Quel régime juridique pour le Cloud ?

1/ multitude de définition et de caractéristiques du cloud.

Le cloud ne fait pas l’objet d’une définition uniforme [1]. De prime abord, on peut le définir comme un procédé qui consiste à stocker de manière externalisée des données dans un « nuage » informatique. Ce service à distance est fourni à ses clients par une entreprise prestataire, les transferts s’effectuant notamment par le biais d’Internet.

Une telle définition mérite toutefois d’être précisée :

  • CNIL :

Si l’on se réfère à la définition retenue par la CNIL, deux caractéristiques sont particulièrement mises en avant. L’externalisation et la simplicité.

Le cloud est défini comme une technique virtuelle de gestion des ressources. Le stockage est en effet dématérialisé ; on bascule d’une gestion interne vers une gestion extérieure au matériel de l’utilisateur. Il s’agit, selon la CNIL, de « la forme la plus évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant ».

Le second aspect souligné par la CNIL est que les services de cloud sont fondés sur la simplicité et la rapidité puisqu’ils fonctionnent à la demande. Simplicité, parce qu’ils se caractérisent par « une facturation à l’usage ». Rapidité, parce qu’ils offrent une « disponibilité quasi-immédiate des ressources » [2].

  • National Institute of Standards and Technology :

Pour le “National Institute of Standards and Technology”. Le cloud est « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables » [3]. Sont ici mises en avant la disponibilité mondiale des services cloud et l’ouverture à tous les utilisateurs, qui peuvent même intervenir, simultanément, sur des ressources partagées à travers le réseau.

  • Commission de terminologie et de néologie :

La définition de la Commission de terminologie et de néologie, publiée au Journal officiel, est quant à elle moins positive : « le cloud computing est une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance du client » [4]. Ici, c’est l’abstraction sur la localisation des données hébergées dans le cloud qui est mise en lumière.

  • European Bankin Authority :

La définition présente dans le « final report – Recommendations on outsourcing to cloud service providers » indique que le Cloud comprend : des services fournis à l’aide du cloud computing, c’est-à-dire un modèle permettant d’accéder à un réseau omniprésent, pratique et à la demande à un pool partagé de ressources informatiques configurables (réseaux, serveurs, stockage, applications et services, par exemple) qui peuvent être rapidement mises à disposition et diffusées avec un minimum d’efforts de gestion ou d’interaction entre fournisseurs de services.

« Services provided using cloud computing, that is, a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction ».

Il existe une grande variété d’accès et de services regroupés sous l’appellation cloud : cela va du webmail, d’accès gratuit, à un stockage avec niveau de service garanti, accessible sur abonnement.

Mais relèvent également de cette catégorie le cloud d’accès public, le cloud privé réservé aux collaborateurs autorisés et tiers d’une entreprise, le cloud hybride combinant ces deux types d’accès, ou encore le cloud communautaire (la possibilité pour plusieurs entités ou membres d’organisations ayant les mêmes besoins d’utiliser une seule et unique solution Cloud), partagé par des clients autour d’intérêts ou de projets communs.

2 / Difficile qualification juridique du cloud.

Une des principales difficultés de la qualification juridique d’un contrat de cloud réside dans la multitude des cas de figure qui peuvent être envisagés. En réalité, la qualification de la relation client‐prestataire dépendra avant tout des obligations contractuelles de ce dernier.

Pour cette raison, la doctrine tout comme les praticiens s’inquiètent parfois de la « nébulosité » des contrats de cloud (Papin E., Que se cache‐t‐il derrière la nébulosité des contrats de Cloud Computing ?, 16 déc. 2014, www.cio‐online.com) ou considèrent qu’ « en réalité, c’est le caractère protéiforme du cloud computing qui pose problème » (Brunaux G., Cloud computing, protection des données : et si la solution résidait dans le droit des contrats spéciaux ?, D. 2013, p. 1158).

On peut cependant rejeter d’emblée certaines qualifications. Ainsi qu’un prestataire de cloud soit généralement amené à fournir à son client une documentation détaillée sur le fonctionnement des systèmes et des applications qui se rapproche fortement de celle fournie lors d’une vente, on doit écarter immédiatement cette qualification. En effet, aucun transfert de propriété, ni corporelle ni incorporelle, ne résulte du contrat de cloud.

La location pourrait, en revanche, apparaître comme une qualification plus adaptée à cette opération. En effet, les contrats de cloud (comme les contrats de SaaS en particulier) se traduisent généralement par la mise à disposition du client de certaines ressources applicatives et de l’utilisation privative d’espaces de stockage de données. Mais ramener toute l’opération à une location, au sens de l’article 1709 du Code civil, serait certainement trop réducteur, car cela reviendrait à ignorer tous les services complémentaires qui sont fournis en complément et autour de la mise à disposition des applications et du simple hébergement.

Un contrat d’entreprise ?

Dès lors, et comme souvent en matière de contrat informatique, la qualification en contrat de louage de service ou contrat d’entreprise semble être la mieux adaptée et la plus représentative des multiples particularités des contrats de cloud. Cette qualification est aujourd’hui clairement adoptée par la doctrine (Cordier G., Le contrat ASP, Comm. com. électr. 2008, no 10, prat. 9 ; et à propos du cloud dans son ensemble : Chantepie G., L’inexécution du contrat de cloud computing, RLDI 2013/98, p. 117 ; également Brunaux G. dans son article précité, qui exclut la qualification de contrat de dépôt au profit de celle de prestation de services).

La possibilité d’utiliser des applications et des espaces de stockage moyennant le paiement d’une redevance est presque toujours accompagnée d’autres prestations, qu’il s’agisse de conseil, de formation, de maintenance ou de sauvegarde. Et par ailleurs, l’accès à l’application elle‐même est assuré au travers d’un service de communication à distance sécurisé qui constitue également une prestation technique particulière (et à propos de laquelle le prestataire prend des engagements spécifiques de performance et de disponibilité). Tous ces éléments se conjuguent alors facilement dans le cadre de la souplesse d’un contrat (y compris en comportant – comme le souligne G. Chantepie, dans son article précité – une obligation accessoire de garde des données du client).

Bien évidemment, comme cela est souvent le cas pour des contrats portant sur un ensemble complexe de prestations, cette qualification dominante de l’ensemble de l’opération contractuelle n’est pas exclusive de ce que l’exécution de certaines prestations ou fournitures particulières puissent être régies par des clauses appartenant à des types spécifiques de contrats spéciaux (vente, location, licence, …).

En définitive, les contours du cloud computing méritent d’être précisés, autour de certaines spécificités incontournables : externalisation et hyper-capacité du stockage, disponibilité mondiale et quasi-immédiate des ressources, accessibilité à tous et sur tout type d’appareils, facturation à la demande mais aussi, ce qui ne va pas sans poser de nombreux problèmes.

3/ Les avantages du Cloud.

Le Cloud computing est un ensemble de prestations informatiques, accessibles à la demande, via des réseaux sécurisés ou non, permettant au client de disposer de capacités de stockage et de puissance informatique, sans investir matériellement dans l’infrastructure correspondante ; les clients n’étant plus que propriétaires des données qui y sont hébergées.

Le « nuage » correspond à une myriade de serveurs et d’applications liés par Internet et disséminés ou centralisés dans un ou plusieurs sites du prestataire qui peuvent être répartis dans le monde entier.

Le Cloud computing se compose de trois catégories de services :

IaaS (Infrastructure as a Service) : accès et mise à disposition à distance, d’une infrastructure informatique hébergée, pour utiliser des serveurs, de la capacité de stockage ou de traitements supplémentaires ;

PaaS (Platform as a Service) : accès et mise à disposition à distance, d’une plateforme permettant de créer des applications, de bénéficier d’environnements notamment de développement, de test ;

SaaS (Software as a Service) : accès à distance à des applications hébergées chez le prestataire.

Ces services sont fournis soit via un réseau Internet ouvert au public avec un accès en libre-service (Cloud public) soit via un réseau intranet dans un espace dédié et sécurisé, réservé aux utilisateurs autorisés par le client (Cloud privatif).

Le Cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, qui d’un point de vue juridique se classe au croisement des services d’externalisation et des services d’ASP (Application Service Provider). La différence entre ASP et SaaS n’est pas évidente : l’ASP se limite à la fourniture d’applications en mode hébergé tandis que le SaaS désigne une application modulaire à laquelle le client a accès après authentification via Internet et qui comprend des outils et des personnalisations pour répondre à ses besoins.

Le Cloud computing présente des avantages financiers d’une part, i) en affranchissant le client d’investissements préalable (homme ou machine) et de frais de maintenance associés, puisqu’il bénéficie de l’infrastructure totalement autonome du prestataire et déconnectée de la sienne et d’autre part, ii) en payant le prix du service en fonction de sa consommation effective tout en bénéficiant d’un effet de volume.

Tableau schématisant les différents types de Cloud computing :

Le Cloud computing offre une flexibilité permettant d’étendre le système d’information d’une entreprise sur simple demande, en fonction de son besoin (pics d’activité, pics de fréquentation, etc.) dans des délais plus rapides que ceux offerts par les prestations traditionnelles et pour un grand nombre de services. Ce modèle dispense le client de la responsabilité de maintenir et garantir la disponibilité de l’application ou de l’infrastructure qui est prise en charge par le prestataire sous réserve d’une contractualisation des engagements de qualité, de disponibilité, de sécurité, d’évolutivité du produit dans le temps.

4/ Les risques du Cloud.

Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.

Ce sont notamment :

1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;

2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats…

3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;

4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;

5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;

6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;

7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;

8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;

9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;

10. Utilisation frauduleuse des technologies cloud en vue de cacher l’identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation ou des accès achetés frauduleusement ;

11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;

12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l’architecture externe d’interfaçage avec les utilisateurs.

Ainsi afin de pallier certains de ces risques le prestataire de cloud doit respecter différentes obligations particulières afférentes au service proposé.

5/ Obligations du prestataire de cloud.

Outre ses obligations de conseil, d’information et de mise en garde, le prestataire de cloud doit assumer plusieurs obligations particulières découlant des caractéristiques des services de cloud qu’il fournit, à savoir notamment :

  • garantir la conformité des fonctionnalités et des performances annoncées pour son système : la prestation assurée doit être celle attendue par le client et en adéquation avec ses besoins ;
  • garantir la sécurité, la confidentialité, l’intégrité ; la disponibilité des données : le prestataire doit veiller à la sécurité des données informatiques transmises par son client ainsi que de son système d’information en général. Le prestataire doit s’assurer que le système qu’il a mis en place soit protégé contre tout accès physique ou logique non autorisé. Il conviendra de préciser les moyens techniques mis en œuvre et leur fréquence ;
  • garantir la continuité avec le système antérieur, dont il assure la reprise des données ;
  • respecter la législation applicable au traitement des données personnelles et notamment le respect des dispositions de la loi no 2004‐801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78‐ 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ( L. no 2004‐801, 6 août 2004, JO 7 août, p. 14063).

À ce sujet, la CNIL recommande aux clients de service cloud d’effectuer des choix s’agissant du réel niveau de garantie proposée par le prestataire. Elle propose une grille d’analyse reposant d’une part sur la détermination de la qualification juridique du prestataire et d’autre part sur l’évaluation du niveau de protection assurée par ce dernier par rapport aux données traitées (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012 ; Groupe art. 29, Avis no 5/2012 sur l’informatique en nuage, adopté le 1er juillet 2012 (WP 196)) ;

  • informer le client sur les différents lieux de stockage des données et de tous les traitements de données effectués dans le cadre de la prestation fournie afin que le client puisse s’assurer notamment que les pays d’implantation assurent à ses données (et particulièrement aux données personnelles qu’il détient) un niveau de protection équivalents à celle qu’assure le droit européen de la protection des données personnelles ;
  • s’engager à ne pas collecter ni stocker au‐delà des seuls besoins temporaires de sécurité des systèmes, des données de connexion relative à l’utilisation par le client de ses données et des applications auxquelles il a accès dans le cloud ;
  • souscrire une assurance garantissant sa responsabilité civile professionnelle à raison de son intervention sur le système informatique du client et à cause de tous les risques qui pourraient nuire au bon fonctionnement dudit système.

D’une manière générale et en raison de la dépossession technique que le client consentira au profit de son prestataire, les clauses de responsabilités du prestataire vont être d’une particulière importance dans le contrat de cloud et « doivent être clairement définies, tout particulièrement en matière de respect de la confidentialité des données (accès non autorisés, voire frauduleux), et d’atteinte à leur intégrité » (Guide pratique Cloud computing et protection des données, CIGREF‐IFACI‐AFAI, 2013).

Le règlement général pour la protection des données pose des nouvelles règles applicables, tant dans les relations entre coresponsables d’un même traitement consacrant la notion de responsable conjoints de traitement, que dans les relations entre responsable du traitement et sous-traitant.

La responsabilité du prestataire est donc une responsabilité de droit commun reposant sur la qualification d’obligation de moyens ou de résultat.

L’obligation sera de moyen lorsqu’il sera question de la disponibilité du service alors qu’elle sera de résultat s’agissant de la récupération des données hébergées. En ce cas, seul un cas de force majeure pourra exonérer le prestataire de sa responsabilité.

Néanmoins, il est possible d’aménager la responsabilité du prestataire par des clauses spécifiques au contrat telles que des clauses limitatives de responsabilité.

Par ailleurs, certains auteurs tels que Gaël Chantepie envisagent que cette responsabilité pourrait être complétée par une responsabilité spéciale issue de l’article 15‐I de la loi no 2004‐575 du 21 juin 2004 pour la confiance dans l’économie numérique dite LCEN. Cette loi prévoit un cas de responsabilité similaire à l’égard de toute personne physique ou morale exerçant l’activité définie au premier alinéa de l’article 14 à savoir « une activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services » (Chantepie G., RLDI précité).

Néanmoins cette interprétation de la portée de cet article parait incertaine et n’apporterait pas grand‐chose de plus que la responsabilité de droit commun.

6/ Particularités des obligations.

Au‐delà de son obligation classique de collaboration avec le prestataire et de celle de payer le prix de la prestation de service, le client est soumis à quelques obligations et responsabilités particulières lorsqu’il s’engage dans un projet de cloud computing.

Il en va par exemple de l’obligation que peut lui imposer son prestataire de respecter des consignes de sécurité de l’information et de mettre en place une politique de sécurité interne efficace, notamment afin de ne pas offrir en interne une sécurité des données « inférieure » au niveau d’exigence signifié au prestataire du cloud.

La CNIL recommande également aux clients de ce type de services de « conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise » (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012 ; Groupe art. 29, Avis no 5/2012 sur l’informatique en nuage, adopté le 1er juillet 2012 (WP 196)).

Par ailleurs, le client demeure jusqu’à présent seul maître du traitement de données personnelles, au sens où la loi du 6 janvier 1978 modifiée dite « loi Informatique et Libertés » dispose que « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » et non celui qui effectue le traitement.

Le prestataire pourra, dans certaines conditions, être reconnu comme co‐responsable des traitements qui lui auront été confiés. Cependant, comme le souligne le CIGREF dans sa récente étude : « cette notion de coresponsabilité (Joint Controller) ouvre une voie au rééquilibrage entre utilisateurs et opérateurs. Mais pratiquement il est encore difficile de déterminer dans quel cas elle pourra s’appliquer et si, dans la plupart des situations, l’utilisateur du Cloud restera seul Data Controller ou si le fournisseur définissant les moyens de sécurité sera qualifié lui aussi de Data Controller avec, en corollaire, une responsabilité sur la sécurité et ses conséquences ». (CIGREF, La réalité du Cloud dans les grandes entreprises, oct. 2015, p. 18).

Or, ce point est très significatif dans la mesure où les amendes pourront s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes de l’entreprise.

7/ Problématiques juridiques sur la protection des données dans le cloud.

A / Problème de l’extra-territorialité du droit.

Les données qui voyagent dans le cloud, y séjournent ou en sortent, ne connaissent pas de frontière. C’est une illustration de ce que le professeur Delmas-Marty nomme l’« ubiquité », qui constitue une caractéristique propre de l’espace virtuel : le fait qu’il soit impossible à localiser, car il se trouve partout à la fois, constitue un « redoutable obstacle à la répartition des compétences entre les différents systèmes de droit simultanément applicables » [5].

Cette problématique, qui est intrinsèque à la technologie numérique, est encore accentuée par le cloud, du fait de la circulation des données et de leur impossible localisation, en particulier dès lors que celles-ci sont susceptibles d’être transférées hors des frontières de l’Union européenne. En exposant l’utilisateur aux difficultés inhérentes à la saisine de tribunaux situés à l’étranger, à des coûts de procédure plus élevés ou à des règles substantielles moins protectrices.

Les questions du droit applicable et de la juridiction compétente, qui sont classiques en cas de conflit de lois, n’en sont que plus complexes. Dans les deux cas, le principe de liberté contractuelle prime, puisque c’est la loi des parties qui prévaut. Celles-ci peuvent choisir la juridiction compétente et le droit applicable qui régira en totalité ou en partie leurs rapports.

Au sein de l’Union européenne, deux règlements, dits Rome I et Bruxelles I, fixent le cadre des conflits de loi lorsque les parties n’en décident pas elles-mêmes. Le règlement Bruxelles I pose comme principe, susceptible de dérogations, que la juridiction compétente est celle de l’Etat membre dans lequel le défendeur a son domicile, quelle que soit sa nationalité [6].

Le règlement Rome I [7]pour sa part, fixe comme droit applicable, à défaut de choix des parties, la loi du pays dans lequel le prestataire a sa résidence habituelle [8]. On notera par ailleurs que ce règlement revêt un caractère universel, ce qui signifie que les règles de résolution du conflit peuvent conduire à l’application de la loi d’un Etat qui n’est pas membre de l’Union européenne.

B / Régime applicable aux données.

La directive du 24 octobre 1995, transposée par modification de la loi « Informatique et Libertés » [9], permet le transfert de données au sein de l’Union européenne, après déclaration à l’autorité compétente de protection des données, chez nous la CNIL. Elle pose en revanche un principe d’interdiction de transfert des données hors de l’Union, sauf, après autorisation, vers les pays présentant « un niveau de protection adéquat » (Article 25). Or les Etats-Unis n’offrent pas un tel niveau de protection. L’arrêt Schrems II du 16 juillet 2020 vient confirmer cette absence de niveau de protection adéquat de la part des Etats-Unis. Cet arrêt invalide le mécanisme de Privacy Shield, (qui remplaçait le Safe Harbor invalidé, lui, le 6 octobre 2015 par la CJUE). Pour effectuer des transferts en dehors de l’Union européenne, il reste la possibilté d’avoir recours au Clauses Contractuelles Types (CCT) de l’Union euréopenne ou aux Binding Corporate Rules (BCR). De surcroît, l’intérêt du système même du Safe Harbor ou du Privacy Shield s’érode du fait des lois américaines de lutte contre le terrorisme. Le Patriot Act, en particulier, dispose que les agences de renseignement peuvent accéder à toute donnée personnelle hébergée par un prestataire américain en cas de suspicion de terrorisme ou d’espionnage.

Le règlement général sur la protection des données qui est entré en vigueur le 25 mai 2018 vient renforcer le droit des personnes. Il prévoit notamment un consentement renforcé et plus de transparence. Ainsi le consentement au sens du RGPD doit être spécifique, univoque et explicite.  L’expression du consentement est définie :

  • les utilisateurs doivent être informés de l’usage de  leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambiguë.
  • Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Ces dispositions viennent notamment ajouter des éléments à intégrer dans le contrat de Cloud.

Cas du responsable du traitement et du sous-traitant :

Dans le règlement général sur la protection des données une plus grande responsabilité est supportée par le sous-traitant.

Le contrat de Cloud doit prévoir certaines clauses couvrant notamment :

  • Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
  • Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
  • Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

La CNIL propose un guide pour le sous-traitant conforme au RGPD [10]

Maitrise du risque :

– Prévoir des obligations du prestataire en terme de protection de la sécurité et de la confidentialité des données à caractère personnel et des mesures techniques afférentes conforment au RGDP ;

– Exiger que les données personnelles restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

C / Sécurisation et confidentialité des données.

L’accès aux données doit être sécurisé afin d’éviter toute perte, fuite voire d’atteinte à l’intégrité desdonnées confiées par le client.

Maîtrise du risque :

– Répliquer les données sur plusieurs sites distants pour assurer le client de la récupération des données ;

– Prévoir le chiffrement des données du client et leur isolement technique au sein du serveur ;

– Prévoir un engagement de résultat du prestataire de restaurer les données dans des délais convenus ;

Accéder aux services par des connexions sécurisées et une authentification des utilisateurs permettant un accès rapide par le client ou toute autorité de régulation et mettre en place une procédure de gestion des identifiants et des responsabilités afférentes ;

– Effectuer des audits externes, notamment par les régulateurs et des tests d’intrusion sur les serveurs du prestataire pour s’assurer du niveau de sécurité global ;

– Définir un Plan d’Assurance Sécurité (PAS) exigeant notamment du prestataire le respect de certaines normes techniques telles que les normes ISO/CEI 27001 et ISO 27005 mais aussi ISO 27017 et 27018, fixant les méthodes et pratiques en matière de système de management de la sécurité de l’information (SMSI) ;

– Vérifier les effets juridiques des licences de logiciels libres, si utilisés ;

– Prévoir une clause de confidentialité encadrant le niveau d’engagement, les conditions de transfert des données, la durée de la confidentialité ;

– Encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles dans la clause de responsabilité.

– L’accès aux données du client dans le cadre de la prestation de Cloud computing

L’application de règles extraterritoriales et la conformité légale :

Risque : Le client peut parfois être soumis au respect de règles impératives encadrant le stockage des données notamment dans des secteurs régulés. Il pourra être tenu responsable vis-à-vis de son droit local et le cas échéant vis-à-vis de la législation du lieu où se situe le serveur, alors que les procédures administratives ou judiciaires étrangères de ces pays peuvent être méconnues, différentes, voire contradictoires avec le droit local du client.

Maîtrise du risque :

– Imposer une visibilité parfaite du lieu de stockage réel des données et identifier les serveurs;

– Exiger la localisation des serveurs en France ou au sein de l’Union Européenne pour garantir que les obligations légales du client sont suffisamment protégées avec un droit applicable fiable ;

– Préciser la loi française comme loi applicable au contrat.

Continuité de service :

Risque : La flexibilité induite par la limitation des investissements informatiques risque de créer une forte dépendance du client au prestataire, qu’il doit maîtriser.

Maitrise du risque :

– Assurer une pérennité des services en contractualisant un plan de réversibilité pour assurer une transférabilité des services et des données par le prestataire au client ou à d’autres prestataires. Ce plan de réversibilité doit prévoir i) des facteurs déclencheurs (carence du prestataire, dépôt de bilan du prestataire, changement de contrôle, libre choix du client, fautes/manquements du prestataire), ii) les conditions de mise en œuvre (simple discontinuité du service, arrêt total du service) iii) les modalités pratiques de fonctionnement du système d’information pendant la durée de la réversibilité en assurant la continuité du service sans remise en cause des niveaux de services attendus) le coût de celle-ci ;

– Garantir l’interopérabilité entre les services attendus et le système du client si nécessaire ;

– Mettre en place un plan d’urgence et de poursuite de l’activité avec un site de secours localisé sur le même territoire que celui assurant la production.

Qualité de service :

Risque : La réalisation des services de Cloud computing, comme pour tout projet externalisé, comporte des risques au regard de la qualité de service rendue.

Maîtrise du risque :

– Engagement du prestataire sur la qualité et les performances de son « nuage » conformément à des niveaux de services (ou SLA) qui garantissent notamment une disponibilité de qualité du service assortie de pénalités en cas de non atteinte et la possibilité pour le client d’auditer les prestations;

– Mise en place d’outils de mesure efficaces pour évaluer la consommation des services particulièrement au regard des unités de mesure du stockage, de la bande passante, des ressources informatiques utilisées, du nombre d’utilisateurs actifs ;

– Vérifier que la clause de force majeure ne remet pas en cause les engagements du prestataire du fait notamment d’une coupure d’électricité, d’un redressement judiciaire de sous-traitants, sous couvert d’évènement irrésistible, imprévisible et extérieur ;

8 / Clauses essentielles des contrats de cloud.

Comme évoqué, les spécificités des services de cloud résident d’une part, dans tout ce qui touche au transfert, au traitement et à la conservation des données dont le client abandonne la maîtrise entre les mains du prestataire et, d’autre part, dans le fait que cela se réalise à distance au travers de l’interconnexion de réseaux numériques ouverts. Outre la clause définissant l’objet du contrat, qui prend un relief tout particulier dans un domaine où la variété des prestations possibles est importante, ce sont donc d’une part les clauses relatives aux modalités de traitement et de sécurité des données et des applications qui sont particulières sensibles, auxquelles doivent s’ajouter, d’autre part, quelques clauses relatives aux obligations spécifiques du prestataire et du client. Enfin, on n’omettra pas de prévoir une clause relative aux aspects internationaux du contrat s’il est destiné à être conclu entre un client et un prestataire de nationalité différente.

A / Objet du contrat

La variété extrême des offres de service auxquelles les prestations de cloud peuvent répondre oblige les parties à soigner particulièrement la rédaction de la clause d’objet du contrat.

Dans cette clause, il est nécessaire de bien définir les caractéristiques essentielles des prestations de cloud computing que le prestataire va mettre en œuvre au profit de son client, à savoir :

  • définition de la prestation d’hébergement des données ; définition de la prestation de fourniture d’applications en ligne ;
  • définition des différentes prestations connexes (par exemple : prestations d’infogérance, de développement spécifique, de paramétrages, fourniture d’accès au réseau, maintenance, sauvegarde, services web, hébergement de serveurs de messagerie, …) ;
  • type de cloud mis en œuvre (cloud privé, cloud communautaire – partagé entre plusieurs entités ayant une communauté d’intérêts, cloud public).

Au vu de ces exigences de précision et de détail des principales prestations prévues au contrat, on ne se contentera donc pas des clauses d’objet trop génériques qui se contentent souvent de l’indication que « Le « Fournisseur » consent au « Client », qui accepte : Un droit d’accès aux serveurs du

« Fournisseur » dans les conditions définies ci‐ après ; Un droit d’utilisation finale des services commandés ».

Ce type de rédaction qui renvoie intégralement les parties au contenu d’annexes techniques est trop succincte et ne permet pas de prendre connaissance du périmètre précis d’applications et de services que le prestataire accepte de prendre à sa charge pour le compte de son client.

B / Mise en place d’un SLA (service level agreement)

Afin que le client puisse vérifier que le service répond à ses besoins, la mise en place d’un Service Level Agreement (dit « SLA ») s’est généralisée. Il s’agit d’un document dans lequel le prestataire formalise la qualité du service et précise notamment les modalités, la performance du service (temps de réponse, temps de transmission des données …), la disponibilité des applications (horaires d’ouverture et de fermeture, périodes d’indisponibilités…).

Autant dire que la rédaction de cette clause requiert un peu plus de temps et d’attention que toutes les autres. Le prestataire doit être tout particulièrement vigilant à la rédaction et surtout à la lecture de cette clause dans la mesure où elle constitue en majeure partie une des causes de mise en jeu de sa responsabilité. Ainsi, lorsque le prestataire n’est pas en charge directement ou indirectement de l’infrastructure réseau mise en œuvre pour relier le client et les serveurs de cloud, ce dernier n’hésite pas à limiter le niveau de ses garanties de services.

L’un des documents de référence utiles pour rédiger cette convention de niveau de services est le document de l’Autorité nationale de la sécurité des systèmes d’information (ANSSI) « Maîtriser les risques d’infogérance » (et plus particulièrement son chapitre 4 : Le plan d’assurance sécurité). On peut signaler aussi le récent document rédigé au niveau européen par le C‐SIG « Cloud Service Level Agreement Standardisation Guidelines », 24 juin 2014).

Cette clause fait partie intégrante du contrat de cloud et fait le plus souvent l’objet d’une annexe.

Les engagements contenus dans le SLA portent tant sur les services applicatifs que sur leur accès par le biais des liaisons télécoms. La question du niveau de disponibilité est, en particulier, critique pour une exploitation à distance puisque le client qui a externalisé ses données et les applications nécessaires à leur traitement recherche un système qui continue à être disponible dans les mêmes conditions que ce sur quoi il pouvait compter avant l’externalisation (voir Cohen V. D., Le contrat d’externalisation Informatique ‐ Un contrat bien bordé !, Éd. Afnor, 2012, p. 35). De manière générale, le SLA établira des seuils garantis quant à la disponibilité de l’application et du réseau, la vitesse de transfert des données, les délais maximum d’interruption, la fréquence des backups, les délais de restauration des données et des applications, la performance et la sécurité du système, les procédures de contrôle de ces éléments. Généralement, ces seuils seront exprimés en pourcentage associés à certaines périodes.

Cette clause doit également prévoir comment les services seront contrôlés, avec quels outils, suivant quelle procédure d’audit, par qui, à quelle fréquence etc., pour pouvoir éventuellement engager ensuite la procédure de plainte qui sera très précisément décrite (la personne à contacter, la manière de formuler les plaintes, les procédures d’urgence, les temps maximum dans lesquels le prestataire devra réagir, etc.). Des outils de support à toutes ces procédures doivent également être pointés, leur niveau et nature (helpdesk, combien d’opérateurs y sont disponibles, de quelle heure à quelle heure, quel jour, qui sont les personnes payées pour répondre à toute question, qui est responsable pour le « service clientèle » au sein de l’ASP, etc.). C’est la phase dite de « reporting » (voir à ce sujet, Verbiest T., ASP et SLA : les contraintes juridiques, 19 nov. 2003, www.solutions‐journaldunet.com).

Cette clause peut donc organiser un mécanisme de sanctions acceptables par les deux parties mais qui doit en tout état de cause être incitatif pour le prestataire et suffisamment prévisible pour le client pour permettre un véritable contrôle de qualité.

Dès lors, le prestataire sera sanctionné lorsque le seuil de performance n’est pas atteint sans que le client ait besoin de rapporter la preuve d’un quelconque manquement. D’un point de vue purement juridique cette clause de SLA revêt le caractère d’une clause pénale.

S’agissant du type de sanction, l’Information Technology Association of America (ITAA) précise quelles sont les sanctions couramment envisagées dans le cadre de SLA, dans des Guidelines accessibles sur le site www.itaa.org. Selon ces recommandations, les sanctions peuvent inclure des rabais mensuels (en pourcentage) sur les montants dus, en proportion de la performance réalisée par le prestataire dans le mois précédent, des réductions spécifiques,

préagréées, en cas de non‐atteinte des seuils de performance et la résiliation du contrat en cas de violation chronique des SLA (voir à ce sujet Furst X. et Jaccard M., ASP : vers un nouveau type de relation fournisseur client, 18 févr. 2002, www.clic‐droit.com).

Toutefois, il convient de préciser que l’insertion d’une telle clause dans le contrat de cloud n’exclut pas la rédaction d’une clause relative à la responsabilité et aux garanties offertes par le prestataire, comme nous le verrons plus loin.

C / Propriété intellectuelle

Elle sera nécessaire lorsque des développements sont confiés au prestataire mais également lorsque des outils mis à disposition du client par le prestataire sont utilisés, comme par exemple une plate‐forme de développement ou des structures de bases de données.

Si le prestataire utilise des logiciels standards en libre accès sur le marché ou sous licence libre, il n’y aura pas de risque pour le client. En revanche, si les technologies utilisées appartiennent au prestataire de cloud, il conviendra de prévoir une clause relative à la propriété intellectuelle du prestataire.

Par exemple, il conviendra d’inclure dans le contrat, une sous‐licence sur les logiciels standards utilisés dans le cadre du cloud et une licence sur le logiciel/programme/application qui a été crée

Comme pour les contrats ASP et SAAS, la clause de propriété intellectuelle d’un contrat de cloud doit énumérer précisément les modalités de l’utilisation des applications par le client final, qui se limitent le plus souvent à un droit de « piloter » à distance les fonctionnalités choisies. Toute autre utilisation, non prévue au contrat constituera, une contrefaçon.

Elle doit également préciser que le prestataire n’acquiert, du fait de l’exécution du contrat, aucun droit de propriété intellectuelle sur les données que le client lui transfère et qui sont traitées à distance par les serveurs, et éventuellement les applications, du prestataire.

Enfin, comme pour l’hébergeur ‐ dont l’article 6‐I.7 de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) a prévu un régime de responsabilité allégé pour les hébergeurs vis‐à‐vis des contenus qu’ils hébergent ‐ le contrat de cloud comportera une clause exonérant et garantissant le prestataire contre une condamnation pour contrefaçon en raison du contenu des données appartenant à son client qu’il aurait stocké.

D / Confidentialité

Dès lors que le propre des prestations d’informatique dématérialisée est d’externaliser sur les serveurs du prestataire tout ou partie des applications ou des données du client, cela suppose que le prestataire et ses équipes puissent techniquement avoir accès à des informations confidentielles dudit client.

Dès lors, cette communication doit être strictement encadrée par une clause de confidentialité détaillée et rigoureuse.

Cette clause doit, au minimum, contenir les éléments suivants : une reconnaissance de principe du caractère entièrement confidentiel de toutes les données stockées et de toutes les opérations et traitements réalisés par le client sur et par le truchement des serveurs et de l’infrastructure du prestataire ; en conséquence, l’interdiction au prestataire de prendre connaissance du contenu de ces données ou de ces opérations et traitements, au-delà de ce qui leur est absolument nécessaire de connaître pour pouvoir assurer leurs prestations ; l’engagement du prestataire de faire respecter cet engagement par tous ses salariés ou commettants et de communiquer à des tiers non autorisés ou de les laisser accéder à ces données et informations confidentielles du client ; l’engagement du prestataire de mettre en œuvre des moyens de sécurité (à définir en annexe technique) pour assurer la sécurité et la confidentialité des données et informations dont le client a confié la garde et l’hébergement au prestataire ; l’obligation imposée au prestataire de prévenir le client de tout incident ayant mis en cause la confidentialité de ses données ou traitements.

Pour contribuer au développement d’une offre sécurisée de services de cloud, l’ANSSI (l’autorité nationale française de sécurité des systèmes d’information) a édité en 2014 un référentiel pour la qualification des prestataires de cloud présentant un niveau de sécurité et de confidentialité suffisant (ANSSI, Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) ‐ référentiel d’exigences, 30 juill. 2014).

E / Données personnelles

Le respect d’un niveau homogène de protection des données personnelles était l’une des difficultés majeures de la mise en place de contrat d’informatique dématérialisée.

Il est donc essentiel que ce contrat répartisse les rôles et les responsabilités entre le prestataire et son client en matière de respect des obligations légales en matière de protection des données personnelles.

À titre d’exemple, le Syntec recommande un article consacré aux données personnelles ainsi rédigé :

« Si les Données transmises aux fins d’utilisation des Services applicatifs comportent des données à caractère personnel, le Client garantit au Prestataire qu’il a procédé à l’ensemble des obligations qui lui incombent au terme de la loi du 6 janvier 1978 dite « Informatique & Libertés », et qu’il a informé les personnes physiques concernées de ‘usage qui est fait desdites données personnelles. À ce titre, le Client garantit le prestataire contre tout recours, plainte ou réclamation émanant d’une personne physique dont les données personnelles seraient reproduites et hébergées via le Service applicatif. »

Complété éventuellement par le paragraphe suivant :

« Dans le cas où les Données sont stockées sur des serveurs localisés dans des pays hors du territoire de l’Union Européenne, une autorisation spécifique de transfert des données doit être obtenue auprès de la CNIL. Le Prestataire s’engage à informer le Client de la localisation des Données et plus généralement, à communiquer toutes les informations utiles et nécessaires pour réaliser les déclarations. Le Client, en tant que responsable du traitement s’engage à conclure le standard contractuel établi par une décision de la Commission européenne du 5 février 2010 et à obtenir l’autorisation adéquate auprès de la CNIL » (extrait du guide contractuel, précité, Syntec, 2010, p. 13‐14).

Dans ce domaine particulièrement sensible, la normalisation apporte également un soutien utile, avec en particulier la nouvelle norme ISO/IEC 27018 sur les bonnes pratiques pour la protection des données personnelles dans les services Cloud (juillet 2014)

Par ailleurs, les articles 26 à 30 du projet de règlement européen sur la protection des données personnelles, renforcent également la pression légale sur les prestataires de service prenant en charge l’externalisation des données des responsables de traitement. Alors en effet que la précédente directive n’imposait de responsabilité directe qu’au seul responsable du traitement, le nouveau règlement vise explicitement les sous‐traitants, parmi lesquels les prestataires de service de cloud. Le responsable du traitement va avoir l’obligation de ne choisir comme prestataire qu’un professionnel qui présente des garanties suffisantes pour pouvoir assurer la sécurité du traitement et la protection des données personnelles qui lui sont confiées. Il aura également l’obligation d’inscrire dans le contrat de prestation des clauses obligeant le prestataire à respecter la légalité et la confidentialité du traitement de données personnelles, de manière à ce que – en cas de sinistre – le prestataire puisse être considéré comme co‐responsable du traitement et sanctionner comme tel.

F / Réversibilité

Comme dans toute forme d’externalisation, la réversibilité à l’issue du contrat est un élément essentiel qui doit garantir au client la possibilité de pouvoir reprendre le contrôle exclusif de ses données et de ses applications et qui doit pouvoir, pour ce faire, compter sur la coopération technique de son prestataire.

Les contrats de cloud computing sont évidemment régis par un principe de récupération des données par le client à la fin dudit contrat mais cette évidence doit faire l’objet d’une clause précise et il est donc recommandé de prévoir dans le contrat une clause de réversibilité qui permet au client de « reprendre ou de faire reprendre son informatique externalisée par un autre prestataire, afin d’assurer la continuité de l’activité sans dégradation de la qualité ».

Dans la plupart des cas, la récupération des données se fera via des fichiers intermédiaires (type fichiers plats) lesquels permettent de préserver le savoir-faire et les droits de propriété intellectuelle du prestataire.

Toutefois, l’inconvénient lié à cette pratique est le surcoût pour le client. Si cela semble justifié lorsque le client a pris la décision de changer de système, elle l’est moins lorsqu’il a été contraint de prendre cette décision en cas de faillite du prestataire ou en cas de manquement grave du prestataire à ses obligations.

Néanmoins, certains prestataires décident de régler dans le contrat le sort des données du client.

Trois situations sont fréquentes :

  • celle dans laquelle le prestataire conserve les données du client afin de permettre à ce dernier de les récupérer ;
  • celle dans laquelle il est prévu que les données seront immédiatement effacées à la fin du contrat ;
  • ou celle dans laquelle il est prévu que le prestataire refuse de préserver les données au‐delà de la fin du contrat sans préciser que celles‐ci seront effacées.

Par conséquence, la clause de réversibilité devra définir :

  • les délais et modalités de fournitures des données : il faudra prévoir les responsabilités éventuelles en cas de dégradation, perte, d’accès non autorisé et/ou de détournement de fichiers lors de la transmission ; le format du fichier de restitution ;
  • la documentation qui permet d’identifier les données contenues dans le fichier intermédiaire comprenant les données restituées ;
  • la collaboration attendue du client, et ce afin de déterminer les destinataires du fichier de restitution ;
  • les modalités d’assistance complémentaire éventuelle : il faudra définir les délais, les personnes, les coûts et les responsabilités.

Cette clause doit donc être complétée généralement par un véritable « plan de réversibilité » car comme le soulignent H. Alterman et F. Perbost, « un plan de réversibilité doit être prévu lors de l’expiration ou de la résiliation du contrat. Ce plan mettra en place les conditions de remise par le prestataire de l’ensemble des données et informations – sous un format exploitable – nécessaires à une reprise de service par un autre prestataire ou par l’utilisateur».

Il n’est pas rare, en pratique de constater également au sein de la convention entre le titulaire originel des droits sur les logiciels concernés et le prestataire la possibilité pour l’éditeur du logiciel de se substituer au prestataire de cloud au terme du contrat entre ce dernier et son client. Dans cette hypothèse particulière de réversibilité, le client s’attachera, dans son contrat avec le prestataire, aux conditions, notamment financières, de cette substitution (Cordier G., Le contrat ASP, Comm. com. électr. 2008, no 10, prat. 9).

Notons que la jurisprudence a commencé à connaître des litiges liés aux difficultés de réversibilité, y compris dans le contexte d’application de type SaaS et cloud. C’est ainsi que le Tribunal de grande instance de Nanterre a rendu une ordonnance de référé par lequel il a fait injonction sous astreinte au prestataire SaaS de fournir au client tous les moyens techniques lui permettant de réaliser l’exportation de ses données hébergées, ou à défaut de lui consentir au‐delà de la date de fin du contrat la continuation gratuite du service le temps nécessaire à ce qu’il soit en état de procéder à cette exportation (TGI Nanterre, réf., 30 nov. 2012, UMP c/ Oracle France, Expertises 2013, pp. 358‐360).

G / Audit

Pour pallier la relative dépossession technique qu’induit pour le client le recours à une prestation de cloud, il est également conseillé d’introduire dans le contrat une clause d’audit permettant au client de procéder en cours d’exécution du contrat à des vérifications par un tiers extérieur de la conformité de la prestation aux stipulations contractuelles, et notamment aux engagements de niveau de service, de sécurité et de protection des données.

H / Assurance

Le prestataire doit indiquer dans le contrat qu’il est assuré pour les risques spécifiques au Cloud. Quant au client, il est souhaitable qu’il souscrive à une assurance compte tenu des risques financiers qu’il encourt pour le vol ou la perte de ses données.

9 / Conclusion.

Attractif pour les entreprises, le Cloud computing reste complexe à maitriser compte tenu de la disparité et du caractère « opaque » et disparate de certains « nuages ». Il conviendra par conséquent pour les clients de procéder à une analyse préalable des risques. L’encadrement juridique est primordial en particulier en ce qui concerne la sécurisation des applications et des données, la confidentialité et l’organisation d’audits de sécurité et la prévention des risques, avec des clauses relatives au droit applicable, à la qualité de service, à l’avertissement du client en cas de faille de sécurité, aux conditions de restauration de données et de réversibilité, permettant de rapatrier les données ou de les transférer à d’autres prestataires. Dans cet esprit de prévention des risques juridiques, il est conseillé de commencer par mettre en place des services de Cloud computing pour les applications les moins sensibles de l’entreprise, en particulier celles n’impliquant pas de données personnelles.

10 / Sources.

  • Note de l’autorité de contrôle prudentiel (ACPR) : Analyses et synthèses n°16 « Les risques associés au Cloud Computing » en date de juillet 2013
  • Discours de Jean-Marc Sauvé, Vice-président du Conseil d’Etat, lors du colloque de la Société de législation comparée, au Conseil d’Etat, le vendredi 11 octobre 2013.
  • Lamy droit du numérique « les contrats d’informatique dématérialisée (cloud computing).
  • Présentation AFDIT-Colloque du 29 novembre 2012 – Le cloud, c’est quoi au juste ? Yves Leroux.
  • Recommandations de la CNIL sur l’utilisation du cloud computing du 25 juin 2012.
  • Dossier CNIL « Règlement européen sur la protection des données : ce qui change pour les professionnels du 15 juin 2016.
  • Rapport du CSA (Cloud Security Alliance) de février 2016.
  • Rapport de l’ISACA de 2016 « Cloud computing Market Maturity ». L’ISACA est une association professionnelle internationale dont l’objectif est d’améliorer la gouvernance des systèmes d’information, notamment par l’amélioration des méthodes d’audit informatique
  • Pour information, l’arborescence des normes ISO SC27 par la CNIL :

[1] Voir en particulier E. Sordet, R. Milchior, « Le cloud computing, un objet juridique non identifié », Communication Commerce Electronique, 2011, n°11, p. 12 ; E. Sordet, R. Milchior, « La définition des contours juridiques du cloud computing », Communication Commerce Electronique, 2012, n°11, p. 7.

[2] Définition du cloud computing sur http://www.cnil.fr/les-themes/technologies/cloud-computing/. 

[3] Le National Institute of Standards and Technology (NIST) est une agence du Département du Commerce des Etats-Unis, qui promeut l’économie en développant des technologies. Voir http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[4] JORF, n°0129 du 6 juin 2010, « Informatique en nuage, », Vocabulaire de l’informatique et de l’internet, p. 10453.

[5] M. Delmas-Marty, Le relatif et l’universel. Les forces imaginantes du droit, Ed. du Seuil, 2004, p. 337.

[6] Article 2 du règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale.

[7] Règlement (CE) n° 593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (Rome I). 

[8] Article 4 du règlement. 

[9] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[10] https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Benoît Bellaïche
b.bellaiche@gmail.com

Quel régime juridique pour les jeux vidéo ?

L’exemple de GTA IV qui perd une partie de sa musique.

Alors que le jeu vidéo GTA IV fête les dix ans de sa sortie, son éditeur a décidé de supprimer, via une mise à jour, des dizaines de chansons dont les droits expiraient. En 2008, Grand Theft Auto IV s’est vendu à 3,6 millions d’exemplaires le jour de sa sortie. Dix ans après sa sortie, les droits sur une partie de sa bande originale ont expiré. Dans la dernière mise à jour du jeu, l’éditeur Rockstar Games a supprimé certaines chansons, en les remplaçant parfois par d’autres.

Mais certains se pose la question : si un jeu est une œuvre à part entière, peut-on l’amputer d’une partie de ce qui la constitue ?

Nous allons essayer de répondre à cette question en analysant le régime juridique du jeu vidéo.

Régime juridique du jeu vidéo.

Le jeu vidéo existe depuis maintenant presque un demi-siècle et si le droit français ne s’est pas désintéressé de la question de son régime juridique, notamment au regard du droit d’auteur, il semble qu’aucun régime juridique adapté n’a pour autant pu être dégagé.

A / Evolution jurisprudentielle du régime juridique du jeu vidéo.

Pour prétendre à la protection par le droit d’auteur, toute création doit répondre à deux critères principaux. Elle doit tout d’abord se manifester par une expression apparente et tangible et en second lieu être originale. Cette condition d’originalité n’est pas expressément mentionnée par le Code de la propriété intellectuelle comme condition de la protection, à la différence de nombreux droits étrangers qui la mentionnent expressément. Cette condition existait toutefois avant la loi du 11 mars 1957 sur la propriété littéraire et artistique, de sorte que même après la promulgation de cette loi, il a toujours été considéré par la jurisprudence qu’à défaut d’être originale, une création ne pouvait prétendre à la protection offerte par le droit d’auteur (Cass. Ass. Plen., 7 mars 1986).

La jurisprudence définit classiquement l’originalité comme le reflet ou l’empreinte de la personnalité de l’auteur sur son œuvre. (CA Paris, 24 novembre 1988 et Cass. Civ. 1re, 17 février 2004.)

L’article L 112-2 du Code de la propriété intellectuelle donne une liste des créations susceptibles d’être considérées comme une œuvre de l’esprit et donc pouvant être protégées par le droit d’auteur sous réserve d’être originales.

Le jeu vidéo ne figure pas dans cette liste. Toutefois, cette liste n’est pas limitative. La possibilité pour un jeu vidéo d’être protégé par le droit d’auteur n’a jamais été remise en cause. Cette possibilité a d’ailleurs été admise depuis longtemps par la Cour de cassation. (Cass. Ass. Plen., 7 mars 1986, n° 84-93.509 « Atari Inc. c/ Valadom » et Cass. Ass. Plen., 7 mars 1986, n° 85-91.465 « Williams Electronics Inc c/ Claudine T. et société Jeutel »).

Cependant, le régime de droit d’auteur applicable à une œuvre peut dépendre de la catégorie à laquelle elle est rattachée.

Ainsi, le régime juridique applicable à une œuvre audiovisuelle diffère de celui applicable à une œuvre logicielle.

Il faut donc savoir dans quelle catégorie d’œuvre le jeu vidéo doit être classé.

La difficulté du droit d’auteur à appréhender le jeu vidéo provient du fait qu’il s’agit d’une création protéiforme composée d’éléments logiciels, de bases de données mais également d’éléments visuels et audio.

La jurisprudence a donc connu de nombreuses hésitations quant au rattachement du jeu vidéo à une catégorie d’œuvre déterminée permettant ainsi de fixer le régime juridique devant lui être appliqué.

  • Le jeu vidéo d’abord considéré comme une œuvre logicielle.

C’est tout d’abord la composante logicielle qui l’a emporté sur les autres. En 1997, la cour d’appel de Caen a ainsi considéré que « c’est le logiciel qui apparaît comme spécifique et primordial dans le produit complexe qu’est le jeu vidéo et celui-ci doit en conséquence bénéficier de la protection particulière accordée aux logiciels » (CA Caen, 19 décembre 1997 « Annie T. c/ Valérie A. »). La Cour de cassation suivra également cette analyse dans un arrêt du 21 juin 2000 (Cass. Crim, 21 juin 2000, n° 99-85.154).

L’œuvre logicielle répond à un régime particulier, notamment dans le cas d’œuvre logicielle réalisée par les salariés d’une société.

Selon l’article L 111-1 du Code de la propriété intellectuelle « L’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous ».

La jurisprudence en tire pour conséquence que la conclusion d’un contrat de travail par l’auteur d’une œuvre ne suffit pas à déroger à la règle voulant que ce soit l’auteur de l’œuvre qui jouisse des droits d’auteur relatifs à son œuvre (Cass. Civ. 1re, 16 décembre 1992, n° 91-11.480).

En matière de logiciel, cette règle connaît une dérogation majeure. Selon l’article L 113-9 du Code de la propriété intellectuelle, lorsqu’un logiciel est créé par un salarié dans le cadre de l’exercice de ses fonctions ou suivant les instructions de son employeur, les droits d’auteur reviennent directement à l’employeur sauf stipulation contraire du contrat de travail.

La création d’un jeu vidéo nécessite l’intervention d’une multitude de personnes apportant chacune leur pierre à l’édifice en fonction de leurs compétences (développeurs, scénaristes, graphistes, etc.). Si ces différentes personnes sont des salariés du studio, la qualification du jeu vidéo en logiciel a pour conséquence directe de permettre au studio d’être propriétaire sans formalité particulière des droits d’auteur relatifs au jeu vidéo créé grâce à ces différents apports et créations.

Si, au contraire, le jeu vidéo n’est pas qualifié d’œuvre logicielle, le régime spécifique prévu par l’article L 113-9 du Code de la propriété intellectuelle ne s’applique pas et, en conséquence, le studio de développement doit contracter une cession de droit avec chaque personne ayant contribué au jeu et dont le travail est susceptible d’être qualifié d’œuvre.

  • L’œuvre audiovisuelle écarté pour l’œuvre multimédia.

Si le jeu vidéo a une composante logicielle dont l’importance est indéniable, il diffère néanmoins des autres types de logiciels en ce que sa dimension audiovisuelle revêt une prépondérance au moins équivalente.

En effet, pour de très nombreux jeux vidéo, il apparaîtrait difficile de réduire la composante audiovisuelle au simple accessoire de la composante logicielle.

L’œuvre audiovisuelle se distingue des autres œuvres par son régime qui est spécifique. L’œuvre audiovisuelle est ainsi légalement présumée être une œuvre de collaboration, c’est-à-dire une œuvre à laquelle plusieurs auteurs ont concouru et qui en ont la propriété commune (article L 113-3 du Code de la propriété intellectuelle).

Concernant l’œuvre audiovisuelle, l’article L 113-7 du Code de la propriété intellectuelle fixe la liste présumée de ses auteurs et donc de ses propriétaires (le réalisateur, le scénariste, etc.).

Selon l’article L 112-2 6° du Code de la propriété intellectuelle, une œuvre audiovisuelle se définit comme une œuvre consistant en des « séquences animées d’images, sonorisées ou non ».

Aucun des éléments de la définition donnée par l’article L 112-2 6° du Code de la propriété intellectuelle n’est a priori incompatible avec le jeu vidéo. Cependant, la jurisprudence a toujours considéré que le caractère interactif d’une œuvre était incompatible avec la qualification d’œuvre audiovisuelle (CA Paris, 28 avril 2000 confirmé par Cass. Civ. 1re, 28 janvier 2003, n° 00-20.294).

Or, la principale différence entre un jeu vidéo et un film consiste bien en l’intervention du joueur qui n’est pas spectateur mais acteur de l’œuvre. De ce fait, la jurisprudence a eu tendance à qualifier les jeux vidéo d’œuvres multimédia.

Dans la célèbre affaire Cryo, la cour d’appel de Paris a ainsi considéré que le jeu vidéo ne relevait pas de la catégorie des œuvres audiovisuelles mais était une œuvre multimédia qui ne se réduit pas au logiciel qui permet son exécution (CA Paris, 3e chambre section B, 20 septembre 2007, RG n° 07/01793).

La qualification du jeu vidéo en œuvre multimédia n’a pas permis pour autant de sécuriser le régime juridique applicable au jeu vidéo.

D’une part, l’œuvre multimédia ne figure pas dans la liste de l’article L 112-2 du Code de la propriété intellectuelle et, d’autre part, la jurisprudence n’a jamais réellement esquissé les contours d’un régime juridique applicable à ce type d’œuvre.

Enfin, la jurisprudence a par la suite passablement complexifié la question en qualifiant le jeu vidéo d’œuvre complexe et en posant le principe d’un régime distributif (Cass. Civ. 1re, 25 juin 2009, n° 07-20.387).

B / La qualification retenue : l’œuvre distributive.

  • L’adoption du régime d’œuvre distributive.

Lorsqu’une catégorie d’œuvre n’a pas de régime particulier, il convient de lui appliquer les règles de « droit commun » prévues par le Code de la propriété intellectuelle.

Concernant la question de la titularité des droits d’auteur d’une œuvre créée par plusieurs personnes, comme c’est souvent le cas en matière de jeux vidéo, le Code de la propriété intellectuelle distingue deux types d’œuvres : l’œuvre de collaboration et l’œuvre collective.

L’œuvre de collaboration, déjà évoquée ci-dessus, est la propriété commune des auteurs ayant concouru à sa création.

Une œuvre est qualifiée de collective lorsqu’elle est créée à l’initiative d’une personne, physique ou morale, et que sa création nécessite la contribution d’une pluralité d’auteurs, chacune des contributions se fondant « dans l’ensemble en vue duquel elle est conçue » (article L 113-2 du Code de la propriété intellectuelle).

La création d’un jeu vidéo nécessite l’intervention d’une pluralité de compétences graphiques et techniques. Il était dès lors possible d’analyser ces différentes interventions en des contributions visant à se fondre dans l’ensemble que formera le jeu vidéo finalisé.

La qualification du jeu vidéo en œuvre collective semblait donc la plus vraisemblable et certainement la solution la plus simple. C’est d’ailleurs ainsi que de nombreux acteurs du domaine considéraient le jeu vidéo.

Pourtant dans un important arrêt du 25 juin 2009, la Cour de cassation en a décidé autrement. Dans son arrêt Cryo, la Cour de cassation relève que le « jeu vidéo est une œuvre complexe qui ne saurait être réduite à sa seule dimension logicielle, quelle que soit l’importance de celle-ci ». La Cour de cassation en conclut que chacune des composantes du jeu vidéo est soumise au régime de droit d’auteur qui lui est applicable selon sa nature.

La Cour de cassation a donc tranché en faveur d’un régime distributif, faisant ainsi cohabiter le régime de l’œuvre logicielle pour la composante logicielle du jeu, le régime de l’œuvre audiovisuelle pour les cinématiques, le régime de l’œuvre musicale pour la musique mais également, le cas échéant, le régime spécifique des bases de données ou encore le régime de droit commun pour toutes les composantes qui ne relèvent pas d’une catégorie d’œuvre dotée d’un régime spécifique.

Cette solution a été depuis reprise par la cour d’appel de Paris dans un arrêt du 26 septembre 2011 où elle énonce que « le jeu vidéo est une œuvre complexe dont chaque composant est soumis à un régime propre » (CA Paris, Pôle 5, Chambre 12, 26 septembre 2011, « Nintendo c/ Absolute Games »).

Pour les professionnels du secteur, cette solution aboutit finalement à complexifier encore plus la problématique relative au droit d’auteur applicable au jeu vidéo. Cette solution ne semble pas fonctionnelle, puisqu’elle revient à augmenter encore un peu plus l’insécurité juridique en la matière.

Cette acception peut sembler délicate à appréhender pour un secteur économique pesant plusieurs dizaines de milliards d’euros au niveau mondial, dont 2,6 milliards rien que pour le marché français.

  • La spécificité de la musique.

Cette solution jurisprudentielle a mis en exergue la composante particulière qu’est la musique non spécialement composée pour le jeu vidéo, laquelle semble effectivement appeler à ce que son régime propre lui soit appliqué, comme c’est déjà le cas en matière d’œuvre audiovisuelle.

Dès 2007, toujours dans l’affaire Cryo, la cour d’appel de Paris avait pointé la particularité de la musique dans le jeu vidéo.

La cour d’appel avait alors relevé, à propos de compositions musicales appartenant à des auteurs adhérents de la SACEM et reproduites au sein d’un jeu vidéo, que celles-ci ne se fondaient pas dans l’ensemble que formait le jeu vidéo et qu’il était possible d’attribuer au compositeur ses droits distincts sur l’œuvre musicale.

Cette particularité des compositions musicales reproduites dans les jeux vidéo a également été relevée par les différents rapports rendus en la matière :

Ainsi, dans son rapport du 30 novembre 2011, le Député Patrice Martin-Lalande préconisait d’appliquer au jeu vidéo le régime de l’œuvre de collaboration avec une attribution de la qualité d’auteur basée sur les fonctions occupées lors du processus de création, notamment celle liée à la composition musicale spécialement réalisée pour le jeu.

Philippe Chantepie, dans son rapport du 27 février 2013, préconisait également que la composition musicale suive son régime propre et non celui proposé pour le jeu vidéo.

Il est vrai qu’à la différence des autres composantes du jeu vidéo, les musiques composant la bande originale peuvent être aisément différenciées du jeu en lui-même, et ce tout particulièrement lorsqu’elles n’ont pas été composées spécialement pour le jeu vidéo.

Les compositions musicales peuvent en outre faire l’objet d’une exploitation commerciale totalement séparée du jeu vidéo dans lequel elles ont été reproduites.

Il semble donc qu’il n’y ait pas d’obstacles à l’application du régime des œuvres musicales aux compositions musicales incorporées dans un jeu vidéo

Pour résumer :

Après des hésitations, la jurisprudence indique que le jeu vidéo est une œuvre complexe et retient la qualification d’œuvre distributive. La Cour de cassation en conclut que chacune des composantes du jeu vidéo est soumise au régime de droit d’auteur qui lui est applicable selon sa nature. La Cour de cassation a donc tranché en faveur d’un régime distributif, faisant ainsi cohabiter le régime de l’œuvre logicielle pour la composante logicielle du jeu, le régime de l’œuvre audiovisuelle pour les cinématiques, le régime de l’œuvre musicale pour la musique, mais également, le cas échéant, le régime spécifique des bases de données ou encore le régime de droit commun pour toutes les composantes qui ne relèvent pas d’une catégorie d’œuvre dotée d’un régime spécifique.

Le principal risque de cette qualification juridique réside dans la difficulté de retrouver les titulaires de droit de chaque composante du jeu vidéo. Cette qualification peut sembler difficile à appréhender pour les acteurs du monde du jeu vidéo et notamment les studios et les éditeurs pour l’exploitation de l’œuvre complexe.

Benoît Bellaïche
b.bellaiche@gmail.com

La signature électronique, qu’est-ce que c’est ?

 

La Signature électronique :

1) Définition

  • Mécanisme qui permet de garantir l’intégrité d’un document électronique et d’authentifier l’auteur.
  • Elle est fondée sur la cryptographie asymétrique et repose sur l’exploitation d’une clé publique et d’une clé privée qui sont mathématiquement liées. Le destinataire peut déchiffrer la signature électronique grâce à la clé publique contenue dans un certificat numérique. Ainsi la signature électronique utilise deux composants logiciels : un dispositif de création de signature pour le signataire et un dispositif de vérification de signature pour le destinataire d’un fichier signé.
  • La signature doit être :
    • Authentique
    • Infalsifiable
    • Non réutilisable
    • Inaltérable
    • Irrévocable

2) Textes applicables

  • Union européenne :
    • Directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques.
  • France :
    • Loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.
    • Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
    • Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
      • Décret n°2001-272 du 30 mars 2001, pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique.
      • Décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information.
      • Décret n°2010-671 du 18 juin 2010 relatif à la signature électronique et numérique en matière pénale et modifiant certaines dispositions de droit pénal et de procédure pénale.

TGI Paris

La jurisprudence sur la différence entre version papier et version numérique :

  • L’article 1316-1 du code civil dispose : : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».
  • L’article 1348 du code civil admet la valeur probatoire d’une copie dès lors que celle-ci est une reproduction fidèle et durable de l’original.
    • La Cour de cassation en a rappelé le principe dans  l’arrêt n° 07-17622 du 4 décembre 2008, où une partie tentait de démontrer l’existence d’un courrier en en produisait une copie informatique qui n’était pas la reproduction exacte du présumé courrier.
    • Dans des espèces semblables, la Cour de cassation a toutefois admis que ce principe pouvait être aménagé si, même en l’absence d’une copie fidèle, de nombreux autres indices pouvaient laisser à penser que le courrier existait et que son destinataire l’avait bien reçu. (Cour de cassation, civile 2, 1 juillet 2010 n° Y 09-14.685 et 17 mars 2011 Civ 2 n° 10-14.850).

Benoît Bellaïche
b.bellaiche@gmail.com

Peut-on interdire la sortie d’un jeu vidéo ?

 

Le jeu vidéo continue de prendre une place plus importante dans l’industrie du divertissement, avec l’explosion ces dernières années des jeux en ligne, massivement multi-joueurs, sur Facebook ou sur les Smartphones. De plus le cloudgaming s’ouvre progressivement au grand public. Mais, alors que Grand Theft Auto V ou la série Call of Duty ont relancer le débat sur la violence des jeux, certains se demandent s’il est possible d’empêcher la sortie d’un jeu vidéo.

