Contrats Informatiques 2014 Edito

Contrats Informatiques 2014 Edito
Technologies, information et Propriétés intellectuelles
Tec
TIPI Spéciale Janvier 2015 – Contrats Informatiques
2014
Edito
Depuis les romains, le contrat constitue le rouage essentiel de la vie juridique des échanges
entre personnes physiques et morales. Selon Jean-Marc Mousseron, « Comme la roue, le
contrat est l’une des créations les plus utiles et les plus simples de l’Humanité » (Technique
contractuelle, Paris, Éditions juridiques Lefebvre, 1998, p. 17). Le Code civil définit le
contrat de façon très générale : c’est la « convention par laquelle une ou plusieurs
personnes s’obligent, envers une ou plusieurs autres, à donner, à faire ou à ne pas faire quelque chose » (article 1101 du code civil). Cette définition devrait changer avec
l’adoption par voie d’ordonnance de la réforme du doit des obligations : «Un contrat est un
accord de volonté entre deux ou plusieurs personnes destiné à créer des effets de
droit ». Les obligations auxquelles sont tenues les parties au contrat découlent de
l’expression de leur consentement. Ces dernières manifestent leur volonté de s’engager dans le cadre d’un acte juridique, le plus souvent un contrat.
Comme tous les contrats, ceux relevant de la matière informatique s’inscrivent dans cette perspective. Ils sont constitués à la fois des actes au sens juridique et les documents –
souvent techniques – qui figurent en annexes desdits contrats (convention de service,
spécifications fonctionnelles, plan qualités, cahier de recette). Si le contrat et ses annexes
sont le reflet plus ou moins détaillé des dispositions prises en vue d’assurer la qualité des produits et/ou des prestations fournies, ils n’en demeurent pas moins « utilitaires » eu
égard au fait qu’ils constituent la formalisation de l’instrument juridique relatif au projet informatique et, à ce titre, un outil de gouvernance de ce dernier.
De nombreuses conséquences découlent du recours à ce type de contrat :
Premièrement, il est régi par le droit commun des contrats et par les dispostions
juridiques relatives aux contrats spéciaux du code civil (vente, louage de chose
ou d’ouvrage/contrat d’entreprise, mandat, dépôt, crédit-bail, …). Deuxièmement, le contrat informatique contient généralement des dispostions
spécifiques sur le droit de la propriété intellectuelle (logiciels, bases de données,
savoir-faire, droit d’auteur, marques, brevets) ;
Troisièmement, d’autres dispositions peuvent être obligatoires comme celles ayant trait à la conformité légale et règlementaire : Dispositions relatives à la
protection des données à caractère personnel, dispositions de lutte antiblanchiment (notamment pour les établissements bancaires et financiers), droit
du travail, …
Enfin, de nouvelles formules contractuelles apparaissent avec le besoin sousjacent d’encadrer des innovations techniques par exemple : l’externalisation des services comme l’IaaS, le PaaS, le SaaS ou le Cloud Computing ; le contrat dit agile,
ou encore, l’intégration de système avec ou sans briques de logiciels libres.
Sommaire de la TiPi :
Edito………………………………..…………p.1
Introduction………………………….…...p.2
I/. Le contrat informatique ou les
spécificités d’un contrat de droit commun……………………………………..p.2
II/. La responsabilité contractuelle
du prestataire….…………………...……..p. 4
III/. Contrats informatiques et
logiciels
libres…………………………………………p. 7
IV/. Les contrats d’externalisation à
l’épreuve du Cloud……………………p. 9
V/. Les contrats informatiques et
protection des données à caractère
personnel…………….…………………..p.12
Enfin, les contrats informatiques s’inscrivent de plus en plus dans une perspective
internationale ; les prestations proposées (notamment en matière d’externalisation) étant
souvent fournies par des entreprises étrangères (anglo-saxonnes pour la plupart) et
posent, à ce titre des problèmes spécifiques.
Eric A. CAPRIOLI
Isabelle CANTERO
Ilène CHOUKRI
Pascal AGOSTI
Société d’avocats inscrite aux Barreaux de Nice et de Paris, SELARL au capital de 107.900 € inscrite au RCS NICE 442 341 319
9, Avenue Henri Matisse
29, Rue de Mogador
06200 – NICE – Tél : (33) 04 93 83 31 31
75009 – PARIS – Tél : (33) 01 47 70 22 12
Fax : (33) 04 93 83 50 49
Fax : (33) 01 47 70 22 56
contact@caprioli-avocats.com
contactparis@caprioli-avocats.com
site web : www.caprioli-avocats.com
Introduction
En 1962, le mot informatique est apparu, né d’une fusion entre les mots
« information » et « automatique ». L’informatique se définit, selon l’arrêté du 22 décembre 1981 portant enrichissement du vocabulaire en matière informatique (J.O.
du 17 janvier 1982), comme la « science du traitement rationnel, notamment par
machines automatiques, de l’information considérée comme le support des connaissances humaines et des communications dans les domaines technique,
économique et social ».
Il est possible d’analyser l’informatique au travers de ses différentes applications
(gestion, production, science…) ou encore de la décrire par ses moyens technologiques de base (matériels, logiciels, progiciels, …) (J. Gualino, Dictionnaire
pratique – Informatique, Internet et nouvelles technologies de l’information et de la communication, Gualino Editeur, 2005). En ce sens, le « patrimoine informatique »
d’une entreprise ou d’un organisme public est composé de « valeurs informatiques »
telles que matériels, logiciels et progiciels et des informations créées, collectées,
traitées, communiquées et archivées, sous forme d’ensembles informationnels multimédia, protégées ou non par le droit de la propriété intellectuelle, comme par
exemple les bases de données ou les contenus, etc.
De plus, la réalité informatique et technologique devient chaque jour plus complexe.
De l’intégration de système comportant une dimension externalisée à la mise en oeuvre d’un ERP, le projet informatique constitue désormais un projet stratégique, transversale à l’ensemble de l’entreprise et en ce sens, il doit être directement visé et
suivi par la Direction générale. Le projet informatique présente de nombreux risques
aux multiples facettes eu égard à cette évolution constante.
A ce titre, les usages de l’informatique et les communications électroniques précèdent toujours le Droit. Il n’en reste pas moins que le Droit est un outil de prévisibilité des
différentes situations à encadrer auxquelles seront confrontées les parties. Ainsi, il
conviendra que le juriste soit familiarisé avec la Technique, l’objectif étant de parler
un même langage avec les équipes informatiques de l’entreprise qui doivent l’accompagner dans le cadre des projets ou en réunion de négociation. C’est que la négociation d’un contrat informatique nécessite une compréhension transversale du
projet et le juriste claudiquerait sans le soutien des équipes techniques, la
réciproque étant également vraie (le droit n’étant pas binaire, il reste avant tout un
art plutôt qu’une science aussi « molle » soit elle !).
