le système antérieur, dont il assure la reprise des données ;
  • respecter la législation applicable au traitement des données personnelles et notamment le respect des dispositions de la loi no 2004‐801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78‐ 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ( L. no 2004‐801, 6 août 2004, JO 7 août, p. 14063).

À ce sujet, la CNIL recommande aux clients de service cloud d’effectuer des choix s’agissant du réel niveau de garantie proposée par le prestataire. Elle propose une grille d’analyse reposant d’une part sur la détermination de la qualification juridique du prestataire et d’autre part sur l’évaluation du niveau de protection assurée par ce dernier par rapport aux données traitées (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012 ; Groupe art. 29, Avis no 5/2012 sur l’informatique en nuage, adopté le 1er juillet 2012 (WP 196)) ;

  • informer le client sur les différents lieux de stockage des données et de tous les traitements de données effectués dans le cadre de la prestation fournie afin que le client puisse s’assurer notamment que les pays d’implantation assurent à ses données (et particulièrement aux données personnelles qu’il détient) un niveau de protection équivalents à celle qu’assure le droit européen de la protection des données personnelles ;
  • s’engager à ne pas collecter ni stocker au‐delà des seuls besoins temporaires de sécurité des systèmes, des données de connexion relative à l’utilisation par le client de ses données et des applications auxquelles il a accès dans le cloud ;
  • souscrire une assurance garantissant sa responsabilité civile professionnelle à raison de son intervention sur le système informatique du client et à cause de tous les risques qui pourraient nuire au bon fonctionnement dudit système.

D’une manière générale et en raison de la dépossession technique que le client consentira au profit de son prestataire, les clauses de responsabilités du prestataire vont être d’une particulière importance dans le contrat de cloud et « doivent être clairement définies, tout particulièrement en matière de respect de la confidentialité des données (accès non autorisés, voire frauduleux), et d’atteinte à leur intégrité » (Guide pratique Cloud computing et protection des données, CIGREF‐IFACI‐AFAI, 2013).

Le règlement général pour la protection des données pose des nouvelles règles applicables, tant dans les relations entre coresponsables d’un même traitement consacrant la notion de responsable conjoints de traitement, que dans les relations entre responsable du traitement et sous-traitant.

La responsabilité du prestataire est donc une responsabilité de droit commun reposant sur la qualification d’obligation de moyens ou de résultat.

L’obligation sera de moyen lorsqu’il sera question de la disponibilité du service alors qu’elle sera de résultat s’agissant de la récupération des données hébergées. En ce cas, seul un cas de force majeure pourra exonérer le prestataire de sa responsabilité.

Néanmoins, il est possible d’aménager la responsabilité du prestataire par des clauses spécifiques au contrat telles que des clauses limitatives de responsabilité.

Par ailleurs, certains auteurs tels que Gaël Chantepie envisagent que cette responsabilité pourrait être complétée par une responsabilité spéciale issue de l’article 15‐I de la loi no 2004‐575 du 21 juin 2004 pour la confiance dans l’économie numérique dite LCEN. Cette loi prévoit un cas de responsabilité similaire à l’égard de toute personne physique ou morale exerçant l’activité définie au premier alinéa de l’article 14 à savoir « une activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services » (Chantepie G., RLDI précité).

Néanmoins cette interprétation de la portée de cet article parait incertaine et n’apporterait pas grand‐chose de plus que la responsabilité de droit commun.

6/ Particularités des obligations.

Au‐delà de son obligation classique de collaboration avec le prestataire et de celle de payer le prix de la prestation de service, le client est soumis à quelques obligations et responsabilités particulières lorsqu’il s’engage dans un projet de cloud computing.

Il en va par exemple de l’obligation que peut lui imposer son prestataire de respecter des consignes de sécurité de l’information et de mettre en place une politique de sécurité interne efficace, notamment afin de ne pas offrir en interne une sécurité des données « inférieure » au niveau d’exigence signifié au prestataire du cloud.

La CNIL recommande également aux clients de ce type de services de « conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise » (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012 ; Groupe art. 29, Avis no 5/2012 sur l’informatique en nuage, adopté le 1er juillet 2012 (WP 196)).

Par ailleurs, le client demeure jusqu’à présent seul maître du traitement de données personnelles, au sens où la loi du 6 janvier 1978 modifiée dite « loi Informatique et Libertés » dispose que « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » et non celui qui effectue le traitement.

Le prestataire pourra, dans certaines conditions, être reconnu comme co‐responsable des traitements qui lui auront été confiés. Cependant, comme le souligne le CIGREF dans sa récente étude : « cette notion de coresponsabilité (Joint Controller) ouvre une voie au rééquilibrage entre utilisateurs et opérateurs. Mais pratiquement il est encore difficile de déterminer dans quel cas elle pourra s’appliquer et si, dans la plupart des situations, l’utilisateur du Cloud restera seul Data Controller ou si le fournisseur définissant les moyens de sécurité sera qualifié lui aussi de Data Controller avec, en corollaire, une responsabilité sur la sécurité et ses conséquences ». (CIGREF, La réalité du Cloud dans les grandes entreprises, oct. 2015, p. 18).

Or, ce point est très significatif dans la mesure où les amendes pourront s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes de l’entreprise.

7/ Problématiques juridiques sur la protection des données dans le cloud.

A / Problème de l’extra-territorialité du droit.

Les données qui voyagent dans le cloud, y séjournent ou en sortent, ne connaissent pas de frontière. C’est une illustration de ce que le professeur Delmas-Marty nomme l’« ubiquité », qui constitue une caractéristique propre de l’espace virtuel : le fait qu’il soit impossible à localiser, car il se trouve partout à la fois, constitue un « redoutable obstacle à la répartition des compétences entre les différents systèmes de droit simultanément applicables » [5].

Cette problématique, qui est intrinsèque à la technologie numérique, est encore accentuée par le cloud, du fait de la circulation des données et de leur impossible localisation, en particulier dès lors que celles-ci sont susceptibles d’être transférées hors des frontières de l’Union européenne. En exposant l’utilisateur aux difficultés inhérentes à la saisine de tribunaux situés à l’étranger, à des coûts de procédure plus élevés ou à des règles substantielles moins protectrices.

Les questions du droit applicable et de la juridiction compétente, qui sont classiques en cas de conflit de lois, n’en sont que plus complexes. Dans les deux cas, le principe de liberté contractuelle prime, puisque c’est la loi des parties qui prévaut. Celles-ci peuvent choisir la juridiction compétente et le droit applicable qui régira en totalité ou en partie leurs rapports.

Au sein de l’Union européenne, deux règlements, dits Rome I et Bruxelles I, fixent le cadre des conflits de loi lorsque les parties n’en décident pas elles-mêmes. Le règlement Bruxelles I pose comme principe, susceptible de dérogations, que la juridiction compétente est celle de l’Etat membre dans lequel le défendeur a son domicile, quelle que soit sa nationalité [6].

Le règlement Rome I [7]pour sa part, fixe comme droit applicable, à défaut de choix des parties, la loi du pays dans lequel le prestataire a sa résidence habituelle [8]. On notera par ailleurs que ce règlement revêt un caractère universel, ce qui signifie que les règles de résolution du conflit peuvent conduire à l’application de la loi d’un Etat qui n’est pas membre de l’Union européenne.

B / Régime applicable aux données.

La directive du 24 octobre 1995, transposée par modification de la loi « Informatique et Libertés » [9], permet le transfert de données au sein de l’Union européenne, après déclaration à l’autorité compétente de protection des données, chez nous la CNIL. Elle pose en revanche un principe d’interdiction de transfert des données hors de l’Union, sauf, après autorisation, vers les pays présentant « un niveau de protection adéquat » (Article 25). Or les Etats-Unis n’offrent pas un tel niveau de protection. L’arrêt Schrems II du 16 juillet 2020 vient confirmer cette absence de niveau de protection adéquat de la part des Etats-Unis. Cet arrêt invalide le mécanisme de Privacy Shield, (qui remplaçait le Safe Harbor invalidé, lui, le 6 octobre 2015 par la CJUE). Pour effectuer des transferts en dehors de l’Union européenne, il reste la possibilté d’avoir recours au Clauses Contractuelles Types (CCT) de l’Union euréopenne ou aux Binding Corporate Rules (BCR). De surcroît, l’intérêt du système même du Safe Harbor ou du Privacy Shield s’érode du fait des lois américaines de lutte contre le terrorisme. Le Patriot Act, en particulier, dispose que les agences de renseignement peuvent accéder à toute donnée personnelle hébergée par un prestataire américain en cas de suspicion de terrorisme ou d’espionnage.

