cloud computing informatique en nuage - ulys.net computing 9 mars... · cloud computing...

© ULYS - 1

Outils juridiques pour sécuriser l’informatique en nuage

Cloud Computing Informatique en nuage

Lise Breteau Avocat, ULYS

Avocat au barreau de Paris

Paris, 22 mars 2012

Cathie-Rosalie Joly Associé, ULYS Avocat au barreau de Paris et de Bruxelles (liste E)

Docteur en droit

Chargé d’enseignement à l’Université d’Aix-Marseille www.ulys.net

www.droit-technologie.org

http://www.comundi.fr/�

© ULYS - 2

Présentation des intervenants

ULYS

Rédaction/négociation de contrats, contentieux/règlements alternatifs des litiges, articles, conférences, consultations des pouvoirs publics/missions de sensibilisation des autorités nationales et européennes

Domaines d’intervention : Nouvelles Technologies Propriété Intellectuelle Paiements et monnaie électroniques Média, Jeux & Divertissement Droit commercial, des sociétés et de la concurrence appliqués à ces secteurs

Ulys, quatre valeurs : Spécialisé Innovant Engagé Partenaire

© ULYS - 3

Présentation de la journée 1. Définition - Qu’est-ce que le Cloud Computing ?

– Définir les types d’infrastructures gérées par le Cloud – Les différents types de Cloud : Cloud privé, public et hybride

2. Avantages et inconvénients du Cloud Computing : identifier les risques pour être

en mesure de les encadrer – Les avantages : réduction des coûts, meilleur disponibilité des informations – Anticiper les inconvénients : la continuité du service, l’exposition au risque de piratage et

de vol de données, le manque de maîtrise des coûts, la perte de gouvernance et la dépendance technologique…

3. Quelles précautions à prendre dans les contrats : processus de contractualisation et clauses essentielles

– Phase précontractuelle : rédaction d’un cahier des charges délimitant les attentes du client

– Phase contractuelle : définition de l’objet et de la durée du contrat, prévoir les clauses de reprise des données

– Prévoir les garanties : définir les cas où la responsabilité est engagée, le cas de la résiliation

– Insérer la clause de réversibilité qui prévoit les conditions auxquelles sont retournées les données externalisées

© ULYS - 4

Présentation de la journée 4. Comment s’assurer un service de qualité maximale : focus sur la qualité de

service – Définir les niveaux de services – Délimitation des obligations du prestataire et/ou des sous traitants – Clause de « service level agreement »

5. Comment protéger ses données situées dans les nuages : focus sur la protection des données personnelles – Les normes applicables relatives aux données sensibles, les données à caractère

personnel : Directive 95/46/CE, Loi Informatique et libertés, recommandations CNIL – Les obligations du prestataire en matière de protection des données : conservation et

préservation des données – Le cas du transfert de données hors UE : respect des clauses contractuelles type de

la Commission européenne

6. Quelle loi appliquer au contrat : focus sur loi applicable et juge compétent – Application des règles de DIP – Loi du lieu d’hébergement des données mais complication dès que cette entreprise

est établie dans plusieurs pays

7. Cas pratique

© ULYS - 5

1. Qu’est-ce que le Cloud Computing?

Cloud Computing Outils juridiques pour sécuriser l’informatique en nuage


© ULYS - 6

Qu’est-ce que le Cloud Computing ?

Une prestation pas nouvelle mais augmentée

– La sous-traitance informatique, un mécanisme connu : infogérance, externalisation/outsourcing, facilities management, ASP, … ⇒Relève des services consistant en la prise en charge de la gestion du système informatique

d’une entité, avec ou sans délocalisation, dans le cadre d’une relation pluriannuelle

– Qu’ajoute le Cloud ? L’offre est généralement fortement orientée service : ⇒ Service à la demande, puissance de stockage et de traitement variable ⇒ Peu de visibilité sur les ressources et équipements mis en œuvre pour assurer la prestation ⇒ Délocalisation voire pluri-localisation de l’hébergement et des traitements (serveurs

« localisés dans le monde entier »)

– « Mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire.

Note : L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. » (Vocabulaire de l’informatique et de l’internet, JORF du 6 juin 2010, n° 129, p. 10453)

© ULYS - 7


La définition de la CNIL

– Consultation publique fin 2011

– Constat : « Le terme Cloud computing étant à la fois récent et recouvrant de nombreuses notions, il n’y a pas encore de consensus pour en donner une définition précise »

– Définition en fonction des éléments caractéristiques du service : – Simplicité d’un service à la demande – Extrême flexibilité – Accès léger – Virtualisation des ressources – Paiement à l’usage

© ULYS - 8

Source : http://fr.wikipedia.org/wiki/Fichier:Cloud_computing.svg


http://fr.wikipedia.org/wiki/Fichier:Cloud_computing.svg�

© ULYS - 9


Qu’est-ce qui peut être géré en Cloud ?

– Applications : Saas Software as a Service Le client utilise les applications du fournisseur via une interface disponible grâce au réseau. Ces dernières sont donc consommées et payées à la demande. Par ex. webmails, applications type Google Earth, etc. Le fournisseur Cloud maintient : - les applications, --les runtimes, -- l’intégration SOA, -- les bases de données, -- le logiciel serveur, -- la virtualisation, - le matériel serveur, - le stockage, - les réseaux.

© ULYS - 10


– Plateforme : PaaS Platform as a service Le client peut déployer sur l’infrastructure Cloud ses propres applications, dans la mesure où le fournisseur supporte le langage de programmation. La plateforme distante ne se contente pas d’héberger les applications mais interagit pour allouer des ressources suffisantes à leur bon fonctionnement => plateforme de développement, d’exécution, etc. o l’entreprise maintient uniquement les applications ; o le fournisseur Cloud maintient : - les runtimes, -- l’intégration SOA, -- les bases de données, -- le logiciel serveur, -- la virtualisation, -- le matériel serveur, -- le stockage, -- les réseaux.