Technique et Art : c’est en fonction de ce diptyque que la présente TiPi analysera de
façon non exhaustive les principaux mouvements juridiques intervenus dans le
domaine au cours des dernièresannées.
I/. Le contrat informatique ou les spécificités d’un contrat de Droit commun
On parle souvent des contrats informatiques comme s’il s’agissait de contrats spéciaux au sens juridique du terme. Cela signifierait qu’un régime juridique
particulier – dérogatoire du droit commun – trouve à s’appliquer comme pour divers types de contrats (vente, entreprise, bail, mandat…). Or, il n’en est rien.Les contrats
relatifs à l’informatique restent soumis au régime de Droit commun (les traditionnels
pour encore quelques temps articles 1101 et s. du Code civil) comme en atteste la
jurisprudence (CA Paris 15 septembre 1995, Gaz. Pal. 1996, somm, p. 32). Ils sont
également régis par le droit de la consommation (CA Toulouse, 9 janvier 1996,
Expertises 1997, p. 79) ou par le Droit de la concurrence.
T I P I Spéciale – Contrats Informatiques
Historique du droit de
l’informatique :
1ère étape : L’architecture client serveur (70-80)
Bilan : assurer la répartition des
traitements entre un serveur et un
poste utilisateur qui est capable
d’exécuter certains processus
métier
Caractéristiques : des ressources
centralisées (possibilité de gérer
des ressources communes à tous
les utilisateurs dans la mesure où
le serveur est au centre du
réseau), une meilleure sécurité (le
nombre de points d’entrée permettant l’accès aux données étant moins important), une
administration au niveau serveur
(les
clients
ayant
peu
d’importance dans ce modèle ils ont moins besoin d’être administrés) et, enfin, un réseau
évolutif (possibilité de supprimer
ou de rajouter des clients sans
perturber
ni
modifier
le
fonctionnement du réseau).
Approche surtout contractuelle
2ème étape : L’informatique personnelle (80-90)
Bilan : développement de la
bureautique et des ordinateurs
personnels.
Caractéristiques : modification de
l’espace de travail, déploiement
de licences utilisateurs, sécurité
accrue des données.
Prise en compte par différents
textes (loi Godfrain par exemple)
3ème étape : De l’informatique communicante aux réseaux
numériques
(mi
80maintenant)
Bilan: essor de la communication
et des échanges électroniques
(B2B, B2C, B2A, C2C, A2A, C2A)
Caractéristiques :
diffusion
sélective
de
contenus,
déploiement
des
outils
collaboratifs,
veille
technologique, partage de la
connaissance,
sécurité
informatique accrue
Page 2
Multiplication des textes
applicables (LCEN,…)
Technologies, information et
Propriétés intellectuelles
La Technique influe directement sur la rédaction des contrats relatifs à l’informatique comme le démontre l’émergence de documents à visée principalement technique comme les SLA (Service Level Agreement ou Convention de services) ou les Plans
d’assurance Qualité et les cahiers de recette lorsque des « livraisons » doivent être
vérifiées. Ainsi, un certain nombre de techniques contractuelles ont été suscitées ou
transformées par l’apparition de l’informatique.
Les clauses de propriété intellectuelle intègrent désormais le recours à des logiciels
libres (avec l’analyse préalable des licences) ou encore le dépôt de codes sources (notamment lorsque le logiciel client n’est qu’un dérivé d’une « souche » dont le
prestataire détient les droits).
Le fait que les ordinateurs/serveurs/systèmes d’information soient interconnectés nécessitent également que les clauses de sécurité informatique soient densifiées (ex :
respect de la norme ISO 27001 ; mise en place de mesures de sécurité ; respect de la
conformité légale et règlementaire applicable, …).
Enfin, l’une des principales caractéristiques de cette « Nouvelle » économie a trait à
l’importance prise par la Donnée (comme en témoigne l’émergence du Big Data) et la protection des données stratégiques ainsi que des données à caractère personnel
(ainsi que leur propriété) renvoie à de multiples développements dans le cadre des
contrats informatiques (ex : qualification de responsable ou de sous traitant du
prestataire ; transfert des données hors UE…).
Certaines clauses restent pourtant invariables devant les tribunaux et ce, quelle que
soit la prestation informatique visée :
-
-
-
Les clauses de renseignement et de conseil à l’adresse du prestataire. Ce
dernier est un professionnel, soumis à certaines diligences particulières et à
un renforcement de ses obligations (obligation de renseignement ou
d’information). D’une façon générale, elle se distingue de l’obligation de
conseil qui est beaucoup plus exigeante. En effet, cette dernière consiste à
formuler une appréciation circonstanciée des divers éléments, une
orientation du choix et des décisions du partenaire, voire une incitation à
adopter la solution qui paraît la meilleure. Ces deux clauses servent souvent
de fondements pour rechercher la responsabilité du prestataire (ex : conseil
mal adapté à la demande du client). Dans cette hypothèse, le professionnel
aura beau jeu de prétexter un manque de collaboration du client qui l’a empêché d’établir dans les délais les prestations attendues. La clause de collaboration est donc importante ;
Les clauses de délivrance informatique par le prestataire et de recette par
le client. Ces deux clauses sont pendantes, l’une n’allant pas sans l’autre. Le prestataire doit livrer une prestation conforme aux attentes du client et ce
dernier doit la réceptionner (avec ou sans réserves) ;
La clause de réversibilité (voir par ex. les contrats d’externalisation à l’épreuve du Cloud).
Un contrat de droit commun qui, au bout du compte, n’est pas pour autant si commun…
Lexique informatique
non exhaustif :
Software-as-a-Service (SaaS) :
Applications informatiques mises à
disposition via une infrastructure
de Cloud, telle qu’un navigateur Internet,
sans
gestion
par
l’utilisateur du réseau, des serveurs,
des
systèmes
d’exploitation, du stockage, voire d’une part majoritaire des paramètres
propres
auxdites
applications.
Platform-as-a-Service (PaaS) :
Possibilité pour l’utilisateur de bénéficier d’un environnement de développement et d’exécution, via
l’infrastructure de Cloud, pour les applications qu’il a créées ou acquises, en utilisant des langages
de programmation et des outils
supportés par le fournisseur, sans
avoir à gérer le réseau, les
serveurs,
les
systèmes
d’exploitation ni l e stockage.
Infrastructure-as-a-Service
(IaaS) :
Possibilité pour l’utilisateur de bénéficier,
à
la
demande,
d’uneinfrastructure matérielle lui fournissant une capacité de
traitement, sans avoir à gérer le
réseau en tant que tel.