Le règlement général sur la protection des données qui est entré en vigueur le 25 mai 2018 vient renforcer le droit des personnes. Il prévoit notamment un consentement renforcé et plus de transparence. Ainsi le consentement au sens du RGPD doit être spécifique, univoque et explicite.  L’expression du consentement est définie :

  • les utilisateurs doivent être informés de l’usage de  leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambiguë.
  • Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Ces dispositions viennent notamment ajouter des éléments à intégrer dans le contrat de Cloud.

Cas du responsable du traitement et du sous-traitant :

Dans le règlement général sur la protection des données une plus grande responsabilité est supportée par le sous-traitant.

Le contrat de Cloud doit prévoir certaines clauses couvrant notamment :

  • Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
  • Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
  • Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

La CNIL propose un guide pour le sous-traitant conforme au RGPD [10]

Maitrise du risque :

– Prévoir des obligations du prestataire en terme de protection de la sécurité et de la confidentialité des données à caractère personnel et des mesures techniques afférentes conforment au RGDP ;

– Exiger que les données personnelles restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

C / Sécurisation et confidentialité des données.

L’accès aux données doit être sécurisé afin d’éviter toute perte, fuite voire d’atteinte à l’intégrité desdonnées confiées par le client.

Maîtrise du risque :

– Répliquer les données sur plusieurs sites distants pour assurer le client de la récupération des données ;

– Prévoir le chiffrement des données du client et leur isolement technique au sein du serveur ;

– Prévoir un engagement de résultat du prestataire de restaurer les données dans des délais convenus ;

Accéder aux services par des connexions sécurisées et une authentification des utilisateurs permettant un accès rapide par le client ou toute autorité de régulation et mettre en place une procédure de gestion des identifiants et des responsabilités afférentes ;

– Effectuer des audits externes, notamment par les régulateurs et des tests d’intrusion sur les serveurs du prestataire pour s’assurer du niveau de sécurité global ;

– Définir un Plan d’Assurance Sécurité (PAS) exigeant notamment du prestataire le respect de certaines normes techniques telles que les normes ISO/CEI 27001 et ISO 27005 mais aussi ISO 27017 et 27018, fixant les méthodes et pratiques en matière de système de management de la sécurité de l’information (SMSI) ;

– Vérifier les effets juridiques des licences de logiciels libres, si utilisés ;

– Prévoir une clause de confidentialité encadrant le niveau d’engagement, les conditions de transfert des données, la durée de la confidentialité ;

– Encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles dans la clause de responsabilité.

– L’accès aux données du client dans le cadre de la prestation de Cloud computing

L’application de règles extraterritoriales et la conformité légale :

Risque : Le client peut parfois être soumis au respect de règles impératives encadrant le stockage des données notamment dans des secteurs régulés. Il pourra être tenu responsable vis-à-vis de son droit local et le cas échéant vis-à-vis de la législation du lieu où se situe le serveur, alors que les procédures administratives ou judiciaires étrangères de ces pays peuvent être méconnues, différentes, voire contradictoires avec le droit local du client.

Maîtrise du risque :

– Imposer une visibilité parfaite du lieu de stockage réel des données et identifier les serveurs;

– Exiger la localisation des serveurs en France ou au sein de l’Union Européenne pour garantir que les obligations légales du client sont suffisamment protégées avec un droit applicable fiable ;

– Préciser la loi française comme loi applicable au contrat.

Continuité de service :

Risque : La flexibilité induite par la limitation des investissements informatiques risque de créer une forte dépendance du client au prestataire, qu’il doit maîtriser.

Maitrise du risque :

– Assurer une pérennité des services en contractualisant un plan de réversibilité pour assurer une transférabilité des services et des données par le prestataire au client ou à d’autres prestataires. Ce plan de réversibilité doit prévoir i) des facteurs déclencheurs (carence du prestataire, dépôt de bilan du prestataire, changement de contrôle, libre choix du client, fautes/manquements du prestataire), ii) les conditions de mise en œuvre (simple discontinuité du service, arrêt total du service) iii) les modalités pratiques de fonctionnement du système d’information pendant la durée de la réversibilité en assurant la continuité du service sans remise en cause des niveaux de services attendus) le coût de celle-ci ;

– Garantir l’interopérabilité entre les services attendus et le système du client si nécessaire ;

– Mettre en place un plan d’urgence et de poursuite de l’activité avec un site de secours localisé sur le même territoire que celui assurant la production.

Qualité de service :

Risque : La réalisation des services de Cloud computing, comme pour tout projet externalisé, comporte des risques au regard de la qualité de service rendue.

Maîtrise du risque :

– Engagement du prestataire sur la qualité et les performances de son « nuage » conformément à des niveaux de services (ou SLA) qui garantissent notamment une disponibilité de qualité du service assortie de pénalités en cas de non atteinte et la possibilité pour le client d’auditer les prestations;

– Mise en place d’outils de mesure efficaces pour évaluer la consommation des services particulièrement au regard des unités de mesure du stockage, de la bande passante, des ressources informatiques utilisées, du nombre d’utilisateurs actifs ;

– Vérifier que la clause de force majeure ne remet pas en cause les engagements du prestataire du fait notamment d’une coupure d’électricité, d’un redressement judiciaire de sous-traitants, sous couvert d’évènement irrésistible, imprévisible et extérieur ;

8 / Clauses essentielles des contrats de cloud.

Comme évoqué, les spécificités des services de cloud résident d’une part, dans tout ce qui touche au transfert, au traitement et à la conservation des données dont le client abandonne la maîtrise entre les mains du prestataire et, d’autre part, dans le fait que cela se réalise à distance au travers de l’interconnexion de réseaux numériques ouverts. Outre la clause définissant l’objet du contrat, qui prend un relief tout particulier dans un domaine où la variété des prestations possibles est importante, ce sont donc d’une part les clauses relatives aux modalités de traitement et de sécurité des données et des applications qui sont particulières sensibles, auxquelles doivent s’ajouter, d’autre part, quelques clauses relatives aux obligations spécifiques du prestataire et du client. Enfin, on n’omettra pas de prévoir une clause relative aux aspects internationaux du contrat s’il est destiné à être conclu entre un client et un prestataire de nationalité différente.

A / Objet du contrat

La variété extrême des offres de service auxquelles les prestations de cloud peuvent répondre oblige les parties à soigner particulièrement la rédaction de la clause d’objet du contrat.

Dans cette clause, il est nécessaire de bien définir les caractéristiques essentielles des prestations de cloud computing que le prestataire va mettre en œuvre au profit de son client, à savoir :

  • définition de la prestation d’hébergement des données ; définition de la prestation de fourniture d’applications en ligne ;
  • définition des différentes prestations connexes (par exemple : prestations d’infogérance, de développement spécifique, de paramétrages, fourniture d’accès au réseau, maintenance, sauvegarde, services web, hébergement de serveurs de messagerie, …) ;
  • type de cloud mis en œuvre (cloud privé, cloud communautaire – partagé entre plusieurs entités ayant une communauté d’intérêts, cloud public).

Au vu de ces exigences de précision et de détail des principales prestations prévues au contrat, on ne se contentera donc pas des clauses d’objet trop génériques qui se contentent souvent de l’indication que « Le « Fournisseur » consent au « Client », qui accepte : Un droit d’accès aux serveurs du

« Fournisseur » dans les conditions définies ci‐ après ; Un droit d’utilisation finale des services commandés ».

Ce type de rédaction qui renvoie intégralement les parties au contenu d’annexes techniques est trop succincte et ne permet pas de prendre connaissance du périmètre précis d’applications et de services que le prestataire accepte de prendre à sa charge pour le compte de son client.

B / Mise en place d’un SLA (service level agreement)

Afin que le client puisse vérifier que le service répond à ses besoins, la mise en place d’un Service Level Agreement (dit « SLA ») s’est généralisée. Il s’agit d’un document dans lequel le prestataire formalise la qualité du service et précise notamment les modalités, la performance du service (temps de réponse, temps de transmission des données …), la disponibilité des applications (horaires d’ouverture et de fermeture, périodes d’indisponibilités…).

Autant dire que la rédaction de cette clause requiert un peu plus de temps et d’attention que toutes les autres. Le prestataire doit être tout particulièrement vigilant à la rédaction et surtout à la lecture de cette clause dans la mesure où elle constitue en majeure partie une des causes de mise en jeu de sa responsabilité. Ainsi, lorsque le prestataire n’est pas en charge directement ou indirectement de l’infrastructure réseau mise en œuvre pour relier le client et les serveurs de cloud, ce dernier n’hésite pas à limiter le niveau de ses garanties de services.

L’un des documents de référence utiles pour rédiger cette convention de niveau de services est le document de l’Autorité nationale de la sécurité des systèmes d’information (ANSSI) « Maîtriser les risques d’infogérance » (et plus particulièrement son chapitre 4 : Le plan d’assurance sécurité). On peut signaler aussi le récent document rédigé au niveau européen par le C‐SIG « Cloud Service Level Agreement Standardisation Guidelines », 24 juin 2014).

Cette clause fait partie intégrante du contrat de cloud et fait le plus souvent l’objet d’une annexe.

Les engagements contenus dans le SLA portent tant sur les services applicatifs que sur leur accès par le biais des liaisons télécoms. La question du niveau de disponibilité est, en particulier, critique pour une exploitation à distance puisque le client qui a externalisé ses données et les applications nécessaires à leur traitement recherche un système qui continue à être disponible dans les mêmes conditions que ce sur quoi il pouvait compter avant l’externalisation (voir Cohen V. D., Le contrat d’externalisation Informatique ‐ Un contrat bien bordé !, Éd. Afnor, 2012, p. 35). De manière générale, le SLA établira des seuils garantis quant à la disponibilité de l’application et du réseau, la vitesse de transfert des données, les délais maximum d’interruption, la fréquence des backups, les délais de restauration des données et des applications, la performance et la sécurité du système, les procédures de contrôle de ces éléments. Généralement, ces seuils seront exprimés en pourcentage associés à certaines périodes.

Cette clause doit également prévoir comment les services seront contrôlés, avec quels outils, suivant quelle procédure d’audit, par qui, à quelle fréquence etc., pour pouvoir éventuellement engager ensuite la procédure de plainte qui sera très précisément décrite (la personne à contacter, la manière de formuler les plaintes, les procédures d’urgence, les temps maximum dans lesquels le prestataire devra réagir, etc.). Des outils de support à toutes ces procédures doivent également être pointés, leur niveau et nature (helpdesk, combien d’opérateurs y sont disponibles, de quelle heure à quelle heure, quel jour, qui sont les personnes payées pour répondre à toute question, qui est responsable pour le « service clientèle » au sein de l’ASP, etc.). C’est la phase dite de « reporting » (voir à ce sujet, Verbiest T., ASP et SLA : les contraintes juridiques, 19 nov. 2003, www.solutions‐journaldunet.com).

Cette clause peut donc organiser un mécanisme de sanctions acceptables par les deux parties mais qui doit en tout état de cause être incitatif pour le prestataire et suffisamment prévisible pour le client pour permettre un véritable contrôle de qualité.

Dès lors, le prestataire sera sanctionné lorsque le seuil de performance n’est pas atteint sans que le client ait besoin de rapporter la preuve d’un quelconque manquement. D’un point de vue purement juridique cette clause de SLA revêt le caractère d’une clause pénale.

S’agissant du type de sanction, l’Information Technology Association of America (ITAA) précise quelles sont les sanctions couramment envisagées dans le cadre de SLA, dans des Guidelines accessibles sur le site www.itaa.org. Selon ces recommandations, les sanctions peuvent inclure des rabais mensuels (en pourcentage) sur les montants dus, en proportion de la performance réalisée par le prestataire dans le mois précédent, des réductions spécifiques,

préagréées, en cas de non‐atteinte des seuils de performance et la résiliation du contrat en cas de violation chronique des SLA (voir à ce sujet Furst X. et Jaccard M., ASP : vers un nouveau type de relation fournisseur client, 18 févr. 2002, www.clic‐droit.com).

Toutefois, il convient de préciser que l’insertion d’une telle clause dans le contrat de cloud n’exclut pas la rédaction d’une clause relative à la responsabilité et aux garanties offertes par le prestataire, comme nous le verrons plus loin.

C / Propriété intellectuelle

Elle sera nécessaire lorsque des développements sont confiés au prestataire mais également lorsque des outils mis à disposition du client par le prestataire sont utilisés, comme par exemple une plate‐forme de développement ou des structures de bases de données.

Si le prestataire utilise des logiciels standards en libre accès sur le marché ou sous licence libre, il n’y aura pas de risque pour le client. En revanche, si les technologies utilisées appartiennent au prestataire de cloud, il conviendra de prévoir une clause relative à la propriété intellectuelle du prestataire.

Par exemple, il conviendra d’inclure dans le contrat, une sous‐licence sur les logiciels standards utilisés dans le cadre du cloud et une licence sur le logiciel/programme/application qui a été crée

Comme pour les contrats ASP et SAAS, la clause de propriété intellectuelle d’un contrat de cloud doit énumérer précisément les modalités de l’utilisation des applications par le client final, qui se limitent le plus souvent à un droit de « piloter » à distance les fonctionnalités choisies. Toute autre utilisation, non prévue au contrat constituera, une contrefaçon.

Elle doit également préciser que le prestataire n’acquiert, du fait de l’exécution du contrat, aucun droit de propriété intellectuelle sur les données que le client lui transfère et qui sont traitées à distance par les serveurs, et éventuellement les applications, du prestataire.

Enfin, comme pour l’hébergeur ‐ dont l’article 6‐I.7 de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) a prévu un régime de responsabilité allégé pour les hébergeurs vis‐à‐vis des contenus qu’ils hébergent ‐ le contrat de cloud comportera une clause exonérant et garantissant le prestataire contre une condamnation pour contrefaçon en raison du contenu des données appartenant à son client qu’il aurait stocké.

D / Confidentialité

Dès lors que le propre des prestations d’informatique dématérialisée est d’externaliser sur les serveurs du prestataire tout ou partie des applications ou des données du client, cela suppose que le prestataire et ses équipes puissent techniquement avoir accès à des informations confidentielles dudit client.

Dès lors, cette communication doit être strictement encadrée par une clause de confidentialité détaillée et rigoureuse.

Cette clause doit, au minimum, contenir les éléments suivants : une reconnaissance de principe du caractère entièrement confidentiel de toutes les données stockées et de toutes les opérations et traitements réalisés par le client sur et par le truchement des serveurs et de l’infrastructure du prestataire ; en conséquence, l’interdiction au prestataire de prendre connaissance du contenu de ces données ou de ces opérations et traitements, au-delà de ce qui leur est absolument nécessaire de connaître pour pouvoir assurer leurs prestations ; l’engagement du prestataire de faire respecter cet engagement par tous ses salariés ou commettants et de communiquer à des tiers non autorisés ou de les laisser accéder à ces données et informations confidentielles du client ; l’engagement du prestataire de mettre en œuvre des moyens de sécurité (à définir en annexe technique) pour assurer la sécurité et la confidentialité des données et informations dont le client a confié la garde et l’hébergement au prestataire ; l’obligation imposée au prestataire de prévenir le client de tout incident ayant mis en cause la confidentialité de ses données ou traitements.

Pour contribuer au développement d’une offre sécurisée de services de cloud, l’ANSSI (l’autorité nationale française de sécurité des systèmes d’information) a édité en 2014 un référentiel pour la qualification des prestataires de cloud présentant un niveau de sécurité et de confidentialité suffisant (ANSSI, Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) ‐ référentiel d’exigences, 30 juill. 2014).

E / Données personnelles

Le respect d’un niveau homogène de protection des données personnelles était l’une des difficultés majeures de la mise en place de contrat d’informatique dématérialisée.

Il est donc essentiel que ce contrat répartisse les rôles et les responsabilités entre le prestataire et son client en matière de respect des obligations légales en matière de protection des données personnelles.

À titre d’exemple, le Syntec recommande un article consacré aux données personnelles ainsi rédigé :

« Si les Données transmises aux fins d’utilisation des Services applicatifs comportent des données à caractère personnel, le Client garantit au Prestataire qu’il a procédé à l’ensemble des obligations qui lui incombent au terme de la loi du 6 janvier 1978 dite « Informatique & Libertés », et qu’il a informé les personnes physiques concernées de ‘usage qui est fait desdites données personnelles. À ce titre, le Client garantit le prestataire contre tout recours, plainte ou réclamation émanant d’une personne physique dont les données personnelles seraient reproduites et hébergées via le Service applicatif. »

Complété éventuellement par le paragraphe suivant :

« Dans le cas où les Données sont stockées sur des serveurs localisés dans des pays hors du territoire de l’Union Européenne, une autorisation spécifique de transfert des données doit être obtenue auprès de la CNIL. Le Prestataire s’engage à informer le Client de la localisation des Données et plus généralement, à communiquer toutes les informations utiles et nécessaires pour réaliser les déclarations. Le Client, en tant que responsable du traitement s’engage à conclure le standard contractuel établi par une décision de la Commission européenne du 5 février 2010 et à obtenir l’autorisation adéquate auprès de la CNIL » (extrait du guide contractuel, précité, Syntec, 2010, p. 13‐14).

