Quel régime juridique pour le Cloud ?

1/ multitude de définition et de caractéristiques du cloud.

Le cloud ne fait pas l’objet d’une définition uniforme [1]. De prime abord, on peut le définir comme un procédé qui consiste à stocker de manière externalisée des données dans un « nuage » informatique. Ce service à distance est fourni à ses clients par une entreprise prestataire, les transferts s’effectuant notamment par le biais d’Internet.

Une telle définition mérite toutefois d’être précisée :

  • CNIL :

Si l’on se réfère à la définition retenue par la CNIL, deux caractéristiques sont particulièrement mises en avant. L’externalisation et la simplicité.

Le cloud est défini comme une technique virtuelle de gestion des ressources. Le stockage est en effet dématérialisé ; on bascule d’une gestion interne vers une gestion extérieure au matériel de l’utilisateur. Il s’agit, selon la CNIL, de « la forme la plus évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant ».

Le second aspect souligné par la CNIL est que les services de cloud sont fondés sur la simplicité et la rapidité puisqu’ils fonctionnent à la demande. Simplicité, parce qu’ils se caractérisent par « une facturation à l’usage ». Rapidité, parce qu’ils offrent une « disponibilité quasi-immédiate des ressources » [2].

  • National Institute of Standards and Technology :

Pour le “National Institute of Standards and Technology”. Le cloud est « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables » [3]. Sont ici mises en avant la disponibilité mondiale des services cloud et l’ouverture à tous les utilisateurs, qui peuvent même intervenir, simultanément, sur des ressources partagées à travers le réseau.

  • Commission de terminologie et de néologie :

La définition de la Commission de terminologie et de néologie, publiée au Journal officiel, est quant à elle moins positive : « le cloud computing est une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance du client » [4]. Ici, c’est l’abstraction sur la localisation des données hébergées dans le cloud qui est mise en lumière.

  • European Bankin Authority :

La définition présente dans le « final report – Recommendations on outsourcing to cloud service providers » indique que le Cloud comprend : des services fournis à l’aide du cloud computing, c’est-à-dire un modèle permettant d’accéder à un réseau omniprésent, pratique et à la demande à un pool partagé de ressources informatiques configurables (réseaux, serveurs, stockage, applications et services, par exemple) qui peuvent être rapidement mises à disposition et diffusées avec un minimum d’efforts de gestion ou d’interaction entre fournisseurs de services.

« Services provided using cloud computing, that is, a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction ».

Il existe une grande variété d’accès et de services regroupés sous l’appellation cloud : cela va du webmail, d’accès gratuit, à un stockage avec niveau de service garanti, accessible sur abonnement.

Mais relèvent également de cette catégorie le cloud d’accès public, le cloud privé réservé aux collaborateurs autorisés et tiers d’une entreprise, le cloud hybride combinant ces deux types d’accès, ou encore le cloud communautaire (la possibilité pour plusieurs entités ou membres d’organisations ayant les mêmes besoins d’utiliser une seule et unique solution Cloud), partagé par des clients autour d’intérêts ou de projets communs.

2 / Difficile qualification juridique du cloud.

Une des principales difficultés de la qualification juridique d’un contrat de cloud réside dans la multitude des cas de figure qui peuvent être envisagés. En réalité, la qualification de la relation client‐prestataire dépendra avant tout des obligations contractuelles de ce dernier.

Pour cette raison, la doctrine tout comme les praticiens s’inquiètent parfois de la « nébulosité » des contrats de cloud (Papin E., Que se cache‐t‐il derrière la nébulosité des contrats de Cloud Computing ?, 16 déc. 2014, www.cio‐online.com) ou considèrent qu’ « en réalité, c’est le caractère protéiforme du cloud computing qui pose problème » (Brunaux G., Cloud computing, protection des données : et si la solution résidait dans le droit des contrats spéciaux ?, D. 2013, p. 1158).

On peut cependant rejeter d’emblée certaines qualifications. Ainsi qu’un prestataire de cloud soit généralement amené à fournir à son client une documentation détaillée sur le fonctionnement des systèmes et des applications qui se rapproche fortement de celle fournie lors d’une vente, on doit écarter immédiatement cette qualification. En effet, aucun transfert de propriété, ni corporelle ni incorporelle, ne résulte du contrat de cloud.

La location pourrait, en revanche, apparaître comme une qualification plus adaptée à cette opération. En effet, les contrats de cloud (comme les contrats de SaaS en particulier) se traduisent généralement par la mise à disposition du client de certaines ressources applicatives et de l’utilisation privative d’espaces de stockage de données. Mais ramener toute l’opération à une location, au sens de l’article 1709 du Code civil, serait certainement trop réducteur, car cela reviendrait à ignorer tous les services complémentaires qui sont fournis en complément et autour de la mise à disposition des applications et du simple hébergement.

Un contrat d’entreprise ?

Dès lors, et comme souvent en matière de contrat informatique, la qualification en contrat de louage de service ou contrat d’entreprise semble être la mieux adaptée et la plus représentative des multiples particularités des contrats de cloud. Cette qualification est aujourd’hui clairement adoptée par la doctrine (Cordier G., Le contrat ASP, Comm. com. électr. 2008, no 10, prat. 9 ; et à propos du cloud dans son ensemble : Chantepie G., L’inexécution du contrat de cloud computing, RLDI 2013/98, p. 117 ; également Brunaux G. dans son article précité, qui exclut la qualification de contrat de dépôt au profit de celle de prestation de services).

La possibilité d’utiliser des applications et des espaces de stockage moyennant le paiement d’une redevance est presque toujours accompagnée d’autres prestations, qu’il s’agisse de conseil, de formation, de maintenance ou de sauvegarde. Et par ailleurs, l’accès à l’application elle‐même est assuré au travers d’un service de communication à distance sécurisé qui constitue également une prestation technique particulière (et à propos de laquelle le prestataire prend des engagements spécifiques de performance et de disponibilité). Tous ces éléments se conjuguent alors facilement dans le cadre de la souplesse d’un contrat (y compris en comportant – comme le souligne G. Chantepie, dans son article précité – une obligation accessoire de garde des données du client).

Bien évidemment, comme cela est souvent le cas pour des contrats portant sur un ensemble complexe de prestations, cette qualification dominante de l’ensemble de l’opération contractuelle n’est pas exclusive de ce que l’exécution de certaines prestations ou fournitures particulières puissent être régies par des clauses appartenant à des types spécifiques de contrats spéciaux (vente, location, licence, …).

En définitive, les contours du cloud computing méritent d’être précisés, autour de certaines spécificités incontournables : externalisation et hyper-capacité du stockage, disponibilité mondiale et quasi-immédiate des ressources, accessibilité à tous et sur tout type d’appareils, facturation à la demande mais aussi, ce qui ne va pas sans poser de nombreux problèmes.

3/ Les avantages du Cloud.

Le Cloud computing est un ensemble de prestations informatiques, accessibles à la demande, via des réseaux sécurisés ou non, permettant au client de disposer de capacités de stockage et de puissance informatique, sans investir matériellement dans l’infrastructure correspondante ; les clients n’étant plus que propriétaires des données qui y sont hébergées.

Le « nuage » correspond à une myriade de serveurs et d’applications liés par Internet et disséminés ou centralisés dans un ou plusieurs sites du prestataire qui peuvent être répartis dans le monde entier.

Le Cloud computing se compose de trois catégories de services :

IaaS (Infrastructure as a Service) : accès et mise à disposition à distance, d’une infrastructure informatique hébergée, pour utiliser des serveurs, de la capacité de stockage ou de traitements supplémentaires ;

PaaS (Platform as a Service) : accès et mise à disposition à distance, d’une plateforme permettant de créer des applications, de bénéficier d’environnements notamment de développement, de test ;

SaaS (Software as a Service) : accès à distance à des applications hébergées chez le prestataire.

Ces services sont fournis soit via un réseau Internet ouvert au public avec un accès en libre-service (Cloud public) soit via un réseau intranet dans un espace dédié et sécurisé, réservé aux utilisateurs autorisés par le client (Cloud privatif).

Le Cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, qui d’un point de vue juridique se classe au croisement des services d’externalisation et des services d’ASP (Application Service Provider). La différence entre ASP et SaaS n’est pas évidente : l’ASP se limite à la fourniture d’applications en mode hébergé tandis que le SaaS désigne une application modulaire à laquelle le client a accès après authentification via Internet et qui comprend des outils et des personnalisations pour répondre à ses besoins.

Le Cloud computing présente des avantages financiers d’une part, i) en affranchissant le client d’investissements préalable (homme ou machine) et de frais de maintenance associés, puisqu’il bénéficie de l’infrastructure totalement autonome du prestataire et déconnectée de la sienne et d’autre part, ii) en payant le prix du service en fonction de sa consommation effective tout en bénéficiant d’un effet de volume.

Tableau schématisant les différents types de Cloud computing :

Le Cloud computing offre une flexibilité permettant d’étendre le système d’information d’une entreprise sur simple demande, en fonction de son besoin (pics d’activité, pics de fréquentation, etc.) dans des délais plus rapides que ceux offerts par les prestations traditionnelles et pour un grand nombre de services. Ce modèle dispense le client de la responsabilité de maintenir et garantir la disponibilité de l’application ou de l’infrastructure qui est prise en charge par le prestataire sous réserve d’une contractualisation des engagements de qualité, de disponibilité, de sécurité, d’évolutivité du produit dans le temps.

4/ Les risques du Cloud.

Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.

Ce sont notamment :

1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;

2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats…

3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;

4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;

5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;

6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;

7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;

8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;

9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;

10. Utilisation frauduleuse des technologies cloud en vue de cacher l’identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation ou des accès achetés frauduleusement ;

11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;

12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l’architecture externe d’interfaçage avec les utilisateurs.

Ainsi afin de pallier certains de ces risques le prestataire de cloud doit respecter différentes obligations particulières afférentes au service proposé.

5/ Obligations du prestataire de cloud.