(Pour ces trois définitions : AFDEL,
Cloud computing – une feuille de
route pour la France, disponible à
l’adresse http://data0.eklablog.fr/cloudcom
putingadij/mod_article1698153_1.
pdf).
Contrat d’externalisation :
Contrat de prestations de services
informatiques fournis à distance à
un client comprenant notamment
la location de logiciel(s) ou
l’hébergement.
Cloud computing :
« Mode de traitement des
données
d'un
client,
dont
l'exploitation
s'effectue
par
l'internet, sous la forme de services
fournis par un prestataire »
(Vocabulaire de l'informatique et
de l'internet J.O. du 6 juin 2010, p.
10453).
T I P I Spéciale – Contrats Informatiques Page 3
II/. La responsabilité contractuelle du prestataire
(1) J. Huet et N. Bouche, Les
contrats informatiques, éd.
LexisNexis,
2011 ;
Ph.
LeTourneau,
Contrats
Informatiques et Electroniques,
Dalloz Références, 2014-2015,
8ème édition.
Malgré le caractère désormais relativement ancien de l’informatique (1), il y a peu de
décisions concernant les contrats informatiques. Comme quoi, les questions de
responsabilité des prestataires informatiques peinent à trouver le chemin des
prétoires. Sans doute la voie transactionnelle est-elle privilégiée pour éviter les
préjudices d’image tant pour les prestataires informatiques conscients de la défaillance de leurs performances pourtant promises en termes de conformité des
livrables, voire de disponibilité, d’intégrité, de sécurité, de traçabilité des systèmes
d’information lors de leurs réponses à appel d’offres que pour leurs clients désireux de ne pas montrer les dysfonctionnements de leur système d’information (ou de leurs applications) auprès de leurs propres clients.
(2) Concernant l’arrêt de première instance, voir J. Huet,
Intégration de système : deux
décisions en sens inverse
(commentaire CA Paris 18 mars
2009, TGI Niort 14 décembre
2009), CCE mars 2011, Etude 6.
V. également : Pascal AGOSTI,
Affaire IBM – MAIF : il faut
réduire le sentiment d’impunité des SSI, www.lemagit.fr, Mars
2010 (Interview).
Toujours est-il que malgré cette confidentialité initiale de mise dans ce domaine, les
litiges portant sur les contrats informatiques se multiplient désormais devant les
juridictions de droit commun, et ce, souvent du fait de clients insatisfaits des
pratiques commerciales de certains prestataires.
La responsabilité contractuelle des prestataires informatiques est souvent liée à des
fautes fréquemment rencontrées dans les contrats (et les négociations
contractuelles) (A). Pour éviter de voir leur responsabilité contractuelle engagée, les
prestataires mettent en exergue des clauses limitatives ou exonératoires de
responsabilité (B).
A. Les fautes traditionnelles dans les contrats informatiques : absence de
conseil/collaboration ; défaut de délivrance conforme
La typologie des fautes intervenant dans les contrats informatiques est
essentiellement centrée sur le défaut de délivrance conforme du système
d’information ou du logiciel (CA Versailles 20 janvier 2011, Eclairage conseil
c/Prodware ; CA Angers, 13 septembre 2011, Puissance I c/ Salesky ; CA Toulouse 15
juin 2011, Espace Financière c/ CEGID et Institut Fimac…) et l’absence de
collaboration entre les parties et notamment les dérives temporelles et financières
qui en résultent. En ce sens, le tribunal de grande instance de Niort dans un
jugement rendu le 14 décembre 2009 (2) avait envoyé un signal fort aux sociétés de
services informatiques (SSII) prêtes à tout pour remporter un appel d’offre. La société IBM avait été rendue responsable de l’échec d’une opération d’intégration décidée par la MAIF. Le parties avaient conclu un contrat d’intégration dans lequel IBM s’engageait à fournir sur la base d’une obligation de résultat, une solution
intégrée conforme au périmètre fonctionnel et technique convenu entre les parties,
en respectant le calendrier impératif fixé et pour le prix forfaitaire ferme et définitif
de 7 302 822 euros HT. Or, dès le mois de février 2005, la MAIF constate un retard sur
le calendrier fixé initialement entre les parties. Malgré des tentatives de négociation
(signature avortée d’un projet de règlement amiable ; protocole d’accord signé le 22 décembre 2005 à l’initiative d’IBM), les relations entre les parties se détériorent, la
MAIF reprochant à IBM le manque de visibilité du scénario alternatif proposé. En juin
2006, la MAIF finit par décliner l’offre de 15 millions d’euros proposée par IBM qu’elle juge exorbitante au regard du prix forfaitaire initialement prévu. IBM
demande alors le règlement des factures impayées, mais la MAIF refuse. IBM saisit
alors le tribunal aux fins d’obtenir le remboursement des factures impayées ainsi que le versement des dommages et intérêts pour rupture abusive et unilatérale de leur
contrat. Relevant une violation des règles de l’art par IBM, le tribunal avait en première instance ordonné la restitution de la plupart des sommes versées par la
MAIF, prononcé l’annulation du contrat pour dol aux torts d’IBM et le droit pour la MAIF à des dommages intérêts (au total près de 9,5 M €).
T I P I Spéciale – Contrats Informatiques
Page 4
Technologies, information et
Propriétés intellectuelles
Mais le 25 novembre 2011, coup de théatre pour les clients pouvant de nouveau espérer
un rééquilibrage des relations avec leurs prestataires informatiques. La 1ère chambre
civile de la cour d’appel de Poitiers (3) a infirmé le premier jugement du Tribunal de
grande instance de Niort, opérant un total revirement. La Cour d’appel réfute ici la thèse selon laquelle, le prestataire, IBM, se soit rendu coupable de manœuvres frauduleuses
destinées à obtenir un appel d’offres et donc, de tromper son client, la MAIF.
Concernant tout d’abord le dol, invoqué par la MAIF, l’arrêt exclut toute réticence dolosive d’IBM au motif qu’il « n’est pas établi qu’IBM a dissimulé de surcroit
volontairement à la MAIF des informations majeures relatives au calendrier, au
périmètre, au budget du projet». La Cour retient que le projet a été ajusté par des
avenants successifs acceptés par la MAIF en toute connaissance de cause,
reconnaissant bien là que le projet initialement convenu n’était pas réalisable et que ces ajustements primaient l’esprit initial du contrat d’intégration. La MAIF ne pouvait
soutenir avoir été trompée et la Cour rejette le motif tiré du dol.
Dans un second temps, la MAIF reprochait à IBM de s’être contentée de laisser prospérer les dérives et difficultés et ajoute qu’elle n’a disposé « d’aucun conseil, ni de mise en garde relatifs aux risques liés à l’exécution du contrat ». La cour d’appel de Poitiers constate que la MAIF disposait de la parfaite connaissance technique dans le domaine
informatique, grâce à une direction informatique étoffée, et écarte le manquement à
l’obligation de conseil. La MAIF ne peut pas, au regard de son service informatique
qualifié, être considérée comme étant profane dans ce domaine afin de bénéficier d’une protection juridique accrue. En se fondant sur les conclusions du rapport d’expertise, la Cour a conclu que l’échec du projet ne saurait être imputé à IBM qui n’a pas manqué à son obligation de conseil. Elle a donc reconnu la validité du contrat et a condamné la
MAIF à verser la somme de 4.664.400 millions d’euros à la BNP Paribas Factor au titre d’une facture restée impayée à ce jour et la somme de 450.441, 28 euros à IBM.
Mais la chambre commerciale de la Cour de cassation par un arrêt en date du 4 juin 2013
(4) est venue casser cette décision d’appel en se fondant sur une figure classique du contrat : la novation. La novation consiste en la substitution volontaire d'une nouvelle
obligation à une obligation préexistante qui est corrélativement éteinte. Or, la novation
ne se présume pas. La MAIF en signant les deux protocoles le 30 septembre et le 22
décembre 2005 ne semble pas avoir « manifesté, sans équivoque, sa volonté […] de substituer purement et simplement aux engagements initiaux convenus par les parties
dans le contrat d’intégration du 14 décembre 2004 de nouveaux engagements en lieu et place des premiers » en tous les cas aucun élément ne permettent de le penser. Dès lors,
la Cour d’appel de Poitiers avait privé sa décision de base légale. Les engagements initiaux (à savoir la fourniture sur la base d’une obligation de résultat, d’une solution intégrée conforme au périmètre fonctionnel et technique convenu entre les parties (mais
selon un coût et un calendrier différents), perduraient et devaient être respectés par
IBM. Ainsi la décision d’appel a été cassée et annulée dans toutes ses dispositions, la Cour de cassation renvoyant les parties devant la Cour d’appel de Bordeaux.
(3) L. Costes, Dol par réticence
retenu à tort, RLDI décembre
2011, comm. 2568.
(4) Cass. com. 4 juin 2013, N°
Pourvoi : 12-13002, Non publié
au bulletin, disponible sur le site
legifrance.gouv.fr.
(5) CA Paris 18 mars 2009, voir J.
Huet, Intégration de système :
deux décisions en sens inverse
(commentaire CA Paris 18 mars
2009, TGI Niort 14 décembre
2009), préc.
(6) Dans l’arrêt de la Cass. com du 4 juin 2013, ce n’est pas dans la spécificité de la matière
informatique
(expertises
informatiques)
que
les
magistrats ont trouvé la
solution mais dans une figure
classique du droit des contrats
(comme
la
novation,
l’interdépendance contractuelle etc.). Le cas d’espèce montre également l’importance de maîtriser l’ensemble du processus
de
rédaction
contractuelle
(savoir
exactement quel effet juridique
sera associé à une obligation
déterminée).
(7) CA Paris 10 octobre 2003, SA
Arsenal Recouvrement c/SARL
LOGSYS ; Ph. Stoffel Munck,
Deux innovations : la réticence
légitime à bien exécuter sa
prestation et le préjudice de
temps perdu, CCE, Juin 2004,
comm. 77.
D’autres décisions rappellent l’importance de la collaboration entre un intégrateur informatique et son client. Un éminent auteur (5) renvoie ici à l’importance d’une attention marquée lors des négociations contractuelles en rappellant qu’elles constituent
l’une des principales sources des rapports d’expertise. L’expertise informatique doit être au service de l’argumentation qui sera développée par l’avocat et non pas la remplacer. Les enseignements du rapport d’expertise doivent être traduits dans les écritures
(conclusions des parties) en termes juridiques appropriés (6). La collaboration du client
(7) constitue un élément essentiel pour rechercher sa responsabilité et le cas échéant,
pour déterminer le degré de la responsabilité qui peut être attribuée à l’un ou l’autre. T I P I Spéciale – Contrats Informatiques Page 5
B. Les clauses limitatives de réparation
Dans les négociations de contrats avec les prestataires informatiques, il est
nécessaire de porter une attention particulière aux clauses de responsabilité qui sont
destinées à préciser les conditions dans lesquelles le prestataire informatique
seratenu de réparer les préjudices subis par son client du fait de la mauvaise
exécution ou de l’inexécution des prestations objets du contrat. Ainsi, un contrat de
licence avait été conclu entre, d'une part, une société d'équipements automobiles
(Faurecia), qui souhaitait se munir d'un logiciel de production et de gestion
commerciale et, d'autre part, une société de service informatique (Oracle). Dans la
mesure où le logiciel définitif n'était pas encore au point, une solution temporaire a
été développée, solution qui entraîna cependant de nombreux désagréments alors
même que le logiciel définitif ne fut jamais livré. Par conséquent, l'équipementier
automobile Faurecia, reprochant à Oracle de ne pas avoir honoré le contrat, mit un
terme au paiement de ses redevances. Oracle lui opposa une clause limitative de
responsabilité qui plafonnait l'indemnisation. La Cour d’appel de Paris avait, en 2008, jugé que ladite clause était valide, estimant également que Faurecia ne
démontrait pas l’existence d’une faute lourde imputable à Oracle, et qui puisse tenir en échec la clause limitative de réparation.
La Cour de cassation a, le 29 juin 2010 (8), rejeté le pourvoi formé par Faurecia qui
avait tenté de faire casser le jugement de la Cour d’appel. La Cour de cassation affirma, dans un premier temps, que « seule est réputée non écrite la clause limitative
de réparation qui contredit la portée de l'obligation essentielle souscrite par le
débiteur », retenant ainsi la validité de la clause. En effet, dans la mesure où le
montant de l'indemnisation prévu dans ladite clause tenait compte de la répartition
du risque et que, dès lors, la limitation de responsabilité qui en résultait n'était pas
dérisoire, le contenu de la clause n'était donc pas contraire à l'objet même du
contrat. Dans un second temps, en déclarant que « la faute lourde ne peut résulter du
seul manquement à une obligation contractuelle, fût-elle essentielle », la Cour de
cassation rappelle que la faute lourde devant se déduire de la gravité du
comportement du débiteur (9), un manquement à une obligation essentielle n'est
pas en principe une faute lourde et, de ce fait, un tel manquement n'exclut pas de
façon automatique la clause limitative de responsabilité (10).
