Le Cloud computing, une révolution contractuelle ?


Témoignages de prestataires

ADIJ, 21 octobre 2010 : 2e atelier sur le Cloud computing

Si le Cloud computing, comme semble l’indiquer le 1er atelier, ne représente finalement qu’une simple évolution de l’informatique liée à une maturité technique, mettre ses données dans les nuages se traduirait, en revanche, par des bouleversements juridiques. Telles sont les conclusions que l’on est tenté de tirer du 2e atelier organisé par l’ADIJ avec Google et Microsoft, en tant que prestataires de Cloud, pour grands témoins.

L’objectif des ateliers de l’ADIJ étant de comprendre le phénomène de Cloud Computing pour définir des best practices en matière de contrats, les juristes de Google et de Microsoft devaient nous aider à cerner les éléments juridiques qui accompagnent cette démarche, aujourd’hui inéluctable pour les entreprises.

Les points clés d’un contrat de Cloud

C’est la privacy (les données personnelles) liée au souci de confidentialité qui s’est avérée très vite et à nouveau être la plus prégnante et la plus délicate [1]. L’entreprise s’inquiète aussi de la sécurité de ses données et veut savoir où elles se trouvent, d’où une exigence de transparence très forte [2].

Dans cette liste de point clefs, on trouve le droit applicable en cas de litige [3], un aspect complexe pour lequel un traité international serait utile, mais aussi la réversibilité qui permet de se retirer d’un Cloud [4] pour reprendre ses données ou les transférer à un autre prestataire [5], ainsi que les garanties apportées, au-delà des solutions techniques [6], s’il y a perte des données en cas de faillite du prestataire ou de clash informatique.

On a cité également l’interopérabilité [7] des systèmes et la fixation du prix définissant ce qui déclenche le paiement  (le mois ? le nombre de personnes ? la transaction ?).

Quant à la question des marchés publics, elle fera sans doute l’objet d’un atelier spécifique.

Tout à inventer au niveau juridique ?

  • Des éléments nouveaux ?

Les questions posées par le Cloud se posaient déjà lorsque l’on externalisait ses services. Mais le buzz autour du Cloud lui donne une dimension psychologique particulière [8], d’où un besoin impérieux de communiquer [9]. Puisque l’approche est sensiblement différente du traditionnel droit de l’informatique, tout comme aux débuts de l’Internet, on se pose visiblement encore beaucoup de questions.

Si, par ailleurs, l’externalisation est maîtrisée par les juristes, il convient de dissocier le Cloud computing de l’outsourcing classique pour « éviter que le débat ne parte en larsen ».

Bien que la volonté – et l’intérêt – du Cloud est de faire du Cloud public, on peut évoquera alors la customisation, soit la gestion de développements spécifiques dans un Cloud public, qui représentent généralement des paramètres susceptibles d’être activés, mais pas de code propre à un client. La personnalisation prendra une autre dimension dès lors que l’on descend dans le Paas, pour des services réellement spécifiques, ce qui rend la question de la réversibilité et de l’interopérabilité plus cruciale. Comment mettre en œuvre aussi la clause d’audit « lorsque les données sont au Pôle Nord » ?

  • Des contrats  un peu particuliers

Le contrat de service proposé par Google est dans les faits un contrat d’adhésion pour des services évolutifs [10]. Pas d’avenant, mais un simple courriel pour acceptation lorsqu’un service est modifié, et un contrat d’une durée volontairement très courte au terme duquel « on adhère encore ou on sort ». Ce contrat d’adhésion qui évolue est d’autant plus étonnant pour des juristes qu’il est sans objet [11] : on n’y trouve qu’une liste de fonctionnalités mais aucune annexe, la « roadmap étant affolante » [12]. Le contrat de Google présente une autre particularité, car si le contrat lui-même est régi par le droit français, la loi applicable en cas de litige est celle des États-Unis.

Dans les faits, l’adhésion en ligne n’est proposée qu’aux petits comptes et des négociations sont organisées avec les sociétés dont le nombre d’utilisateurs est important ou qui, selon les commerciaux de Google, représentent un enjeu stratégique pour Google.

Microsoft distingue les consommateurs à qui des conditions générales d’utilisation (CGU) sont proposées et les entreprises, y compris les TPE et les PME à qui l’on offre une licence standard à négocier. Mais qu’un contrat étatsunien soit proposé sur un marché français est sans nul doute un autre défi.

Le Cloud un révélateur ?

L’objectif des ateliers de l’ADIJ est d’obtenir des outils juridiques types [13] pertinents à proposer à toute personne voulant faire du Cloud. Si certaines questions (comme la confidentialité) se posaient déjà dans les contrats d’externalisation, le Cloud est l’occasion de simplifier la rédaction de ces contrats qui contiennent souvent  des « SLA farfelues », des plans d’assurance qualité se traduisant par des « pavés » incompréhensibles aux non-juristes mais où l’essentiel est absent, et de plans de sécurité avec « des mesures alambiquées » qui ne seront jamais mises en œuvre.