Outre ses obligations de conseil, d’information et de mise en garde, le prestataire de cloud doit assumer plusieurs obligations particulières découlant des caractéristiques des services de cloud qu’il fournit, à savoir notamment :

  • garantir la conformité des fonctionnalités et des performances annoncées pour son système : la prestation assurée doit être celle attendue par le client et en adéquation avec ses besoins ;
  • garantir la sécurité, la confidentialité, l’intégrité ; la disponibilité des données : le prestataire doit veiller à la sécurité des données informatiques transmises par son client ainsi que de son système d’information en général. Le prestataire doit s’assurer que le système qu’il a mis en place soit protégé contre tout accès physique ou logique non autorisé. Il conviendra de préciser les moyens techniques mis en œuvre et leur fréquence ;
  • garantir la continuité avec le système antérieur, dont il assure la reprise des données ;
  • respecter la législation applicable au traitement des données personnelles et notamment le respect des dispositions de la loi no 2004‐801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78‐ 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ( L. no 2004‐801, 6 août 2004, JO 7 août, p. 14063).

À ce sujet, la CNIL recommande aux clients de service cloud d’effectuer des choix s’agissant du réel niveau de garantie proposée par le prestataire. Elle propose une grille d’analyse reposant d’une part sur la détermination de la qualification juridique du prestataire et d’autre part sur l’évaluation du niveau de protection assurée par ce dernier par rapport aux données traitées (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012 ; Groupe art. 29, Avis no 5/2012 sur l’informatique en nuage, adopté le 1er juillet 2012 (WP 196)) ;

  • informer le client sur les différents lieux de stockage des données et de tous les traitements de données effectués dans le cadre de la prestation fournie afin que le client puisse s’assurer notamment que les pays d’implantation assurent à ses données (et particulièrement aux données personnelles qu’il détient) un niveau de protection équivalents à celle qu’assure le droit européen de la protection des données personnelles ;
  • s’engager à ne pas collecter ni stocker au‐delà des seuls besoins temporaires de sécurité des systèmes, des données de connexion relative à l’utilisation par le client de ses données et des applications auxquelles il a accès dans le cloud ;
  • souscrire une assurance garantissant sa responsabilité civile professionnelle à raison de son intervention sur le système informatique du client et à cause de tous les risques qui pourraient nuire au bon fonctionnement dudit système.

D’une manière générale et en raison de la dépossession technique que le client consentira au profit de son prestataire, les clauses de responsabilités du prestataire vont être d’une particulière importance dans le contrat de cloud et « doivent être clairement définies, tout particulièrement en matière de respect de la confidentialité des données (accès non autorisés, voire frauduleux), et d’atteinte à leur intégrité » (Guide pratique Cloud computing et protection des données, CIGREF‐IFACI‐AFAI, 2013).

Le règlement général pour la protection des données pose des nouvelles règles applicables, tant dans les relations entre coresponsables d’un même traitement consacrant la notion de responsable conjoints de traitement, que dans les relations entre responsable du traitement et sous-traitant.

La responsabilité du prestataire est donc une responsabilité de droit commun reposant sur la qualification d’obligation de moyens ou de résultat.

L’obligation sera de moyen lorsqu’il sera question de la disponibilité du service alors qu’elle sera de résultat s’agissant de la récupération des données hébergées. En ce cas, seul un cas de force majeure pourra exonérer le prestataire de sa responsabilité.

Néanmoins, il est possible d’aménager la responsabilité du prestataire par des clauses spécifiques au contrat telles que des clauses limitatives de responsabilité.

Par ailleurs, certains auteurs tels que Gaël Chantepie envisagent que cette responsabilité pourrait être complétée par une responsabilité spéciale issue de l’article 15‐I de la loi no 2004‐575 du 21 juin 2004 pour la confiance dans l’économie numérique dite LCEN. Cette loi prévoit un cas de responsabilité similaire à l’égard de toute personne physique ou morale exerçant l’activité définie au premier alinéa de l’article 14 à savoir « une activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services » (Chantepie G., RLDI précité).

Néanmoins cette interprétation de la portée de cet article parait incertaine et n’apporterait pas grand‐chose de plus que la responsabilité de droit commun.

6/ Particularités des obligations.

Au‐delà de son obligation classique de collaboration avec le prestataire et de celle de payer le prix de la prestation de service, le client est soumis à quelques obligations et responsabilités particulières lorsqu’il s’engage dans un projet de cloud computing.

Il en va par exemple de l’obligation que peut lui imposer son prestataire de respecter des consignes de sécurité de l’information et de mettre en place une politique de sécurité interne efficace, notamment afin de ne pas offrir en interne une sécurité des données « inférieure » au niveau d’exigence signifié au prestataire du cloud.

La CNIL recommande également aux clients de ce type de services de « conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise » (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012 ; Groupe art. 29, Avis no 5/2012 sur l’informatique en nuage, adopté le 1er juillet 2012 (WP 196)).

Par ailleurs, le client demeure jusqu’à présent seul maître du traitement de données personnelles, au sens où la loi du 6 janvier 1978 modifiée dite « loi Informatique et Libertés » dispose que « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » et non celui qui effectue le traitement.

Le prestataire pourra, dans certaines conditions, être reconnu comme co‐responsable des traitements qui lui auront été confiés. Cependant, comme le souligne le CIGREF dans sa récente étude : « cette notion de coresponsabilité (Joint Controller) ouvre une voie au rééquilibrage entre utilisateurs et opérateurs. Mais pratiquement il est encore difficile de déterminer dans quel cas elle pourra s’appliquer et si, dans la plupart des situations, l’utilisateur du Cloud restera seul Data Controller ou si le fournisseur définissant les moyens de sécurité sera qualifié lui aussi de Data Controller avec, en corollaire, une responsabilité sur la sécurité et ses conséquences ». (CIGREF, La réalité du Cloud dans les grandes entreprises, oct. 2015, p. 18).

Or, ce point est très significatif dans la mesure où les amendes pourront s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes de l’entreprise.

7/ Problématiques juridiques sur la protection des données dans le cloud.

A / Problème de l’extra-territorialité du droit.

Les données qui voyagent dans le cloud, y séjournent ou en sortent, ne connaissent pas de frontière. C’est une illustration de ce que le professeur Delmas-Marty nomme l’« ubiquité », qui constitue une caractéristique propre de l’espace virtuel : le fait qu’il soit impossible à localiser, car il se trouve partout à la fois, constitue un « redoutable obstacle à la répartition des compétences entre les différents systèmes de droit simultanément applicables » [5].

Cette problématique, qui est intrinsèque à la technologie numérique, est encore accentuée par le cloud, du fait de la circulation des données et de leur impossible localisation, en particulier dès lors que celles-ci sont susceptibles d’être transférées hors des frontières de l’Union européenne. En exposant l’utilisateur aux difficultés inhérentes à la saisine de tribunaux situés à l’étranger, à des coûts de procédure plus élevés ou à des règles substantielles moins protectrices.

Les questions du droit applicable et de la juridiction compétente, qui sont classiques en cas de conflit de lois, n’en sont que plus complexes. Dans les deux cas, le principe de liberté contractuelle prime, puisque c’est la loi des parties qui prévaut. Celles-ci peuvent choisir la juridiction compétente et le droit applicable qui régira en totalité ou en partie leurs rapports.

Au sein de l’Union européenne, deux règlements, dits Rome I et Bruxelles I, fixent le cadre des conflits de loi lorsque les parties n’en décident pas elles-mêmes. Le règlement Bruxelles I pose comme principe, susceptible de dérogations, que la juridiction compétente est celle de l’Etat membre dans lequel le défendeur a son domicile, quelle que soit sa nationalité [6].

Le règlement Rome I [7]pour sa part, fixe comme droit applicable, à défaut de choix des parties, la loi du pays dans lequel le prestataire a sa résidence habituelle [8]. On notera par ailleurs que ce règlement revêt un caractère universel, ce qui signifie que les règles de résolution du conflit peuvent conduire à l’application de la loi d’un Etat qui n’est pas membre de l’Union européenne.

B / Régime applicable aux données.

La directive du 24 octobre 1995, transposée par modification de la loi « Informatique et Libertés » [9], permet le transfert de données au sein de l’Union européenne, après déclaration à l’autorité compétente de protection des données, chez nous la CNIL. Elle pose en revanche un principe d’interdiction de transfert des données hors de l’Union, sauf, après autorisation, vers les pays présentant « un niveau de protection adéquat » (Article 25). Or les Etats-Unis n’offrent pas un tel niveau de protection. L’arrêt Schrems II du 16 juillet 2020 vient confirmer cette absence de niveau de protection adéquat de la part des Etats-Unis. Cet arrêt invalide le mécanisme de Privacy Shield, (qui remplaçait le Safe Harbor invalidé, lui, le 6 octobre 2015 par la CJUE). Pour effectuer des transferts en dehors de l’Union européenne, il reste la possibilté d’avoir recours au Clauses Contractuelles Types (CCT) de l’Union euréopenne ou aux Binding Corporate Rules (BCR). De surcroît, l’intérêt du système même du Safe Harbor ou du Privacy Shield s’érode du fait des lois américaines de lutte contre le terrorisme. Le Patriot Act, en particulier, dispose que les agences de renseignement peuvent accéder à toute donnée personnelle hébergée par un prestataire américain en cas de suspicion de terrorisme ou d’espionnage.

Le règlement général sur la protection des données qui est entré en vigueur le 25 mai 2018 vient renforcer le droit des personnes. Il prévoit notamment un consentement renforcé et plus de transparence. Ainsi le consentement au sens du RGPD doit être spécifique, univoque et explicite.  L’expression du consentement est définie :

  • les utilisateurs doivent être informés de l’usage de  leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambiguë.
  • Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Ces dispositions viennent notamment ajouter des éléments à intégrer dans le contrat de Cloud.

Cas du responsable du traitement et du sous-traitant :

Dans le règlement général sur la protection des données une plus grande responsabilité est supportée par le sous-traitant.

Le contrat de Cloud doit prévoir certaines clauses couvrant notamment :

  • Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
  • Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
  • Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

La CNIL propose un guide pour le sous-traitant conforme au RGPD [10]

Maitrise du risque :

– Prévoir des obligations du prestataire en terme de protection de la sécurité et de la confidentialité des données à caractère personnel et des mesures techniques afférentes conforment au RGDP ;

– Exiger que les données personnelles restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

C / Sécurisation et confidentialité des données.