© ULYS - 11


– Capacité de traitement : IaaS Infrastructure as a service Désigne une infrastructure matérielle, louée à la demande par le client: stockage, machines virtuelles, OS, et autres ressources de calcul. L’utilisateur peut, dans ce cas, disposer sur demande d’une capacité de traitement pour n’importe quel type d’application. Par ex. stockage dynamique, que le client administre et modifie en fonction de ses besoins o l’entreprise maintient : -les applications, -- les runtimes, - l’intégration SOA (Service Oriented Architecture), -- les bases de données, -- le logiciel serveur ; o le fournisseur Cloud maintient : -la virtualisation, -- le matériel serveur, - le stockage, -- les réseaux

© ULYS - 12

Source : http://www.microsoft.com/france/entreprises/decideur-it/cloud/caracteristiques-du-cloud.aspx


http://www.microsoft.com/france/entreprises/decideur-it/cloud/caracteristiques-du-cloud.aspx�

© ULYS - 13


Source : http://www.thinkbetter.be/e-business/cloud-computing

http://www.thinkbetter.be/e-business/cloud-computing�

© ULYS - 14


Source : http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492.html

http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492.html�



































© ULYS - 15


Source : http://www.cfo-news.com/Cloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492.html




































© ULYS - 16

Qu’est-ce que le Cloud Computing ? Les différents types de Cloud – Privé : infrastructure entièrement dédiée à un client

– Cloud privé interne : géré par le client lui-même – Cloud privé externe : géré par un tiers – Cloud privé virtuel : un environnement de Cloud Computing qui recouvre l’infrastructure de

clouds internes et externes, offrant à l’entreprise un environnement transparent, géré, qui est sécurisé et sous le contrôle du service informatique

– Solution la plus sûre

– Public : infrastructure partagée – Infrastructure accessible à un large public – Appartient à un fournisseur de cloud services – Solution la moins coûteuse

– Hybride – Infrastructure composée de deux nuages ou plus mélangeant public et privé – Clouds uniques liés par une technologie normalisée ou propriétaire – L’idéal : opter pour une architecture de cloud privé permettant de recevoir des clouds

publics, mais cela peut se présenter sous la forme de clouds localisés chez un hébergeur mais dédiés à un client

© ULYS - 17


Source : http://revevol.fr/2010/07/19/analyse-des-dimensions-du-risque-lie-au-cloud-computing

http://revevol.fr/2010/07/19/analyse-des-dimensions-du-risque-lie-au-cloud-computing�

















© ULYS - 18

2. Le Cloud Computing, un outil puissant et modulable mais non sans inconvénients



© ULYS - 19

Le Cloud, outil puissant et modulable non sans défauts

Quel besoin, quel intérêt de recourir au Cloud Computing ?

– Réduire les coûts et/ou le délai de mise à disposition d’un outil – Simplifier la gestion et adapter le SI au besoin réel – Disposer d’une capacité informatique modulable, répondre à des besoins

spécifiques – Bénéficier d’une disponibilité en principe totale de l’information – Se recentrer sur un cœur de métier

© ULYS - 20


Des inconvénients réels

– Pas de réglementation particulière

– Mais pas d’absence de réglementation : Différents textes trouvent à s’appliquer – Loi Informatique et Libertés, notamment conservation des données sensibles (banque,

santé, etc.), – Règles sur les fuites de données, – Commerce électronique, – Protection des consommateurs, – Obligations de conservation de documents comptables et fiscaux, etc. – Obligations spécifiques de sécurité : secteur de la banque et de l’assurance, de la santé,

etc.

– Débats et réflexions en cours en France (par ex. consultation CNIL) comme en Europe (par ex. projet de réforme de la réglementation données personnelles)

© ULYS - 21


Des risques spécifiques, notamment liés à la sécurité des données Fuites de données : Sujet émergent dans les réflexions des autorités de protection des données personnelles, en France et en Europe

- Europe : La directive « vie privée et communications électroniques », mise à jour en 2009, prévoit des notifications en cas de violation de la sécurité via lesquelles tout fournisseur de communication ou de service Internet doit informer les individus à propos des violations commises s'agissant de leurs informations personnelles.

- France : article 34 bis de la loi Informatique et Libertés - Allemagne : De plus en plus confrontée à des violations de la sécurité, l’Allemagne a révisé

ses règles de protection des données pour aller au-delà de la réglementation de l'UE. => Etats-Unis : depuis 2002 California Security Breach Notification Act

© ULYS - 22


- La commissaire européenne chargée de l'Agenda numérique, Neelie Kroes, a déclaré : « Si nous voulons que nos marchés numériques croissent, les utilisateurs doivent se sentir à l'aise de dépenser en ligne. Si les entreprises doivent tirer avantage de tous les bénéfices potentiels du cloud computing, ils doivent pouvoir être sûrs que leurs secrets industriels ne seront pas interceptés ».

– L'eurodéputé bulgare, Ivailo Kalfin (Socialistes & Démocrates), « C'est un outil (le cloud

computing) essentiel pour augmenter la compétitivité de l'Union, surtout pour les petites et moyennes entreprises, et les législateurs de l'UE devraient contribuer à son développement, en s'assurant que les principes de sécurité, de confidentialité des données et d'interopérabilité sont respectés dans le nuage ».

– Selon Madame Viviane Reding, Vice-Présidente de la Commission européenne en charge de la Justice, des Droits fondamentaux et de la Citoyenneté, une notification obligatoire des failles de sécurité, semblable à celle prévue pour les fournisseurs de services de communications électroniques pourrait être introduite pour les services bancaires et financier (discours du 20 juin 2011 http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/452&format=HTML&aged=0&language=EN&guiLanguage=en )

http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/452&format=HTML&aged=0&language=EN&guiLanguage=en�

http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/452&format=HTML&aged=0&language=EN&guiLanguage=en�

© ULYS - 23


Evaluation du coût des pertes de données pour les sociétés

Les pertes de données trouvent leur origine dans plusieurs types de situations : attaques externes / défaillance du SI/ négligence humaine (erreurs ou négligences commises par des prestataires, des employés, des vols /pertes de PC, PDA…)

© ULYS - 24


Art. 34 bis de la loi du 6 janvier 1978 : « I. - Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques [SCE] sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification. Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de SCE. Remarques : - «services de communications électroniques » est défini à l’article L. 32-6° du Code des postes

et communications électroniques, et renvoie ainsi aux « prestations consistant entièrement ou principalement en la fourniture de communications électroniques. => opérateurs télécom déclarés à l’ARCEP ?