Le pragmatisme est donc de mise. Il s’agit de proposer des contrats avec des mesures  réalistes (le SLA ou service au client, par exemple, ne demandant pas des critères nombreux mais des critères pertinents). Mais le Cloud, c’est de l’informatique à consommer, tout comme on consomme de l’électricité, avait-on souligné lors du 1er atelier, d’où aussi cette offre standardisée qui étonne et inquiète car il s’agit de données, mais qui pourtant est le modèle réellement adapté à ce type de prestation.

Les défis

Il convient de revisiter les clauses traditionnelles, sachant qu’il existe d’autres prestataires que Google et Microsoft, avec des problématiques différentes. Il s’agit aussi d’articuler Cloud public – la vocation traditionnelle du Cloud – avec Cloud privé – qui représente un défi économique en raison des coûts qu’il représente, mais aussi contractuel, en terme de souplesse et d’adaptabilité.

Il y a indéniablement encore une absence de maturité aujourd’hui sur certaines offres. Si le Cloud est l’avenir, une offre « non Cloud » subsistera. Par ailleurs, si les prestataires (du moins les plus gros) privilégient du Cloud public, on ne sait pas ce qu’il adviendra de l’expectative des entreprises en matière de services personnalisés. Doit-on s’attendre à des développements spécifiques ou renonceront-elles à toute personnalisation, considérant que la gestion de la donnée informatique par le Cloud est différente d’un service d’externalisation plus classique, adapté à des aspects métiers plus stratégiques ?

Si le client est aujourd’hui « face à du pas très sec » car il lui faut donner une réponse rapide, un accompagnement est nécessaire avec un dialogue plus soutenu encore entre juristes et techniciens au risque, comme le note Aventis, d’entretenir encore la confusion actuelle entre les aspects techniques et juridiques. S’il s’agit d’apporter un cadre sécurisant au client, en revisitant certaines clauses, en les rendant adaptables et réversibles, le cadre contractuel n’est pas encore stabilisé et l’on tend aujourd’hui à bâtir des solutions hybrides, donnant une large place au feed-back.

Transparence et pragmatisme

Voilà deux autres mots-clefs que l’on retiendra donc pour cette révolution des techniques contractuelles évoquée en introduction.

Illustr. IBM Cloud Computing. Ivan Walsh. Licence CC BY NC. Sur Flickr


Notes

[1] Un rapport – très attendu – sur le Cloud computing serait publié dès le 9 novembre par le CNIL, l’occasion d’en faire l’objet du 3e atelier du groupe, dès le 2 décembre 2010.

[2] Selon Google et Microsoft, déposer ses données dans des « fermes » lointaines gérées par des gros prestataires serait moins risqué (et moins coûteux) qu’un dépôt assuré sur une plateforme locale par un petit prestataire.

[3] Le pays hôte d’un serveur peut-il imposer sa législation ? Est-on prêt à appliquer le droit chinois ou à voir ses données inspectées au nom du Patriot Act étatsunien ? Lorsqu’il s’agit de données personnelles, la loi applicable pour le traitement des données personnelles est défini par l’article 5 de la loi dite « Informatique et libertés ». Quant au transfert vers des pays non européens, il est encadré par le Safe Harbor. Le maître des fichiers sera déterminé  à partir d’un faisceau d’indices.

[4] A cet égard, les informations diffusées par le Data Liberation Front :-)  seront sans nul doute précieuses.

[5] La réversibilité  implique de pouvoir récupérer ses données à tout moment, dans un délai raisonnable et de ne pas  payer au-delà du service rendu.

[6] Ce peut être une duplication des serveurs par le prestataire, mais évidemment pas par des copies en interne  par le client, ce qui annihilerait les avantages apportés par le Cloud  en terme de coûts. La donnée en outre, n’a pas de sens, sans les logiciels qui permettent de les traiter. A cet égard aussi, les explications doivent être claires.

[7] La Commission européenne finance un projet répondant au joli nom de Vénus C qui vise à mettre au point des standards pour l’interopérabilité dans le  Cloud.

[8] La carte de crédit avait suscité les mêmes peurs.

[9] Les modèles adoptés par les ces deux grands prestataires  pour les relations clients sont différentes :  Google privilégie  l’information en ligne, Microsoft a une approche plus personnalisée.

[10] C’est la solution adoptée pour éviter de négocier avec des milliers de clients très variés (selon une logique BtoC, on adhère à l’esprit Google) et éviter de bâtir des usine à gaz. Si Microsoft s’appuie sur un réseau de revendeurs de  contrats ,il semble que ce soit le cas de Google lorsqu’il s’agit d’offres spécifiques.

[11] En fait, si l’objet n’est pas déterminé, il est déterminable.

[12] En 18 mois une centaine de fonctionnalités nouvelles ont été ajoutées

[13] Est-il nécessaire de souligner qu’un contrat-type  n’est qu’une base de négociation ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *