Eric Le Quellenec a été interrogé par le site ZDNet.fr sur la meilleure stratégie de négociation en matière de contrat cloud, souvent considéré comme contrat d’adhésion et sur lequel porte pourtant des contraintes réglementaires en matière de protection des données personnelles de plus en plus fortes.
De quelle marge de négociation contractuelle dispose une entreprise qui s’apprête à confier tout ou partie de ses données à un prestataire de cloud ? En principe aucune souligne Xavier Bizeul dans l’article qu’il consacre à la stratégie cloud, publié sur le site ZDNet.fr le 3 mai 2017, puisqu’ « A la base, un contrat cloud est un contrat d’adhésion », un contrat-type « à prendre ou à laisser ».
Toutefois, la situation évolue : « La pression concurrentielle aidant, indique le journaliste, les offreurs font du respect de normes telles que ISO 27001 et 27018 dédiées à la sécurisation des données un argument commercial ». La jurisprudence – et notamment un arrêt du Conseil d’Etat du 30 décembre 2015 rappelant le responsable de traitement de données à caractères personnelles à ses obligations (conclusion d’un contrat cloud et audit de sécurité, notamment) – a également modifié la donne.
Mais c’est surtout Règlement européen sur la protection des données à caractère personnel (RGPD) du 27 avril 2016, directement applicable dans tous les Etats membres le 25 mai 2018, qui va impacter la matière et modifier en profondeur les règles applicables à l’environnement digital des entreprises. Comme le souligne Eric Le Quellenec, avocat, directeur du département Informatique conseil du cabinet Lexing Alain Bensoussan Avocats, ce texte « indique tout ce qui doit se trouver dans un contrat cloud », et en particulier l’obligation faite au client d’informer son prestataire de la finalité du traitement et de la nature des données. Au sous-traitant de mettre en regard les ressources techniques et organisationnelles ad hoc pour en assurer la protection.
Le RGPD pose notamment comme principes la nécessité d’intégrer les concepts de protection des données personnelles dès la conception et par défaut, ainsi que prendre en compte le principe d’accountabiliy qui impose aux entreprises d’être en mesure de justifier de l’ensemble des dispositifs de contrôle et d’encadrement mis en place pour assurer la conformité.
Le RGPD introduit surtout une coresponsabilité de la sanction financière entre les parties sur laquelle peut jouer le contractant. Or, les sanctions financières encourues peuvent aller jusqu’à 4 % de son chiffre d’affaires mondial ou 20 millions d’euros.
Comme l’indique Xavier Bizeul, « une entreprise en position de force peut aussi inclure une clause audit » avant de tempérer : « Difficile à obtenir, elle peut être limitée à une visite annuelle du datacenter à date fixe ». A défaut, Eric Le Quellenec suggère de renforcer les pénalités financières en cas de manquement aux engagements qualité (SLA).
Interview d’Eric Le Quellenec pour ZDNet.fr « Que doit contenir un contrat cloud « idéal » ? », le 3 mai 2017
Eric Bonnet
Directeur du Département Communication juridique