- « violation des données » : tentative ? risque ?

© ULYS - 25


Art. 34 bis de la loi du 6 janvier 1978 : « II. - En cas de violation de données à caractère personnel, le fournisseur de SCE accessibles au public avertit, sans délai, la CNIL.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé.

La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la CNIL a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

A défaut, la CNIL peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.

III. - Chaque fournisseur de SCE tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission. »

© ULYS - 26


Remarques : - Forme de l’avertissement ? - Sans délai ? – Article 226-17-1 du code pénal:

« Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »

© ULYS - 27


Des questionnements juridiques pris en compte en France et au niveau européen Enquête CNIL fin 2011

– Questions soulevées : prestataire de cloud présumé sous-traitant ? Intérêt de créer un régime spécifique applicable aux prestataires de cloud ? Critères de rattachement pour détermination de la loi applicable ? Quel encadrement des transferts de données ? Quels risques spécifiques de sécurité ?

– Réflexion au sein de la Commission européenne – Observations européennes et réflexion pour élaborer un projet de lignes directrices

applicables aux contrats de cloud Consultation publique de la Commission courant 2011 : éventualité de modèles de

documents contractuels (CG, PAQ, etc.), questions de sécurité des données, de détermination de la personne responsable

Plan en préparation, devrait être publié en 2012 – Problème des sociétés US, même si données hébergées en Europe application des règles

du USA Patriot Act : Contradiction avec droit EU ? – Réforme en vue de la réglementation des données personnelles en Europe : projets de la

Commission européenne du 25 janvier 2012

© ULYS - 28

3. Quelles sont les précautions à prendre dans les contrats de Cloud Computing ?



© ULYS - 29


Anticiper les difficultés par l’encadrement contractuel

Un contrat d’entreprise et un contrat informatique

Des clauses à négocier autant que possible pour éviter :

– Risques sur la continuité du service – Exposition au risque de piratage et de vol de données – Manque de maîtrise des coûts – Perte de gouvernance – Dépendance technologique – Interopérabilité et respect des standards – Irresponsabilité du prestataire

Contrat cloud = contrat d’adhésion ? – Conditions générales mises en ligne et modifiables par le prestataire de manière

discrétionnaire – Evolutions du service sans information préalable/droit d’opposition du client

© ULYS - 30

Quelles précautions prendre dans les contrats ?

Phase précontractuelle – processus de négociation

– Certaines offres cloud sont standard et non négociables – Du premier contact jusqu’à la signature du contrat – Pour éviter l’engagement contractuel avant d’avoir finalisé la négociation sur tout le

contrat : les parties indiquent sur chaque document « sans engagement de notre part »/conditionnent leurs engagements

– Possibilité de rédiger des accords préalables, par ex. – Lettre d’intention : engagement à valeur contractuelle de continuer la négociation – Accord de principe : engagement à valeur contractuelle sur certains éléments contractuels

– Possibilité de donner accès à de l’information confidentielle sous couvert d’un engagement de confidentialité

– Faire entrer les échanges précontractuels dans le champ contractuel/insérer dans le contrat une clause des quatre coins ?

© ULYS - 31


Phase précontractuelle – obligation de conseil du prestataire versus information du client

– Importance de la rédaction du préambule du contrat

– Intérêt du client : que le prestataire s’engage sur les besoins du client tels que définis dans son cahier des charges

Exemple de formulation : « Le prestataire déclare être un spécialiste du Cloud et, après avoir pris connaissance des besoins du client exprimés dans le cahier des charges et complétés au cours des échanges préalables à la signature des présentes, a proposé au client les services tels que décrits… »

– Intérêt du prestataire : que le client s’engage sur le document de référence du prestataire décrivant son offre

Exemple de formulation du préambule « Le client déclare être parfaitement informé de l’offre du prestataire pour avoir pris connaissance de manière complète et précise des caractéristiques des services proposés aux termes du document de référence qui lui a été remis. Il a obtenu toutes informations complémentaires du prestataire, qui a répondu à toutes ses questions. Disposant de l’ensemble de l’information utile, le client déclare que la solution est conforme à ses besoins… »

© ULYS - 32


Phase précontractuelle – définition des besoins du client – Rédaction d’un cahier des charges délimitant les attentes du client – Permet de préciser le périmètre de l’obligation de conseil du prestataire par rapport

à l’information en sa possession – Audit technique et juridique préalable ? – Check list :

– Matériel : identification, maintenance et renouvellement, taux de charge des équipements, état des incidents, solutions de secours, etc.

– Applications : fonctionnalités, versions et mises à jour, évolutions, corrections, documentation, conditions de licence (accès? développements propriétaires/spécifiques?...), garantie, procédures de sauvegarde et de sécurité, etc.

– Réseau et organisation : configuration, situation géographique, sécurisation, volumétrie et prévisionnel, heures d’ouverture du service et conditions d’accès, etc.

⇒Ne pas se limiter à une définition fonctionnelle des besoins, mais intégrer les standards techniques attendus de qualité, sécurité, performance, disponibilité, etc. destinés à constituer le référentiel qualité (PAQ)

+ Prendre en compte le caractère évolutif de la prestation Cloud : pouvoir faire évoluer les besoins et les attentes du client

© ULYS - 33


Objet du contrat, description des prestations et conditions d’exécution

=> Un ou plusieurs contrats ? – Contrat simple régissant l’ensemble des prestations ou ensemble contractuel : contrat cadre

et conventions particulières par service résiliables indépendamment les unes des autres

=> Plus les services/ressources sont identifiés et caractérisés, plus le prestataire est tenu de respecter ces caractéristiques dans le cadre d’une obligation de résultat – Définir les termes techniques, l’espace mis à disposition, les conditions d’accès au serveur – Enumérer les services prestés par le fournisseur, détailler leurs caractéristiques : traitement

et sauvegarde des données, format – Combinaison avec l’obligation de conseil : choix des équipements, des ressources, etc.

=> Préciser les conditions d’exécution par le prestataire – Mentionner les partenaires du fournisseur et l’éventuel recours à des sous-traitants,

indispensable en cas de sous-traitance des traitements de données particulières : personnelles, sensibles, etc. (cf. infra)

– Le prestataire doit demeurer intégralement responsable de l’exécution des prestations

=> Vigilance sur les modifications décidées par le prestataire sans accord préalable du client : prestations, prix, niveau de service, emplacements serveurs, etc.

© ULYS - 34


Définition des droits d’accès et sécurité

– Définir la politique de droits d’accès : – Personnes habilitées, information accessible, dispositifs d’accès (identifiant+mot de passe),

conservation des traces, surveillance et blocage des accès

– Sécuriser les accès :Niveaux de sécurité différents selon les informations (données bancaires, etc.) – Dispositifs d’accès plus élaborés : certificat électronique sur clé USB, carte, voire biométrie – Transmissions sécurisées : cryptage des données – Sécurisation de l’hébergement

– Obligations du prestataire en cas d’incident – Alerte, rapport – Articles 323-1 à 323-7 du code pénal relatifs aux fraudes informatiques (accès frauduleux à

un système informatique, entrave au fonctionnement, etc.)

⇒Risque de surcoût en l’absence d’accord initial sur ces services + clause de confidentialité à la charge du prestataire

© ULYS - 35


Gestion des risques de sécurité selon consultation CNIL de 2011

– Les rôles et responsabilités des parties doivent être clairement définis afin de traiter efficacement les cas d’incident pouvant aboutir à une perte ou une divulgation de données

– Il convient d’intégrer le sous-traitant dans le périmètre de la sécurité de l’entreprise (plan de sécurité des systèmes d’information, plan de continuité d’activité, etc.)

– En fonction du degré de sensibilité des données : – Effacement – Restitution des supports de stockage – Destruction physique

© ULYS - 36


Installation technique et recette/mise en production

– Définition d’un prérequis technique par le prestataire – Adaptations préalables : paramétrages, voire développements propriétaires ? – Procédure de recette

– Livraison, migration des données et tests – Signature par le client d’un procès-verbal de recettes / recette implicite ? – Réserves du client + délai de correction

– Phase de migration des données: coût ?

© ULYS - 37


Documentation

– La documentation est-elle rédigée en français ? Cf. loi n° 94-665 du 4 août 1994 relative à l'emploi de la langue française (« loi Toubon ») – Documents à destination des salariés : art. L. 1321-6 du code du travail : « Le règlement intérieur est rédigé en français. Il peut être accompagné de traductions en

une ou plusieurs langues étrangères. Il en va de même pour tout document comportant des obligations pour le salarié ou des

dispositions dont la connaissance est nécessaire pour l'exécution de son travail. Ces dispositions ne sont pas applicables aux documents reçus de l'étranger ou destinés à

des étrangers. » – Documents à destination du public : art. 2, alinéa 1 de la loi Toubon : « Dans la désignation, l'offre, la présentation, le mode d'emploi ou d'utilisation, la description

de l'étendue et des conditions de garantie d'un bien, d'un produit ou d'un service, ainsi que dans les factures et quittances, l'emploi de la langue française est obligatoire. »

– Quels droits de propriété intellectuelle (DPI) sur la documentation ? Enjeu : quelles conditions d’accès, de reproduction, de communication à des sous-traitants, etc.?

© ULYS - 38


Quelle durée ?

– Durée courte : permet de renégocier – Durée longue : permet de mettre à disposition des ressources plus importantes,

compte tenu de l’amortissement plus long => Souvent, la durée du contrat s’allonge avec l’importance des services/ ressources allouées au client – Combinaisons :

– Période initiale fixe : souvent longue (de l’ordre de 36 mois) – Périodes de renouvellement fixes / renouvellement à durée indéterminée

⇒Vigilance sur la durée du contrat car conséquences sur la faculté de résiliation et son indemnisation

– Jugement du tribunal de commerce de Paris, 12 juillet 2011, Risc Group IT solutions / Poweo : reconnaissance la mobilisation de ressources pour le client, et du préjudice causé au prestataire par la rupture ; condamnation du client à 100 % de l’indemnité contractuelle prévue (montant des mensualités jusqu’au terme prévu)

© ULYS - 39


Prix

– Coût du service / des services associés : traitements supplémentaires, formation, etc.

– Intégrer dans les coûts les interventions des partenaires du prestataire (éditeurs de logiciels, etc.)

– Quelle évolution des prix en cas de montée en charge/forte évolution de l’utilisation du cloud par le client ?

Exemple de clause : « En cas d’augmentation de l’espace disque nécessaire à l’hébergement des données du client, le client accepte que le prestataire lui alloue, dès qu’elle aura connaissance de ladite nécessité, selon le tarif figurant à l'annexe du présent contrat, l’espace disque supplémentaire nécessaire et l’avertisse parallèlement du changement de facturation relativement à l’hébergement. »

– Mettre en place des outils de mesure des coûts – Anticiper le coût de la réversibilité – Paiement du prix à combiner avec les éventuelles compensations à opérer

(pénalités, notamment)

© ULYS - 40


Propriété intellectuelle

– L’accès à des applications à distance ne dispense pas de l’obligation d’obtenir une licence

– Si le prestataire n’est pas titulaire originaire des DPI sur l’application, le prestataire doit garantir qu’il détient les droits pour les besoins du contrat : – Le prestataire a le droit de concéder des sous-licences d’utilisation et d’adaptation si

nécessaire (paramétrages, éventuellement développements propriétaires) – Le droit du prestataire dure suffisamment longtemps (plus que la durée initiale du contrat) – Prévoir une garantie d’éviction dans les termes prévus par la loi (ne pas réduire la garantie

accordée) – Prévoir les solutions en cas de défaillance de l’éditeur tiers : pouvoir accéder aux codes

sources, etc. ? – Eviter d’avoir à conclure des licences séparées avec les éditeurs – Le client ne dispose d’aucun autre droit que le seul droit d’usage

© ULYS - 41


Exemple de clause de propriété intellectuelle

« Le prestataire déclare être titulaire de l’intégralité des droits de propriété intellectuelle portant sur l’Application et est régulièrement titulaire des droits d’utilisation et/ou d’exploitation portant sur les logiciels tiers nécessaires à son fonctionnement.