(8) V. notamment Ph. StoffelMunck, Faurecia 3 : la Cour de
cassation restaure l’efficacité des clauses limitatives de réparation
dans les contrats de services
informatiques, CCE, Octobre
2010, Comm. 99.
(9) Conditions de validité d'une
clause
limitative
de
responsabilité, JCP éd. E & A n°
27, 8 juillet 2010, act. 383, Som.
(10) B. Lamon, Manquement à
une obligation essentielle et
clause
limitative
de
responsabilité,
Expertises,
Août/Septembre 2010.
(11) D. Houtcieff, L’essentiel est dans la contradiction, JCP éd. G,
n° 28-29, 12 juillet 2010.
Ainsi, l'enseignement majeur de cet arrêt est que le manquement à l'obligation
essentielle ne suffit pas à écarter la clause limitative de responsabilité. Il est
nécessaire que le juge constate par ailleurs que la clause limitative de réparation
vide de sa substance l'obligation essentielle du débiteur (11). La clause ne doit pas
amener le débiteur de l’obligation à s’affranchir de toute contrainte sérieuse pour lui. De cette décision découlent plusieurs enseignements d’ordre pratique parmi lesquels :
- Les clauses limitant la responsabilité du prestataire au montant de la
rémunération doivent être libellées de manière à pouvoir se cumuler avec
les éventuelles restitutions financières que le débiteur devra à raison de la
résolution du contrat ;
- Les parties ont-elles ou non un même pouvoir de négoication de la clause ?
- Le débiteur doit être incité à exécuter l’obligation essentielle et il sera important d’indiquer l’assiette de réparation (prix perçu ? sommes versées
par le client dans le cadre du projet ?).
Il est nécessaire de disposer de la meilleure connaissance possible de la jurisprudence
applicable auxcontrats informatiques au moment de leur rédaction. Ce prérequis
peut éviter des erreurs ou tout simplement des imprécisions lors de l’écriture de clauses de responsabilité (clauses qui doivent être adaptées à chaque contrat).
T I P I Spéciale – Contrats Informatiques
Page 6
Technologies, information et
Propriétés intellectuelles
III/ Contrats informatiques et logiciels libres
Les logiciels libres (1) existent. Le Cabinet les a rencontrés et ce, non pas seuls, isolés
(ce serait tellement simple) mais noyés dans la masse d’autres modules soumis – au
contraire - à des licences propriétaires. C’est que la situation est loin d’être simple. Les développeurs – par souci de commodité et d’efficacité économique – vont
télécharger sur l’Internet le premier module logiciel venu permettant de répondre à
leurs préoccupation du moment (et souvent soumis à des licences « libres »). Tout
cela pourrait ne pas porter à conséquence si les prestataires informatiques ne
cherchaient pas à vendre leurs développements logiciels et parfois à transférer leurs
droits de propriété. Et comment transférer la propriété d’un logiciel dont les codes sources ne m’appartiennent pas ? Rappelons que l'idée fondamentale de ces
logiciels est de permettre à chaque personne qui le souhaite de travailler sur
l’oeuvre placée sous cette licence de façon transparente : de l’utiliser, de la modifier et de la distribuer librement.
Un client ayant en toute bonne foi souscrit un contrat avec un prestataire pourrait
se trouver confronté à une éventuelle action en contrefaçon (peu réaliste car seul
l’auteur du logiciel peut agir en contrefaçon. Or, rappelons que les logiciels dits libres sont le résultat des développements d’une communauté de développeurs) ou,
plus vraisemblablement une action pour non respect des dispositions contractuelles
(non présentation de la licence libre associée au logiciel) par les organismes en
charge de la défense des intérêts du logiciel libre. Car, contrairement à une idée
reçue, le recours à des logiciels « libres » ne signifie en rien qu’il n’y a aucune obligation à respecter. De plus LIBRE ne signifie pas GRATUIT. En effet, la
rémunération s’opère toujours au travers du paiement du service (intégration, maintenance, …).
Les initiateurs du logiciel libre ont prévu les droits et obligations relatifs aux modules
logiciels et aux développements dans des licences dites « libres ». Différentes
licences ont été établies. Les principales sont la GNU General Public licence (GPL), la
Berkeley Software Distribution (BSD) et la licence Apache. Il en existe aussi une en
droit français, les licences CEA CNRS INRIA Logiciel Libre (CECILLs). Les
caractéristiques (effet ou non contaminant, multilicensing, droit applicable,
garanties) juridiques varient en fonction des intérêts et les systèmes juridiques de
leurs auteurs, mais ces licences sont opposables aux utilisateurs et commencent à
être reconnues, y compris devant les tribunaux.
(1) V. notamment :
Pascal AGOSTI (avec Jean
Séverin LAIR) Le logiciel libre,
autre modèle de propriété
intellectuelle, La Jaune et la
Rouge (revue Polytechnique),
Février 2012.
Livre blanc Telecom Valley,
L'édition sous licence Open
Source : mode d'emploi, 2011,
www.telecom-valley.fr
Eric A. CAPRIOLI et Anne
CANTERO,
Les
incertitudes
juridiques du logiciel dit libre
dans les collectivités locales,
septembre 2006, www.caprioliavocats.com
Eric A. CAPRIOLI et Noëlle
LEBOEUF,
Innovation
informatique :
les
risques
juridiques des logiciels Open
Source, Journal Spécial des
Sociétés, Juillet 2007, p. 47 et s.
Eric A. CAPRIOLI, La première
jurisprudence française relative
à une licence GNU GPL, octobre
2007, www.caprioli-avocats.com
Pascal AGOSTI, Le logiciel libre
en quête de reconnaissance
juridique, Avis d’expert, janvier 2010,
http://www.journaldunet.com/
developpeur/expert/44330/lelogiciel-libre-en-quete-dereconnaissance-juridique.shtml
Lorsqu'on télécharge une licence de logiciel libre, on se retrouve dans le cadre d'un
contrat d'adhésion, c'est-à-dire dans la même situation qu’en cas d’achat d’un logiciel propriétaire (par exemple, les « shrink wrap license », où l'acheteur du
produit est lié par la licence par le simple fait de déchirer l'emballage). Les clauses de
la licence sont imposées de facto en raison de l’utilisation du logiciel et elles ne sont
pas négociables. Au final, soit le licencié accepte la licence en utilisant le logiciel et
peut faire ce qui y est mentionné, soit il ne l’utilise pas et il ne peut pas bénéficier de
toutes les libertés inhérentes au logiciel libre (modification et distribution).
C'est un des points importants et pourtant souvent négligé du logiciel libre, il
convient de connaître les obligations associées à un logiciel libre en particulier
dans le cadre d'une utilisation dans un système d'information professionnel. Les
décideurs publics ou privés et les sociétés de services informatiques qui recourent à
des logiciels libres doivent donc porter une attention particulière au choix des
licences et à leurs conséquences juridiques. Le simple utilisateur lui est toujours
couvert par une entière liberté d'usage.