L’accès aux données doit être sécurisé afin d’éviter toute perte, fuite voire d’atteinte à l’intégrité desdonnées confiées par le client.

Maîtrise du risque :

– Répliquer les données sur plusieurs sites distants pour assurer le client de la récupération des données ;

– Prévoir le chiffrement des données du client et leur isolement technique au sein du serveur ;

– Prévoir un engagement de résultat du prestataire de restaurer les données dans des délais convenus ;

Accéder aux services par des connexions sécurisées et une authentification des utilisateurs permettant un accès rapide par le client ou toute autorité de régulation et mettre en place une procédure de gestion des identifiants et des responsabilités afférentes ;

– Effectuer des audits externes, notamment par les régulateurs et des tests d’intrusion sur les serveurs du prestataire pour s’assurer du niveau de sécurité global ;

– Définir un Plan d’Assurance Sécurité (PAS) exigeant notamment du prestataire le respect de certaines normes techniques telles que les normes ISO/CEI 27001 et ISO 27005 mais aussi ISO 27017 et 27018, fixant les méthodes et pratiques en matière de système de management de la sécurité de l’information (SMSI) ;

– Vérifier les effets juridiques des licences de logiciels libres, si utilisés ;

– Prévoir une clause de confidentialité encadrant le niveau d’engagement, les conditions de transfert des données, la durée de la confidentialité ;

– Encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles dans la clause de responsabilité.

– L’accès aux données du client dans le cadre de la prestation de Cloud computing

L’application de règles extraterritoriales et la conformité légale :

Risque : Le client peut parfois être soumis au respect de règles impératives encadrant le stockage des données notamment dans des secteurs régulés. Il pourra être tenu responsable vis-à-vis de son droit local et le cas échéant vis-à-vis de la législation du lieu où se situe le serveur, alors que les procédures administratives ou judiciaires étrangères de ces pays peuvent être méconnues, différentes, voire contradictoires avec le droit local du client.

Maîtrise du risque :

– Imposer une visibilité parfaite du lieu de stockage réel des données et identifier les serveurs;

– Exiger la localisation des serveurs en France ou au sein de l’Union Européenne pour garantir que les obligations légales du client sont suffisamment protégées avec un droit applicable fiable ;

– Préciser la loi française comme loi applicable au contrat.

Continuité de service :

Risque : La flexibilité induite par la limitation des investissements informatiques risque de créer une forte dépendance du client au prestataire, qu’il doit maîtriser.

Maitrise du risque :

– Assurer une pérennité des services en contractualisant un plan de réversibilité pour assurer une transférabilité des services et des données par le prestataire au client ou à d’autres prestataires. Ce plan de réversibilité doit prévoir i) des facteurs déclencheurs (carence du prestataire, dépôt de bilan du prestataire, changement de contrôle, libre choix du client, fautes/manquements du prestataire), ii) les conditions de mise en œuvre (simple discontinuité du service, arrêt total du service) iii) les modalités pratiques de fonctionnement du système d’information pendant la durée de la réversibilité en assurant la continuité du service sans remise en cause des niveaux de services attendus) le coût de celle-ci ;

– Garantir l’interopérabilité entre les services attendus et le système du client si nécessaire ;

– Mettre en place un plan d’urgence et de poursuite de l’activité avec un site de secours localisé sur le même territoire que celui assurant la production.

Qualité de service :

Risque : La réalisation des services de Cloud computing, comme pour tout projet externalisé, comporte des risques au regard de la qualité de service rendue.

Maîtrise du risque :

– Engagement du prestataire sur la qualité et les performances de son « nuage » conformément à des niveaux de services (ou SLA) qui garantissent notamment une disponibilité de qualité du service assortie de pénalités en cas de non atteinte et la possibilité pour le client d’auditer les prestations;

– Mise en place d’outils de mesure efficaces pour évaluer la consommation des services particulièrement au regard des unités de mesure du stockage, de la bande passante, des ressources informatiques utilisées, du nombre d’utilisateurs actifs ;

– Vérifier que la clause de force majeure ne remet pas en cause les engagements du prestataire du fait notamment d’une coupure d’électricité, d’un redressement judiciaire de sous-traitants, sous couvert d’évènement irrésistible, imprévisible et extérieur ;

8 / Clauses essentielles des contrats de cloud.

Comme évoqué, les spécificités des services de cloud résident d’une part, dans tout ce qui touche au transfert, au traitement et à la conservation des données dont le client abandonne la maîtrise entre les mains du prestataire et, d’autre part, dans le fait que cela se réalise à distance au travers de l’interconnexion de réseaux numériques ouverts. Outre la clause définissant l’objet du contrat, qui prend un relief tout particulier dans un domaine où la variété des prestations possibles est importante, ce sont donc d’une part les clauses relatives aux modalités de traitement et de sécurité des données et des applications qui sont particulières sensibles, auxquelles doivent s’ajouter, d’autre part, quelques clauses relatives aux obligations spécifiques du prestataire et du client. Enfin, on n’omettra pas de prévoir une clause relative aux aspects internationaux du contrat s’il est destiné à être conclu entre un client et un prestataire de nationalité différente.

A / Objet du contrat

La variété extrême des offres de service auxquelles les prestations de cloud peuvent répondre oblige les parties à soigner particulièrement la rédaction de la clause d’objet du contrat.

Dans cette clause, il est nécessaire de bien définir les caractéristiques essentielles des prestations de cloud computing que le prestataire va mettre en œuvre au profit de son client, à savoir :

  • définition de la prestation d’hébergement des données ; définition de la prestation de fourniture d’applications en ligne ;
  • définition des différentes prestations connexes (par exemple : prestations d’infogérance, de développement spécifique, de paramétrages, fourniture d’accès au réseau, maintenance, sauvegarde, services web, hébergement de serveurs de messagerie, …) ;
  • type de cloud mis en œuvre (cloud privé, cloud communautaire – partagé entre plusieurs entités ayant une communauté d’intérêts, cloud public).

Au vu de ces exigences de précision et de détail des principales prestations prévues au contrat, on ne se contentera donc pas des clauses d’objet trop génériques qui se contentent souvent de l’indication que « Le « Fournisseur » consent au « Client », qui accepte : Un droit d’accès aux serveurs du

« Fournisseur » dans les conditions définies ci‐ après ; Un droit d’utilisation finale des services commandés ».

Ce type de rédaction qui renvoie intégralement les parties au contenu d’annexes techniques est trop succincte et ne permet pas de prendre connaissance du périmètre précis d’applications et de services que le prestataire accepte de prendre à sa charge pour le compte de son client.

B / Mise en place d’un SLA (service level agreement)

Afin que le client puisse vérifier que le service répond à ses besoins, la mise en place d’un Service Level Agreement (dit « SLA ») s’est généralisée. Il s’agit d’un document dans lequel le prestataire formalise la qualité du service et précise notamment les modalités, la performance du service (temps de réponse, temps de transmission des données …), la disponibilité des applications (horaires d’ouverture et de fermeture, périodes d’indisponibilités…).

Autant dire que la rédaction de cette clause requiert un peu plus de temps et d’attention que toutes les autres. Le prestataire doit être tout particulièrement vigilant à la rédaction et surtout à la lecture de cette clause dans la mesure où elle constitue en majeure partie une des causes de mise en jeu de sa responsabilité. Ainsi, lorsque le prestataire n’est pas en charge directement ou indirectement de l’infrastructure réseau mise en œuvre pour relier le client et les serveurs de cloud, ce dernier n’hésite pas à limiter le niveau de ses garanties de services.

L’un des documents de référence utiles pour rédiger cette convention de niveau de services est le document de l’Autorité nationale de la sécurité des systèmes d’information (ANSSI) « Maîtriser les risques d’infogérance » (et plus particulièrement son chapitre 4 : Le plan d’assurance sécurité). On peut signaler aussi le récent document rédigé au niveau européen par le C‐SIG « Cloud Service Level Agreement Standardisation Guidelines », 24 juin 2014).

Cette clause fait partie intégrante du contrat de cloud et fait le plus souvent l’objet d’une annexe.

Les engagements contenus dans le SLA portent tant sur les services applicatifs que sur leur accès par le biais des liaisons télécoms. La question du niveau de disponibilité est, en particulier, critique pour une exploitation à distance puisque le client qui a externalisé ses données et les applications nécessaires à leur traitement recherche un système qui continue à être disponible dans les mêmes conditions que ce sur quoi il pouvait compter avant l’externalisation (voir Cohen V. D., Le contrat d’externalisation Informatique ‐ Un contrat bien bordé !, Éd. Afnor, 2012, p. 35). De manière générale, le SLA établira des seuils garantis quant à la disponibilité de l’application et du réseau, la vitesse de transfert des données, les délais maximum d’interruption, la fréquence des backups, les délais de restauration des données et des applications, la performance et la sécurité du système, les procédures de contrôle de ces éléments. Généralement, ces seuils seront exprimés en pourcentage associés à certaines périodes.

Cette clause doit également prévoir comment les services seront contrôlés, avec quels outils, suivant quelle procédure d’audit, par qui, à quelle fréquence etc., pour pouvoir éventuellement engager ensuite la procédure de plainte qui sera très précisément décrite (la personne à contacter, la manière de formuler les plaintes, les procédures d’urgence, les temps maximum dans lesquels le prestataire devra réagir, etc.). Des outils de support à toutes ces procédures doivent également être pointés, leur niveau et nature (helpdesk, combien d’opérateurs y sont disponibles, de quelle heure à quelle heure, quel jour, qui sont les personnes payées pour répondre à toute question, qui est responsable pour le « service clientèle » au sein de l’ASP, etc.). C’est la phase dite de « reporting » (voir à ce sujet, Verbiest T., ASP et SLA : les contraintes juridiques, 19 nov. 2003, www.solutions‐journaldunet.com).

Cette clause peut donc organiser un mécanisme de sanctions acceptables par les deux parties mais qui doit en tout état de cause être incitatif pour le prestataire et suffisamment prévisible pour le client pour permettre un véritable contrôle de qualité.

Dès lors, le prestataire sera sanctionné lorsque le seuil de performance n’est pas atteint sans que le client ait besoin de rapporter la preuve d’un quelconque manquement. D’un point de vue purement juridique cette clause de SLA revêt le caractère d’une clause pénale.

S’agissant du type de sanction, l’Information Technology Association of America (ITAA) précise quelles sont les sanctions couramment envisagées dans le cadre de SLA, dans des Guidelines accessibles sur le site www.itaa.org. Selon ces recommandations, les sanctions peuvent inclure des rabais mensuels (en pourcentage) sur les montants dus, en proportion de la performance réalisée par le prestataire dans le mois précédent, des réductions spécifiques,

préagréées, en cas de non‐atteinte des seuils de performance et la résiliation du contrat en cas de violation chronique des SLA (voir à ce sujet Furst X. et Jaccard M., ASP : vers un nouveau type de relation fournisseur client, 18 févr. 2002, www.clic‐droit.com).

Toutefois, il convient de préciser que l’insertion d’une telle clause dans le contrat de cloud n’exclut pas la rédaction d’une clause relative à la responsabilité et aux garanties offertes par le prestataire, comme nous le verrons plus loin.

C / Propriété intellectuelle

Elle sera nécessaire lorsque des développements sont confiés au prestataire mais également lorsque des outils mis à disposition du client par le prestataire sont utilisés, comme par exemple une plate‐forme de développement ou des structures de bases de données.

Si le prestataire utilise des logiciels standards en libre accès sur le marché ou sous licence libre, il n’y aura pas de risque pour le client. En revanche, si les technologies utilisées appartiennent au prestataire de cloud, il conviendra de prévoir une clause relative à la propriété intellectuelle du prestataire.

Par exemple, il conviendra d’inclure dans le contrat, une sous‐licence sur les logiciels standards utilisés dans le cadre du cloud et une licence sur le logiciel/programme/application qui a été crée

Comme pour les contrats ASP et SAAS, la clause de propriété intellectuelle d’un contrat de cloud doit énumérer précisément les modalités de l’utilisation des applications par le client final, qui se limitent le plus souvent à un droit de « piloter » à distance les fonctionnalités choisies. Toute autre utilisation, non prévue au contrat constituera, une contrefaçon.

Elle doit également préciser que le prestataire n’acquiert, du fait de l’exécution du contrat, aucun droit de propriété intellectuelle sur les données que le client lui transfère et qui sont traitées à distance par les serveurs, et éventuellement les applications, du prestataire.

Enfin, comme pour l’hébergeur ‐ dont l’article 6‐I.7 de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) a prévu un régime de responsabilité allégé pour les hébergeurs vis‐à‐vis des contenus qu’ils hébergent ‐ le contrat de cloud comportera une clause exonérant et garantissant le prestataire contre une condamnation pour contrefaçon en raison du contenu des données appartenant à son client qu’il aurait stocké.

D / Confidentialité

Dès lors que le propre des prestations d’informatique dématérialisée est d’externaliser sur les serveurs du prestataire tout ou partie des applications ou des données du client, cela suppose que le prestataire et ses équipes puissent techniquement avoir accès à des informations confidentielles dudit client.

Dès lors, cette communication doit être strictement encadrée par une clause de confidentialité détaillée et rigoureuse.

Cette clause doit, au minimum, contenir les éléments suivants : une reconnaissance de principe du caractère entièrement confidentiel de toutes les données stockées et de toutes les opérations et traitements réalisés par le client sur et par le truchement des serveurs et de l’infrastructure du prestataire ; en conséquence, l’interdiction au prestataire de prendre connaissance du contenu de ces données ou de ces opérations et traitements, au-delà de ce qui leur est absolument nécessaire de connaître pour pouvoir assurer leurs prestations ; l’engagement du prestataire de faire respecter cet engagement par tous ses salariés ou commettants et de communiquer à des tiers non autorisés ou de les laisser accéder à ces données et informations confidentielles du client ; l’engagement du prestataire de mettre en œuvre des moyens de sécurité (à définir en annexe technique) pour assurer la sécurité et la confidentialité des données et informations dont le client a confié la garde et l’hébergement au prestataire ; l’obligation imposée au prestataire de prévenir le client de tout incident ayant mis en cause la confidentialité de ses données ou traitements.

Pour contribuer au développement d’une offre sécurisée de services de cloud, l’ANSSI (l’autorité nationale française de sécurité des systèmes d’information) a édité en 2014 un référentiel pour la qualification des prestataires de cloud présentant un niveau de sécurité et de confidentialité suffisant (ANSSI, Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) ‐ référentiel d’exigences, 30 juill. 2014).

E / Données personnelles

Le respect d’un niveau homogène de protection des données personnelles était l’une des difficultés majeures de la mise en place de contrat d’informatique dématérialisée.

Il est donc essentiel que ce contrat répartisse les rôles et les responsabilités entre le prestataire et son client en matière de respect des obligations légales en matière de protection des données personnelles.

À titre d’exemple, le Syntec recommande un article consacré aux données personnelles ainsi rédigé :

« Si les Données transmises aux fins d’utilisation des Services applicatifs comportent des données à caractère personnel, le Client garantit au Prestataire qu’il a procédé à l’ensemble des obligations qui lui incombent au terme de la loi du 6 janvier 1978 dite « Informatique & Libertés », et qu’il a informé les personnes physiques concernées de ‘usage qui est fait desdites données personnelles. À ce titre, le Client garantit le prestataire contre tout recours, plainte ou réclamation émanant d’une personne physique dont les données personnelles seraient reproduites et hébergées via le Service applicatif. »

Complété éventuellement par le paragraphe suivant :

« Dans le cas où les Données sont stockées sur des serveurs localisés dans des pays hors du territoire de l’Union Européenne, une autorisation spécifique de transfert des données doit être obtenue auprès de la CNIL. Le Prestataire s’engage à informer le Client de la localisation des Données et plus généralement, à communiquer toutes les informations utiles et nécessaires pour réaliser les déclarations. Le Client, en tant que responsable du traitement s’engage à conclure le standard contractuel établi par une décision de la Commission européenne du 5 février 2010 et à obtenir l’autorisation adéquate auprès de la CNIL » (extrait du guide contractuel, précité, Syntec, 2010, p. 13‐14).

Dans ce domaine particulièrement sensible, la normalisation apporte également un soutien utile, avec en particulier la nouvelle norme ISO/IEC 27018 sur les bonnes pratiques pour la protection des données personnelles dans les services Cloud (juillet 2014)

Par ailleurs, les articles 26 à 30 du projet de règlement européen sur la protection des données personnelles, renforcent également la pression légale sur les prestataires de service prenant en charge l’externalisation des données des responsables de traitement. Alors en effet que la précédente directive n’imposait de responsabilité directe qu’au seul responsable du traitement, le nouveau règlement vise explicitement les sous‐traitants, parmi lesquels les prestataires de service de cloud. Le responsable du traitement va avoir l’obligation de ne choisir comme prestataire qu’un professionnel qui présente des garanties suffisantes pour pouvoir assurer la sécurité du traitement et la protection des données personnelles qui lui sont confiées. Il aura également l’obligation d’inscrire dans le contrat de prestation des clauses obligeant le prestataire à respecter la légalité et la confidentialité du traitement de données personnelles, de manière à ce que – en cas de sinistre – le prestataire puisse être considéré comme co‐responsable du traitement et sanctionner comme tel.

F / Réversibilité

Comme dans toute forme d’externalisation, la réversibilité à l’issue du contrat est un élément essentiel qui doit garantir au client la possibilité de pouvoir reprendre le contrôle exclusif de ses données et de ses applications et qui doit pouvoir, pour ce faire, compter sur la coopération technique de son prestataire.

Les contrats de cloud computing sont évidemment régis par un principe de récupération des données par le client à la fin dudit contrat mais cette évidence doit faire l’objet d’une clause précise et il est donc recommandé de prévoir dans le contrat une clause de réversibilité qui permet au client de « reprendre ou de faire reprendre son informatique externalisée par un autre prestataire, afin d’assurer la continuité de l’activité sans dégradation de la qualité ».

Dans la plupart des cas, la récupération des données se fera via des fichiers intermédiaires (type fichiers plats) lesquels permettent de préserver le savoir-faire et les droits de propriété intellectuelle du prestataire.

Toutefois, l’inconvénient lié à cette pratique est le surcoût pour le client. Si cela semble justifié lorsque le client a pris la décision de changer de système, elle l’est moins lorsqu’il a été contraint de prendre cette décision en cas de faillite du prestataire ou en cas de manquement grave du prestataire à ses obligations.

Néanmoins, certains prestataires décident de régler dans le contrat le sort des données du client.

Trois situations sont fréquentes :

  • celle dans laquelle le prestataire conserve les données du client afin de permettre à ce dernier de les récupérer ;
  • celle dans laquelle il est prévu que les données seront immédiatement effacées à la fin du contrat ;
  • ou celle dans laquelle il est prévu que le prestataire refuse de préserver les données au‐delà de la fin du contrat sans préciser que celles‐ci seront effacées.

Par conséquence, la clause de réversibilité devra définir :

  • les délais et modalités de fournitures des données : il faudra prévoir les responsabilités éventuelles en cas de dégradation, perte, d’accès non autorisé et/ou de détournement de fichiers lors de la transmission ; le format du fichier de restitution ;
  • la documentation qui permet d’identifier les données contenues dans le fichier intermédiaire comprenant les données restituées ;
  • la collaboration attendue du client, et ce afin de déterminer les destinataires du fichier de restitution ;
  • les modalités d’assistance complémentaire éventuelle : il faudra définir les délais, les personnes, les coûts et les responsabilités.

Cette clause doit donc être complétée généralement par un véritable « plan de réversibilité » car comme le soulignent H. Alterman et F. Perbost, « un plan de réversibilité doit être prévu lors de l’expiration ou de la résiliation du contrat. Ce plan mettra en place les conditions de remise par le prestataire de l’ensemble des données et informations – sous un format exploitable – nécessaires à une reprise de service par un autre prestataire ou par l’utilisateur».

Il n’est pas rare, en pratique de constater également au sein de la convention entre le titulaire originel des droits sur les logiciels concernés et le prestataire la possibilité pour l’éditeur du logiciel de se substituer au prestataire de cloud au terme du contrat entre ce dernier et son client. Dans cette hypothèse particulière de réversibilité, le client s’attachera, dans son contrat avec le prestataire, aux conditions, notamment financières, de cette substitution (Cordier G., Le contrat ASP, Comm. com. électr. 2008, no 10, prat. 9).

Notons que la jurisprudence a commencé à connaître des litiges liés aux difficultés de réversibilité, y compris dans le contexte d’application de type SaaS et cloud. C’est ainsi que le Tribunal de grande instance de Nanterre a rendu une ordonnance de référé par lequel il a fait injonction sous astreinte au prestataire SaaS de fournir au client tous les moyens techniques lui permettant de réaliser l’exportation de ses données hébergées, ou à défaut de lui consentir au‐delà de la date de fin du contrat la continuation gratuite du service le temps nécessaire à ce qu’il soit en état de procéder à cette exportation (TGI Nanterre, réf., 30 nov. 2012, UMP c/ Oracle France, Expertises 2013, pp. 358‐360).

G / Audit

Pour pallier la relative dépossession technique qu’induit pour le client le recours à une prestation de cloud, il est également conseillé d’introduire dans le contrat une clause d’audit permettant au client de procéder en cours d’exécution du contrat à des vérifications par un tiers extérieur de la conformité de la prestation aux stipulations contractuelles, et notamment aux engagements de niveau de service, de sécurité et de protection des données.

H / Assurance

Le prestataire doit indiquer dans le contrat qu’il est assuré pour les risques spécifiques au Cloud. Quant au client, il est souhaitable qu’il souscrive à une assurance compte tenu des risques financiers qu’il encourt pour le vol ou la perte de ses données.

9 / Conclusion.

Attractif pour les entreprises, le Cloud computing reste complexe à maitriser compte tenu de la disparité et du caractère « opaque » et disparate de certains « nuages ». Il conviendra par conséquent pour les clients de procéder à une analyse préalable des risques. L’encadrement juridique est primordial en particulier en ce qui concerne la sécurisation des applications et des données, la confidentialité et l’organisation d’audits de sécurité et la prévention des risques, avec des clauses relatives au droit applicable, à la qualité de service, à l’avertissement du client en cas de faille de sécurité, aux conditions de restauration de données et de réversibilité, permettant de rapatrier les données ou de les transférer à d’autres prestataires. Dans cet esprit de prévention des risques juridiques, il est conseillé de commencer par mettre en place des services de Cloud computing pour les applications les moins sensibles de l’entreprise, en particulier celles n’impliquant pas de données personnelles.

10 / Sources.

  • Note de l’autorité de contrôle prudentiel (ACPR) : Analyses et synthèses n°16 « Les risques associés au Cloud Computing » en date de juillet 2013
  • Discours de Jean-Marc Sauvé, Vice-président du Conseil d’Etat, lors du colloque de la Société de législation comparée, au Conseil d’Etat, le vendredi 11 octobre 2013.
  • Lamy droit du numérique « les contrats d’informatique dématérialisée (cloud computing).
  • Présentation AFDIT-Colloque du 29 novembre 2012 – Le cloud, c’est quoi au juste ? Yves Leroux.
  • Recommandations de la CNIL sur l’utilisation du cloud computing du 25 juin 2012.
  • Dossier CNIL « Règlement européen sur la protection des données : ce qui change pour les professionnels du 15 juin 2016.
  • Rapport du CSA (Cloud Security Alliance) de février 2016.
  • Rapport de l’ISACA de 2016 « Cloud computing Market Maturity ». L’ISACA est une association professionnelle internationale dont l’objectif est d’améliorer la gouvernance des systèmes d’information, notamment par l’amélioration des méthodes d’audit informatique
  • Pour information, l’arborescence des normes ISO SC27 par la CNIL :

[1] Voir en particulier E. Sordet, R. Milchior, « Le cloud computing, un objet juridique non identifié », Communication Commerce Electronique, 2011, n°11, p. 12 ; E. Sordet, R. Milchior, « La définition des contours juridiques du cloud computing », Communication Commerce Electronique, 2012, n°11, p. 7.

[2] Définition du cloud computing sur http://www.cnil.fr/les-themes/technologies/cloud-computing/. 

[3] Le National Institute of Standards and Technology (NIST) est une agence du Département du Commerce des Etats-Unis, qui promeut l’économie en développant des technologies. Voir http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[4] JORF, n°0129 du 6 juin 2010, « Informatique en nuage, », Vocabulaire de l’informatique et de l’internet, p. 10453.

[5] M. Delmas-Marty, Le relatif et l’universel. Les forces imaginantes du droit, Ed. du Seuil, 2004, p. 337.

[6] Article 2 du règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale.

[7] Règlement (CE) n° 593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (Rome I). 

[8] Article 4 du règlement. 

[9] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[10] https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Benoît Bellaïche
b.bellaiche@gmail.com

Quelles sont les nouveautés de la loi pour une République Numérique ?

Le 7 octobre 2016, la loi pour une République numérique a été promulguée.
Son but est de libérer l’innovation, de créer un cadre de confiance et de construire une République numérique ouverte et inclusive. Elle a fait l’objet d’une large consultation citoyenne avec la participation de plus de 21 000 contributeurs. C’est la première fois qu’un projet de loi est précédé d’une consultation en ligne.

 

Le texte encadre notamment la neutralité du net, la loyauté des plateformes et de l’information à destination des consommateurs, ou encore la protection des données personnelles.

Il accompagne ces mesures d’un renforcement des pouvoirs de sanction de la CNIL et de l’ARCEP.

La loi pour une République Numérique reconnaît également la pratique de l’e-sport, le droit à la mort numérique, la portabilité des données et elle durcit la pénalisation de la publication non consentie d’images érotiques ou pornographiques.

La connexion internet fait désormais partie des besoins de première nécessité et le consommateur dispose donc d’un droit au maintien de la connexion.

Le droit à l’oubli pour les mineurs est prévu, ainsi qu’une procédure accélérée pour l’exercice de ce droit.

L’obligation d’information prévue par l’article 32 de la loi Informatique et Libertés est renforcée. Les responsables de traitement de données doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

La loi met en place des dispositifs d’open data par secteur (données foncières, décisions de justice…). L’Etat, les collectivités territoriales et les personnes de droit public ou privé chargées d’une mission de service public auront l’obligation de transmettre les documents qu’ils détiennent aux autres administrations qui en feraient la demande afin d’accomplir leur mission de service public.

Les décrets d’application, prévoyant une publication progressive des données, sont annoncés pour début 2017.

En matière de gouvernance de la donnée, la loi prévoit un rapprochement entre la CNIL et la CADA.

Certaines associations pourront également recevoir des dons par SMS, chaque donateur pouvant donner jusqu’à 50 euros par don dans la limite de 300 euros par mois.

Pour la CNIL, certaines dispositions de la loi anticipent le Règlement européen sur la protection des données personnelles qui sera applicable en mai 2018.

Benoît Bellaïche
b.bellaiche@gmail.com

Droit à l’oubli : quelles sont les conséquences de la décision « Google Spain » ?

Dans sa décision du 13 mai 2014, la Cour de justice de l’Union européenne est venue consacrer le droit à l’oubli.

L’arrêt dit “Google Spain”, a ouvert la reconnaissance d’un droit à l’oubli en se fondant sur le droit de correction et d’opposition reconnus aux personnes concernées par la Directive 95/46 sur la protection des données. Cette directive vise à protéger les libertés et droits fondamentaux des personnes physiques (droit à la vie privée notamment) lors du traitement des données à caractère personnel tout en éliminant les obstacles à la libre circulation de ces données.

CJUE 2La Cour de justice de l’Union constate que le moteur de recherche, en l’espèce Google est “responsable du traitement” des données à caractère personnel conformément à la directive 95/46.

La Cour souligne dans ce contexte qu’un traitement de données à caractère personnel réalisé par un tel exploitant permet à tout internaute, lorsqu’il effectue une recherche à partir du nom d’une personne physique, d’obtenir, par la liste de résultats, un aperçu structuré des informations relatives à cette personne sur Internet. Ces informations peuvent notamment concerner des éléments relatifs à la vie privée.

Ainsi, la suppression de liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir des répercussions sur l’intérêt légitime des internautes potentiellement intéressés à avoir accès à l’information en question, la Cour constate qu’il y a lieu de rechercher un juste équilibre notamment entre cet intérêt et les droits fondamentaux de la personne concernée

GoogleLa Cour indique que dans le cadre de l’appréciation d’une demande de suppression introduite par la personne concernée à l’encontre du traitement réalisé par l’exploitant d’un moteur de recherche, il convient notamment d’examiner si cette personne a un droit à ce que de suppression les informations en question relatives à sa personne ne soient plus, au stade actuel, liées à son nom par une liste de résultats qui est affichée à la suite d’une recherche effectuée à partir de son nom. Si tel est le cas, les liens vers des pages web contenant ces informations doivent être supprimés de cette liste de résultats, à moins qu’il existe des raisons particulières, telles que le rôle joué par cette personne dans la vie publique, justifiant un intérêt prépondérant du public à avoir, dans le cadre d’une telle recherche, accès à ces informations.

Le 18 septembre 2014, un jugement néerlandais à fait application de la jurisprudence “Google Spain” de la Cour de Justice de l’Union européenne reconnaissant le droit à l’oubli numérique. Prenant en compte les critères dégagés précédemment par la Cour de justice de l’Union européenne, le tribunal estime qu’il n’y a pas lieu de supprimer les liens URL renvoyant vers des informations relatives à une condamnation pénale récente pour instigation au meurtre.

Le juge effectue une balance des intérêts entre la liberté d’information et le droit à la vie privée de l’internaute concerné afin de répondre à ses diverses demandes. Le juge hollandais constate notamment que le demandeur a commis un crime récent et grave, qui a donné lieu à une large publicité (émissions télévisés, articles de presse, le livre précité). Et qu’il est normal que cette publicité négative soit aussi relayée par internet pendant un temps assez long.

CJUELa jurisprudence “Google Spain” ne vise pas à protéger les personnes de toute diffusion d’informations négatives à son sujet présentes sur la toile. Elle a pour objectif de préserver celles-ci d’informations non pertinentes, excessives, diffamatoires ou encore ayant un caractère excessif ou inadéquat, car survenant des années après les faits et qui, partant, infligeraient inutilement une atteinte à la réputation d’un particulier.

Cette première jurisprudence néerlandaise peut limiter les craintes que certains commentateurs avaient pu avoir à propos d’un droit à l’oubli absolu.

L’intérêt de ce jugement réside dans le fait que les juridictions nationales seront sans doute enclines à réajuster les valeurs à équilibrer.

Toujours concernant le droit à l’oubli, Google a mis à jour vendredi 10 octobre, son rapport de transparence, un document qui liste les demandes qui lui ont été faites par les gouvernements et les autorités (de retrait de contenu ou d’information sur ses utilisateurs notamment) et désormais les demandes de déréférencement.

Rapport GoogleAinsi, le nombre de demandes continue à augmenter : à ce jour, le moteur de recherche a reçu 144 907 demandes individuelles, concernant 498 737 résultats de recherche. Le moteur de recherche en avait déjà reçu 91 000 au milieu de l’été.

La France est toujours championne d’Europe des demandes de déréférencement, avec plus de 29 140 demandes pour presque 89 277 URL, devant l’Allemagne et le Royaume-Uni.

Benoît Bellaïche
b.bellaiche@gmail.com

Google est-il soumis à la loi informatique et libertés ?

L’Application territoriale de la loi informatique et libertés est notamment problématique concernant la société Google.

GoogleL’article 2 alinéa 1 de la loi Informatique et libertés prévoit que cette loi s’applique « lorsque leur responsable [de traitement] remplit les conditions prévues à l’article 5 ».

L’article 5 de la loi Informatique et libertés pose le principe de territorialité de la loi :

« I. – Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi.

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.

II. – Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui ».

a. Critère lié à l’établissement de la personne sur le territoire français.

La loi considère que le responsable de traitements qui « exerce une activité sur le territoire français dans le cadre d’une installation quelle que soit sa forme juridique, y est considéré comme établi ».

L’article ne vise donc pas le lieu du siège social du responsable de traitement mais bien toute entité par laquelle il opère le traitement de données à caractère personnel. Autrement dit il peut s’agir d’une succursale ou d’une filiale.

Une simple domiciliation sans activité effective associée à l’installation ne suffirait pas à satisfaire le critère d’avoir un établissement sur le territoire français.

b. Critère de territorialité des moyens utilisés.

Indépendamment du fait que le responsable de traitements soit ou non établi sur ce territoire français, un autre critère permet l’applicabilité de la loi Informatique et libertés : des moyens utilisés en France. La notion de « moyens utilisés » est entendue très largement et englobe notamment :

-Les équipements informatiques.

-L’exploitation effective des traitements et ce même si les équipements sont localisés dans un autre pays.

-Le personnel dédié à la gestion des équipements ou à l’exploitation des ressources.

La jurisprudence concernant Google a évolué récemment :cour_dappel

Dans une ordonnance du 14 avril 2008 du TGI de Paris : Google échappe à la loi informatique et liberté.

Bien que la demanderesse soit française, le juge écarte la loi « Informatique et libertés ». Pour cela, il s’appuie sur son article 5 qui prévoit que les traitements de données personnelles soumis à la loi de 1978 modifiée en 2004 sont ceux dont le responsable est établi en France ou qui a recours à des moyens de traitement situés en France. En l’occurrence, Google.fr, site à partir duquel les messages en question ont été envoyés et consultés, est édité par Google Inc., société américaine dont les serveurs se trouvent en Californie. Cette dernière dispose bien d’une filiale en France, mais le tribunal considère que celle-ci n’agit qu’en qualité de simple agent qui ne dispose d’aucun mandat pour administrer le moteur de recherche ou le service Google Groupes.

Le TGI a par ailleurs refusé l’application de la loi française, sur le fondement de l’exception d’ordre public. Cette règle de droit international privé permet au tribunal d’imposer le choix de la loi française s’il estime que le droit étranger compromettrait les valeurs fondamentales de notre droit.

Dans une ordonnance de référé du 28 octobre 2010, le TGI de Montpellier la loi informatique et liberté vient s’appliquer à Google.

Le juge des référés ne s’est pas attardé sur la question de l’application de la loi de 1978 modifiée à Google Inc., société de droit américain dont les serveurs sont situés outre-Atlantique. Il s’est contenté de faire référence à l’article 5 de la loi qui prévoit les règles de compétence territoriale de ses dispositions, en indiquant que la loi s’applique « lorsque leur responsable remplit les conditions prévues à l’article 5 ».

-Concernant la même affaire, l’arrêt du 29 septembre 2011 de la Cour d’appel de Montpellier confirme le jugement du 28 octobre 2010, et la loi informatique et liberté vient à nouveau s’appliquer à Google.

« Or, dans le cadre de ses opérations d’indexation consistant en l’analyse par ses logiciels de dizaines de milliards de pages internet de par le monde dans le but de les indexer pour les mettre ensuite à la disposition des utilisateurs de ses services, la société GOOGLE INC, qui a elle-même ses propres serveurs de stockage dans différents pays de la Communauté européenne, utilise et a nécessairement besoin à des fins de traitement de l’ensemble des moyens que constituent les ordinateurs individuels et les serveurs lesquels, en ce qui concerne les sites incriminés dans le présent litige et libellés en langue française, sont nécessairement dans leur grande majorité, implantés sur le territoire français ou sur le territoire d’un Etat membre de le la communauté européenne.

Il convient en conséquence de considérer que la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est bien territorialement applicable à la société GOOGLE INC. »

Le 15 février 2012, le tribunal de grande instance de Paris a été saisi en référé d’une demande semblable à celle exposé ci-dessus : une femme qui dans sa jeunesse, avait tourné dans des films pornographiques, demandait que Google désindexer les liens renvoyant vers ces films. Sa demande était fondée sur le droit au respect de sa vie privée et sur son droit d’opposition au titre de la loi informatique et libertés.

Le tribunal  a constaté une atteinte au droit au respect à la vie privée et a ordonné à Google Inc. De désindexer les pages en cause. Le tribunal s’est surtout attaché à vérifier la responsabilité de Google au sens de la LCEN, et n’a pas évoqué la question de l’application territoriale de la loi informatique et libertés.

Le 6 novembre 2013, la 17ème chambre du TGI de Paris ordonne à Google de retirer et de cesser, pendant une durée de cinq années, l’affichage sur le moteur de recherche Google images qu’elle exploite, des neuf images dont Max Mosley a demandé l’interdiction. Cette décision se base sur le respect de la vie privée.

Dans ses demandes la partie défendant Max Mosley invoque la loi informatique et liberté (page 3), mais les juges ne reprennent pas cet argument dans leur décision.

Il semble que les dernières décisions rendues se penchent plus vers la protection de la vie privée. La question territoriale du traitement des données étant écartée.

Le 13 mai 2014, dans l’arrêt « Google Spain » la Cour de justice de l’Union européenne se prononce notamment sur le droit à l’oubli et sur l’application territoriale de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.  la Cour observe que Google Spain constitue une filiale de Google Inc. sur le territoire espagnol et, partant, un « établissement » au sens de la directive. La Cour rejette l’argument selon lequel le traitement de données à caractère personnel par Google Search n’est pas effectué dans le cadre des activités de cet établissement en Espagne. La Cour considère à cet égard que, lorsque de telles données sont traitées pour les besoins d’un moteur de recherche exploité par une entreprise qui, bien que située dans un État tiers, dispose d’un établissement dans un État membre, le traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la directive, dès lors que celui-ci est destiné à assurer, dans l’État membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier.

Benoît Bellaïche
b.bellaiche@gmail.com

Peut-on interdire la sortie d’un jeu vidéo ?

 

Le jeu vidéo continue de prendre une place plus importante dans l’industrie du divertissement, avec l’explosion ces dernières années des jeux en ligne, massivement multi-joueurs, sur Facebook ou sur les Smartphones. De plus le cloudgaming s’ouvre progressivement au grand public. Mais, alors que Grand Theft Auto V ou la série Call of Duty ont relancer le débat sur la violence des jeux, certains se demandent s’il est possible d’empêcher la sortie d’un jeu vidéo.

 

4319566960_dafc47bf0e_bA priori, une interdiction totale n’est pas envisageable en Europe, aux Etats-Unis et au Japon qui vont être les pays étudiés. Même si certains retraits ont pu exister. Comme par exemple le jeu de PC Sanitarium qui avait été retiré de la vente en 1998 suite à la pression d’association sur les distributeurs. Ou l’interdiction de vente et la saisie des disquettes d’un jeu vidéo qui utilisait l’image d’une personne comme celle d’un « ennemi », sans autorisation (Cass. 1re civ., 16 juill. 1998 se basant sur l’article 9 du Code civil).

Les principales mesures de restriction à la vente vont être pratiquées notamment par le biais de la protection des mineurs.

Un système de classification par catégorie d’âge a été mis en place pour l’information du public, et parfois, la loi peut  intervenir pour la protection des mineurs concernant les jeux vidéo.

Les systèmes de classification par catégorie d’âge en France et dans le monde

  • Dans l’Union européenne :

Pour la France, la classification des jeux vidéo se basait toujours sur un système d’autorégulation. Dès 1992, l’organisme responsable était le Syndicat des Editeurs de Logiciels des Loisirs (SELL) pour les consoles, PC, et les jeux en ligne. La classification des jeux vidéo selon le SELL reposait sur un classement des contenus par tranche d’âge et les différents logos prenaient place au dos des boîtes.

En 2003, il est remplacé par le système paneuropéen de classification par catégorie d’âge des logiciels de loisirs dénommé PEGI : (Pan European Game Information). C’est un système d’évaluation mis en place par l’Union européenne. Le système indique les éléments du jeu pouvant heurter la sensibilité du joueur. En France les éditeurs de jeux vidéo ont adopté ce système. Les catégories d’âge sont : 3+, 7+, 12+, 16+ et 18+. Certaines caractéristiques du jeu sont représentées par des pictogrammes indiquant si le jeu est violent, fait peur, est grossier, avec une teneur sexuelle…

Certains pays tel que l’Allemagne ne font pas partie de PEGI. L’Allemagne dispose de son propre système obligatoire de classification. L’organisme compétent est appelé USK (Organisme du contrôle d’Entertainment Software). Un jeu vidéo doit obtenir une classification d’âge par l’USK, afin d’être accessible au public. Après la réforme de la loi allemande en 2003 pour la protection de la jeunesse, l’absence de cette classification rend automatiquement le jeu inaccessible aux personnes de moins de 18 ans. Si un jeu est considéré comme dangereux et que l’USK lui refuse l’attribution d’une classification, le jeu sera inscrit sur une liste et ne pourra être vendu aux personnes de moins de 18 ans, et la publicité faite pour le jeu dans les médias sera interdite.

Certains jeux pour obtenir  une classification moins stricte et pour éviter un refus de classification vont être modifiés. Ces modifications sont notamment le remplacement de personnes humaines par des robots ou le retrait de sang humain.

Au Royaume-Uni, la signalisation PEGI est utilisée pour la plupart des jeux vidéo. Mais les jeux vidéo qui ont un contenu à caractère sexuel ou représentant des scènes de violence extrême sont soumis à l’approbation du British Board of Film Classification (BBFC).

Le système PEGI a évolué depuis sa création en 2003, ainsi sont apparus en 2007 PEGI online, en 2009 PEGI OK (pour les jeux sur internet) puis en 2011 PEGI Express. Ce dernier devait informer le public sur les jeux disponibles sur les Smartphones, mais si l’App store de Windows l’avait adopté ce mouvement n’a pas été suivi par Apple et Google. En revanche il existe désormais une application Android et iOS PEGI qui évalue les jeux.

  • Système hors Union européenne :

Aux Etats-Unis, c’est le système ESRB qui est pratiqué. C’est un système de classification volontaire. L’ESRB est créé en 1994 par l’Entertainment Software Association (ESA). Il prévoit un âge minimum pour le jeu, et informe d’éléments qui peuvent choquer telle que la violence, l’alcool… Ce système est très précis car il donne des informations sur une trentaine d’éléments pouvant heurter.

Pour le Japon,  l’organisme chargé de la classification est appelé Computer Entertainment Rating Organisation (CERO).  Créé en juillet 2002 il assure l’évaluation des jeux vidéo. Les classifications sont faites par lettre : A (pour toute catégorie d’âge), B 12 ans et plus jusqu’à D 17 ans et plus. Le Z correspond aux 18 ans et plus. Pour le Z, cette classification est réglée par le gouvernement et ces jeux peuvent être acquis seulement avec une preuve d’âge.

L’intervention de la loi pour la protection des mineurs concernant les jeux vidéo.

  • En France :

En France il n’y a pas de disposition particulière pour la protection des mineurs à propos des jeux vidéo. Des dispositions sont prévues par le droit commun et sont applicables aussi aux jeux vidéo. Des restrictions sont gta-5-trailer-2prévues pour la vente des jeux vidéo aux mineurs, elles sont posées par le droit pénal. La proposition à la vente, la location et la publicité par quelque moyen que ce soit de certains jeux vidéo dangereux sont interdites. En lisant la définition de la loi on peut déduire que ces derniers sont perçus dans une notion large, et que la loi prévoit encore l’incitation aux stupéfiants.

Le Code pénal pose des limites selon les jeux qui comprennent des scènes à caractère pornographique ou de nature à porter atteinte gravement à la dignité humaine quand ils peuvent être vus par un mineur. Il interdit la fixation, l’enregistrement, ou la transmission de tels jeux aux mineurs, ainsi que leur diffusion, leur importation et leur exportation. Il interdit la fabrication, le transport, la diffusion ou encore la commercialisation d’un jeu à caractère pornographique ou de nature à porter gravement atteinte à la dignité humaine lorsque ce dernier est susceptible d’être vu ou perçu par un mineur.

La loi n°49-956 du 16 juillet 1949 relative aux publications destinées à la jeunesse et la loi n°98-468 du 17 juin 1998 dans sa version modifiée par la loi du 5 mars 2007 intégrée dans le Code pénal traitent des documents fixés par un procédé déchiffrable par voie électronique en mode analogique ou en mode numérique. On retrouve les dispositions concernant la protection des mineurs de ces procédés aux articles 227-23 et 227-24 du Code pénal.

  • Aux Etats-Unis :

Aux Etats-Unis, il n’y a pas de loi fédérale contre la vente des jeux vidéo violents. Après la sortie de Grand Theft Auto San Andreas en juillet 2005, certains Etats américains ont tenté de légiférer pour interdire les jeux violents.

Le gouverneur de l’Etat du Michigan, Jenniver M. Grandholm a signé en septembre 2005 l’adoption de la loi contre les jeux violents, afin d’interdire la vente de tout jeu réputé violent à un mineur, ainsi que la vente ou la location de jeux interdit aux moins de 18 ans. Puis le gouverneur de la Californie Arnold Schwarzenegger, a adopté le 7 octobre 2005 un projet de loi. Cette loi rendait illégale la vente ou la location de jeux violents et sexuellement explicites aux mineurs. Cette loi imposait aussi l’indication sur la jaquette d’un tel jeu « pour majeur », de manière lisible.

En Floride, le Sénateur Alex Diaz de la Portilla a proposé une loi similaire à celle de la Californie.

Mais, le 27 juin 2011, la Cour Suprême a jugé que la loi californienne de 2005 qui interdisait la vente de jeux vidéo violents était inconstitutionnelle. Cette loi était contraire au 1er amendement des Etats-Unis sur la liberté d’expression.

Le jeu vidéo qui est encore soumis à une qualification juridique hybride et notamment jurisprudentielle (Arrêt « Cryo » du 25 juin 2009) ne possède pas de texte propre concernant la protection des mineurs. Les systèmes d’information mis en place peuvent parfois avoir une influence, et les concepteurs peuvent avoir tendance à s’autocensurer pour éviter une classification qui leur fermerait un public plus large.

Benoît Bellaïche
b.bellaiche@gmail.com

CJUE : Accès libre pour les retransmissions de la Coupe du monde et de l’Euro

Dans trois arrêts du 18 juillet 2013, la Cour de Justice de l’Union européenne a estimé que l’importance majeure pour la société que représentent les phases finales de la Coupe du monde de la FIFA et de la Coupe de l’UEFA permet d’interdire les retransmissions exclusives de ces évènements. Les phases finales de la Coupe du monde de la FIFA et de la Coupe l’UEFA seront ainsi en accès libre en Belgique et au Royaume-Uni.

fifaLa directive 2007/65/CE du 11 décembre 2007 relative à l’exercice d’activités de radiodiffusion télévisuelle permet aux Etats membre de l’Union européenne d’interdire la retransmission exclusive des événements qu’ils jugent d’une importance majeure pour leur société, lorsqu’une retransmission priverait une partie importante du public de la possibilité de suives ces événements sur une télévision à accès libre.

La Belgique et le Royaume-Uni ont dressé respectivement une liste des événements considérés comme revêtant une importance majeure pour le public. Ces listes contenaient notamment pour la Belgique, tous les matchs de la phase finale de la Coupe du monde et de l’Euro. Les listes ont été envoyées à la Commission européenne qui a décidé qu’elles étaient compatibles avec le droit de l’Union.

En France, le décret n°2004-1392 du 22 décembre 2004 relatif à la diffusion des événements d’importance majeure dresse la liste des événements considérés comme revêtant une importance majeure. Cette liste est plus restrictive. Concernant  la Coupe du monde de football, seulement le match d’ouverture, les demi-finales et la finale doivent être en accès libre. Pour l’EURO, seul la finale de la Coupe doit être en accès libre.
Une proposition de loi relative aux conditions de retransmission des événements sportifs à la télévision a été enregistrée à la Présidence de l’Assemblée Nationale le 15 mai 2013. Elle vise à élargir les événements sportifs en accès libre.

La Fédération internationale de football association (FIFA) organise la phase finale de la Coupe du monde de football et l’Union des associations européennes de football (UEFA) organise la phase finale du championnat d’Europe de football. La vente des droits de retransmission télévisuelle de ces compétitions constitue une source importante de leurs revenus.

La FIFA et l’UEFA ont attaqué les décisions de la Commission européenne qui validait les listes belges et anglaises en contestant le fait que tous ces matchs puissent constituer des événements d’une importance majeure pour le public de ces Etats. Mais les recours de la FIFA et de l’UEFA ayant été rejetés, celles-ci ont introduit des pourvois devant la Cour de justice.

Dans trois décisions du 18 juillet 2013, la Cour de justice de l’Union européenne énonce :

 -Tout d’abord que la désignation par un Etat membre de certains événements comme étant d’une importance majeure pour sa société et l’interdiction de leur retransmission exclusive constituent des entraves à la libre prestation des services, à la liberté d’établissement, à la libre concurrence et au droit de propriété.CJUE 2

-Toutefois, de telles entraves sont justifiées par l’objectif visant à protéger le droit à l’information et à assurer un large accès du public aux retransmissions télévisées de ces événements.

Dans ce contexte, la Cour souligne qu’il appartient aux seuls États membres de désigner les événements en question et que le rôle de la Commission dans ce domaine se limite à vérifier si ceux-ci ont respecté le droit de l’Union lors de l’exercice de leur pouvoir d’appréciation. Ainsi, lorsqu’un événement a été valablement désigné par un État membre comme ayant une importance majeure, la Commission doit exercer un contrôle restreint sur cette désignation et n’est notamment tenue d’examiner que ses effets sur les libertés et droits reconnus par le droit de l’Union qui vont au-delà des effets intrinsèquement liés à une telle qualification.

La Cour constate que les phases finales des différents championnats peuvent effectivement être divisées en matchs dont l’importance pour le public n’est pas forcément identique. Les Etats sont alors dans l’obligation de justifier l’interdiction d’une retransmission exclusive pour l’ensemble du championnat.
En l’espèce, la CJUE estime que tous les matchs des phases finales de la Coupe du monde de football, et de celles du championnat d’Europe de football ont une importance majeure pour le public anglais et belge, et justifie alors l’interdiction de retransmission exclusive pour l’intégralité des matchs.

Dans ces circonstances, la Cour rejette dans leur intégralité les pourvois formés par la FIFA et l’UEFA.Coupe du monde

Il faudra voir l’impact de ces décisions notamment en France ou la concurrence est rude concernant l’obtention des droits télévisuels pour ces compétitions entre Canal +, TF1 et le désormais incontournable BeIN Sport. Si le gouvernement donne la qualité d’évènement majeur à toute la phase finale de la Coupe du monde et de la Coupe d’Europe, comme en Belgique et au Royaume-Uni, les prix pourraient baisser.

Benoît Bellaïche
b.bellaiche@gmail.com

Copie privée : le Conseil constitutionnel donne raison à SFR contre Copie France

 

Dans une décision du 15 janvier 2013 à la suite d’une question prioritaire de constitutionnalité, le Conseil constitutionnel a annulé le paragraphe II de l’article 6 de la loi du 20 décembre 2011 relative à la rémunération pour la copie privée.

SFR

La question prioritaire de constitutionnalité avait été posée par SFR. L’entreprise remettait en cause la légitimité des factures reçues de la part de Copie France pour les disques durs intégrés dans sa box, elle invoquait le fait qu’elles avaient été établies sur la base de la décision de la commission de copie privée du 17 décembre 2008 annulée par le Conseil d’Etat le 17 juin 2011. Pour SFR, l’article 6 de la loi du 20 décembre 2011 portait atteinte au principe de la séparation des pouvoirs et au droit à un recours effectif qui découlent de l’article 16 de la Déclaration des droits de l’homme et du citoyen de 1789, ainsi qu’au droit de propriété et à la sécurité juridique des sociétés assujetties.

La loi du 20 décembre 2011 validait rétroactivement les redevances ayant fait l’objet d’une action contentieuse introduite avant le 18 juin 2011 et qui auraient pu être contestées sur les mêmes bases que celles de la décision du Conseil d’Etat.

En effet, le Conseil d’Etat avait, le 17 juin 2011, annulé les barèmes de la commission pour copie privée fixés en 2008. Le Conseil d’Etat avait estimé qu’il était illégal de demander aux professionnels de payer la taxe copie privée sur des supports qu’ils n’utilisent pas pour copier des œuvres protégées par le droit d’auteur. Mais le Conseil avait décaler l’application dans le temps jusqu’au 22 décembre 2011.

copie-france-logoUne fois le délai écoulé aucun nouveau barème n’avait été voté, le législateur avait prorogé le délai et indiquer que la décision du Conseil d’Etat n’aurait pas d’effet sur les instances en cours.

Le Conseil constitutionnel vient censurer le paragraphe II de la loi et rappel que « si le législateur peut modifier rétroactivement une règle de droit ou valider un acte administratif ou de droit privé, c’est à la condition de poursuivre un but d’intérêt général suffisant et de respecter tant les décisions de justice ayant force de chose jugée que le principe de non-rétroactivité des peines et des sanctions ».

Conseil_constitutionnelLe Conseil constitutionnel a donc considéré que le paragraphe II était contraire à la Constitution et il ajoute que les validations législatives doivent poursuivre un but d’intérêt général suffisant. En revanche le Conseil constitutionnel n’a pas remis en cause le premier paragraphe, il avait été validé dans la décision Simavelec du 20 juin 2012.

Mais cette décision n’aura vraisemblablement pas d’incidence sur la rémunération copie privée dont les nouveaux barèmes sont entrés en vigueur le 14 décembre 2012.

Benoît Bellaïche
b.bellaiche@gmail.com

 

Retour sur l’affaire Free et le blocage de la publicité

Dans sa mise à jour du 03 janvier 2013, Free avait activé un bloqueur de publicité. Ce blocage a provoqué un grand nombre de réactions. Free est le deuxième fournisseur d’accès à internet français et compte plus de 5 millions d’abonnés.

blocagepub freeLa mise à jour du logiciel de la Freebox qui a activé le blocage de la publicité a entrainé de nombreuses réactions notamment chez les éditeurs de sites, les internautes mais aussi au sein de la classe politique.

Quels sont les faits reprochés à Free ?

Le premier reproche fait à Free est l’activation par défaut du bloqueur de pub. Il existe déjà des moyens de bloquer la publicité sur internet avec des extensions tel que ad block ou ad block plus, mais ces extensions sont activées par la volonté de l’internaute et non automatiquement.

Un autre reproche exprimé par certains serait une atteinte à la neutralité du réseau par le FAI. Mais cette opinion n’est pas partagée par Benjamin Bayart qui estime que le blocage de la publicité par Free n’est pas une atteinte à la neutralité des réseaux car le filtrage est fait par un équipement de périphérie (la Freebox). Il reste une atteinte à la neutralité des intermédiaires techniques.

Enfin la peur de nouveaux blocages qui viendraient limiter la liberté de l’internaute fait partie des hypothèses mises en avant par certains éditeurs de contenu.

Pourquoi Free essuie-t’il une levée de bouclier de la part d’éditeurs de contenu ?

Dans un modèle économique ou la publicité permet la rémunération des éditeurs de contenu, le blocage de cette publicité rend le modèle inefficace. Ainsi les sites d’information, les bloggeurs et tous les éditeurs de contenu qui étaient rémunérés par la publicité sont privés de leur ressource. L’idée avancée est que la publicité permet de conserver l’accès gratuit aux sites internet.

Pourquoi Free mettrait en place le filtrage des publicités ?free

Derrière cette action du blocage de la publicité c’est probablement Google qui serait visé.

Depuis quelque temps la firme de Mountain View et le fournisseur d’accès à Internet s’affrontent sur la question des accords d’interconnexion. Xavier Niel veut que Google investisse dans les infrastructures car certains de ses services, notamment You tube utilise beaucoup de bande passante. On peut penser que Free tente d’influencer Google avec son blocage de la publicité.

Free est revenu sur le blocage de la publicité car il a été annoncé que le dispositif sera désamorcé « dans les jours qui viennent ».

Reste à savoir qu’elles vont être les suites de cette « affaires Free » concernant son différent avec Google.

Benoît Bellaïche
b.bellaiche@gmail.com

Class Action en vue pour les nouvelles règles de confidentialité de Google

Aux Etats-Unis, Google fait l’objet de deux recours collectifs. Ces recours concernent les nouvelles règles de confidentialité et notamment la nouvelle politique de Google en matière de gestion des données personnelles.

Un recours collectif ou une action de groupe (« class action » en anglais) est une action en justice ou une procédure qui permet à un grand nombre de personnes, souvent des consommateurs, de poursuivre une personne, souvent une entreprise ou une institution publique, afin d’obtenir une indemnisation morale ou financière.

De nouvelles règles

Le 1er mars 2012, les nouvelles règles de confidentialité sont entrées en vigueur.

En Europe déjà, dès le mois de février, l’Union Européenne avait demandé à Google de suspendre ses nouvelles règles de confidentialité.

Depuis, deux procédures viennent d’être engagées devant la justice américaine contre le géant de Mountain View. Ces procédures proviennent des États de Californie et de New York qui estiment que les nouvelles règles de confidentialité de Google à propos des données personnelles de ses utilisateurs violent les précédentes dispositions. Ces dernières énonçaient que les informations fournies par un utilisateurs pour un service ne seraient pas utilisées par un autre service sans l’accord de l’intéressé.

Mais désormais avec sont nouveau règlement, Google sous prétexte d’une meilleure expérience en ligne s’autorise à croiser les données.

Les auteurs de l’action en justice reprochent à Google de ne pas avoir laissé aux utilisateurs le choix de refuser cette unification et affirme que « Google agrège désormais les informations personnelles des consommateurs sans leur consentement. » Ils ajoutent que Google a « échoué à fournir un simple et opérationnel mécanisme d’opt-out ».

Un bouton opt-out permettrait aux utilisateurs qui le souhaitent de refuser le croisement de leurs données.

On constate que les nouvelles règles de confidentialité de Google font réagir les autorités mais aussi les particuliers tant la question des données personnelles et du « profilage » sur internet devient une question essentielle.

Benoît Bellaïche
b.bellaiche@gmail.com

La Commission Européenne saisit la CJUE pour examiner le traité ACTA

La commission européenne a annoncé qu’elle allait demander à la Cour de Justice de l’Union européenne pour savoir si l’accord international sur la contrefaçon (ACTA) ne violait pas les droits fondamentaux.

Ainsi Karel De Gucht, le commissaire au Commerce a déclaré : « Nous avons l’intention de demander à la plus haute cour en Europe si Acta est, d’une manière ou d’une autre, incompatible avec les droits fondamentaux et les libertés fondamentales de l’Union européenne, comme la liberté d’expression, d’information ou la protection des données. »

De plus Viviane Reding qui est vice-président et commissaire européen chargé de la Justice, des Droits fondamentaux et de la Citoyenneté affirme que le droit d’auteur n’est pas un droit fondamental absolu et qu’il faut trouver l’équilibre entre la propriété intellectuelle et la liberté d’expression et d’information.

Si on analyse les récentes décisions rendues par la CJUE dans deux arrêts : Sabam contre Scarlet et Sabam contre Netlog, on voit clairement que la Cour européenne interdit d’une part un filtrage exercé par les fournisseurs d’accès à internet et d’autre part cette même interdiction de filtrage pour les réseaux sociaux.

Ainsi on peut penser que la décision de la CJUE sera défavorable au traité ACTA qui avait suscité une levée de bouclier. Même si la ratification du traité est encore en cours, certaines des dispositions les plus controversées ont été retirées de la version définitive.

Benoît Bellaïche
b.bellaiche@gmail.com