Pour la durée de la présente convention, le prestataire concède au client un droit d’accès et d’utilisation non exclusif et incessible de l’Application, dont seuls les utilisateurs enregistrés peuvent bénéficier.

La présente convention ne confère au client aucun droit de propriété intellectuelle sur l’Application qui demeure la propriété entière et exclusive du prestataire. Le client s’engage à ne pas porter atteinte, directement ou indirectement, aux droits du prestataire et à prendre toutes mesures nécessaires pour assurer le respect de son droit de propriété sur l’Application; il se porte fort pour ses utilisateurs enregistrés. »

© ULYS - 42


Obligations et garanties du prestataire

– Répartir les obligations de moyen/de résultat en fonction des niveaux de service : – Obligation de résultat pour un cloud privé (ou partie privée), de moyen pour un

cloud public (ou partie publique) – Obligation d’information

– en cas d’écart par rapport au référentiel de conformité – alertes

– Garantie opérationnelle : Prévoir des obligations de résultat/garantie sur la disponibilité, performance, intégrité des données, etc.

– Garantie financière : Prévoir une garantie maison mère ou une garantie bancaire à première demande en cas d’envoi d’informations sensibles dans le cloud

– Garantie d’éviction

© ULYS - 43


Responsabilité du prestataire

– Préqualifier le prestataire de cloud de professionnel du secteur – Le prestataire ne peut être tenu responsable des défaillances/insuffisances causées

par le système d’information du client cf. supra : obligation de conseil du prestataire versus obligation de s’informer du

client

⇒Vigilance sur les exclusions de responsabilités : éviter toute préqualification des dommages (par ex. qualification comme dommage indirect de toute perte de chiffre d’affaire ou préjudice d’image), toute exclusion de responsabilités en cas de perte de données, etc.

⇒Vigilance sur les clauses limitatives de responsabilité : cf. jurisprudence Faurecia, pas de pondération par le juge en cas de limitation de responsabilité très basse en faveur du prestataire informatique

© ULYS - 44


Exemple de clause de responsabilité

« Le prestataire est soumis à une obligation de moyens. La responsabilité du prestataire ne pourra être recherchée et aucune indemnisation ne sera due au client : –dans le cas où les dommages invoqués par le client résulteraient d’une inexécution, totale ou partielle, des obligations du client ou d’un tiers ; –dans le cas où les dommages invoqués par le client résulteraient d’une utilisation de la Plateforme non conforme à la documentation de référence ; –au titre des dommages indirects, tels que perte de données, perte d’exploitation, perte de chiffre d’affaires, perte d’image ou de réputation ; –En cas de force majeure, comprise comme tout événement imprévisible rendant plus coûteuse l’exécution de ses obligations par le prestataire, y compris les tremblements de terre, incendies, crues ou inondations, tempêtes, sans que cette liste soit limitative. En cas d'indisponibilité de la Plateforme liée à une cause dont le prestataire assume la responsabilité, le client ne sera fondé à réclamer la réparation d'un éventuel dommage que pour autant que l'indisponibilité de la Plateforme ait duré, pendant les jours ouvrables et de manière continue, pendant XXX heures après la notification de l’incident au prestataire. En toute hypothèse, la responsabilité du prestataire est plafonnée à un montant égal à XXX% des sommes (annuellement payées au prestataire/stipulées au contrat) par le client en exécution du présent contrat. »

© ULYS - 45


Réversibilité

– Objet de la réversibilité : – Ce que le client avait confié au fournisseur en début de contrat – Enrichi de ce qui a été produit en cours de contrat

– Plan de réversibilité : un accord à part entière

– Définir le processus de reprise des données – Les événements déclencheurs : terme du contrat ou en cas de résiliation anticipée – Le coût associé – Le calendrier – Sauvegardes régulières en cours de contrat ?

=> Peut engendrer un transfert de contrat du prestataire au client

© ULYS - 46


Exemple de clause de réversibilité :

« Au terme du présent contrat, le prestataire s’engage à transférer ses données au client dans les conditions prévues en annexe. Dans l’hypothèse où le client ne demanderait pas la restitution de ses données dans les XXX mois à compter du terme du présent contrat, le client n'a pas demandé le transfert de ses données, le prestataire détruira lesdites données. »

© ULYS - 47


Résiliation

– Envisager les cas de résiliation anticipée – Résiliation pour cause de faute d’une des parties – Résiliation d’une convention à durée indéterminée – Résiliation contrat cadre/convention particulière : contrats détachables ou ensemble

contractuels indivisible ? – Décrire les conditions de mise en œuvre : Notification, délai, forme, adresse, etc. – Définir les conséquences de la résiliation et les coûts associés :

– Sort des données, mise en œuvre de la clause de réversibilité, blocage des accès et délai – Paiement d’une indemnité

– Exemple de clause de résiliation : « En cas de manquement par l’une des parties aux obligations prévues aux termes de la

présente convention, non réparé dans un délai de 30 jours à compter d’une lettre recommandée avec accusé de réception notifiant les manquements à l’autre partie, la partie notifiante pourra faire valoir la résiliation de la présente convention sous réserve de tous les dommages et intérêts auxquels elle pourrait prétendre. »

=> A combiner avec les autres clauses : réversibilité, garanties, données, etc. + les stipulations de la documentation annexe, éventuellement clause de suspension

© ULYS - 48

4. Comment s’assurer d’un service de qualité maximale ?



© ULYS - 49

Comment s’assurer un service de qualité maximale ?

