Lu sur 01 Net :

Benjamin May, avocat associé chez Aramis, est intervenu à l’Université des SI, organisée par Octo Technology sur la problématique du cloud computing. Un enjeu technique pour les entreprises, mais également juridique à plusieurs niveaux.

 

Benjamin May


« Lorsque vous collectez et traitez des données, vous êtes soumis à de nombreuses obligations légales »

Les risques juridiques liés au cloud découlent principalement de l’abstraction de la localisation des données : sur quel serveur, dans quel centre et, surtout, depuis quel pays ? La première difficulté est donc de déterminer le droit s’appliquant dans ce cas de figure. Prévu dans le contrat, le choix de la juridiction se fait soit au lieu d’exécution de celui-ci, soit au lieu de domiciliation d’une des parties. Bien souvent, le client aime évoluer dans son droit naturel, tandis que le prestataire préfère un contrat standard. C’est d’ailleurs ce dernier qui est en général proposé.
Cette clause se discute dans deux cas principaux : quand on est suffisamment puissant pour négocier avec le prestataire ou quand on demande l’application du droit de la consommation. En effet, si un contrat cloud est étranger à l’activité professionnelle du client, celui-ci peut être qualifié de consommateur, ou de non-professionnel même s’il est une personne morale. Il a alors les moyens de faire annuler certaines clauses abusives. En particulier, selon la jurisprudence de la Cour de justice européenne, celle qui lui impose de se défendre devant un tribunal hors de son pays.

 

Faire exécuter une décision dans un autre pays

Quelle que soit la juridiction retenue, un litige avec le fournisseur risque d’entraîner une décision judiciaire qui devra être appliquée dans un autre pays. Se pose alors la question de l’exequatur : un jugement émis dans un Etat de l’Union européenne (UE) acquiert force exécutoire dans un autre Etat membre dès lors que certaines formalités sont accomplies. Hors de l’UE, un pays ne pourra homologuer une décision judiciaire prise ailleurs que si celle-ci est conforme à son droit. En somme, rien n’empêche une partie de remettre en cause un jugement au regard de sa propre loi (rappelons que les principaux acteurs du cloud sont aux Etats-Unis). Une fois le droit applicable et la juridiction compétente définis dans le cadre de la relation client/fournisseur, le régime auquel les données seront soumises sur le cloud reste encore à déterminer.

En France, où s’appliquent à la fois les droits français et communautaire, il existe des réglementations particulières pour certaines données, sectorielles (médicales, bancaires…) et transverses (personnelles…). Lorsque vous collectez et traitez des informations, vous en êtes responsable en tant que data controller et soumis à de nombreuses obligations légales vis-à-vis de la Cnil (Commis­sion nationale de l’informatique et des libertés) et des individus que ces données concernent. Par exemple, les informer de la collecte et de sa finalité.

Le transfert des données soumis à accord

Ces informations peuvent être transférées dans un autre pays à condition que celui-ci assure un niveau de protection adéquat. Ce qui n’est pas le cas, entre autres, pour les Etats-Unis, qui ont donc mis en place les Safe Harbor, une so­lution non législative d’auto­réglemen­tation, reconnue par la Commission européenne. Malheureusement, le nombre d’entreprises américaines adhérant aux Safe Harbor reste très limité. En tout état de cause, un transfert de données personnelles vers ce pays, lorsqu’on est responsable du traitement, est soumis à l’approbation de la Cnil, et non plus à une simple déclaration. Si l’on ne se conforme pas à cette obligation, les risques sont civils et pénaux. De nombreuses entreprises ne sont pas en conformité sur ce point.

Reste qu’au-delà des problématiques d’architecture classiques, le cloud, à cause de sa propriété d’abstraction sur la localisation, impose d’une part le recours à des juristes, et d’autre part un chantier pour la DSI, qui doit maîtriser la donnée, connaître la criticité de celle-ci et les réglementations qui y sont liées.
Diriger les systèmes d’information demande à la fois des connaissances techniques et un besoin de compréhension métier. Avec le cloud computing, une difficulté supplémentaire apparaît clairement : l’aspect juridique. Cependant, cette démarche possède des vertus (mutualisation de l’infrastructure, facilité et agilité d’intégration de progiciel en mode Saas…) qui méritent d’aller au-delà de ce frein.