 

4319566960_dafc47bf0e_bA priori, une interdiction totale n’est pas envisageable en Europe, aux Etats-Unis et au Japon qui vont être les pays étudiés. Même si certains retraits ont pu exister. Comme par exemple le jeu de PC Sanitarium qui avait été retiré de la vente en 1998 suite à la pression d’association sur les distributeurs. Ou l’interdiction de vente et la saisie des disquettes d’un jeu vidéo qui utilisait l’image d’une personne comme celle d’un « ennemi », sans autorisation (Cass. 1re civ., 16 juill. 1998 se basant sur l’article 9 du Code civil).

Les principales mesures de restriction à la vente vont être pratiquées notamment par le biais de la protection des mineurs.

Un système de classification par catégorie d’âge a été mis en place pour l’information du public, et parfois, la loi peut  intervenir pour la protection des mineurs concernant les jeux vidéo.

Les systèmes de classification par catégorie d’âge en France et dans le monde

  • Dans l’Union européenne :

Pour la France, la classification des jeux vidéo se basait toujours sur un système d’autorégulation. Dès 1992, l’organisme responsable était le Syndicat des Editeurs de Logiciels des Loisirs (SELL) pour les consoles, PC, et les jeux en ligne. La classification des jeux vidéo selon le SELL reposait sur un classement des contenus par tranche d’âge et les différents logos prenaient place au dos des boîtes.

En 2003, il est remplacé par le système paneuropéen de classification par catégorie d’âge des logiciels de loisirs dénommé PEGI : (Pan European Game Information). C’est un système d’évaluation mis en place par l’Union européenne. Le système indique les éléments du jeu pouvant heurter la sensibilité du joueur. En France les éditeurs de jeux vidéo ont adopté ce système. Les catégories d’âge sont : 3+, 7+, 12+, 16+ et 18+. Certaines caractéristiques du jeu sont représentées par des pictogrammes indiquant si le jeu est violent, fait peur, est grossier, avec une teneur sexuelle…

Certains pays tel que l’Allemagne ne font pas partie de PEGI. L’Allemagne dispose de son propre système obligatoire de classification. L’organisme compétent est appelé USK (Organisme du contrôle d’Entertainment Software). Un jeu vidéo doit obtenir une classification d’âge par l’USK, afin d’être accessible au public. Après la réforme de la loi allemande en 2003 pour la protection de la jeunesse, l’absence de cette classification rend automatiquement le jeu inaccessible aux personnes de moins de 18 ans. Si un jeu est considéré comme dangereux et que l’USK lui refuse l’attribution d’une classification, le jeu sera inscrit sur une liste et ne pourra être vendu aux personnes de moins de 18 ans, et la publicité faite pour le jeu dans les médias sera interdite.

Certains jeux pour obtenir  une classification moins stricte et pour éviter un refus de classification vont être modifiés. Ces modifications sont notamment le remplacement de personnes humaines par des robots ou le retrait de sang humain.

Au Royaume-Uni, la signalisation PEGI est utilisée pour la plupart des jeux vidéo. Mais les jeux vidéo qui ont un contenu à caractère sexuel ou représentant des scènes de violence extrême sont soumis à l’approbation du British Board of Film Classification (BBFC).

Le système PEGI a évolué depuis sa création en 2003, ainsi sont apparus en 2007 PEGI online, en 2009 PEGI OK (pour les jeux sur internet) puis en 2011 PEGI Express. Ce dernier devait informer le public sur les jeux disponibles sur les Smartphones, mais si l’App store de Windows l’avait adopté ce mouvement n’a pas été suivi par Apple et Google. En revanche il existe désormais une application Android et iOS PEGI qui évalue les jeux.

  • Système hors Union européenne :

Aux Etats-Unis, c’est le système ESRB qui est pratiqué. C’est un système de classification volontaire. L’ESRB est créé en 1994 par l’Entertainment Software Association (ESA). Il prévoit un âge minimum pour le jeu, et informe d’éléments qui peuvent choquer telle que la violence, l’alcool… Ce système est très précis car il donne des informations sur une trentaine d’éléments pouvant heurter.

Pour le Japon,  l’organisme chargé de la classification est appelé Computer Entertainment Rating Organisation (CERO).  Créé en juillet 2002 il assure l’évaluation des jeux vidéo. Les classifications sont faites par lettre : A (pour toute catégorie d’âge), B 12 ans et plus jusqu’à D 17 ans et plus. Le Z correspond aux 18 ans et plus. Pour le Z, cette classification est réglée par le gouvernement et ces jeux peuvent être acquis seulement avec une preuve d’âge.

L’intervention de la loi pour la protection des mineurs concernant les jeux vidéo.

  • En France :

En France il n’y a pas de disposition particulière pour la protection des mineurs à propos des jeux vidéo. Des dispositions sont prévues par le droit commun et sont applicables aussi aux jeux vidéo. Des restrictions sont gta-5-trailer-2prévues pour la vente des jeux vidéo aux mineurs, elles sont posées par le droit pénal. La proposition à la vente, la location et la publicité par quelque moyen que ce soit de certains jeux vidéo dangereux sont interdites. En lisant la définition de la loi on peut déduire que ces derniers sont perçus dans une notion large, et que la loi prévoit encore l’incitation aux stupéfiants.

Le Code pénal pose des limites selon les jeux qui comprennent des scènes à caractère pornographique ou de nature à porter atteinte gravement à la dignité humaine quand ils peuvent être vus par un mineur. Il interdit la fixation, l’enregistrement, ou la transmission de tels jeux aux mineurs, ainsi que leur diffusion, leur importation et leur exportation. Il interdit la fabrication, le transport, la diffusion ou encore la commercialisation d’un jeu à caractère pornographique ou de nature à porter gravement atteinte à la dignité humaine lorsque ce dernier est susceptible d’être vu ou perçu par un mineur.

La loi n°49-956 du 16 juillet 1949 relative aux publications destinées à la jeunesse et la loi n°98-468 du 17 juin 1998 dans sa version modifiée par la loi du 5 mars 2007 intégrée dans le Code pénal traitent des documents fixés par un procédé déchiffrable par voie électronique en mode analogique ou en mode numérique. On retrouve les dispositions concernant la protection des mineurs de ces procédés aux articles 227-23 et 227-24 du Code pénal.

  • Aux Etats-Unis :

Aux Etats-Unis, il n’y a pas de loi fédérale contre la vente des jeux vidéo violents. Après la sortie de Grand Theft Auto San Andreas en juillet 2005, certains Etats américains ont tenté de légiférer pour interdire les jeux violents.

Le gouverneur de l’Etat du Michigan, Jenniver M. Grandholm a signé en septembre 2005 l’adoption de la loi contre les jeux violents, afin d’interdire la vente de tout jeu réputé violent à un mineur, ainsi que la vente ou la location de jeux interdit aux moins de 18 ans. Puis le gouverneur de la Californie Arnold Schwarzenegger, a adopté le 7 octobre 2005 un projet de loi. Cette loi rendait illégale la vente ou la location de jeux violents et sexuellement explicites aux mineurs. Cette loi imposait aussi l’indication sur la jaquette d’un tel jeu « pour majeur », de manière lisible.

En Floride, le Sénateur Alex Diaz de la Portilla a proposé une loi similaire à celle de la Californie.

Mais, le 27 juin 2011, la Cour Suprême a jugé que la loi californienne de 2005 qui interdisait la vente de jeux vidéo violents était inconstitutionnelle. Cette loi était contraire au 1er amendement des Etats-Unis sur la liberté d’expression.

Le jeu vidéo qui est encore soumis à une qualification juridique hybride et notamment jurisprudentielle (Arrêt « Cryo » du 25 juin 2009) ne possède pas de texte propre concernant la protection des mineurs. Les systèmes d’information mis en place peuvent parfois avoir une influence, et les concepteurs peuvent avoir tendance à s’autocensurer pour éviter une classification qui leur fermerait un public plus large.

Benoît Bellaïche
b.bellaiche@gmail.com

Retour sur l’affaire Free et le blocage de la publicité

Dans sa mise à jour du 03 janvier 2013, Free avait activé un bloqueur de publicité. Ce blocage a provoqué un grand nombre de réactions. Free est le deuxième fournisseur d’accès à internet français et compte plus de 5 millions d’abonnés.

blocagepub freeLa mise à jour du logiciel de la Freebox qui a activé le blocage de la publicité a entrainé de nombreuses réactions notamment chez les éditeurs de sites, les internautes mais aussi au sein de la classe politique.

Quels sont les faits reprochés à Free ?

Le premier reproche fait à Free est l’activation par défaut du bloqueur de pub. Il existe déjà des moyens de bloquer la publicité sur internet avec des extensions tel que ad block ou ad block plus, mais ces extensions sont activées par la volonté de l’internaute et non automatiquement.

Un autre reproche exprimé par certains serait une atteinte à la neutralité du réseau par le FAI. Mais cette opinion n’est pas partagée par Benjamin Bayart qui estime que le blocage de la publicité par Free n’est pas une atteinte à la neutralité des réseaux car le filtrage est fait par un équipement de périphérie (la Freebox). Il reste une atteinte à la neutralité des intermédiaires techniques.

Enfin la peur de nouveaux blocages qui viendraient limiter la liberté de l’internaute fait partie des hypothèses mises en avant par certains éditeurs de contenu.

Pourquoi Free essuie-t’il une levée de bouclier de la part d’éditeurs de contenu ?

Dans un modèle économique ou la publicité permet la rémunération des éditeurs de contenu, le blocage de cette publicité rend le modèle inefficace. Ainsi les sites d’information, les bloggeurs et tous les éditeurs de contenu qui étaient rémunérés par la publicité sont privés de leur ressource. L’idée avancée est que la publicité permet de conserver l’accès gratuit aux sites internet.

Pourquoi Free mettrait en place le filtrage des publicités ?free

Derrière cette action du blocage de la publicité c’est probablement Google qui serait visé.

Depuis quelque temps la firme de Mountain View et le fournisseur d’accès à Internet s’affrontent sur la question des accords d’interconnexion. Xavier Niel veut que Google investisse dans les infrastructures car certains de ses services, notamment You tube utilise beaucoup de bande passante. On peut penser que Free tente d’influencer Google avec son blocage de la publicité.

Free est revenu sur le blocage de la publicité car il a été annoncé que le dispositif sera désamorcé « dans les jours qui viennent ».

Reste à savoir qu’elles vont être les suites de cette « affaires Free » concernant son différent avec Google.

Benoît Bellaïche
b.bellaiche@gmail.com

Rappel de la définition particulière de l’originalité pour la protection du logiciel

Dans un arrêt du 17 novembre 2012, se prononçant sur la protection du logiciel, la Cour de cassation réaffirme qu’un logiciel bénéficie de la protection par le droit d’auteur s’il est démontré que « les choix opérés témoignent d’un apport intellectuel propre et d’un effort personnalisé de celui qui avait élaboré le logiciel litigieux, seuls de nature à lui conférer le caractère d’une œuvre originale protégée. »

La société Compagnie de distribution informatique expert (Codix) affirmait être titulaire des droits d’auteur sur son logiciel dénommé CRX/HX, puis IMX. Elle soutenait que la société Alix services et développement à laquelle elle avait initialement consenti une licence d’utilisation de ce logiciel, exploitait celui-ci sans son autorisation. Elle l’a fait assigner en contrefaçon aux côtés de la société d’huissiers de justice Tosello et Lilamand qui était liée à cette dernière par un contrat de presations informatiques.

Dans cette décision du 17 novembre la Cour de cassation casse et annule, dans toutes ses dispositions l’arrêt rendu le 11 mai 2011 par la Cour d’appel d’Aix-en-Provence.

Cette décision intervient alors que la Cour d’appel d’Aix-en-Provence avait énoncée que le logiciel en cause était original car il apportait une solution particulière à la gestion des études d’huissiers de justice. La Cour d’appel avait relevé l’existence de contrats de licence conclu entre le prétendu titulaire des droits et ses clients et deux dépôts à l’Agence pour la protection des programmes.

La décision d’appel donnait gain de cause à la société titulaire des droits sur un logiciel de gestion pour études d’huissiers qui reprochait à d’anciens clients de continuer de l’exploiter après le terme de la licence. La Cour de cassation a donc annulé la décision d’appel pour défaut de base légale.

La Cour de cassation reprend le raisonnement de l’arrêt Pachot du 7 mars 1986 ou elle avait adapté la définition classique de l’originalité aux particularités du logiciel passant du critère de l’empreinte de la personnalité de l’auteur à celui de l’effort personnalisé. La Cour énonçait :  » Les juges du fond ont souverainement estimé que leur auteur avait fait preuve d’un effort personnalisé allant au-delà de la simple mise en œuvre d’une logique automatique et contraignante et que la matérialisation de cet effort résidait dans une structure individualisé. « 

Dans cette conception traditionnelle, l’originalité se définit par rapport à l’empreinte de la personnalité de l’auteur. Une œuvre est originale dès qu’une empreinte de la personnalité est décelable. L’œuvre doit porter en elle la marque de l’apport intellectuel de l’auteur.

Distinction Software (logiciel) et Hardware

On peut ajouter que même s’il n’existe pas de définition juridique du logiciel, on peut définir tout de même le logiciel comme étant un programme d’instructions générales ou particulières, adressé à une machine, en vue du traitement d’une information donnée. De plus, l’article L112-2 du Code de la propriété intellectuelle, considère le logiciel comme étant une œuvre de l’esprit. A ce titre, le logiciel ainsi que le « matériel de conception préparatoire  » bénéficient de la protection du droit d’auteur.

On constate qu’avec la décision du 17 novembre 2012, la définition énoncée dans l’arrêt Pachot semble toujours valable.

Benoît Bellaïche
b.bellaiche@gmail.com

Droit d’auteur : pas de protection pour le langage de programmation d’un logiciel

Le 2 mai 2012, la Cour de justice de l’Union européenne a rendu un arrêt où elle rappelle les grands principes de la protection des logiciels par le droit d’auteur. Cette protection a été codifié notamment par la directive du 14 mai 1991 et le traité OMPI de 1996.

L’OMPI est l’organisation mondiale de la propriété intellectuelle. C’est une institution spécialisée des Nations unies. Son siège est situé à Genève. Sa mission officielle est de stimuler la créativité et le développement économique en promouvant un système international de propriété intellectuelle, notamment en favorisant la coopération entre les Etats.

La CJUE a rendu une décision dans le cadre d’une affaire qui opposait la société WPL à la société SAS. L’affaire avait pour objet une demande de décision préjudicielle au titre de l’article 267 du TFUE, introduite par la High Court of Justice (England & Wales), Chancery Division (Royaume-Uni), par décision du 2 août 2010, parvenue à la Cour le 11 août 2010, dans la procédure société Institute Inc. contre World Programming Ltd,

La société SAS Institute reprochait à la société WPL d’avoir contrafait son logiciel pour créer un programme alternatif au sien.

La société WPL ne détenait pas les codes sources du programme de la société SAS mais elle a fait l’acquisition d’une licence de la version d’apprentissage afin d’étudier l’architecture du logiciel. La société WPL a donc reproduit les fonctionnalités du logiciel de SAS avec le même langage de programmation et le même format de fichiers de données.

La Cour de justice de l’Union européenne vient réaffirmer que ni les fonctionnalités ni le langage de programmation et le format de fichiers de données utilisés dans le cadre d’un logiciel pour exploiter certaines de ses fonctions ne constituent une forme d’expression de ce programme. Ainsi ces éléments ne sont pas protégés par le droit d’auteur. La Cour ajoute que si cela devait être le cas, cela reviendrait à permettre à une personne de monopoliser des idées, au détriment de l’innovation.

La société WPL avait acquis une licence du logiciel de SAS pour étudier le programme et elle a réalisé un logiciel de substitution.

La Cour va considère que la « personne ayant obtenu une copie sous licence d’un programme d’ordinateur peut, sans l’autorisation du titulaire du droit d’auteur, observer, étudier ou tester le fonctionnement de ce programme afin de déterminer les idées et les principes qui sont à la base de n’importe quel élément dudit programme, lorsqu’elle effectue des opérations couvertes par cette licence ainsi que des opérations de chargement et de déroulement nécessaires à l’utilisation du programme d’ordinateur et à condition qu’elle ne porte pas atteinte aux droits exclusifs du titulaire du droit d’auteur sur ce programme ».

L’appréciation du respect par la société WPL des conditions prévues par la directive est laissée à la cour britannique.

La CJUE va aussi s’exprimer sur la copie du manuel d’utilisation du logiciel originel dans le second logiciel, considérant que cela pouvait constituer une violation du droit d’auteur, dès l’instant qu’il y a reproduction de la création intellectuelle propre à l’auteur du manuel. Elle précise que « ce n’est qu’à travers le choix, la disposition et la combinaison de ces mots, de ces chiffres ou de ces concepts mathématiques qu’il est permis à l’auteur d’exprimer son esprit créateur de manière originale et d’aboutir à un résultat, le manuel d’utilisation du programme d’ordinateur constituant une création intellectuelle ».

Ainsi la Cour affirme que « admettre que la fonctionnalité d’un programme d’ordinateur puisse être protégée par le droit d’auteur reviendrait à offrir la possibilité de monopoliser les idées, au détriment du progrès technique et du développement industriel. » Mais aussi que seul un tiers qui se procurerait « la partie du code source ou du code objet relative au langage de programmation ou au format de fichiers de données utilisés dans le cadre d’un programme d’ordinateur », et qui créerait « à l’aide de ce code, des éléments similaires dans son propre programme d’ordinateur », serait susceptible de violer le droit d’auteur.

On peut penser que la Cour tente de prévenir l’apparition de situations monopolistiques qui seraient de véritables freins pour l’innovation dans un secteur qui est en perpétuelle évolution.

Benoît Bellaïche
b.bellaiche@gmail.com

Vente liée ordinateur/logiciel : priorité à l’information du consommateur pour la Cour de cassation.

En 2006, l’association de défense des consommateurs « UFC Que choisir ? » avait assigné Darty pour vente subordonnée d’ordinateurs avec des logiciels pré-installés.

En effet dans la majorité des ordinateurs vendus, des logiciels sont souvent pré-installés et font même partie du prix d’achat sans que le consommateur soit au courant et ne puisse exercer un choix.

Mais le TGI de Bobigny n’avait pas accédé à la requête de l’association de consommateur en admettant la vente liée pour les motifs légitimes et dans ce cas la, de la technicité du produit vendu.

En revanche, le tribunal avait admis une nécessaire information préalable du consommateur sur les logiciels pré-installés ainsi que sur le prix. Mais, cette injonction n’avait pas été assortie d’astreinte et elle n’a donc pas été appliquée. De plus Darty avait indiqué qu’il n’avait pas été en mesure d’obtenir la ventilation des prix par ses fournisseurs qui arguaient du secret des affaires.

Le 26 novembre 2009, la Cour d’appel de Paris va donner raison à Darty. Elle se base sur une interprétation stricte d’un arrêt du 23 avril 2009 de la Cour européenne des communautés européennes qui se prononçait au regard de la directive du 11 mai 2005 sur les pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs. Comme les ventes liées ne sont pas prohibées par le texte communautaire, la Cour a examiné la vente litigieuse pour vérifier si elle ne s’apparentait pas à une pratique déloyale, susceptible d’altérer de manière substantielle le comportement du consommateur. Elle a estimé que les informations relatives à l’utilisation du logiciel ne constituait pas une caractéristique principale du produit, vu leur technicité compréhensible que par un public d’initiés. Quant au prix, il n’a pas été considéré comme ayant un caractère substantiel.

« Dorénavant, un vendeur d’ordinateurs doit fournir au consommateur des informations précises sur les caractéristiques de la machine et des logiciels d’exploitation et d’application pré-installés. »

Mais le 6 octobre 2011, la Cour de cassation rend un jugement en faveur du consommateur et casse la décision de la Cour d’appel de Paris.

En effet la Cour considère que « les informations relatives aux caractéristiques principales d’un ordinateur équipé de logiciels d’exploitation et d’application, sont de celles que le vendeur professionnel doit au consommateur, moyen pour lui permettre de prendre une décision en connaissance de cause ». Elle a, en conséquence, jugé que la Cour d’appel de Paris avait ainsi violé l’article 121-1 du code de la consommation.

L’affaire est désormais renvoyée devant la Cour d’appel de Versailles qui avait sanctionné ce type de vente le 5 mai 2011 dans une affaire Hewlett-Packard contre l’UFC.

Dorénavant, un vendeur d’ordinateurs doit fournir au consommateur des informations précises sur les caractéristiques de la machine et des logiciels d’exploitation et d’application pré-installés. Ces informations, selon les juges, sont nécessaires au « consommateur moyen » pour lui permettre de prendre une décision d’achat en connaissance de cause.

Cette décision intervient alors que les députés ont reporté le débat sur les ventes couplées ordinateur/logiciel, dans le cadre du projet de loi renforçant les droits, la protection et l’information des consommateurs.

Benoît Bellaïche
b.bellaiche@gmail.com