T I P I Spéciale – Contrats Informatiques Page 7
Un arrêt de la Cour d’appel de Paris du 16 septembre 2009 (2) a condamné une société
informatique aux motifs qu’elle n’avait pas fourni à son client (l’AFPA) les sources d’un logiciel
libre et avait supprimé le texte de la licence GNU-GPL. Suite à un appel d’offre important (plusieurs millions d’euros), l’AFPA a retenu la société EDU4. Lors de la recette de la phase 1 du marché, l’AFPA découvre que le logiciel VNC est un logiciel libre qui a été modifié par la
société EDU4 et elle demande les sources à plusieurs reprises au prestataire, y compris par
l’intermédiaire de la Free Software Fondation France. Ce dernier refuse d’accéder à sa demande et lorsqu’il les fournit, ce ne sont pas celles qui correspondaient à la version livrée
en 2001. Cette décision met surtout en exergue l’inexécution des obligations contractuelle, justifiant la résolution du contrat aux torts exclusifs du prestataire informatique.
Cette décision met également en relief l’importance que les clients, les prestataires mais aussi les SSLL doivent apporter à l’analyse des licences lorsqu’ils entendent recourir à des logiciels libres et aux conséquences juridiques qui peuvent en résulter. En effet, toutes n’ont
pas les mêmes effets. Certaines prévoient le Copyleft (3) (comme la GNU GPL) et d’autres pas (Apache). Il s’agira d’un premier critère de décision pour toute personne désirant recourir à un logiciel libre.
En outre, la question des garanties mérite d’être posée : les garanties sur le logiciel luimême mais aussi la garantie de jouissance paisible, souvent intégrées dans les licences de
logiciels propriétaires, ne figurent pas dans les licences libres ; l’esprit du logiciel libre étant : l’utilisateur utilise la licence sous sa seule responsabilité.
On peut également noter la pratique du multilicensing, permettant à un auteur de logiciel
libre de soumettre son oeuvre à plusieurs licences libres ou propriétaires. Le licencié choisira
la licence proposée par l’auteur qui lui convient et en respectera les termes. Certains éditeurs ont fait le choix de distribuer leurs produits sous une double licence libre et propriétaire.
Dans ce cas, l’intérêt pour l’éditeur est de fournir une version payante de son produit aux
personnes qui ne voudraient pas être soumises aux obligations de la licence libre.
Enfin, la majorité des licences libres ne comporte aucune mention sur la loi applicable, ou
elles se référent à des concepts de droit étranger (USA), ou prévoient des clauses spécifiques
de droit applicable. Cette situation instaure un flou juridique, facteur d’insécurité pour le potentiel licencié qui pourra se voir attraire devant les tribunaux anglo-saxons. Rappelons ici
que le coût de la Justice américaine est prohibitif.
Un dernier point est également à soulever : un dirigeant d’entreprise (un commettant) peut être responsable des agissements de ses préposés (les développeurs) conformément à
l’article 1384 al. 5 du Code civil. Dès lors, il faut être sûr que le recours à certains modules
libres utilisés ne constitue pas une faute pouvant engager la responsabilité de l’entreprise. Il
sera donc opportun de sensibiliser les développeurs à cette problématique et d’analyser en interne l’impact juridique des licences appliquées aux développements réalisés.
On le comprend bien, avant d’intégrer des briques « libres » dans leur système d’information ou dans leur logiciel, les décideurs devront analyser les conséquences juridiques en découlant
et déterminer les coûts induits par un tel choix. Dernièrement, cette problématique a été
prise en compte par les directions informatiques de grands groupes, ces derniers mettant en
œuvre des politiques Open Source où sont précisées les modalités d’intégration, d’audit des licences et d’utilisation des modules logiciels libres par les développeurs internes comme
externes. L’objectif de cette démarche est de prévoir les modules libres autorisés, interdits (voire soumis à condition) et éviter ainsi de devoir effectuer des « redéveloppements »
logiciels couteux. Cette question se pose également en cas de vente du logiciel où un audit
des licences est désormais requis en tant que « Due Diligence » pour pouvoir déterminer de
la manière la plus fiable possible sa valeuréconomique.
T I P I Spéciale – Contrats Informatiques
Page 8
(2) V. notamment Pascal AGOSTI,
Le logiciel libre en quête de
reconnaissance juridique, Avis
d’expert, janvier 2010, http://www.journaldunet.com/d
eveloppeur/expert/44330/lelogiciel-libre-en-quete-dereconnaissance-juridique.shtml
(3) Les licences de type copyleft
permettent
l'utilisation,
la
modification
et même la
redistribution du logiciel, à
condition cependant que le
logiciel modifié soit redistribué
sous la même licence que le
logiciel initial. En d’autres termes, l’utilisateur qui modifie un logiciel sous licence libre avec
copyleft, ne disposera pas de
droits patrimoniaux sur l’œuvre modifiée.
Technologies, information et
Propriétés intellectuelles
IV/. Les contrats d’externalisation à l’épreuve du Cloud computing
Les contrats informatiques sont nombreux ; ils représentent et encadrent des
réalités techniques très diverses et plus ou moins complexes : achat de matériels, de
progiciels, de bases de données, études, développement informatiques,
maintenance, hébergement, exploitation, assistance technique… L’une des tendances lourdes du domaine depuis maintenant une bonne quinzaine d’années, consiste à externaliser tout ou partie de son système d’information. En effet, en
confiant une partie du système d’information à des prestataires externes, la gestion des systèmes d’information se limite à des considérations financières spécifiques
au service rendu (coûts d’exploitation, frais de charges) sans que l’entreprise ait
besoin d’investir en hommes et en matériel. Cette externalisation prend désormais la forme d’un Nuage informatique : le Cloud computing. Ce dernier se définit comme le « mode de traitement des données d'un client, dont l'exploitation
s'effectue par l'internet, sous la forme de services fournis par un prestataire »
(Vocabulaire de l'informatique et de l'internet J.O. du 6 juin 2010, p. 10453).
Le contrat de Cloud computing n’en reste pas moins un contrat de prestations de
services informatiques fournis à distance à un client (location d’un logiciel, d’une infrastructure, d’une platefome). A ce titre, en France, il est donc soumis aux
dispositions des articles 1787 et suivants du Code civil. En fonction de leurs objets,
les contrats de Cloud peuvent prendre plusieurs formes (SaaS, IaaS, PaaS, voir supra
p.4) dont le contenu diffère peu en fin decompte (seules les clauses relatives aux
obligations et aux responsabilités relatives à l’utilisation du logiciel, de la plateforme ou de l’infrastructure). Choisir une solution de Cloud computing nécessite la mise en
place d’une démarche opérationnelle efficace (A). Certains paramètres d’ordre juridique devront également être vérifiés lorsque le contrat de Cloud sera négocié
(B).