Dans ce domaine particulièrement sensible, la normalisation apporte également un soutien utile, avec en particulier la nouvelle norme ISO/IEC 27018 sur les bonnes pratiques pour la protection des données personnelles dans les services Cloud (juillet 2014)

Par ailleurs, les articles 26 à 30 du projet de règlement européen sur la protection des données personnelles, renforcent également la pression légale sur les prestataires de service prenant en charge l’externalisation des données des responsables de traitement. Alors en effet que la précédente directive n’imposait de responsabilité directe qu’au seul responsable du traitement, le nouveau règlement vise explicitement les sous‐traitants, parmi lesquels les prestataires de service de cloud. Le responsable du traitement va avoir l’obligation de ne choisir comme prestataire qu’un professionnel qui présente des garanties suffisantes pour pouvoir assurer la sécurité du traitement et la protection des données personnelles qui lui sont confiées. Il aura également l’obligation d’inscrire dans le contrat de prestation des clauses obligeant le prestataire à respecter la légalité et la confidentialité du traitement de données personnelles, de manière à ce que – en cas de sinistre – le prestataire puisse être considéré comme co‐responsable du traitement et sanctionner comme tel.

F / Réversibilité

Comme dans toute forme d’externalisation, la réversibilité à l’issue du contrat est un élément essentiel qui doit garantir au client la possibilité de pouvoir reprendre le contrôle exclusif de ses données et de ses applications et qui doit pouvoir, pour ce faire, compter sur la coopération technique de son prestataire.

Les contrats de cloud computing sont évidemment régis par un principe de récupération des données par le client à la fin dudit contrat mais cette évidence doit faire l’objet d’une clause précise et il est donc recommandé de prévoir dans le contrat une clause de réversibilité qui permet au client de « reprendre ou de faire reprendre son informatique externalisée par un autre prestataire, afin d’assurer la continuité de l’activité sans dégradation de la qualité ».

Dans la plupart des cas, la récupération des données se fera via des fichiers intermédiaires (type fichiers plats) lesquels permettent de préserver le savoir-faire et les droits de propriété intellectuelle du prestataire.

Toutefois, l’inconvénient lié à cette pratique est le surcoût pour le client. Si cela semble justifié lorsque le client a pris la décision de changer de système, elle l’est moins lorsqu’il a été contraint de prendre cette décision en cas de faillite du prestataire ou en cas de manquement grave du prestataire à ses obligations.

Néanmoins, certains prestataires décident de régler dans le contrat le sort des données du client.

Trois situations sont fréquentes :

  • celle dans laquelle le prestataire conserve les données du client afin de permettre à ce dernier de les récupérer ;
  • celle dans laquelle il est prévu que les données seront immédiatement effacées à la fin du contrat ;
  • ou celle dans laquelle il est prévu que le prestataire refuse de préserver les données au‐delà de la fin du contrat sans préciser que celles‐ci seront effacées.

Par conséquence, la clause de réversibilité devra définir :

  • les délais et modalités de fournitures des données : il faudra prévoir les responsabilités éventuelles en cas de dégradation, perte, d’accès non autorisé et/ou de détournement de fichiers lors de la transmission ; le format du fichier de restitution ;
  • la documentation qui permet d’identifier les données contenues dans le fichier intermédiaire comprenant les données restituées ;
  • la collaboration attendue du client, et ce afin de déterminer les destinataires du fichier de restitution ;
  • les modalités d’assistance complémentaire éventuelle : il faudra définir les délais, les personnes, les coûts et les responsabilités.

Cette clause doit donc être complétée généralement par un véritable « plan de réversibilité » car comme le soulignent H. Alterman et F. Perbost, « un plan de réversibilité doit être prévu lors de l’expiration ou de la résiliation du contrat. Ce plan mettra en place les conditions de remise par le prestataire de l’ensemble des données et informations – sous un format exploitable – nécessaires à une reprise de service par un autre prestataire ou par l’utilisateur».

Il n’est pas rare, en pratique de constater également au sein de la convention entre le titulaire originel des droits sur les logiciels concernés et le prestataire la possibilité pour l’éditeur du logiciel de se substituer au prestataire de cloud au terme du contrat entre ce dernier et son client. Dans cette hypothèse particulière de réversibilité, le client s’attachera, dans son contrat avec le prestataire, aux conditions, notamment financières, de cette substitution (Cordier G., Le contrat ASP, Comm. com. électr. 2008, no 10, prat. 9).

Notons que la jurisprudence a commencé à connaître des litiges liés aux difficultés de réversibilité, y compris dans le contexte d’application de type SaaS et cloud. C’est ainsi que le Tribunal de grande instance de Nanterre a rendu une ordonnance de référé par lequel il a fait injonction sous astreinte au prestataire SaaS de fournir au client tous les moyens techniques lui permettant de réaliser l’exportation de ses données hébergées, ou à défaut de lui consentir au‐delà de la date de fin du contrat la continuation gratuite du service le temps nécessaire à ce qu’il soit en état de procéder à cette exportation (TGI Nanterre, réf., 30 nov. 2012, UMP c/ Oracle France, Expertises 2013, pp. 358‐360).

G / Audit

Pour pallier la relative dépossession technique qu’induit pour le client le recours à une prestation de cloud, il est également conseillé d’introduire dans le contrat une clause d’audit permettant au client de procéder en cours d’exécution du contrat à des vérifications par un tiers extérieur de la conformité de la prestation aux stipulations contractuelles, et notamment aux engagements de niveau de service, de sécurité et de protection des données.

H / Assurance

Le prestataire doit indiquer dans le contrat qu’il est assuré pour les risques spécifiques au Cloud. Quant au client, il est souhaitable qu’il souscrive à une assurance compte tenu des risques financiers qu’il encourt pour le vol ou la perte de ses données.

9 / Conclusion.

Attractif pour les entreprises, le Cloud computing reste complexe à maitriser compte tenu de la disparité et du caractère « opaque » et disparate de certains « nuages ». Il conviendra par conséquent pour les clients de procéder à une analyse préalable des risques. L’encadrement juridique est primordial en particulier en ce qui concerne la sécurisation des applications et des données, la confidentialité et l’organisation d’audits de sécurité et la prévention des risques, avec des clauses relatives au droit applicable, à la qualité de service, à l’avertissement du client en cas de faille de sécurité, aux conditions de restauration de données et de réversibilité, permettant de rapatrier les données ou de les transférer à d’autres prestataires. Dans cet esprit de prévention des risques juridiques, il est conseillé de commencer par mettre en place des services de Cloud computing pour les applications les moins sensibles de l’entreprise, en particulier celles n’impliquant pas de données personnelles.

10 / Sources.

  • Note de l’autorité de contrôle prudentiel (ACPR) : Analyses et synthèses n°16 « Les risques associés au Cloud Computing » en date de juillet 2013
  • Discours de Jean-Marc Sauvé, Vice-président du Conseil d’Etat, lors du colloque de la Société de législation comparée, au Conseil d’Etat, le vendredi 11 octobre 2013.
  • Lamy droit du numérique « les contrats d’informatique dématérialisée (cloud computing).
  • Présentation AFDIT-Colloque du 29 novembre 2012 – Le cloud, c’est quoi au juste ? Yves Leroux.
  • Recommandations de la CNIL sur l’utilisation du cloud computing du 25 juin 2012.
  • Dossier CNIL « Règlement européen sur la protection des données : ce qui change pour les professionnels du 15 juin 2016.
  • Rapport du CSA (Cloud Security Alliance) de février 2016.
  • Rapport de l’ISACA de 2016 « Cloud computing Market Maturity ». L’ISACA est une association professionnelle internationale dont l’objectif est d’améliorer la gouvernance des systèmes d’information, notamment par l’amélioration des méthodes d’audit informatique
  • Pour information, l’arborescence des normes ISO SC27 par la CNIL :

[1] Voir en particulier E. Sordet, R. Milchior, « Le cloud computing, un objet juridique non identifié », Communication Commerce Electronique, 2011, n°11, p. 12 ; E. Sordet, R. Milchior, « La définition des contours juridiques du cloud computing », Communication Commerce Electronique, 2012, n°11, p. 7.

[2] Définition du cloud computing sur http://www.cnil.fr/les-themes/technologies/cloud-computing/. 

[3] Le National Institute of Standards and Technology (NIST) est une agence du Département du Commerce des Etats-Unis, qui promeut l’économie en développant des technologies. Voir http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[4] JORF, n°0129 du 6 juin 2010, « Informatique en nuage, », Vocabulaire de l’informatique et de l’internet, p. 10453.

[5] M. Delmas-Marty, Le relatif et l’universel. Les forces imaginantes du droit, Ed. du Seuil, 2004, p. 337.

[6] Article 2 du règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale.

[7] Règlement (CE) n° 593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (Rome I). 

[8] Article 4 du règlement. 

[9] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[10] https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Benoît Bellaïche
b.bellaiche@gmail.com

Droit à l’oubli : quelles sont les conséquences de la décision « Google Spain » ?

Dans sa décision du 13 mai 2014, la Cour de justice de l’Union européenne est venue consacrer le droit à l’oubli.

L’arrêt dit “Google Spain”, a ouvert la reconnaissance d’un droit à l’oubli en se fondant sur le droit de correction et d’opposition reconnus aux personnes concernées par la Directive 95/46 sur la protection des données. Cette directive vise à protéger les libertés et droits fondamentaux des personnes physiques (droit à la vie privée notamment) lors du traitement des données à caractère personnel tout en éliminant les obstacles à la libre circulation de ces données.

CJUE 2La Cour de justice de l’Union constate que le moteur de recherche, en l’espèce Google est “responsable du traitement” des données à caractère personnel conformément à la directive 95/46.

La Cour souligne dans ce contexte qu’un traitement de données à caractère personnel réalisé par un tel exploitant permet à tout internaute, lorsqu’il effectue une recherche à partir du nom d’une personne physique, d’obtenir, par la liste de résultats, un aperçu structuré des informations relatives à cette personne sur Internet. Ces informations peuvent notamment concerner des éléments relatifs à la vie privée.

Ainsi, la suppression de liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir des répercussions sur l’intérêt légitime des internautes potentiellement intéressés à avoir accès à l’information en question, la Cour constate qu’il y a lieu de rechercher un juste équilibre notamment entre cet intérêt et les droits fondamentaux de la personne concernée

GoogleLa Cour indique que dans le cadre de l’appréciation d’une demande de suppression introduite par la personne concernée à l’encontre du traitement réalisé par l’exploitant d’un moteur de recherche, il convient notamment d’examiner si cette personne a un droit à ce que de suppression les informations en question relatives à sa personne ne soient plus, au stade actuel, liées à son nom par une liste de résultats qui est affichée à la suite d’une recherche effectuée à partir de son nom. Si tel est le cas, les liens vers des pages web contenant ces informations doivent être supprimés de cette liste de résultats, à moins qu’il existe des raisons particulières, telles que le rôle joué par cette personne dans la vie publique, justifiant un intérêt prépondérant du public à avoir, dans le cadre d’une telle recherche, accès à ces informations.

Le 18 septembre 2014, un jugement néerlandais à fait application de la jurisprudence “Google Spain” de la Cour de Justice de l’Union européenne reconnaissant le droit à l’oubli numérique. Prenant en compte les critères dégagés précédemment par la Cour de justice de l’Union européenne, le tribunal estime qu’il n’y a pas lieu de supprimer les liens URL renvoyant vers des informations relatives à une condamnation pénale récente pour instigation au meurtre.

Le juge effectue une balance des intérêts entre la liberté d’information et le droit à la vie privée de l’internaute concerné afin de répondre à ses diverses demandes. Le juge hollandais constate notamment que le demandeur a commis un crime récent et grave, qui a donné lieu à une large publicité (émissions télévisés, articles de presse, le livre précité). Et qu’il est normal que cette publicité négative soit aussi relayée par internet pendant un temps assez long.

CJUELa jurisprudence “Google Spain” ne vise pas à protéger les personnes de toute diffusion d’informations négatives à son sujet présentes sur la toile. Elle a pour objectif de préserver celles-ci d’informations non pertinentes, excessives, diffamatoires ou encore ayant un caractère excessif ou inadéquat, car survenant des années après les faits et qui, partant, infligeraient inutilement une atteinte à la réputation d’un particulier.

Cette première jurisprudence néerlandaise peut limiter les craintes que certains commentateurs avaient pu avoir à propos d’un droit à l’oubli absolu.

L’intérêt de ce jugement réside dans le fait que les juridictions nationales seront sans doute enclines à réajuster les valeurs à équilibrer.

Toujours concernant le droit à l’oubli, Google a mis à jour vendredi 10 octobre, son rapport de transparence, un document qui liste les demandes qui lui ont été faites par les gouvernements et les autorités (de retrait de contenu ou d’information sur ses utilisateurs notamment) et désormais les demandes de déréférencement.

Rapport GoogleAinsi, le nombre de demandes continue à augmenter : à ce jour, le moteur de recherche a reçu 144 907 demandes individuelles, concernant 498 737 résultats de recherche. Le moteur de recherche en avait déjà reçu 91 000 au milieu de l’été.

La France est toujours championne d’Europe des demandes de déréférencement, avec plus de 29 140 demandes pour presque 89 277 URL, devant l’Allemagne et le Royaume-Uni.

Benoît Bellaïche
b.bellaiche@gmail.com

Que contient la directive sur l’harmonisation de la gestion des droits d’auteur ?

commission européenneLe 4 février 2014, la directive pour l’harmonisation de la gestion des droits d’auteur à été adoptée par le Parlement européen.

Mais derrière les termes d’harmonisation, que prévoit cette directive ? Cet article propose un résumé rapide du contenu de la directive.

-Proposition de directive du 11 juillet 2012.

-Projet adopté le 4 février 2014 par le Parlement européen.

-Ce projet doit être adopté par le Conseil européen puis transposé par les Etats membres dans les deux ans suivant l’adoption.

La proposition de directive du 11 juillet 2012 comprend deux principaux objectifs :

  • Une amélioration de la transparence des différentes sociétés de gestion collective en Europe.
    • Des règles relatives à l’organisation de l’affiliation aux sociétés de gestion collective.
    • Des règles sur la gestion financière. La société de gestion collective devrait :
      • i) préciser les prélèvements applicables dans ses accords avec les titulaires de droits ;
      • ii) garantir aux membres et aux titulaires de droits un accès équitable aux services sociaux, culturels ou éducatifs qu’elle financerait avec des prélèvements ;
      • iii) payer sans délai les sommes exactes dues aux titulaires de droits et s’efforcer d’identifier les titulaires de droits.
    • Des obligations d’information :
      •  i) information des titulaires de droits sur les montants perçus et versés, les frais de gestion facturés et les autres prélèvements effectués ;
      • ii) information des autres sociétés de gestion collective sur les droits gérés en vertu d’accords de représentation ;
      •  iii) information sur demande des titulaires de droits, des autres sociétés et des utilisateurs ;
      • iv) publication d’un rapport annuel de transparence.
  • Une facilitation de l’obtention de licences paneuropéennes pour les acteurs du marché de la musique en ligne.
    • Traiter avec efficacité et transparence les données nécessaires à l’exploitation de ces licences, en ayant recours à une base de données évolutive, fiable et contenant les données nécessaires.sonos_concept_streaming
    • Transparence en ce qui concerne le répertoire de musique en ligne qu’elle représente.
    • Offrir aux titulaires de droits et aux autres sociétés la possibilité de corriger les données pertinentes et d’en assurer l’exactitude.
    • Contrôler l’utilisation réelle des œuvres couvertes par les licences, être en mesure de traiter les déclarations d’utilisation et la facturation.
    • Payer sans délai les titulaires de droits et les autres sociétés de gestion collective et leur fournir des informations sur les œuvres utilisées et les données financières relatives à leurs droits (par exemple, les montants perçus, les prélèvements effectués).

Les critiques :

  • La Commission européenne a lancé des consultations et pourrait faire des propositions pour une remise à plat du droit d’auteur. On peut penser à la consultation « Des licences pour l’Europe » qui vise à résoudre les problèmes auxquels les citoyens européens peuvent se heurter dans plusieurs domaines (Accessibilité et la portabilité transfrontières des services, contenus créés par les utilisateurs et octroi de micro-licences, patrimoine audiovisuel…). Mais, la Commission a aussi lancé une consultation publique sur le sujet en ligne jusqu’au 5 mars, sous la forme de 80 questions.
  • Le questionnaire a fait bondir les auteurs. Selon eux, les questions, seraient biaisées.
  • Les créateurs craignent un affaiblissement de leurs droits sous la forme d’une augmentation du nombre d’exceptions au droit d’auteur ou de réduction de la période pendant laquelle les droits sont protégés.
  • La Commission européenne rédigera ensuite un Livre blanc pour synthétiser le résultat de cette consultation et faire des propositions.
  • Le 29 janvier, l’association européenne des auteurs-compositeurs (ECSA) a lancé une pétition en ligne « contre le démantèlement des droits des créateurs » en Europe. Cette pétition est en ligne jusqu’au 5 mars 2014.

Pour en savoir plus sur la proposition de directive du 11 juillet 2012 : http://bit.ly/1bSq6sc

Benoît Bellaïche
b.bellaiche@gmail.com

La signature électronique, qu’est-ce que c’est ?

 

La Signature électronique :

1) Définition

  • Mécanisme qui permet de garantir l’intégrité d’un document électronique et d’authentifier l’auteur.
  • Elle est fondée sur la cryptographie asymétrique et repose sur l’exploitation d’une clé publique et d’une clé privée qui sont mathématiquement liées. Le destinataire peut déchiffrer la signature électronique grâce à la clé publique contenue dans un certificat numérique. Ainsi la signature électronique utilise deux composants logiciels : un dispositif de création de signature pour le signataire et un dispositif de vérification de signature pour le destinataire d’un fichier signé.
  • La signature doit être :
    • Authentique
    • Infalsifiable
    • Non réutilisable
    • Inaltérable
    • Irrévocable

2) Textes applicables

  • Union européenne :
    • Directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques.
  • France :
    • Loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.
    • Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
    • Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
      • Décret n°2001-272 du 30 mars 2001, pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique.
      • Décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information.
      • Décret n°2010-671 du 18 juin 2010 relatif à la signature électronique et numérique en matière pénale et modifiant certaines dispositions de droit pénal et de procédure pénale.

TGI Paris

La jurisprudence sur la différence entre version papier et version numérique :

  • L’article 1316-1 du code civil dispose : : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».
  • L’article 1348 du code civil admet la valeur probatoire d’une copie dès lors que celle-ci est une reproduction fidèle et durable de l’original.
    • La Cour de cassation en a rappelé le principe dans  l’arrêt n° 07-17622 du 4 décembre 2008, où une partie tentait de démontrer l’existence d’un courrier en en produisait une copie informatique qui n’était pas la reproduction exacte du présumé courrier.
    • Dans des espèces semblables, la Cour de cassation a toutefois admis que ce principe pouvait être aménagé si, même en l’absence d’une copie fidèle, de nombreux autres indices pouvaient laisser à penser que le courrier existait et que son destinataire l’avait bien reçu. (Cour de cassation, civile 2, 1 juillet 2010 n° Y 09-14.685 et 17 mars 2011 Civ 2 n° 10-14.850).

Benoît Bellaïche
b.bellaiche@gmail.com

Google est-il soumis à la loi informatique et libertés ?

L’Application territoriale de la loi informatique et libertés est notamment problématique concernant la société Google.

GoogleL’article 2 alinéa 1 de la loi Informatique et libertés prévoit que cette loi s’applique « lorsque leur responsable [de traitement] remplit les conditions prévues à l’article 5 ».

L’article 5 de la loi Informatique et libertés pose le principe de territorialité de la loi :

« I. – Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi.

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.

II. – Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui ».

a. Critère lié à l’établissement de la personne sur le territoire français.

La loi considère que le responsable de traitements qui « exerce une activité sur le territoire français dans le cadre d’une installation quelle que soit sa forme juridique, y est considéré comme établi ».

L’article ne vise donc pas le lieu du siège social du responsable de traitement mais bien toute entité par laquelle il opère le traitement de données à caractère personnel. Autrement dit il peut s’agir d’une succursale ou d’une filiale.

Une simple domiciliation sans activité effective associée à l’installation ne suffirait pas à satisfaire le critère d’avoir un établissement sur le territoire français.

b. Critère de territorialité des moyens utilisés.

Indépendamment du fait que le responsable de traitements soit ou non établi sur ce territoire français, un autre critère permet l’applicabilité de la loi Informatique et libertés : des moyens utilisés en France. La notion de « moyens utilisés » est entendue très largement et englobe notamment :

-Les équipements informatiques.

-L’exploitation effective des traitements et ce même si les équipements sont localisés dans un autre pays.

-Le personnel dédié à la gestion des équipements ou à l’exploitation des ressources.

La jurisprudence concernant Google a évolué récemment :cour_dappel

Dans une ordonnance du 14 avril 2008 du TGI de Paris : Google échappe à la loi informatique et liberté.

Bien que la demanderesse soit française, le juge écarte la loi « Informatique et libertés ». Pour cela, il s’appuie sur son article 5 qui prévoit que les traitements de données personnelles soumis à la loi de 1978 modifiée en 2004 sont ceux dont le responsable est établi en France ou qui a recours à des moyens de traitement situés en France. En l’occurrence, Google.fr, site à partir duquel les messages en question ont été envoyés et consultés, est édité par Google Inc., société américaine dont les serveurs se trouvent en Californie. Cette dernière dispose bien d’une filiale en France, mais le tribunal considère que celle-ci n’agit qu’en qualité de simple agent qui ne dispose d’aucun mandat pour administrer le moteur de recherche ou le service Google Groupes.

Le TGI a par ailleurs refusé l’application de la loi française, sur le fondement de l’exception d’ordre public. Cette règle de droit international privé permet au tribunal d’imposer le choix de la loi française s’il estime que le droit étranger compromettrait les valeurs fondamentales de notre droit.

Dans une ordonnance de référé du 28 octobre 2010, le TGI de Montpellier la loi informatique et liberté vient s’appliquer à Google.

Le juge des référés ne s’est pas attardé sur la question de l’application de la loi de 1978 modifiée à Google Inc., société de droit américain dont les serveurs sont situés outre-Atlantique. Il s’est contenté de faire référence à l’article 5 de la loi qui prévoit les règles de compétence territoriale de ses dispositions, en indiquant que la loi s’applique « lorsque leur responsable remplit les conditions prévues à l’article 5 ».

-Concernant la même affaire, l’arrêt du 29 septembre 2011 de la Cour d’appel de Montpellier confirme le jugement du 28 octobre 2010, et la loi informatique et liberté vient à nouveau s’appliquer à Google.

« Or, dans le cadre de ses opérations d’indexation consistant en l’analyse par ses logiciels de dizaines de milliards de pages internet de par le monde dans le but de les indexer pour les mettre ensuite à la disposition des utilisateurs de ses services, la société GOOGLE INC, qui a elle-même ses propres serveurs de stockage dans différents pays de la Communauté européenne, utilise et a nécessairement besoin à des fins de traitement de l’ensemble des moyens que constituent les ordinateurs individuels et les serveurs lesquels, en ce qui concerne les sites incriminés dans le présent litige et libellés en langue française, sont nécessairement dans leur grande majorité, implantés sur le territoire français ou sur le territoire d’un Etat membre de le la communauté européenne.

Il convient en conséquence de considérer que la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est bien territorialement applicable à la société GOOGLE INC. »

Le 15 février 2012, le tribunal de grande instance de Paris a été saisi en référé d’une demande semblable à celle exposé ci-dessus : une femme qui dans sa jeunesse, avait tourné dans des films pornographiques, demandait que Google désindexer les liens renvoyant vers ces films. Sa demande était fondée sur le droit au respect de sa vie privée et sur son droit d’opposition au titre de la loi informatique et libertés.

Le tribunal  a constaté une atteinte au droit au respect à la vie privée et a ordonné à Google Inc. De désindexer les pages en cause. Le tribunal s’est surtout attaché à vérifier la responsabilité de Google au sens de la LCEN, et n’a pas évoqué la question de l’application territoriale de la loi informatique et libertés.

Le 6 novembre 2013, la 17ème chambre du TGI de Paris ordonne à Google de retirer et de cesser, pendant une durée de cinq années, l’affichage sur le moteur de recherche Google images qu’elle exploite, des neuf images dont Max Mosley a demandé l’interdiction. Cette décision se base sur le respect de la vie privée.

Dans ses demandes la partie défendant Max Mosley invoque la loi informatique et liberté (page 3), mais les juges ne reprennent pas cet argument dans leur décision.

Il semble que les dernières décisions rendues se penchent plus vers la protection de la vie privée. La question territoriale du traitement des données étant écartée.

Le 13 mai 2014, dans l’arrêt « Google Spain » la Cour de justice de l’Union européenne se prononce notamment sur le droit à l’oubli et sur l’application territoriale de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.  la Cour observe que Google Spain constitue une filiale de Google Inc. sur le territoire espagnol et, partant, un « établissement » au sens de la directive. La Cour rejette l’argument selon lequel le traitement de données à caractère personnel par Google Search n’est pas effectué dans le cadre des activités de cet établissement en Espagne. La Cour considère à cet égard que, lorsque de telles données sont traitées pour les besoins d’un moteur de recherche exploité par une entreprise qui, bien que située dans un État tiers, dispose d’un établissement dans un État membre, le traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la directive, dès lors que celui-ci est destiné à assurer, dans l’État membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier.

Benoît Bellaïche
b.bellaiche@gmail.com

« Des licences pour l’Europe » ou la tentative d’assouplissement de l’application du droit d’auteur dans l’Union européenne.

commission européenne

– Les licences d’exploitation des œuvres de l’esprit sont des contrats passés entre des auteurs ou ayants droit et d’autres personnes à qui elles concèdent des droits dont ils ont acquis l’exclusivité au titre du droit d’auteur.

– En moyenne, chaque minute, 72 heures de vidéo sont chargées sur YouTube et plus de 150 000 photos sont publiées sur Facebook. Parfois, ces contenus créés par les utilisateurs «réutilisent» du matériel existant (comme les remixes, les mashups ou les vidéos faites maison avec une bande-son ajoutée) et, de ce fait, sont souvent couverts par une forme de licence octroyée par les titulaires de droits. Parallèlement, les petits utilisateurs de contenus doivent déployer une énergie considérable pour savoir comment acquérir des licences.

– Cette action de négociations qui a pour but de simplifier la pratique des utilisateurs semble être un faible palliatif à l’absence d’une véritable volonté de modification du droit d’auteur à l’ère du numérique.

En décembre 2012, la Commission européenne a adopté une communication qui tend à ce que le cadre de l’UE sur le droit d’auteur reste adapté à son objet dans l’environnement numérique.

Ce dialogue intitulé « Des licences pour l’Europe » s’est achevé le 13 novembre 2013.

Lors de la dernière séance plénière, les participants au dialogue «Des licences pour l’Europe» se sont engagé à résoudre les problèmes auxquels les citoyens européens peuvent se heurter dans quatre domaines:

-l’accessibilité et la portabilité transfrontières des services ;

-les contenus créés par les utilisateurs et l’octroi de micro‑licences ;

-le patrimoine audiovisuel ;

-la fouille de textes et de données.

« Nous devons faire preuve de pragmatisme pour progresser dans le domaine du droit d’auteur», a quant à elle déclaré Neelie Kroes, qui assure, sans avoir l’air d’y croire, que « si l’industrie parvient à concrétiser ces engagements, nous franchirons un pas supplémentaire vers la concession de licences de contenus véritablement adaptées à l’ère numérique ». Elle prévient cependant, encore, toujours, qu’il faudra « maintenant nous intéresser au rôle que la législation actualisée pourrait jouer dans l’accomplissement de nouveaux progrès ».

Plusieurs critiques sont faite, notamment par plusieurs organisations de défense des droits des internautes, comme EDRI ou la coalition Copyright For Creativity, qui ont appelé à ouvrir d’urgence ce chantier d’une révision législative du droit d’auteur. Certains estiment que la Commission européenne a utilisé ce processus « Licences for Europe », pour ne pas avoir à ouvrir à nouveau le chantier de la directive de 2001 sur le droit d’auteur et les droits voisins dans la Société de l’information.

Benoît Bellaïche
b.bellaiche@gmail.com

CJUE : Accès libre pour les retransmissions de la Coupe du monde et de l’Euro

Dans trois arrêts du 18 juillet 2013, la Cour de Justice de l’Union européenne a estimé que l’importance majeure pour la société que représentent les phases finales de la Coupe du monde de la FIFA et de la Coupe de l’UEFA permet d’interdire les retransmissions exclusives de ces évènements. Les phases finales de la Coupe du monde de la FIFA et de la Coupe l’UEFA seront ainsi en accès libre en Belgique et au Royaume-Uni.

fifaLa directive 2007/65/CE du 11 décembre 2007 relative à l’exercice d’activités de radiodiffusion télévisuelle permet aux Etats membre de l’Union européenne d’interdire la retransmission exclusive des événements qu’ils jugent d’une importance majeure pour leur société, lorsqu’une retransmission priverait une partie importante du public de la possibilité de suives ces événements sur une télévision à accès libre.

La Belgique et le Royaume-Uni ont dressé respectivement une liste des événements considérés comme revêtant une importance majeure pour le public. Ces listes contenaient notamment pour la Belgique, tous les matchs de la phase finale de la Coupe du monde et de l’Euro. Les listes ont été envoyées à la Commission européenne qui a décidé qu’elles étaient compatibles avec le droit de l’Union.

En France, le décret n°2004-1392 du 22 décembre 2004 relatif à la diffusion des événements d’importance majeure dresse la liste des événements considérés comme revêtant une importance majeure. Cette liste est plus restrictive. Concernant  la Coupe du monde de football, seulement le match d’ouverture, les demi-finales et la finale doivent être en accès libre. Pour l’EURO, seul la finale de la Coupe doit être en accès libre.
Une proposition de loi relative aux conditions de retransmission des événements sportifs à la télévision a été enregistrée à la Présidence de l’Assemblée Nationale le 15 mai 2013. Elle vise à élargir les événements sportifs en accès libre.

La Fédération internationale de football association (FIFA) organise la phase finale de la Coupe du monde de football et l’Union des associations européennes de football (UEFA) organise la phase finale du championnat d’Europe de football. La vente des droits de retransmission télévisuelle de ces compétitions constitue une source importante de leurs revenus.

La FIFA et l’UEFA ont attaqué les décisions de la Commission européenne qui validait les listes belges et anglaises en contestant le fait que tous ces matchs puissent constituer des événements d’une importance majeure pour le public de ces Etats. Mais les recours de la FIFA et de l’UEFA ayant été rejetés, celles-ci ont introduit des pourvois devant la Cour de justice.

Dans trois décisions du 18 juillet 2013, la Cour de justice de l’Union européenne énonce :

 -Tout d’abord que la désignation par un Etat membre de certains événements comme étant d’une importance majeure pour sa société et l’interdiction de leur retransmission exclusive constituent des entraves à la libre prestation des services, à la liberté d’établissement, à la libre concurrence et au droit de propriété.CJUE 2

-Toutefois, de telles entraves sont justifiées par l’objectif visant à protéger le droit à l’information et à assurer un large accès du public aux retransmissions télévisées de ces événements.

Dans ce contexte, la Cour souligne qu’il appartient aux seuls États membres de désigner les événements en question et que le rôle de la Commission dans ce domaine se limite à vérifier si ceux-ci ont respecté le droit de l’Union lors de l’exercice de leur pouvoir d’appréciation. Ainsi, lorsqu’un événement a été valablement désigné par un État membre comme ayant une importance majeure, la Commission doit exercer un contrôle restreint sur cette désignation et n’est notamment tenue d’examiner que ses effets sur les libertés et droits reconnus par le droit de l’Union qui vont au-delà des effets intrinsèquement liés à une telle qualification.

La Cour constate que les phases finales des différents championnats peuvent effectivement être divisées en matchs dont l’importance pour le public n’est pas forcément identique. Les Etats sont alors dans l’obligation de justifier l’interdiction d’une retransmission exclusive pour l’ensemble du championnat.
En l’espèce, la CJUE estime que tous les matchs des phases finales de la Coupe du monde de football, et de celles du championnat d’Europe de football ont une importance majeure pour le public anglais et belge, et justifie alors l’interdiction de retransmission exclusive pour l’intégralité des matchs.

Dans ces circonstances, la Cour rejette dans leur intégralité les pourvois formés par la FIFA et l’UEFA.Coupe du monde

Il faudra voir l’impact de ces décisions notamment en France ou la concurrence est rude concernant l’obtention des droits télévisuels pour ces compétitions entre Canal +, TF1 et le désormais incontournable BeIN Sport. Si le gouvernement donne la qualité d’évènement majeur à toute la phase finale de la Coupe du monde et de la Coupe d’Europe, comme en Belgique et au Royaume-Uni, les prix pourraient baisser.

Benoît Bellaïche
b.bellaiche@gmail.com

Accord antitrust entre Google et la FTC ; quelles conséquences pour la procédure en Europe

L’autorité américaine de la concurrence (Federal Trade Commission) a annoncé le 3 janvier 2013 qu’elle mettait fin à son enquête antitrust qui avait été ouverte en 2011 contre Google.

Il était reproché notamment à Google de manipuler les algorithmes de recherche au détriment de la concurrence. La FTC a conclu que les modifications réalisées sur ces algorithmes pouvaient être considérée de manière plausible comme des améliorations pour l’utilisateur. La commission a donc décidé de clore son enquête.

Le géant de Mountain View devra tout de même opérer quelques modifications de ses pratiques commerciales. Mais ces modifications seront mineures ; le moteur de recherche va revoir sa politique sur l’utilisation de contenus provenant d’autres sites. Il sera désormais possible pour un site de refuser l’intégration de ses contenus directement sur les pages de Google. Les annonceurs utilisant la plate-forme de mots-clés AdWords pourront désormais recueillir des données et les exporter vers des solutions publicitaires rivales.

Après l’accord passé entre la FTC et Google, le directeur juridique de la compagnie californienne David Drummond estime que : « La conclusion est claire : les services de Google sont bons pour les utilisateurs et pour la compétition. »

De son côté Microsoft à travers la voix de Dave Heiner critique la décision de la FTC. L’accord est jugée « moins exigeant que les engagements que le département de la Justice a obtenus de Microsoft et Apple il y a près d’un an. »

L’éditeur de Redmond ajoute aux critiques des faits ignorés par la FTC comme la difficulté pour les Windows Phone d’accéder à Youtube.

Cet accord peut paraître problématique car la FTC n’empêche pas Google de favoriser ses services. De plus Google va pouvoir éviter de nombreux procès long et coûteux comme ceux auxquelles avait dû faire face Microsoft.

On peut remarquer que pendant l’enquête de la FTC, Google a dépensé 25 millions de dollars en lobbying auprès des cercles politiques de la capitale américaine. Dans les années 90 Microsoft avait totalement ignoré Washington…

De l’autre côté de l’atlantique la Commission européenne a déjà fait savoir que la décision de la FTC n’aurait pas d’implication directe pour son enquête et pour les discussions avec Google qui se poursuivent.

La commission enquête sur Google depuis novembre 2010 et notamment sur le fait que le moteur de recherche favoriserait ses propres services dans les résultats affichés.

En cas de reconnaissance de la culpabilité de Google par la Commission européenne, le société américaine risque un amende représentant 10% de ses revenus, pouvant aller jusqu’à 4 milliards de dollars.

Joaquin Almunia, le commissaire européen chargé de la concurrence déclarait mi-décembre que les divergences avaient été substantiellement réduites entre Google et la commission.

Mais on note une différence importante dans la part de marché contrôlé par Google entre les Etats-Unis et l’Europe. Ainsi la part de marché de Google aux Etats-Unis est approximativement de 66%, alors que dans les principaux pays européens elle dépasse 90%…

Benoît Bellaïche
b.bellaiche@gmail.com

 

Droit d’auteur : pas de protection pour le langage de programmation d’un logiciel

Le 2 mai 2012, la Cour de justice de l’Union européenne a rendu un arrêt où elle rappelle les grands principes de la protection des logiciels par le droit d’auteur. Cette protection a été codifié notamment par la directive du 14 mai 1991 et le traité OMPI de 1996.

L’OMPI est l’organisation mondiale de la propriété intellectuelle. C’est une institution spécialisée des Nations unies. Son siège est situé à Genève. Sa mission officielle est de stimuler la créativité et le développement économique en promouvant un système international de propriété intellectuelle, notamment en favorisant la coopération entre les Etats.

La CJUE a rendu une décision dans le cadre d’une affaire qui opposait la société WPL à la société SAS. L’affaire avait pour objet une demande de décision préjudicielle au titre de l’article 267 du TFUE, introduite par la High Court of Justice (England & Wales), Chancery Division (Royaume-Uni), par décision du 2 août 2010, parvenue à la Cour le 11 août 2010, dans la procédure société Institute Inc. contre World Programming Ltd,

La société SAS Institute reprochait à la société WPL d’avoir contrafait son logiciel pour créer un programme alternatif au sien.

La société WPL ne détenait pas les codes sources du programme de la société SAS mais elle a fait l’acquisition d’une licence de la version d’apprentissage afin d’étudier l’architecture du logiciel. La société WPL a donc reproduit les fonctionnalités du logiciel de SAS avec le même langage de programmation et le même format de fichiers de données.

La Cour de justice de l’Union européenne vient réaffirmer que ni les fonctionnalités ni le langage de programmation et le format de fichiers de données utilisés dans le cadre d’un logiciel pour exploiter certaines de ses fonctions ne constituent une forme d’expression de ce programme. Ainsi ces éléments ne sont pas protégés par le droit d’auteur. La Cour ajoute que si cela devait être le cas, cela reviendrait à permettre à une personne de monopoliser des idées, au détriment de l’innovation.

La société WPL avait acquis une licence du logiciel de SAS pour étudier le programme et elle a réalisé un logiciel de substitution.

La Cour va considère que la « personne ayant obtenu une copie sous licence d’un programme d’ordinateur peut, sans l’autorisation du titulaire du droit d’auteur, observer, étudier ou tester le fonctionnement de ce programme afin de déterminer les idées et les principes qui sont à la base de n’importe quel élément dudit programme, lorsqu’elle effectue des opérations couvertes par cette licence ainsi que des opérations de chargement et de déroulement nécessaires à l’utilisation du programme d’ordinateur et à condition qu’elle ne porte pas atteinte aux droits exclusifs du titulaire du droit d’auteur sur ce programme ».

L’appréciation du respect par la société WPL des conditions prévues par la directive est laissée à la cour britannique.

La CJUE va aussi s’exprimer sur la copie du manuel d’utilisation du logiciel originel dans le second logiciel, considérant que cela pouvait constituer une violation du droit d’auteur, dès l’instant qu’il y a reproduction de la création intellectuelle propre à l’auteur du manuel. Elle précise que « ce n’est qu’à travers le choix, la disposition et la combinaison de ces mots, de ces chiffres ou de ces concepts mathématiques qu’il est permis à l’auteur d’exprimer son esprit créateur de manière originale et d’aboutir à un résultat, le manuel d’utilisation du programme d’ordinateur constituant une création intellectuelle ».

Ainsi la Cour affirme que « admettre que la fonctionnalité d’un programme d’ordinateur puisse être protégée par le droit d’auteur reviendrait à offrir la possibilité de monopoliser les idées, au détriment du progrès technique et du développement industriel. » Mais aussi que seul un tiers qui se procurerait « la partie du code source ou du code objet relative au langage de programmation ou au format de fichiers de données utilisés dans le cadre d’un programme d’ordinateur », et qui créerait « à l’aide de ce code, des éléments similaires dans son propre programme d’ordinateur », serait susceptible de violer le droit d’auteur.

On peut penser que la Cour tente de prévenir l’apparition de situations monopolistiques qui seraient de véritables freins pour l’innovation dans un secteur qui est en perpétuelle évolution.

Benoît Bellaïche
b.bellaiche@gmail.com

La Commission Européenne saisit la CJUE pour examiner le traité ACTA

La commission européenne a annoncé qu’elle allait demander à la Cour de Justice de l’Union européenne pour savoir si l’accord international sur la contrefaçon (ACTA) ne violait pas les droits fondamentaux.

Ainsi Karel De Gucht, le commissaire au Commerce a déclaré : « Nous avons l’intention de demander à la plus haute cour en Europe si Acta est, d’une manière ou d’une autre, incompatible avec les droits fondamentaux et les libertés fondamentales de l’Union européenne, comme la liberté d’expression, d’information ou la protection des données. »

De plus Viviane Reding qui est vice-président et commissaire européen chargé de la Justice, des Droits fondamentaux et de la Citoyenneté affirme que le droit d’auteur n’est pas un droit fondamental absolu et qu’il faut trouver l’équilibre entre la propriété intellectuelle et la liberté d’expression et d’information.

Si on analyse les récentes décisions rendues par la CJUE dans deux arrêts : Sabam contre Scarlet et Sabam contre Netlog, on voit clairement que la Cour européenne interdit d’une part un filtrage exercé par les fournisseurs d’accès à internet et d’autre part cette même interdiction de filtrage pour les réseaux sociaux.

Ainsi on peut penser que la décision de la CJUE sera défavorable au traité ACTA qui avait suscité une levée de bouclier. Même si la ratification du traité est encore en cours, certaines des dispositions les plus controversées ont été retirées de la version définitive.

Benoît Bellaïche
b.bellaiche@gmail.com