Plan d’action qualité (PAQ) ou « service level agreement » (SLA)

– Objet : – Définir un niveau normal de service – L’assistance utilisateurs – Gérer les incidents ponctuels et les pannes – Encadrer les interruptions de service par le prestataire pour les besoins de maintenance – Prévoir des sauvegardes – Outils de contrôle et sanction

=> Enjeu : obtenir des engagements de niveau de service précis sur la qualité, la sécurité => Prendre en compte le caractère évolutif du service : quelles conséquences sur la

qualité de service en cas de forte hausse/variabilité des besoins ?

Utilité des référentiels type ANSSI pour la rédaction des politiques de sécurité des systèmes d’information (PSSI) – domaines : organisation de la sécurité, gestion des risques SSI, sécurité et cycle de vie, assurance et certification, aspects humains, planification de la continuité des activités, gestion des incidents, sensibilisation et formation, exploitation, aspects physiques et environnementaux, identification / authentification, contrôle d’accès logique, journalisation, infrastructures de gestion des clés cryptographiques, signaux compromettants. (http://www.securite-informatique.gouv.fr/gp_article51.html)

http://www.securite-informatique.gouv.fr/gp_article51.html�



© ULYS - 50


Définition des indicateurs de la qualité

– Indicateurs de qualité : critères objectifs de mesure de la qualité – Définir les critères de qualité prioritaires pour le projet – Définir les notions

– Accessibilité/disponibilité – Performance/temps de réponse/vitesse de transfert des données – Sécurité (connexions sécurisées, authentification,…)

– Définir les critères de respect/violation : – Définition des critères de respect différents selon le type d’indicateur (par ex. temps de réponse aux requêtes : inférieur à X dans 90% des cas + inférieur à XX dans 95% des

cas + toujours inférieur à XXX) – Définition des incidents : mineur/majeur/bloquant, notamment en fonction de la gravité et de

la durée de l’incident

© ULYS - 51


Assistance utilisateurs

– Définir les droits d’accès au service d’assistance – Assistance lors de la mise en œuvre / formation – Assistance en cas d’incident – Escalade : remontée des incidents en fonction de la gravité

© ULYS - 52


Contrôle de la qualité

– Définir des outils et procédures de contrôle : – Bilans périodiques de qualité (reddition de comptes par le prestataire) – Audit annuel – Recours à un tiers vérificateur

– Mettre en place une gouvernance pour un suivi régulier : réunions périodiques, procédures de remontée d’informations

=> Attention à ne pas modifier les obligations contractuelles des parties dans le cadre des discussions

© ULYS - 53


Qualité : sanctions et incitations – Définition de sanctions en cas de non-respect et gradation

– Sanction de premier niveau : pénalités, rabais mensuels, etc. => clauses pénales – Second niveau : inexécution contractuelle – Résiliation du contrat et mise en cause de la responsabilité du fournisseur

– Conditions de mise en œuvre – Fréquence mensuelle/trimestrielle/annuelle/… – Personne décisionnaire, information + droit d’opposition,… – Franchise, plafond, en fonction du volume de données traitées ou de facturation,… – etc.

– Possibilité de prévoir des objectifs assortis de primes ou bonus

© ULYS - 54


Qualité : répondre à l’urgence Prendre en compte les incidents signalés

Qualifier l’incident : mineur majeur bloquant

Respecter le délai maximum d‘intervention

Mettre en œuvre une solution temporaire : Basculement sur serveur de secours, etc.

Respecter le délai maximal de rétablissement

© ULYS - 56

Comment protéger les données mises dans le nuage ?

Protection des données, sujet central

=> Identifier la nature des données qui seront stockées dans le nuage pour prévoir un encadrement contractuel conforme aux exigences légales ou réglementaires

=> Inclure des clauses obligatoires le cas échéant (droit d’audit des autorités compétentes, etc.)

=> Niveau d’exigence proportionnel au risque (civil, professionnel/disciplinaire, pénal)

Données personnelles – Réglementation relative à la protection des données personnelles : directive 95/46/CE, loi n°

78-17 du 6 janvier 1978 (Loi I&L), décisions et analyses CNIL, etc. – Réforme en cours : projets de textes de la Commission européenne du 25 janvier 2012 Réglementations particulières (secteur bancaire et paiements, lutte anti-blanchiment, santé, etc.) – Obligations renforcées de sécurité, confidentialité, etc. sur certaines données Données sensibles : secrets d’affaires, données qualifiées de confidentielles par contrat, etc. => pas de cadre juridique dédié – Veiller à ce que les clauses du contrat de cloud ne risquent pas d’entraîner la violation

d’engagements contractuels, etc.

© ULYS - 57


Données personnelles : intervenants dans les traitements Responsable du traitement : art. 3 Loi I&L

« Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens. »

Sous-traitant : art. 35 Loi I&L « Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un

sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. »

Quelle qualification dans le contrat de cloud ? – En théorie : client = responsable du traitement prestataire = sous-traitant – Cependant, le simple fait que les données proviennent du client ne suffit pas pour faire le départ entre

client/responsable et prestataire/sous-traitant : si le prestataire fournit des services supplémentaires, entraînant un traitement des données non contrôlé par le client

– NB : il peut y avoir plusieurs responsables de traitements sur une même donnée ⇒ Risque de voir le prestataire obtenir la libre disposition des données

© ULYS - 58


Consultation CNIL de 2011 Prestataire de cloud présumé sous-traitant Faisceau d’indices pour renverser la qualification

© ULYS - 59


Données personnelles : obligations en tant que responsable/sous-traitant Responsable : – Veiller au respect constant des conditions posées à l’article 6 de la Loi I&L

Collecte loyale et licite; finalité déterminée, explicite et légitime, pas de traitement ultérieur incompatible; données adéquates, pertinentes et non excessives au regard des finalités; données exactes, complètes, mises à jour et effacées si besoin au regard des finalités; conservation pour la durée nécessaire.

– Assurer la sécurité des données en vertu de l’article 34 de la Loi I&L : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

– Renforcer la sécurité dans certains cas : données sensibles, transferts hors UE (cf. infra) –Contrôler le sous-traitant et ses sous-traitants, cf. art. 35 Loi I&L ci-dessous Sous-traitant : art. 35 Loi I&L

« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. » => Le responsable du traitement assume la responsabilité civile et pénale du traitement

© ULYS - 60


Données personnelles : Transferts de données hors UE sous contrôle de la CNIL (art. 68 à 70 Loi I&L)

– Qu’est-ce qu’un transfert de données ? – Circulation en UE : pas de conditions – Transfert hors UE :

– Vers un pays assurant un niveau de protection adéquat (ex. Canada, Israël, Argentine) : pas de condition supplémentaire – Vers un pays non adéquat (ex. USA) : interdiction, sauf si :

– Autorisation de la personne concernée ou – Exception art. 69 ou – Signature des clauses contractuelles types de la Commission européenne ou – Participation du sous-traitant à un système de protection des données (Safe Harbour) ou – Adoption de règles internes d’entreprise imposées au sous-traitant (« binding corporate

rules » ou BCR)

Transfert hors UE

vers pays non adéquat

Transfert hors UE

vers pays adéquat

Circulation en FR ou en

UE

© ULYS - 61


Consultation CNIL de 2011 – Quel encadrement des transferts de données ?

– Question de l’absence de localisation stable des données – Encadrement juridique par la définition de clauses type et BCR sous-traitants – Solutions techniques : recours à des métadonnées pour définir ou décrire une autre

donnée/solutions de chiffrement homomorphe

– Métadonnées : Méthode permettant de lier des informations précises aux données et notamment permettant

de déterminer le périmètre géographique sur lequel les données pourront être transférées. – Chiffrement homomorphe : Moyen de chiffrement permettant au prestataire d’agréger des messages bien qu’ils soient

chiffrés et sans qu’il en ait connaissance.

© ULYS - 62


Données sensibles et réglementations particulières :

– Mesures de sécurité supplémentaires pour certains types de données, qui sont souvent des données personnelles (mais ces règles ne réservent pas leur application aux données personnelles) – Données de santé qui nécessitent que l’hébergeur soit agréé (art. L.1111-8 du code de la

santé publique) – Données traitées par les acteurs bancaires et des paiements : obligations de sécurité

prévues au Règlement 97-02 – Réglementation de la lutte contre le blanchiment (art. L. 561-2 et suivants du code

monétaire et financier) : informations confidentielles relatives aux déclarations de soupçons, etc.

– Obligations générales de conservation et d’archivage de pièces comptables,

justificatifs fiscaux, etc.

© ULYS - 63


Protection des autres données du client, confidentielles ou non :

– La protection des données du client ne s’arrête pas aux données personnelles : – Informations soumise à un engagement contractuel de confidentialité – Secrets d’affaires – Informations stratégiques – …

⇒Encadrer les conditions d’exploitation /accès aux données sans limiter ces clauses aux données personnelles

⇒Prévoir les conséquences du risque de fuite de données : indemnisation, garantie vis-à-vis des tiers affectés, etc.

⇒Eviter autant que possible d’attribuer un droit d’utilisation des données chargées dans le cloud, au prestataire – certains contrats peuvent prévoir une licence d’utilisation au bénéfice du prestataire, du contenu faisant l’objet d’un droit de propriété intellectuelle

© ULYS - 64


Exemple de clause relative aux données :

« Les données du client hébergées sur les serveurs du prestataire restent la pleine et entière propriété du client. Le client peut en obtenir une copie à tout moment, dans les conditions prévues au présent contrat. Le prestataire s’interdit d’exploiter ces Données, excepté dans le cadre de l’exécution des obligations découlant de la présente convention, de la loi ou d’une réquisition provenant d’une autorité judiciaire ou administrative habilitée. »

© ULYS - 66

Quelle loi appliquer au contrat de Cloud Computing ?

Loi du contrat et juge compétent – Au sein de l’Union européenne : → Loi applicable • Clause spécifique du contrat désignant la loi applicable • A défaut, application du Règlement n° 593/2008 du 17 juin 2008 dit Rome 1 : « le contrat de prestation de

services est régi par la loi du pays dans lequel le prestataire de services a sa résidence habituelle » (art. 4, b))

→ Juridiction compétente: • Règlement (CE) n°44/2001: Juridiction compétente = celle de l’Etat membre dans lequel le demandeur a

son domicile – Hors UE : ⇒Que se passe-t-il lorsque le prestataire et/ou les serveurs sont hors UE (notamment

US), voire dans plusieurs pays ? Application des lois de police – Loi I&L : la loi française s’applique au responsable de traitement résidant en France ou résidant hors UE

et qui a recours à des moyens de traitement situés en France (art. 5 Loi I&L) – Réglementation anti-blanchiment : s’applique aux activités exercées en France des prestataires assujettis

en vertu de la loi FR (harmonisation européenne)

© ULYS - 68


Enoncé : La société B, désireuse d’externaliser son service informatique fait appel à la société A «

cloud provider ». La société B a besoin d’une plateforme de travail externalisée requérant un débit de données important ainsi que d’un espace de stockage. Les deux sociétés se trouvent en France traitent des données françaises et les données sont stockées en France.

La société B a négocié avec la société les obligations que celle-ci devait satisfaire. Elles sont

rédigées comme suit : – La société A s’engage à fournir à la société B une plateforme conforme aux attentes de la

société B du 01/01/2012 au 01/01/2017. – La société A s’assure de fournir à la société B un service d’une qualité optimale. A cet effet

elle garantit à la société B une disponibilité de 98% et une accessibilité du service 7 jours sur 7, 24 heures sur 24.

– La société A garantit à la société la fiabilité totale de son système de sécurité et ainsi assure qu’aucune perte de données ne sera à déplorer.

La clause limitative de responsabilité stipule quant à elle qu’en cas d’inexécution, ou de mauvaise exécution de ses obligations nées du présent contrat, la société A n’engage sa responsabilité que dans la limite du plafond de la moitié du prix du contrat.

© ULYS - 69


Problème Après quelques mois d’utilisation du service les baisses de performance se font ressentir.

- La société B se plaint de la latence élevée, d’une disponibilité très relative puisque le système ne marche que 50% du temps et d’une perte de données de la part du prestataire.

- Tous ces désagréments ont causé une perte de 2 millions d’euros pour la société B en sus des frais engagés pour acheter les services de la société A qui s’élevaient à 100 000 euros.

******** A/ Quelles sont les précautions à prendre pour les cocontractants lors de la rédaction

du contrat afin d’aménager leur responsabilité au mieux de leurs intérêts ?

B/ Quelle solution choisir lorsque l’exécution du contrat ne se déroule pas comme prévu ?

© ULYS - 70


A. Les précautions à prendre dans la rédaction du contrat Jurisprudence : Validité des clauses limitatives de responsabilité mais celles-ci ne doivent

toutefois pas contredire l’obligation essentielle souscrite par le débiteur.

- 1ère difficulté : Définir quelle est l’obligation essentielle du contrat :

=> Recommandation : Classer les obligations du débiteur, entre obligations essentielles et obligations accessoires, sans oublier que le juge peut les requalifier – Fourniture d’une plateforme de service conforme aux spécifications de la société B. – La société A assurera un service de bonne qualité auprès de la société, avec une accessibilité et une

disponibilité maximale dans la limite des capacités de la société et des éléments pouvant affecter la bonne exécution du service.

– La société A garantit à la société B la meilleure sécurité possible dans la limite de ses capacités. – Le pourcentage de disponibilité. – Le taux d’accessibilité, la latence.

– Les obligations relatives à la maintenance.

© ULYS - 71


- 2ème difficulté : La détermination du plafond de responsabilité par rapport au prix du contrat :

- La limite de responsabilité du prestataire au montant de rémunération qu’il a perçue est valable à condition que cette limitation ne soit pas tellement faible qu’elle vide de sens l’obligation du débiteur. Le plafond d’indemnisation doit être déterminé ou déterminable et survivre à la résiliation sinon la clause limitative de responsabilité peut être déclarée non écrite.

PB : Prendre en compte les restitutions financières éventuelles en cas de résolution du contrat : Si l’indemnisation est fonction du prix versé le risque est que plus l’inexécution interviendra tôt, plus les sommes en cause seront faibles, et le plafond de réparation se retrouve alors sans commune mesure avec le dommage subi par l’inexécution.

Cass.com. 29 juin 2010, Faurecia c/ Oracle prend en compte le plafond de la clause de réparation diminué en fonction de la résolution partielle du contrat. Si le plafond s’avère en définitive trop bas la clause limitative de responsabilité ne maintiendra plus « une pression financière suffisante sur le débiteur pour qu’il fournisse un degré de diligence auquel l’équilibre de l’opération l’engagerait ».

© ULYS - 72


⇒Recommandations :

- Le plafond doit être suffisamment élevé pour être comminatoire - Déterminer le plafond de la clause de réparation en fonction du prix stipulé au contrat et

non du prix versé, en précisant que ce plafond sera effectif même en cas de résiliation - Mentionner dans le contrat les contreparties consenties par le débiteur en échange de la

limitation de sa responsabilité (ristournes, autres avantages, etc.) ⇒Exemple de formulation : La responsabilité de la société A ne pourra être engagé qu’à hauteur du prix du contrat

stipulé, et ce, même après la résiliation de ce dernier. Cette clause se cumule avec les restitutions financières versées en cas de résolution du contrat.

La société A s’engage, au titre de la limitation de sa responsabilité, à une réduction de X% sur le prix du contrat, à fournir une assistance matérielle gratuite sur X semaines, à prendre à ses frais les coûts des prestations d’un autre Cloud provider en cas de défaillance de la part de la société A…

© ULYS - 73

Cas pratique : La clause limitative de responsabilité B. Quelle solution choisir lorsque l’exécution du contrat ne se déroule pas

comme prévu ? => Le créancier doit en premier lieu adresser une mise en demeure à son débiteur afin que

celui-ci exécute ses obligations. Elle est une preuve de la bonne foi du créancier qui souhaite que le contrat s’exécute. La mise en demeure a également deux effets :

– Elle permet de demander des dommages et intérêts moratoires (de retard) qui courent dès la réception de la mise en demeure par le débiteur

– Elle permet de mettre en œuvre la responsabilité contractuelle du débiteur ⇒Le créancier peut ensuite ne pas exécuter le contrat en se fondant sur l’exception

d’inexécution : Le créancier ne peut se prévaloir de l’exception d’inexécution que si c’est l’inexécution d’une

obligation principale qui est en jeu. Toutefois l’exception d’inexécution n’est possible que dans les contrats à exécution simultanée. Il faudra donc bien identifier les obligations qui seront exécutées de façon simultanée ou successive.

© ULYS - 74


⇒Le créancier peut mettre fin au contrat par résolution pour inexécution Entraîne la disparition des effets du contrat. Elle a un effet rétroactif sauf en cas de contrat à

exécution successive. L’inexécution doit être suffisamment importante d’où l’intérêt de classer les obligations dans le contrat. L’inexécution d’une obligation accessoire ne sera pas une inexécution suffisamment importante. - Les parties peuvent enfin prévoir une clause de résolution du contrat en cas d’inexécution ;

c’est le pacte commissoire - Faute de clause la résolution devra être demandée en justice

⇒Le créancier peut mettre fin au contrat en engageant la responsabilité contractuelle du

débiteur. Suppose une faute, un préjudice et un lien de causalité. La faute est l’inexécution fautive du cocontractant, elle a donc un relief différent selon le type d’obligation (moyen/résultat) =>simple exécution/prouver une faute

- Demander des dommages-intérêts - Demander une exécution en nature. L’exécution en nature est malheureusement plus

difficile à obtenir lorsque les obligations en cause sont des obligations de faire, et les obligations du Cloud provider sont précisément des obligations de faire.

© ULYS - 75

Merci pour votre attention ULYS, un Cabinet d’avocats moderne et humain

au service de l’innovation

Ulys est certifié ISO 9001:2000

France 33 rue Galilée 75116 Paris Téléphone:+ 33 (0)1 40 70 90 11 Fax:+ 33 (0)1 40 70 01 38

Belgique 224 avenue de la Couronne 1050 Bruxelles Téléphone:+ 32 (0)2 340 88 10 Fax:+ 32 (0)2 345 35 80