Quel type de
Cloud choisir ?
Cloud public : cloud dont les
ressources sont disponibles
en dehors de l’entreprise via Internet.
Cloud
privé :
cloud
fonctionnant
pour
une
organisation unique gérée
par l’organisation elle-même
ou un tiers détenant une
infrastructure
dédiée
à
l’entreprise et accessible via des réseaux sécurisés.
Cloud hybride : cloud public
pour les applications peu
sensibles, cloud privé pour
les autres.
A. La démarche pour retenir une solution de Cloud computing
Le client devra définir, le plus souvent sous la forme d’un cahier des charges ou d’une étude des besoins, le périmètre exact des données ou applications
informatiques qu’il entend déléguer au prestataire. Cet effort initial permet de
préciser les éléments essentiels de la prestation confiée au prestataire en
établissant un descriptif des prestations et données visées par le contrat.
A défaut d’un contrat détaillé, la gestion des achats par le prestataire prive le
client d’une vision claire et précise sur les décisions de gestion liées à ses systèmes d’information. Ainsi, selon le budget prévu, l’entreprise devra s’orienter vers un cloud public, privé ou hybride. Souscrire à une solution de cloud public (voir encadré) – moins onéreux
dans les faits - reviendra fréquemment à souscrire un contrat d’adhésion, les marges de manœuvre étant somme toute minimes, voire inexistantes. Un cloud
privé sera préconisé lorsque l’entreprise recherchera à externaliser des applications
sensibles ou des données vitales pour l’entreprise. Le contrat pourra être négocié et certaines clauses pourront être aménagées en fonction des intérêts en jeu ; bien
évidemment le coût d’utilisation de ce dernier sera plus expansif. Le cloud hybride
est une solution médiane tant en coût qu’en terme d’utilisation. Il est recommandé
dans un premier temps de ne pas externaliser les applications ou les données
sensibles de l’entreprise, notamment auprès d’un prestataire que l’on viendrait de choisir. Mieux vaut dans un premier temps le tester sur des applications ou des
données peu sensibles afin de déterminer s’il correspond au niveau d’exigence requis.
T I P I Spéciale – Contrats Informatiques Page 9
De plus, en terme de sécurité, il conviendra de prendre en compte les législations
extra-territoriales comme le Patriot Act ou le FISA des Etats-Unis d’amérique qui permet à certaines agences américaines d’accéder aux données de son client, à son insu et même si elles sont hébergées en dehors du territoire américain.
(1) V. notamment
Isabelle
CANTERO et Eric CAPRIOLI, De la
sécurité de l'information à la
mise en œuvre du principe d'accountability,
MagSecurs
n°39, p. 20 ets, disponible à
l’adresse : http://www.caprioliavocats.com/publications/44donnees-perso/310-de-lasecurite-de-l-information-a-lamise-en-oeuvre-du-principe-daccountability
B. Les clauses à vérifier dans le contrat de Cloud
Les données hébergées dans le Nuage pourront être des données à caractère
personnel détenues par une entreprise et relatives à ses salariés, à ses clients ou
prospects, ainsi que ses fournisseurs. Mais d’autres données sensibles peuvent y figurer (Recherche, politique de prix, …). Or, le responsable du traitement – à savoir
le client – doit conformément à l’article 34 de la loi Informatique et Libertés (1), « prendre toutes précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver la sécurité des données et,
notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers
non autorisés y aient accès. ». Lorsqu’il confie la gestion des traitements au
prestataire, le client doit s’assurer que celui-ci dispose des « garanties suffisantes »
en matière des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer. Une « garantie suffisante » pourrait être de s’assurer de la situation financière de son prestataire.
En termes de sécurité juridique, le client devra donc faire attention au choix de
son prestataire (2). En effet, ce dernier aura intérêt à être installé dans un pays qui
dispose de règles de droit en matière de protection des données à caractère
personnel au moins aussi protectrices que celles en vigueur dans l’Union européenne. Il devrait s’agir d’un avantage concurrentiel pour les prestataires de
cloud européens. De plus, conformément à l’article 35 de la loi Informatique et Libertés, le contrat d’externalisation entre le client et son prestataire devra être passé par écrit et comporter les obligations du prestataire en terme de protection
de la sécurité et de la confidentialité des données à caractère personnel et des
mesures techniques y afférentes.
(2) V. ainsi un arrêt de la Cour
fédérale de New York en date du
25 avril 2014, le commentaire du
Cabinet Caprioli & Associés,
Attention
au
Cloud
US
!, www.caprioli-avocats.com
Le contrat de cloud doit s’accompagner (souvent en annexe) de dispositions contractuelles relatives au niveau de services que le prestataire s'engage à
respecter dans le cadre de l'exécution des prestations. L’objectif de l'engagement de niveau de services (convention de services ou « SLA ») est de déterminer le
niveau de performance proposé par le prestataire (Cloud public) ou requis par le
client (Cloud privé) et le volume des garanties apportées par le prestataire. Il
convient, au sein du SLA, de mesurer les délais d'intervention dans le cadre de la
maintenance, les délais de prise en compte de demandes spécifiques, la
performance de la sécurité du système en matière informatique ou dans le cadre
de l'externalisation des systèmes de communications électroniques.
Une clause de hardship (ou de révision du contrat) pourrait, en outre, être intégrée
(dans le cas d’un Cloud privé) pour prévoir une modification substantielle de l’équilibre du contrat au-delà des fluctuations prévisibles. Le contrat de cloud
computing doit pouvoir évoluer à tout moment de son périmètre et son niveau de
qualité de service. Il s’agit là encore d’une sécurité pour le client.
T I P I Spéciale – Contrats Informatiques
Page 10
Technologies, information et
Propriétés intellectuelles
Les mesures de sécurité doivent être décrites (dans le SLA, le Plan d’Assurance Qualité ou dans une Politique de Sécurité des Systèmes d’Information). En outre, la faculté contractuelle doit être prévue pour le client d’effectuer des audits et des tests
d’intrusion sur les serveurs du prestataire pour s’assurer du niveau global de sécurité
de ce dernier (un minimum qui pourrait disqualifier éventuellement certains
prestataires proposant du Cloud public sans possibilité d’audit). Il est important que
la clause d’audit soit réaliste et opérationnelle. Enfin, le parcours de chaque donnée
doit être tracé.
La sécurité est également liée à la confidentialité des données détenues par le
prestataire. Dès lors, la clause de confidentialité (et presque d’« étanchéité ») des
données nécessitera une vigilance accrue lors de sa rédaction. Elle doit être détaillée
dans son champ d’application matériel (personnes qui doivent respecter cette obligation, contenu de l’obligation), temporel et devrait être éventuellement
complétée d’une clause pénale, sanctionnant tout manquement constaté du
prestataire ou de son personnel.
Ce qui importe pour le client est de s’assurer de la continuité des applications et des
données dont il a confié la gestion au prestataire, même après la résiliation du
contrat de Cloud computing. Leur réversibilité (3) constitue également une sécurité
juridique mais aussi technique et organisationnelle pour le client. Rappelons que la
clause de réversibilité encadre le principe et les modalités contractuelles et
techniques de reprise de contrôle de tout ou partie du système ou des données par
son exploitant initial ou un nouveau prestataire informatique. Visant notamment à
éviter le risque d’une dépendance technologique du client à l’égard du prestataire, la réversibilité sera généralement mise en œuvre à l’échéance du contrat
d’externalisation initial, à la suite de l’arrivée du terme contractuel ou lors de la
résiliation de celui-ci. Si le client ne prévoit pas les conditions entourant la
réversibilité pendant la négociation initiale, elles devront être discutées au moment
de la fin du contrat, ce qui placera le client dans une situation de faiblesse vis-à-vis du
prestataire. Un plan de réversibilité (méthode et tarifs applicable) avec les délais de
réalisation des opérations devrait figurer a minima en annexe du contrat.
(3) V. en ce sens Tribunal de
Grande Instance de Nanterre 30
Novembre 2012 UMP vs Oracle.
Cabinet Caprioli & Associés,
Cloud Computing : première
décision judiciaire (publiée) sur la
réversibilité
des
données,
www.caprioli-avocats.com
Cette réversibilité devra aller de pair avec une interopérabilité des données et des
applications que le prestataire devra garantir. Il ne s’agirait pas que le prestataire ne fournisse que des données et applications répondant aux exigences de son système
propriétaire.
Enfin, le contrat de Cloud (lorsqu’il est négocié) devra prendre en compte le domaine spécifique de l’entreprise cliente. En effet, dans l’hypothèse où un établissement bancaire ou financier recourrait aux services d’un tel prestataire dans le cadre de ses
prestations dites essentielles, l’Arrêté du 3 novembre 2014 relatif au contrôle interne
des entreprises du secteur de la banque, des services de paiement et des services
d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de
résolution trouverait à s’appliquer. Mais cette exigence de conformité légale peut se
décliner selon les domaines (aéronautique, compagnies d’assurance…).
(4) JO du 5 novembre 2014 p.
18598.
Pour conclure, le recours au Cloud computing doit également faire l’objet d’une sensibilisation car cette pratique est loin d’être anodine pour la structure même des entreprises. Nombreuses sont les directions informatiques ou juridiques susceptibles
de se trouver prisonnières de contrats signés par un métier donné sans prise en
compte des impératifs et des lignes stratégiques de l’entreprise. T I P I Spéciale – Contrats Informatiques Page 11
V/. Contrats informatiques et protection des
données à caractère personnel
(1) voir Code de bonnes
pratiques pour la protection des
informations
personnelles
identifiables
(PII)
dans
l'informatique en nuage public
agissant comme processeur de
PII
ISO/CEI
27018 :2014,
disponible sur l e site de l’ISO.
Les rédacteurs de contrats informatiques doivent prendre en compte le cadre
réglementaire applicable en matière de protection des données à caractère
personnel (1).
Si certaines formes de prestations informatiques comme le Cloud computing ont
suscité l’intérêt de la CNIL (2), ou de l’ANSSI (consultation publique), il n’en reste pas moins vrai que toutes les prestations de services informatiques (recours à un
prestataire externe) nécessitent une analyse préalable concernant leur impact
« Informatique et Libertés ». Un projet informatique s’inscrit dans une logique de « Privacy by design ».
(2) V. en ce sens, Cloud
computing : les 7 étapes clés
pour garantir la confidentialité
des données, juillet 2013,
www.cnil.fr.
(3) V. concernant la résolution
d’un contrat portant sur la fourniture
un
dispositif
biométrique sans autorisation
CNIL préalable, CA Paris 23
février
2011
SMINA
vs
Easydentic, Eric CAPRIOLI, Refus
d'autorisation
de
procédé
biométrique
et
résolution
judiciaire, CCE, Octobre 2011,
comm. 93.
De la qualité des précisions apportées au projet (donc des critères retenus pour
fonder le choix du prestataire) dépend le travail à accomplir sur le contrat.
Concrètement, certaines clauses doivent faire l’objet d’une attention toute particulière (sécurité et confidentialité des données à caractère personnel,
information et notification des violations de données, transfert des données
personnelles hors de l’Union européenne, destinataire des données,…).
Il conviendra de procéder à l’analyse de la qualité des parties au contrat. En effet,
les rôles (détermination des moyens du traitement de données lié à la fourniture
des services), le degré d’autonomie et les responsabilités respectives des parties
doivent être clairement définis. Ces clauses imposent également un soin
spécifique, étant rappelé que la responsabilité de l’entreprise peut être engagée. TiPi dans le détail :
Précisément, le contrat doit permettre l’audit des procédures mises en œuvre par le prestataire et la personne en charge de données à caractère personnel au sein
de l’entreprise cliente (qui pourra être le Délégué à la Protection des Données) et
devrait être associée àla rédaction/vérification des clauses dédiées à la
coopération et l’information réciproques des parties. Par ailleurs, le recours à un
prestataire étranger (hors Union européenne) devra être appréhendé au regard de
l’encadrement des transferts (clauses contractuelles types ou BCR) et des
formalités à accomplir auprès de la CNIL. Ces aspects sont importants car en
l’absence d’une formalité CNIL, la responsablité contractuelle du prestataire pourra être engagée (3).
La Newsletter du Cabinet
Caprioli & Associés est une
publication du Cabinet
Caprioli & Associés.
La Newsletter est un
instrument d’information et son contenu ne saurait en
aucune
façon
être
interprété comme un avis
ou un conseil juridique.
La responsabilité du prestataire doit être aménagée contractuellement, voire sous
le régime d’une coresponsabilité comme le permettra le Règlement européen sur la protection des données (articles 24 et 26 de la proposition de Règlement de
janvier 2012).
T I P I Spéciale – Contrats Informatiques
Néanmoins, pour de plus
amples détails sur un des
thèmes abordés, ainsi que
pour toute demande de
désinscription à la présente
Newsletter, n’hésitez pas à nous contacter à l’adresse suivante : contact@caprioliavocats.com
Page 12
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertising