L'APPORT DU DROIT DE L'UNION EUROPÉENNE EN
DROIT DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING
YOANNMUNARI
Mémoire de Master 2 Droit européen des
affaires
Sous la direction de
MmeBLANDINEde CLAVIÈRE
Professeur à l'Université Jean Moulin Lyon 3
UNIVERSITÉ JEAN MOULIN LYON 3 - FACULTÉ
DE DROIT
SOUTENU À LYON, LE 13 JUILLET2016
L'APPORT DU DROIT DE L'UNION EUROPÉENNE EN DROIT
DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING
YOANNMUNARI
Mémoire de Master 2 Droit européen des
affaires
Sous la direction de
MmeBLANDINEde CLAVIÈRE
Professeur à l'Université Jean Moulin Lyon 3
UNIVERSITÉ JEAN MOULIN LYON 3 - FACULTÉ
DE DROIT
SOUTENU À LYON, LE 13 JUILLET
2016REMERCIEMENTS
Je tiens à remercier sincèrement ma directrice
de mémoire, Madame le Professeur Blandine de Clavière pour son
soutien et ses conseils, essentiels à la réalisation de ce
travail de recherche.
Je tiens également à remercier Monsieur le
Professeur Jean-Sylvestre Bergé pour avoir accepté de faire
partie de mon jury.
Mes remerciements vont aussi àMonsieur Éric
Carpano, Directeur du Master II de droit européen des affaires, ainsi
qu'à Messieurs Vincent Gautrais et Karim Benyekhlef, professeurs
à l'Université de Montréal, dont les enseignements ont,
chacun, alimenté ma réflexion.
Un grand merci également à Hélène,
mes Amis et ma Famille pour leur soutien.
SOMMAIRE
INTRODUCTION 11
CHAPITRE 1 - L'INADAPTATION DU DROIT ACTUEL AUX CONTRATS
INTERNATIONAUX DE CLOUD COMPUTING 23
SECTION 1 - L'ÉTAT DU DROIT APPLICABLE AUX
CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 23
SECTION 2 - LES DÉFAUTS DU DROIT APPLICABLE AUX
CONTRATS INTERNATIONAUX DE CLOUDCOMPUTING 46
CHAPITRE 2 - L'APPORT DU DROIT DE L'UNION EUROPEENNE EN
DROIT DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 69
SECTION 1 - L'APPORT POTENTIEL D'UN DROIT DE L'UNION
EUROPÉENNE DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING
69
SECTION 2 - L'INTÉRÊT DE L'UNION
EUROPÉENNE POUR LES NORMATIVITÉS ALTERNATIVES EN MATIERE DE
CLOUD COMPUTING 92
CONCLUSION 116
ABRÉVIATIONS
BCR Binding corporate rules
CEPD Contrôleur européen de la
protection des données
CES Conseil économique et social
CNIL Commission Nationale de l'informatique
et des libertés
CNUCED Conférence des Nations unies sur
le commerce et le développement
C-SIG Cloud select industry group
CJCE Cour de justice des Communautés
européennes
CJUE Cour de justice de l'Union
européenne
DCEV Droit commun européen de la
vente
G29 Groupe de l'article 29
IaaS Infrastructure as a Service
PaaS Platform as a Service
PME Petites et moyennes entreprises
RDCO Revue des contrats (Lextenso)
RGPD Règlement général
sur la protection des données
RLDA Revue Lamy droit des affaires
RLDI Revue Lamy droit de
l'immatériel
SaaS Software as a Service
SLA Service Level Agreement
TUE Traité sur l'Union
européenne
TFUE Traité sur le fonctionnement de
l'Union européenne
TPE Très petites entreprises
UE Union européenne
VPN Virtual private network
INTRODUCTION
« Plaisante justice qu'une rivière borne,
vérité en-deçà des Pyrénées, erreur
au-delà »
B. PASCAL, les Pensées.
Dans la conception moderne du droit1(*), l'État souverain
dispose, sur son territoire, du monopole de la production normative. Cette
vision d'un droit enclavé dans des frontières étatiques
est particulièrement questionnée par le développement des
nouvelles technologies de l'information et de la communication2(*). Ces dernières permettent
l'usage de techniques caractérisées par
l'ubiquité3(*) et suscitent l'adaptation des cadres juridiques
nationaux. Le droit des contrats, le cloud computing et le droit de
l'Union européenne sont tous trois symptomatiques du
phénomène précité. Si le droit des contrats est
propre à chaque État membre,le cloudest quant à
lui,une technique internationale par essence. Ainsi, le caractère
supranational de l'Union européenne devrait êtreplus adapté
que les droits nationaux afin de règlementer les activités
transnationales de cloud computing. Partant de ce postulat, il
paraît particulièrement opportun de se questionner sur l'apport du
droit de l'Union européenne en droit des contrats de cloud
computing.
Lecloud computing recouvre une réalité
complexe et ne fait pas l'objet d'une définition uniforme, que ce soit
sur le plan technique4(*) ou
juridique5(*). D'ailleurs,
sa seule traduction en langue française fait l'objet d'approches
divergentes.
Si outre-Atlantique, l'Office québécois de la
langue française a proposé dès 2009 diverses traductions
officielles parmi lesquelles celles
d' « infonuagique » (la plus
utilisée), d' « informatique
nuagière », d' « informatique
intranuage » ou d' « informatique en
nuage »6(*),
c'est cette dernière seulement qui a été retenue, en
France, par la Commission générale de terminologie et de
néologie7(*)par un
avis du 6 juin 20108(*).
Dans leurs travaux officiels, les institutions européennes, à
l'instar de la Commission européenne, confirment cette tendance. La
communication formulant l'intention originelle de la Commission d'intervenir en
droit des contrats de cloud computing, entend
« exploiter le potentiel de l'informatique en nuage en
Europe »9(*).
Mais, en pratique, cette traduction française est largement mise
à mal par l'utilisation d'anglicismes. Cela est le cas dans la
jurisprudence française comme celle de la Cour d'appel de Nancy10(*) ou du Tribunal de Grande
Instance de Nanterre11(*).
Il s'agit également d'une tendance qu'on observe dans la doctrine
française, comme en témoigne l'usage qu'en fait Jean-Marc
Sauvé, vice-président du Conseil d'État, dans son discours
d'ouverture du colloque de la Société de législation
comparée du 11 octobre 201312(*). Plus encore, dans leur pratique contractuelle, les
opérateurs économiques approuvent cette préférence
pour l'expression anglaise puisque les contrats sont eux-mêmes
intitulés : « de cloud computing »13(*). Aussi, l'usage du terme
anglais permettrait de se distancier de l'illusion, de l'aspect
immatériel, que sous-tend l'expression poétique
d' « informatique en nuage ». En effet, on ne
désigne par lenuage qu'un « ensemble de câbles et de
machines»14(*).
Il ne faut cependant pas donner trop d'importance à ces
précisions linguistiques. C'est en ce sens qu'ici, il pourra être
fait alternativement référence aux versions anglaise et
française, tout en préférant l'emploi de l'anglais
correspondant davantage à la pratique contractuelle. De toutes
manières, ces expressions seront employées, à chaque fois,
dans l'objectif de désigner une seule et même technique.
Pour définir le cloudcomputing, il est
généralement fait référence au National
Institut of Standards and Technology américain. Il consisterait
pour cette institution en « l'accès via un
réseau de télécommunications, à la demande et en
libre-service, à des ressources informatiques partagées
configurables »15(*). Pour la Commission Nationale de l'Informatique et
des Libertés française (ci-après
« CNIL »), l'informatique en nuage consiste en
« la forme la plus évoluée d'externalisation, dans
laquelle le client ou l'utilisateur dispose d'un service en ligne dont
l'administration et la gestion opérationnelle sont effectuées par
un sous-traitant (externe ou interne). Le cloud se caractérise
également par une facturation à la demande et une
disponibilité quasi-immédiate des ressources»16(*). Aussi différentes que
puissent être formulées ces définitions, il est possible de
s'accorder sur cinq caractéristiques essentielles au cloud
computing17(*) :
l'accès via un réseau de
télécommunication,la flexibilité d'un libre-service
à la demande,la mutualisation des ressources,la virtualisation des
ressources etle paiement à l'usage.
Cette technique recoupe plusieurs modèles de services.
Ceux là se nomment « Infrastructure as a Service »
(ci-après « IaaS »), « Plateform as a
Service » (ci-après « PaaS ») et
« Software as a Service » (ci-après
« SaaS »). Tous correspondent à un niveau
différent de prestation18(*). Successivement, il s'agira pour le fournisseur de
mettre à disposition de l'utilisateur soit l'infrastructure informatique
composée de machines virtuelles (« IaaS »), soit une
plateforme informatique fonctionnelle pouvant servir de base au codage et au
développement informatique (« PaaS »), soit une
application ou un logiciel destinés aux utilisateurs finaux
(« SaaS »). Chacun de ces modèles de cloud
computing peut également se décliner en différents
modes de gestion du service : privé, public, communautaire ou
hybride. Le cloud est dit « privé » lorsque
le service fourni est dédié à une organisation ou à
un utilisateur unique. Celui-ci peut être interne ou externe selon que le
service soit fourni par un tiers prestataire ou géré par
l'utilisateur lui-même. Le cloud « public »
consiste, pour sa part, en la mutualisation des ressources informatiques que
sont a minima les serveurs, le réseaux et la capacité de
stockage, lesquels sont donc partagés entre plusieurs utilisateurs. Le
cloud « communautaire » regroupe plusieurs
cloud privés alors que le cloudest dit
« hybride » lorsqu'il se compose de services de
cloud à la fois privés et publics. Ce dernier consiste
par exemple, pour l'entreprise n'exploitant pas toutes les capacités de
son infrastructure interne, d'en proposer l'exploitation à des tiers.
Une telle présentation du cloud computing permet d'en saisir
l'aspect protéiforme et la diversité des usages dont il peut
faire l'objet : du service de messagerie au développement
d'applications, en passant par les réseaux sociaux, les coffres-forts en
ligne, les logiciels de solutions de gestion comptable ou de ressources
humaines.Ces caractéristiques en rendent l'étude et la
réglementation complexes. On retiendra finalement que par l'expression
de cloud on désigne généralement la technique
informatique qui permet à un utilisateur d'avoir accès, via un
réseau de télécommunication comme internet, à des
capacités informatiques modulables selon ses besoins et qui lui sont
distantes et gérées par un prestataire.
La relation qui vient d'être décrite entre
l'utilisateur et le prestataire de services de cloud se formalise
juridiquement par le contratde cloudcomputing. Le droit
français définissait jusqu'ici le contrat comme toute «
convention par laquelle une ou plusieurs personnes s'obligent, envers une
ou plusieurs autres, à donner, à faire ou à ne pas faire
quelque chose »19(*). Mais le contrat se définira, à
compter du 1er octobre 2016, comme « un accord de
volontés entre deux ou plusieurs personnes destiné à
créer, modifier, transmettre ou éteindre des
obligations »20(*). En droit européen, le projet de cadre
commun de référence définit le contrat comme
« an agreement which is intended to give rise to a binding legal
relationship or to have some other legal effect. It is a bilateral or
multilateral juridical act »21(*). Respectant l'esprit général de ces
définitions, nous retiendrons principalement que le contrat
procède d'un « accord de volonté entre deux ou
plusieurs personnes destiné à produire un effet de droit
quelconque » et l'on désignera par là
« l'acte dans son ensemble par opposition aux clauses et
stipulations qui le composent »22(*).
Le droit des contrats de cloud computing,qui fera
l'objet de la présente étude, doit être perçu comme
l'ensemble des règles juridiques, de droit interne ou de l'Union
européenne, qui régissent ou influencent la conclusion de ces
contrats. C'est-à-dire comme le droit applicable aux contrats de
cloudcomputing. Pour sa part, le droit de l'Union européenne
désigne « l'ensemble des règles matérielles
uniformes applicables dans les États membres de l'Union dont la source
primaire est constituée par les Traités d'institution et la
partie dérivée par les règles établies par les
institutions communautaires en application des
traités »23(*).
Enfin, étudier dans quelle mesure ledit droit peut
constituer un « apport » au droit des contrats de
cloudcomputing, suppose la recherche d'une
« contribution positive »24(*)à la régulation
actuelle des activités contractuelles portant sur l'informatique en
nuage par le droit de l'Union.
Ainsi défini, le sujet pourrait prétendre
couvrir un champ d'étude trop important. Il dépend donc de la
clarté et de la pertinence du propos d'en délimiter les
contours.
Pour cela, le choix a tout d'abord été fait de
privilégier l'étude des contrats conclus entre professionnels,
sous-entendu entre un prestataire de service de cloud et une
entreprise privée. Seront donc exclus les contrats où l'une des
parties est une personne physique agissant hors de son activité
professionnelle. Cela se justifie particulièrement car les enjeux de la
souscription à un service d'informatique en nuage sont
décuplés et transversaux pour les entreprises privées.
D'ailleurs, un tel angle d'approche n'élude pas l'examen du
régime juridique de protection des données à
caractère personnel qui bénéficie pourtant davantage aux
personnes privées. Celui-ci affecte en effet les rapports entre le
responsable de traitement et le prestataire de cloud, voire leurs
potentiels sous-traitants. Il serait également réducteur de
limiter notre étude à la protection des données à
caractère personnel. En effet, l'utilisation du cloud par les
professionnels peut conduire à la gestion en ligne de nombreuses autres
données pouvant être qualifiées de sensibles25(*), comptables, confidentielles,
couvertes par le secret professionnel ou stratégiques.
L'intérêt principal de l'étude du droit
des contrats en matière de cloud computing réside
également dans la capacité du contrat à prévenir
les défaillances du service, la sécurité des
données et, le cas échéant, d'en prévoir les
conséquences. Le contrat sera alors étudié en tant
qu'outil de gestion des risques d'une relation d'affaire entre
professionnels.C'est pour cela d'ailleurs que ne seront invoqués que
subsidiairement le champ du droit des contrats relatif aux conditions propres
à la formation et la validité du contrat, pour se focaliser
essentiellement sur les effets du contrat. Cela mènera à
l'étude des obligations incombant aux contractants de services de
cloud computing ainsi qu'au régime de responsabilité
applicable en cas de défaillance d'une des parties.
Puisque l'étude d'espèce concerne
précisément l'apport du droit de l'Union européenne, la
référence aux contrats de cloud computing
désignera donc bien davantage les contrats internationaux ou, a
minima, ceux ayant une dimension européenne et
transfrontière. Néanmoins, cela n'évincera pas de
possibles références, à titre d'exemple, aux contrats
conclus dans une situation purement interne.
Pour en venir au fait, formellement, la Commission
européenne a fait part de son intérêt pour le cloud
computingdans une communication du 27 septembre 201226(*). Celle-ci intervient un peu
moins d'une année après que le Comité Economique et Social
européen (ci-après « CES ») ait fait savoir
que « pour l'Europe, le [cloud computing] est
l'opportunité de s'engager dans un marché prometteur, majeur et
stratégique»27(*).
Partant, les institutions européennes se sont
attachées à mettre en exergue les avantages du cloud
computing. Ceux-là sont avant tout économiques. Faisant
l'objet d'un usage croissant28(*), cette technique serait source d'investissement, de
création de richesses et d'emplois. À l'appui de cet argument, la
Commission renvoie à une étude de l'International Data
Protection prévoyant un gain pour le PIB européen de 957
milliards euros et la création de 3,8 millions d'emplois d'ici
202029(*). La pertinence
de cette projection a pu être critiquée par le CES qui
« s'interroge pour savoir si ces chiffres ne sont pas
inatteignables et déconnectés de la réalité du
terrain informatique »30(*). Les avantages seraient également
environnementaux. À cet égard la Commission entend favoriser
l'utilisation de « matériels plus
efficaces » comme des « serveurs à faible
consommation d'énergie et de l'énergie
verte »31(*) et met en avant des estimations qui
prévoiraient une économie de consommation d'énergie
chiffrable à plus de 12 milliards de dollars par an si les grandes
entreprises américaines adoptaient l'informatique en nuage32(*). Ces arguments ont encore une
fois pu être critiqués, l'organisation Green Peace estime
par exemple que le manque de transparence des principaux acteurs du
cloud sur leur consommation d'énergie ne permet pas d'affirmer
incontestablement le bénéfice de cette technique pour
l'environnement33(*).
Enfin, et principalement, les avantages seraient d'ordre pratique : la
flexibilité et la disponibilité des services de cloud
computing seraient au service de l'innovation et de l'entreprenariat. Ils
permettent en effet la mobilité des acteurs, par la portabilité
des données, et réduisent leurs investissements. Les principaux
bénéficiaires de ces services seraient d'ailleurs les plus
petites entreprises et les particuliers. Néanmoins, ces avantages sont
contrebalancés par de nombreuses inquiétudes. Celles-ci sont
principalement relatives aux problématiques de dépossession et de
sécurité des données déployées sur le nuage.
Bon nombre de questions que se posent les utilisateurs de cloud
restent sans réponses : où sont stockées les
données ? Quel usage en est-il fait ? Qui y a
accès ? De quelles protections les serveurs font-ils l'objet ?
Qu'est-ce qui les prémunit de la perte des données et qu'est-ce
qui garantit leur récupération? Or, dans ce contexte, il
apparaît qu'on ne saurait développer le cloud computing
sans que les utilisateurs aient pleinement confiance en son utilisation.
C'est alors que le contratdevrait permettre aux utilisateursde
sécuriser l'usage du cloud computing. Cela dit, la Commission
relève des défauts propres aux contrats actuellement conclus et
qui seraient de nature à dissuader les opérateurs
économiques à y souscrire. Ceux-là sont souvent complexes
et prévoiraient des clauses de non-responsabilité du prestataire
ou de modification unilatérale du contrat. Ils seraient également
ambigus sur les questions essentielles de la réversibilité et de
la propriété des données, tout en étant souvent
conclus sous la forme de contrats d'adhésions, rendant la
négociation du contenu contractuel impossible. En somme, les relations
contractuelles entre un prestataire de cloud et son client seraient
souvent déséquilibrées34(*). À tout ces éléments qui
dissuaderaient la conclusion de ces contrats s'en ajoute un autre, propre aux
contrats internationaux : celui du droit applicable. La Commission
constate à cet égard qu'en l'absence de droit européen
unifié, les contrats de cloud peuvent être soumis
à nombre de droits nationaux. De cela émaneraient des doutes
quant aux modalités de désignation du droit applicable à
ces contrats, et, le cas échant, la méconnaissance des droits
nationaux. Ainsi, la Commission conclut que la diversité des droits
potentiellement applicables a un effet de « morcellement du
marché unique numérique »35(*). Consciente de la nuisance de
ces éléments au bon développement du cloud
computing à l'échelle européenne, la Commission se
propose donc d'agir. Trois actions générales sont
avancées : « mettre de l'ordre dans le chaos des
normes»36(*) , définir « des clauses et
des conditions contractuelles sûres et
équitables »37(*) ainsi qu'« investir le secteur public
d'un rôle moteur grâce à un partenariat européen en
faveur de l'informatique en nuage »38(*). C'est ainsi que nous nous proposons d'étudier
les possibilités qui se présentent à la Commission en vue
de l'établissement de « normes communes et de contrats
précis »39(*), projet également soutenu par la Commission
des affaires juridiques du Parlement européen40(*).
Le problème juridique qui se pose en l'espèce
est, en somme, celui de savoir comment est-ce que le droit de l'Union
européenne pourrait régler plus efficacement que les droits
nationaux les enjeux posés par le droit des contrats applicable aux
activités decloud computing.
Un tel sujet s'inscrit au coeur de problématiques
contemporaines que sont celles de la stratégie de développement
du marché unique numérique, de l'élaboration d'un droit
commun européen des contrats et plus généralement de la
capacité du droit moderne à réglementer les
activités numériques.
Tout d'abord, l'éventuel apport du droit
européen en droit des contrats de cloud computing s'inscrit
pleinement dans la stratégie européenne du marché unique
numérique. Celle-ci trouve son origine dans une communication de la
Commission de 201041(*) et
découle d'une des sept initiatives de la Stratégie Europe
202042(*). Dans cet
esprit, plusieurs projets européens ont été menés,
sont en cours ou sont à prévoir. Ils concernent par exemple le
haut débit43(*), le
marché unique des télécommunications44(*) ou les plus récents
projets relatifs au droit d'auteur45(*) et la portabilité transfrontière des
contenus numériques46(*). La Commission européenne qualifie d'ailleurs
le projet relatif au cloud computing de « nouvelle
étape du marché unique numérique »47(*). Il s'agit en fait d'employer
les principes issus du droit du marché intérieur au
bénéfice du développement de l'économie
numérique européenne et, ainsi, de lever les obstacles juridiques
qui s'opposent à l'unification des marchés nationaux en un seul
et même marché unique numérique. Au-delà de l'Union
européenne un tel projet s'inscrit également dans une dynamique
internationale. On constate à cet égard l'élaboration de
stratégies pour le développement de l'informatique en nuage
menées par les États de l'OCDE parmi lesquels les
États-Unis, le Japon, le Canada et l'Australie font partie48(*). À l'inverse, il est
intéressant de constater à quel point « exploiter
les avantages de l'informatique en nuage ne va pas sans difficultés pour
les pays en développement », comme l'indiquait la
Conférence des Nations Unies sur le commerce et le développement
(« CNUCED ») dans un communiqué de presse
présentant le rapport de 2013 sur l'économie de
l'information49(*).
Ensuite, le sujet questionne également la
capacité de l'Union européenne à harmoniser les droits
nationauxet plus particulièrement le droit des contrats, sempiternel
projet européen. En effet, le projet de droit européen des
contrats de cloud s'inscrit dans une volonté plus
générale d'harmonisation du droit des contrats par l'Union
européenne. Loin de faire l'objet d'un dessein certain, cette
volonté se traduit dans la succession de projets menés par la
Commission. En réalité, l'Europe a connu l'émergence
d'intentions d'unification du droit des contrats bien avant l'avènement
des Communautés économiques européennes. En ce sens, le
Doyen Carbonnier rappelle par exemple à quel point le Code
Napoléon avait une « aspiration à
l'universel »et dont la demande de traduction en latin visait
à « en faire le jus commune d'un Occident sans
frontières »50(*). Au XXème siècle,
l'idée d'un rapprochement des droits civils a principalement
été la source de volontés privées : en 1916
Vittorio Scialoja était à l'initiative d'un projet de code des
obligations franco-italien, projet dont la poursuite a ensuite
été évoquée par les membres de l'Association Henry
Capitant à Pavie en 195351(*), mais qui n'a jamais été
consacré en droit positif. Pour ce qui nous intéresse davantage,
c'est à la fin du XXème siècle qu'à
l'échelle de l'Union européenne l'unification du droit des
contrats a été sérieusement projetée. Cela
intervient après qu'en 1986 les États membres de la
Communauté aient décidé de l'établissement, avant
le 31 décembre 1992, d'un marché unique sans frontières
intérieures. Le contrat, instrument essentiel aux rapports de
marché, était alors soumis à des droits qui faisaient
l'objet de « profondes différences
intrinsèques »52(*) ce qui pouvait dissuader les opérateurs
économiques de conclure des transactions transfrontières53(*). Dans la foulée, le
Parlement européen a adopté une résolution appelant
à un effort de rapprochement du droit privé des États
membres54(*). Plusieurs
initiatives ont alors émergé, dont le projet de « Code
européen des contrats »55(*), dit également « Code
Gandolfi », ainsi que les principes de la Commission Lando56(*). Ces deux travaux ont eu le
soutien de la Commission qui a communiqué en 2001 quatre options
envisageables concernant le droit européen des contrats57(*). Il s'agissait soit de ne pas
agir au niveau communautaire (option I)58(*), soit de concevoir des principes communs devant
renforcer la convergence des droits nationaux (option II)59(*), soit d'améliorer la
qualité des dispositions européennes existantes çà
et là (option III)60(*) ou encore d'adopter une législation
complète au niveau communautaire (option IV)61(*). Partant, la Commission
européenne a ensuite communiqué un plan d'action62(*) suivi d'une révision de
l'acquis63(*), qui
semblent témoigner plus d'intérêt à la seconde
option précitée. Ainsi insistait-elle sur l'opportunité
d'établir un Cadre commun de référence, dont
l'intérêt se limiterait à « aider les
institutions communautaires à assurer une plus grande cohérence
de l'acquis actuel et futur dans le domaine du droit européen des
contrats »64(*). Deux projets de Cadre Commun de
Référence ont alors été établis65(*) et un groupe d'experts a
été créé en vue d'en établir une proposition
définitive66(*).
Par la suite, la Commission a finalement préféré explorer
la piste d'un outil optionnel de droit des contrats. En ce sens, le 11 octobre
2011, une proposition de règlement relatif au droit commun
européen de la vente a été avancée67(*). Bien qu'ayant
été amendée au Parlement européen68(*), elle semble avoir
été abandonnée depuis. En effet, c'est sans avis
d'intention que ce projet a disparu de l'agenda de la Commission qui ne le
mentionne plus dans son programme de travail pour l'année 201569(*). À l'inverse, depuis,
deux propositions de directives concernant les contrats numériques ont
été avancées. Ainsi serait donc privilégiée
l'harmonisation par voie de directive des « contrats de vente en
ligne et de toute autre vente à distance de
biens »70(*) ainsi que « certains aspects des
contrats de fourniture de contenu numérique»71(*) . Au final, ce qui
était un projet de droit commun des contrats ne concerne finalement plus
que le commerce électronique. C'est donc dans un tel contexte de
spécialisation des projets de droit européen des contrats que se
révèlerait l'intérêt d'un projet relatif au droit
des contrats applicables aux contrats internationaux de cloud
computing.
Enfin, le sujet abordé intéresse plus
généralement l'histoire et l'essence de la norme à travers
la problématique de la capacité du droit moderne à
réglementer les activités numériques. Selon l'adage latin
ubi jus ibi societas, ubi societas ibi jus :là où
il y a une société, il y a un droit. Or, ce lien
intrinsèque unissant une société au droit qui la
régit, témoigne quelquefois de l'aspect
« réactif » dudit droit, s'adaptant aux
évolutions sociales. Concernant le cloud, il est
intéressant d'observer que M. Serres et P. Musso avancent tout deux que
le numérique est à l'origine d'une révolution culturelle
et cognitive72(*)ainsi que
d'une redéfinition des rapports sociaux73(*). Or, dans ce contexte, quid de l'adaptation du droit
à ces changements affectant nos sociétés ? Si l'on se
réfère aux thèses sur la postmodernité, le
cyberespace serait révélateur des changements qu'appelle la
mondialisation. Dans cet esprit, la conception moderne d'un droit exclusivement
produit par l'État souverain serait alors mise en cause. Promouvant
l'exercice d'activités transnationales, les techniques portées
par les nouvelles technologies de l'information et de la communication
appelleraient des réponses elles-aussi transnationales. Le schéma
normatif actuel, se composant surtout de réglementations nationales
disparates et, le cas échéant, harmonisées par les
engagements internationaux des États, apparaîtrait sensiblement
mal adapté aux nécessités actuelles. Celles-ci ne se
concevraient en fin de compte que par le dépassement du cadre normatif
étatique. Pour les penseurs de la postmodernité, l'Union
européenne représente la transcendance des souverainetés
nationales et est particulièrement révélatrice des
changements augurés par la postmodernité. Aussi, l'Union
constituerait le cadre propice à l'émergence de modes de
régulations transnationales et d'une globalisation du droit.
C'est donc dans l'ensemble de ce contexte que la question de
la régulation par le droit de l'Union européenne des
activités internationales d'informatique en nuage révèle
tout son intérêt.
Il ressort de notre étude que traiter de l'apport du
droit de l'Union européenne en matière de contrats internationaux
de cloud computing conduit avant tout à observer que le droit
actuellement applicable recèle de nombreux défauts susceptibles
de dissuader les opérateurs économiquesrésidantdans
différents États membres de l'Union à contracter entre
eux. Dans cette perspective on pourrait estimer qu'une intervention de l'Union
européenne serait légitime. Il faudrait principalement
éclaircir le cadre juridique actuellement flou dans le but ultime
d'établir un climat de confiance entre les opérateurs
européens. Cela serait une condition sine qua non au
développement du cloud computingen Europe. Peut-être
serait-il opportun d'opérer un rapprochement des législations
nationales, voire de les unifier ? Or, il n'y a actuellement aucune
garantie assurant que de tels projets ne puissent un jour aboutir concernant
les contrats conclus entre professionnels. Au contraire, l'étude des
pratiques actuelles démontre que des formes de normativités
alternatives aux droits nationaux modernes sont de plus en plus
privilégiées en matière de cloud computing. C'est
donc plutôt par des méthodes de corégulation que la
Commission semble promouvoir le développement des services decloud
computing au sein le marché intérieur de l'Union
européenne.
Finalement, le présent mémoire se propose de
définir par quelles voies juridiques le droit de l'Union
européenne pourrait influencer le droit applicable aux contrats
internationaux de cloud computing (Chapitre 2). Or,
l'opportunité d'une intervention normative européenne ne peut
être pertinemmentétablie qu'après avoir
démontré l'inadaptation du droit actuel aux enjeux entourant les
contrats internationaux de cloud computing (Chapitre
1).
CHAPITRE 1 - L'INADAPTATION
DU DROIT ACTUEL AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING
Il serait vain de se questionner sur les moyenspar lesquelsle
droit de l'Union européennepourrait influencer le droit des contrats de
cloud computing sans avoir préalablement
appréhendé l'état actuel du droit qui s'y applique. De
même, toute critique du droit actuel, ne peut être justement
établie sans qu'un portrait de celui-ci n'ait été
dressé.Une étude de l'état du droit applicable aux
contrats internationaux de cloud computing (Section
1) est donc nécessaire à la mise en exergue de plusieurs
de ses défauts (Section 2).
SECTION 1 - L'ETAT DU DROIT APPLICABLE AUX CONTRATS
INTERNATIONAUX DE CLOUD COMPUTING
En admettant que l'exhaustivité ne soit pas,
seule,nécessaire à la bonne compréhension des enjeux
entourant le droit des contrats de cloud, la présente partie
sera dédiée à la présentation de quelques-uns des
traits qui sont, pour leur part, indispensables à cette
compréhension.La description de l'état du droit matériel
applicable aux contrats internationaux de cloud(§
1), en ce qu'il est principalement soumis aux droits
nationaux,soulève des remarques qui appellent l'étude des
règles de droit international privé applicables (§
2).
§1 - Le droit substantiel applicable aux contrats
internationaux de cloud computing
Le droit substantiel, est celui qui
« régit directement le fond du droit, à la
différence de la règle conflictuelle, qui détermine
seulement la loi applicable d'après le système juridique propre
à l'État saisi »74(*). L'absence de droit substantiel de l'Union
européennedestiné à régir spécifiquement les
contrats de cloud computing conclus entre opérateurs actifs sur
le marché intérieur européen a pour conséquenceque
ceux-làsoient encore régis par les droits nationaux. Cela dit, le
droit de l'Union européenne exerce une certaine influencesur le
régime juridique applicable aux contrats de cloudconclus entre
professionnels. Bien que cette influence soit limitée, elle paraît
essentielle à la compréhension du sujet. C'est ainsi que seront
étudiés successivement le droit de l'Union
européenne (A) et les droits nationaux
(B) applicables aux contrats internationaux de cloud
computing. Bien qu'une une vue d'ensemble serait nécessaire,
l'examen des droits nationaux concernera principalement le droit
français.
A - L'influence du droit de
l'Union européenne sur le droit applicable aux contrats internationaux
de cloud computing
L'influence qu'exerce le droit substantiel de l'Union
européenne sur le droit applicable aux contrats internationaux de
cloud computingest relative mais certaine. Elle peut être
décrite tant en droit primaire qu'en droit dérivé. La
combinaison de l'effet direct et de la primauté du droit de l'Union
européenne sur les droits nationaux rend l'étude de ce droit
d'autant plus incontournable. Cela est le cas même si l'essentiel du
sujet entend concerner le droit des contrats, principalement régi par
les droits nationaux. Dans ce contexte, si le droit de l'Unioneuropéenne
pose un cadre promouvant la conclusion de contrats
transnationaux(1), il influence également le
régime juridique de ces contrats à travers leur qualification et
la définition de quelques-unes des obligations incombant aux
prestatairesde cloud (2).
1 - L'influence du droit du marché
intérieur sur la conclusion des contrats transfrontières de cloud
computing
Le droit primaire de l'Union européenne contribue
à l'établissement d'un marché «sans
frontières intérieures dans lequel la libre circulation des
marchandises, des personnes, des services, et des capitaux est
assurée »75(*). Ces libertés de circulations ne
s'exercent bien souvent que par la conclusion de contrats
transfrontières. À titre d'exemple, la circulation de
marchandises d'un vendeurétabli en France à destination d'un
acheteurétabli enLettoniesupposerait, par exemple, la conclusion de
contrats de vente, de transport et d'assurance.Il en va de même pour les
prestations de service de cloud computing, fournies après
conclusion de contrats entre le prestataire et l'utilisateur. En garantissant
les libertés de circulation et l'irrégularité de toute
entrave injustifiée, le droit du marché intérieur devrait
alors instaurer l'environnement nécessaire à la conclusion de ces
contrats entre des opérateurs économiques européens.
En ce sens, rien ne semble s'opposer juridiquement à ce
que les prestataires de cloud offrent leurs services à des
clients installés dans tout autre État membre de l'Union
européenne :l'article 56 du Traité sur le Fonctionnement de
l'Union européenne (ci-après « TFUE »),
produisant des effets directs76(*), interdit d'ailleurs les restrictions à la
libre prestation de servicesau sein du marché intérieur. Au sens
du droit de l'Union européenne, la notion de service se définie
comme toute prestation fournie contre une rémunération77(*) à condition qu'elle
constitue une « activité économique non
salariée »78(*) exercée par des ressortissants des
États membres de l'Union, que ce soient des personnes physiques ou
morales79(*).Cette
définition n'exclut manifestement pas les activités de cloud
computing. Au contraire, la libre prestation de services de la
société d'information bénéficie d'un régime
spécial consacré par la directive relative au commerce
électronique80(*).
L'intérêt de cette directive estavant tout de
nous renseigner sur la qualification juridique des activités de
cloud computing. La directive s'applique matériellement aux
« services de la société de l'information
». Pour les définir il est fait référence
à deux directives de 1998 qui entendent par là : tout
« service presté normalement contre
rémunération, à distance par voie électronique et
à la demande individuelle d'un destinataire de
services »81(*).Compte tenu de la définition donnée en
introduction, aucune difficulté ne s'oppose à ce que le
cloudrépondeaux critères généraux du
service de la société de l'information. Cette activité est
donc concernée par les dispositions de la directive relative au commerce
électronique.Or, l'apport principal de cette directive consiste à
confirmer que les activités relevant du commerce électronique
bénéficient pleinement des règles du marché
intérieur82(*).
Autrement dit, les opérateurs de cloud peuvent se
prévaloir de l'application des libertés de circulation de
prestations de serviceset d'établissement sur le marché
intérieur. Les autorités publiques nationales ne pourront donc
opposer à ces prestationsque des limites strictement proportionnelles
à des objectifs qui seront jugéslégitimes83(*).
C'est ainsi que le droit primaire et plus
particulièrement le régime de liberté de circulation des
services de l'information participe déjà au développement
des services transfrontières de cloud computing. Si le droit de
l'Union pose généralement un cadre favorable à la
prestation transfrontière deces services, d'autresdispositions
influencentplus concrètement le régime juridique descontrats
decloud.
2 - L'influence du droit de l'Union européenne
sur le régime juridique applicable aux contrats internationaux de
cloud computing
Le droit de l'Union européenne a eu une influence
particulière surl'adaptation du droit aux services de la
société de l'information, ce dontil résulte une relative
harmonisation des législations à l'échelle
européenne84(*).
Cependant, si aucune disposition n'a été édictée
spécifiquement pour le cloud, quelques-unes le concernent par
extension. Sans prétendre être exhaustif, on examinera ici plus
précisément la reconnaissance du principe de l'autonomie de la
volontéen droit de l'Union,ainsi que son influencesur les contrats de
cloud conclus par voie électronique,sur la
responsabilité des opérateurs
qualifiés d'intermédiaires avant d'aborder, enfin,
l'influence du régime de protection des données à
caractère personnel sur les contrats de cloud entre
professionnels.
L'autonomie de la volonté en droit de l'Union
européenne
On entend généralement par « autonomie
de la volonté » le principe selon lequel les contractants
jouissent d'une triple liberté : celle de décider de
s'engager ou non, celle de choisir leur cocontractant et celle de
déterminer le contenu du contrat. Le droit de l'Union européenne
ne régissant pas le droit général applicable aux contrats,
il pourrait paraître inadéquat d'admettre qu'il garantisse le
principe de liberté contractuelle. On dénombre néanmoins
quelques références explicites au principe d'autonomie de la
volonté dans la jurisprudence comme en droit prospectif de l'Union
européenne. Ainsi, par exemple, la Cour de Justice a pu préciser
à l'égard d'une modification de la date de conclusion du contrat
par des contractants que « le droit des parties de modifier les
contrats qu'elles ont conclus repose sur le principe de la liberté
contractuelle » lequel ne peut « être
limité en l'absence d'une réglementation communautaire instaurant
des restrictions spécifiques à cet
égard»85(*) . Dans le même sens le projet de droit
commun européen de la vente de 2011, prévoyait que
« la liberté contractuelle devrait être le principe
sur lequel repose [ce droit] » et que, partant,
« l'autonomie des parties ne devrait être restreinte que
lorsque et dans la mesure ouÌ ceci est indispensable, notamment pour
protéger les consommateurs »86(*). Ces deux exemples
témoignent tant de la reconnaissance de la liberté dont jouissent
les parties pour négocier le contenu du contrat que de la faculté
pour les autorités européennes de l'encadrer lorsque les
circonstances l'exigent. Les limites à cette liberté sont
généralement établies au profit des parties les plus
faibles que sont le consommateur, le salarié ou l'assuré87(*). En revanche, entre
professionnels, le principe demeurela liberté contractuelle. Le droit de
l'Union laisse donc a priori la plus grande liberté
contractuelle aux utilisateurs de service de cloud computing dans le
cadre de leurs activités professionnelles.
Les contrats de cloud conclus par voie
électronique
En l'état actuel, le droit de l'Union intéresse
particulièrement les contrats de service conclus par voie
électronique.La directive relative au commerce électronique a
harmonisé les conditions de formation de ce type de contrat. Elle a tout
d'abord permis d'autoriser et de faciliter leur conclusion dans tous les
États membres en admettant la validité et l'effectivité
des contrats électroniques88(*).Cela témoigne d'une consécration en
droit européen du principe d' « équivalence
fonctionnelle » reconnu dans la loi-type CNUDCI relative au
commerce électronique89(*). Ce principe consiste à
« rechercher les fonctions qu'un instrument juridique
possède et à s'assurer qu'elles sont satisfaites quel que soit le
support utilisé »90(*). Ainsi le droit européen prévoit
d'accorder aux contrats électroniques la même validité et
les mêmes effets que l'on accordait préalablementaux contrats
conclus sur support papier. Cela encourage donc le développement des
activités commerciales en ligne. Cependant, le droit de l'Union demeure
silencieux sur les obligations incombant aux contractants si chacun d'eux est
un professionnel. En effet, la directive précitée n'impose des
obligations précontractuelles d'information aux prestatairesque si leurs
services s'adressent à des consommateurs91(*).De ce fait, l'apport du droit européen
à l'égarddes contrats de cloudconclus par voie
électronique entre professionnels se limite à reconnaître
leur validité et leurs effets lorsqu'ils sont conclus par voie
électronique.
Le régime deresponsabilité du prestataire de
cloud computing qualifié d'intermédiaire
La directive sur le commerce électronique
prévoitun régime de responsabilité favorable aux
prestataires de services de la société d'information qui ont la
qualité d'intermédiaire. Les acteurs concernés sont les
prestataires de transport d'information, de stockage automatique et
d'hébergement. L'hébergement se définit comme
l'activité « consistant à stocker des informations
fournies par un destinataire du service »92(*) et qui revêt«
un caractère purement technique, automatique et
passif »93(*). Dans la fourniture de ce type de service, la
directive prévoit que le prestataire n'est « pas
responsable des informations stockées à la demande d'un
destinataire du service »94(*). Pour s'exonérer de sa
responsabilité, le prestataire devra prouver qu'il respecte deux
conditions : ne pas avoir eu connaissance de l'activité ou des
informations illicites et, le cas échéant, qu'il ait agit
promptement pour les retirer ou en rendre l'accès impossible.La Cour de
Justice a précisé les conditions d'application de cette
dérogation à la responsabilité de l'intermédiaire
dans une affaire concernant le service de référencement
Google AdWords95(*). Dans cette affaire opposant Google à
l'entreprise Vuitton, cette dernière souhaitait engager la
responsabilité de Google pour avoir permis le
référencement par des liens commerciauxde sites internet
proposant des imitations de produits qu'elle commercialisait. La Cour de
cassation française a posé une question préjudicielle en
interprétationà la Cour de Justice dans l'objectif de
préciser les conditions d'applicationde l'exonération de
responsabilité des prestataires de services de la société
d'information prévue à l'article 14 de la directive relative au
commerce électronique. Il en ressort principalement que les services de
référencement entrent dans le champ d'application de cette
directive et répondent à la qualité de service
d'hébergement96(*).
En ce sens, il a été considéré que
l'exonération de responsabilitéest applicable même si le
service est rémunéré, que le prestataire a donné
des informations d'ordre général et fourni une assistance
à l'utilisateur97(*). Il faut néanmoins qu'ait été
prouvé que le « prestataire n'a pas joué un
rôle actif de nature à lui confier une connaissance ou un
contrôle des données stockées»98(*). Partant, il
apparaîtrait tout à fait possible que des prestataires de
cloud proposentdes services revêtant de tels caractères
technique, automatique et passif. Cela serait par exemple le cas des
prestatairesde service de messagerie électronique professionnelle ou de
stockage de données en ligne. Dans ces cas, le prestataire de service
pourrait s'exonérer de toute responsabilité du fait illicite
exercé par son client via la messagerie ou l'espace de stockage
fourni,en prouvant qu'en tant qu'intermédiaire, il ne pouvait avoir
connaissance de ces activités. En pratique cela se traduit
contractuellement par des dispositions précisant soit
l'exonération de responsabilité du prestataire pour les
activités exercées par son client via le service fourni,
soit en mentionnant explicitement les types d'activités interdites par
ledit service. De tout cela résulte un régime de
responsabilité favorable aux opérateurs de services de la
société d'information destiné à encourager le
développement du commerce électronique.
L'influence du régime de protection des
données à caractère personnelet sensible surles contrats
de cloud computingconclus entre professionnels
La directive 95/46/CE99(*)prévoitun régime de protection des
données à caractère personnel et sensible au
bénéfice des particuliers, personnes physiques,
conformément à leurs droits au respect de leur vie
privée100(*). En
pratique, l'application de cette directivepourrait influencer le régime
juridique applicable aux contrats de cloud conclus entre
professionnels.
Sont considérées comme ayant un caractère
personnel, les données quiconcernent « une personne
physique identifiée ou identifiable [...] directement ou
indirectement, notamment par [des éléments] propres
à son identité physique, physiologique, psychique,
économique, culturelle ou sociale »101(*). En revanche, si celles-ci
contiennent des éléments sur l'« origine raciale ou
ethnique, les opinions politiques, les convictions religieuses ou
philosophiques, l'appartenance syndicale, ainsi que le traitement des
données relatives aÌ la santeì et aÌ la vie
sexuelle »102(*), elles seront considérées comme
sensibles. La directive garantit que ces données ne feront l'objet
d'untraitementque sous certaines conditions. Le traitement en question
désigne généralement toutes sortesd'opérations,
automatisées ou non, telles que la « collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la
modification, [...]l'effacement ou la
destruction»103(*). En fin de compte,ce traitement ne sera
possible que sila personne y a préalablementconsenti104(*), qu'un droit
d'accès aux données105(*) et d'opposition au traitement106(*) lui est octroyé,
qu'un niveau de sécurité des données suffisant est
garanti107(*) et qu'il
ait été déclaré à l'autorité de
contrôle compétente108(*). Le traitement des données à
caractère sensible, même avec le consentement des individus
visés peut, pour sa part, être soumis à des conditions plus
strictes par les États membres.Ces obligations incombentau prestataire,
qualifié de « responsable de
traitement »109(*) par la directive. Cette qualification en fera
leresponsable présumé de tout traitement illicite de ces
données à moins qu'il ne prouve que le dommage ne lui soit pas
imputable110(*). Dans la
conception classique du traitement de données prévaut une
relation bilatérale entre les clients et le responsable de traitement.
Ce dernier n'est pas obligatoirement un prestataire de service de
cloud, il peut s'agir par exemple d'une entreprise de distribution de
biens de consommation dans sa gestiondes comptesde fidélité des
clients ou des ressources humaines. Néanmoins,le progrès
technologique a mené à ce que ces entreprises externalisent ces
fonctions et aient, pour cela, de plus en plus souvent recours à des
prestataires de service de cloud computingpour la gestion desdites
données. La relation bilatérale décrite est aujourd'hui
largement dépassée en pratique. C'est ainsi qu'alors qu'aucun
lien contractuel ne lie les personnes physiques au prestataire de
clouddu responsable du traitement, ce sont ces derniers seulement qui
seront chargésde factodu traitement des données.La
directive a pris en compte cette réalité en définissant le
sous-traitant comme celui « qui traite des données
à caractère personnel pour le compte du responsable du
traitement »111(*). Cependant, elle ne prévoit aucune obligation
directe du sous-traitant envers la personne physique concernée. Il
incomberaseulement au responsable du traitement de choisir un sous-traitant qui
apporte des garanties suffisantes de sécuritédes données
etde veiller à leur respect112(*). C'est ainsi qu'en ce qui nous concerne, les
relations contractuelles entre un responsable du traitement et son prestataire
de clouddevront respecter le régime de protection des
données à caractère personnel, voire même
prévoir la répartition des responsabilités de chacun des
opérateurs de la chaîne de sous-traitance en cas
d'opération illicite effectuée sur des données
personnelles.
Finallement, le droit de l'Union européenne permet,
voire encourage,les prestataires de service decloud computingà
fournir leurs services dans tous les États membres de l'Union
européenne. C'est le sens que l'on peut donner aux libertés de
circulation, au régime de responsabilité favorable aux
prestataires de services de la société d'information ainsi
qu'à la reconnaissance du principe de liberté contractuelle. Pour
l'instant, le droit de l'Union consacrerait une seule limite effective à
cette liberté contractuelle entre professionnels en soumettant le
responsable du traitement à la protection des donnéesà
caractère personnel des personnes physiques. On se rend ainsi compte du
fait que les dispositions de droit européen intéressant les
contrats internationaux de cloud computing sont relativement
éparses et générales, ce qui explique en partieque ces
contrats seront principalement régis par les droits nationaux.
B
- L'application des droits nationaux aux contrats internationaux de cloud
computing : l'exemple du droit français
En présence d'un contrat international et a
fortiori de dimension européenne, l'inexistence d'un droit
européen commun des contrats est palliée par la
désignation d'un droit national qui y sera applicable.À cet
égard, la Cour de cassation française considère de longue
date que « tout contrat international est nécessairement
rattaché à la loi d'un État »113(*).Si les modalités
relatives au choix du droit applicable à ces contrats seront
décrites ultérieurement114(*), il est intéressant d'étudier qu'au
sein même des droits nationaux, des difficultés apparaissent dans
la recherchedes dispositions applicables à ces contrats de
cloud. Si l'examen du droit français applicable aux contrats de
cloud computing semble le confirmer (1), cela
s'imposerait en réalité comme une généralité
dans le droit des États membres de l'Union européenne
(2).
1- L'application du droit français aux
contratsde cloud computing
L'exemple de l'application du droit français aux
contrats de cloud computing est révélateur de la
difficulté, pour les droits nationaux actuels, de s'adapter aux
changements induits par le progrès technologique. Il ne s'agit pas ici
de présenter exhaustivement toutes les dispositions de droit
français pertinentes, mais de révéler plus
précisément certaines caractéristiques qui retiennent
particulièrement notre attention. Seront donc successivement
étudiés : l'inexistence de dispositions spécialement
applicables aux contrats de cloud computing, les débats autour
de la qualification juridique de ces contrats, la reconnaissance du principe de
liberté contractuelle, la jurisprudencepuis les règles
matérielles éparses susceptibles d'intéresser les
relations contractuelles de cloud entre professionnels.
L'inexistenced'un droit des contrats spéciaux
concernant le cloud computing
Le constat qui préside l'étude du droit
français à l'égard des contrats de cloud
computing est celui de l'inexistence de dispositions qui leur sont
spécifiquement applicables. Plus encore, en l'état actuel, le
droit français méconnaît la notion de « cloud
computing » ou d' « informatique en
nuage ». Cela ne signifie pas pour autant qu'aucune disposition ne
trouve à s'appliquer à ces contrats, mais seulement qu'aucune n'a
été spécifiquement conçue pour eux. Dans ce cas le
rattachement à des dispositions générales du droit
français doit être établi. L'article 4 du Code civil
français impose d'ailleurs indirectement un tel rattachement en
interdisant au jugetout déni de justice « sous
prétexte du silence, de l'obscurité ou de l'insuffisance de la
loi ». Pour l'instant, l'occasion ne s'est pas encore
présentée aux juges d'éclaircir réellement le droit
français applicable aux contrats d'informatique en nuage. Il
n'empêche que cela serait souhaitable, notamment au regard des doutes qui
planent sur la question même de la qualification juridique du contrat.
Les débats sur la qualification juridique du
contrat de cloud computing
En droit français prévaut
généralementla distinction entre la théorie
générale des obligations et le droit des contrats
spéciaux. Cette distinction est purement conceptuelle au sens où,
en réalité, chaque contrata descaractéristiques quilui
sont propres et qu'a contrario aucun d'entre euxn'est
purement« général ». Juridiquement, cette
distinction traduit le fait qu'à chacun de ces contrats peut s'appliquer
deux types de règles : les règles générales et
celles propres aux contrats dits
« spéciaux »115(*). L'article 1107 du Code civil traduit bien cette
réalité en disposant que les contrats« sont soumis
à des règles générales » mais que
« les règles particulières à certains
contrats sont établies sous les titres relatifs à chacun
d'eux ».Dans la catégorie des contrats spéciaux,
il est possible de distinguer le contrat de vente116(*)du contrat de louage
d'ouvrage117(*)
également nommé contrat d'entreprise118(*). Une autre distinction entre
les contrats nommés et innomés peut être établie.
Les contrats nommés sont généralement ceux faisant l'objet
d'une réglementation spéciale, alors qu'à l'inverse seront
innommés les contrats ne répondant à aucune
catégorie juridique prédéfinie (et cela même si en
pratique l'usage leur a déjà attribué un nom). Ainsi, les
contrats innommés laisseraient plus de liberté aux parties dans
la rédaction des contrats qui, de ce fait,sont
généralement plus détaillés119(*). Puisqu'ils ne font l'objet
d'aucune réglementation spéciale120(*), les contrats de cloud
computing pourraient donc facilement tomber dans la catégorie de
contrats innommés. Mais la tentation fût grande, en doctrine, de
rattacher ces contrats à une catégorie juridique
préexistante.
Tout d'abord, en se questionnant sur l'application du
régime juridiquedes contrats de dépôt121(*) aux contrats de stockage
dans le cloud, G. Brunaux établit un double constat : le
régime juridique des contrats de dépôts ne peut pas
s'appliquer aux contrats de cloud, donc celui du contrat de fourniture
de service doit être privilégié122(*). En effet, le contrat de
dépôt, dont l'origine remonte à l'Antiquité
romaine123(*),
démontre les limites de l'adaptation du droit aux pratiques
désormais permises par la technologie. L'intérêt
d'appliquer ce régime juridique aux contrats de cloud aurait pu
résider dans les obligations de conservation et de restitution de la
chose déposée qui incombent au dépositaire124(*).On comprend alors que,
rapporté aux dépôts de données sur le
cloud, il serait intéressant pour les utilisateurs de
bénéficier de telles dispositions pour se prémunir des
risques liés à la dépossession, ou à
l'altération des données stockées sur le cloud.
Cependant, les articles 1918 et 1919 du Code civilexcluraient de leur
régime juridique les contrats de stockage sur le cloud, en
prévoyant qu'ilsne concernentque ceuxayant pour objet la
« remise réelle ou
fictive »de« choses
mobilières ». À cet égard G.Brunaux
considère que la remise étant un acte matériel, elle ne
peut être exercée qu'à l'égard d'un meuble corporel,
ce qui exclut donc les données informatiques,
dématérialisées par nature125(*).Mais la doctrine n'est pas
unanime à cet égard. Aussi, pour sa part, P.-Y. Gautier
considèrequ'il n'existe pas d'obstacle déterminant à faire
entrer lecloud computing dans ces contrats126(*). Il parle d'ailleurs du
cloud comme d'une « forme moderne de dépôt
dématérialisé»127(*). Considérer que le dépôt puisse
porter sur une chose incorporelle ne reviendrait finalement qu'à adapter
le droit positifau progrès technologique, même si il admet que
cela « n'est pas un mince affaire, en doctrine
civiliste »128(*).
Ensuite, G. Brunaux propose, en alternativeà ses doutes
relatifs à l'application du régime juridique des contrats de
dépôt, de retenir la qualification de « contrat de
fourniture de prestation de service »129(*)qui,sous sa plume,n'est rien
d'autre que le contrat de louage d'ouvrage précité. Cette
qualification se retrouve d'ailleurs dans les travaux de la CNIL130(*)et en pratique dans les
contrats d'informatique en nuage dont l'objet est la fourniture d'un service
précisément défini131(*). Cette qualification générale serait
aussi adaptée à la grande diversité de services qui
peuvent être fournis par la technique de cloud
computing.Néanmoins, ce statut ne permet pas, en soi, de
répondre aux exigences de sécurité des données
stockées sur le cloud, il incombera alors aux contractants de
définir eux-mêmes le niveau de sécurité du service
fourni. C'est pour cela que l'auteur appelle d'ailleurs à la
création d'un régime particulier qui serait celui de la
prestation générale de service à laquelle il conviendrait
d'ajouterles obligations incombant au prestataire dans un contrat de
coffre-fort, soit notamment la surveillance et l'accès
restreint133(*).
Enfin, d'autres ontentendu appliquer aux contrats decloud
computing le régime juridique des contrats de location134(*). C'est notamment le cas de
P. Le Tourneau qui voit dans le cloud une « colocation
à distance de système ou de logiciel dans les
nuages »135(*). Cela revient donc à l'apparenter au contrat
de louage de choses, défini par le code civil comme « un
contrat par lequel l'une des parties s'oblige à faire jouir l'autre
d'une chose pendant un certain temps, et moyennant un certain prix que celle-ci
s'oblige de lui payer »136(*) et qui s'applique à « toute
sortes de biens meubles ou immeubles»137(*). Une telle qualification
paraît davantage convenir aux prestations de cloud computing
consistant à mettre à disposition de l'utilisateur l'usage de
machines virtuelles, d'un espace de stockage sur un serveur distantque l'on a
parfois pu qualifier de contrat d'hébergement138(*)et qui correspond davantage
aux servicesde cloudprestés en mode
« IaaS » ou « PaaS ». Il s'agirait donc
d'une location de matériel informatique entre plusieurs clients
professionnels139(*).
Les entreprises y ont également recours dans le butd'externaliser leur
service informatique, leur évitant ainsi l'investissement dans une
infrastructure interne à l'entreprise. P. Le Tourneau constate
également que les offres de cloud computing peuvent consister
davantage en des offres générales de service que de location, et
consent dans ce cas à la qualification générale de louage
d'ouvrage. Il décrit d'ailleurs, dans un développement relatif
aux contrats de services informatiques que le cloud peut consister en
la fourniture d'applications hébergées. Il s'agira dans ce cas
des prestations de cloud en mode « SaaS » dont
l'objet du contrat est la mise à disposition du client de l'accès
en ligne à des logiciels dontle prestataire lui autorise l'usage contre
rémunération140(*).
Il en découle que la qualification juridique du contrat
de cloud computing en droit français sera fonction de l'objet
du contrat mais est d'ores-et-déjà susceptible de donner lieu
à des divergences d'interprétation.Il est intéressant
également de rappeler que le régime de responsabilité
contractuelle applicable à ces contrats dépend résolument
des obligations définies dans le contrat. Or, à ce titre,
précisons qu'il revient toujours aux parties contractantes
professionnelles d'aménager le contenu contractuel en fonction de leurs
besoins.
La consécration de l'autonomie de la volonté en
droit français
Il est d'usage, en droit français, de reconnaître
le principe de l'autonomie de la volonté en matière contractuelle
à travers les articles 6 et 1134 du Code civil. Si le premier interdit
de « déroger, par des conventions particulières,
aux lois qui intéressent l'ordre public et les bonnes
moeurs », le second dispose en revanche que « les
conventions légalement formées tiennent lieu de loi à ceux
qui les ont faites ». Celles-ci ne pourront être
révoquées que par le consentement mutuel des parties ou
« pour les causes que la loi autorise ». Ces
dispositions sous-tendent des enjeux similaires à ceux décrits
dans l'étude de l'autonomie de la volonté en droit
européen, à savoir que dans des cas spécifiques, la
liberté contractuelle peut être encadrée par la loi. Tout
comme le droit de l'Union européenne, le droit français encadre
davantage les rapports entre un commerçant et des consommateurs que ceux
entre professionnels. Plus généralement nous verrons que le juge
français a brièvement eu l'occasion de se prononcer sur des
questions intéressant de près ou de loin les contrats de
cloud computing et que le recours à ces services par des
professionnels, demeure restreint par quelques dispositions juridiques
éparses.
La jurisprudence intéressant les contrats de cloud
computing
À ce jour, très peu d'affaires concernant le
cloud computingont été portées devant
lesjuridictions françaises. L'affaire la plus illustre à cet
égard opposait la société américaine Oracle au
parti politique l'UMP141(*). Ce dernier avait souscrit auprès d'Oracle un
service de cloud de type « SaaS » consistant en la
gestion et l'hébergement de données.Le contrat avait
été signé le 30 décembre 2010 pour une durée
de deux ans.C'est en souhaitant opérer un transfert de ses
données afin de changer de prestataire que, le 21 septembre 2012, l'UMPa
été confrontée à un dysfonctionnement dudit
service. Le prestataire s'était alors engagé à trouver une
solution audit problème. Or, la date de fin d'exécution du
contrat approchant, l'UMP mit en demeure la société au
début du mois de novembre 2012 et l'assigna en
référé pour inexécution du contrat près le
Tribunal de Grande Instance de Nanterre.La société Oracle
opposait notamment au parti politique qu'il n'était victime d'aucun
dommage et qu'aucune disposition contractuelle n'avait
étéméconnue par elle. À cet égard, le juge
des référés rappelaitque la société Oracle
s'était engagée conventionnellement à maintenir la
fonction d'exportation des données, sans frais, pendant une
période de 60 jours après la fin du contrat. Or, rien n'assurait
pour autant à l'UMP de pouvoir bénéficier de la
récupération de ses données avant cette date. À ce
titre, en dépit d'une clause contractuelle par laquelle Oracle entendait
limiter sa responsabilité en cas d'erreur ou d'interruption du service,
le juge des référés a conclu que celle-ci manquerait
incontestablement à ses obligations contractuelles « si
elle ne permettait pas à l'UMP de bénéficier en temps
utile de ses données pour permettre à son nouveau prestataire de
les exploiter et d'être opérationnel dès la fin de sa
propre prestation ». Oracle fut alors condamnée
àassurer les moyens techniques nécessaires à l'UMP pour
changer de prestataire et récupérer ses données et
à étendre gratuitement l'accès au service au-delà
de la date initialement prévue, le tout sous astreinte de 5 000 euros
par jour de retard. Ce jugement en référé semble
témoigner d'une interprétation des obligations contractuelles
favorable aux clients de services de cloudnotamment en terme de
réversibilité des données stockées sur le
cloud et d'interopérabilité du service142(*).
Des règles de droit matériel
éparses
La liberté de contracter des services decloud
pour les professionnels est encadrée par quelques dispositions
éparses et sectorielles. Certaines interdictions ou contraintes sont en
réalité spécifiques à certains types de
données nécessitant une protection supérieure, comme c'est
le cas des données de santé, des données fiscales et des
données couvertes par le secret professionnel.
Tout d'abord, la loi dite « informatique et
libertés »143(*)a transposé en droit français la
directive 95/46/CE relative aux données à caractère
personnel et sensible. À ce titre les données de santé y
sont définies comme ayant un caractère sensible et ne pourront
faire l'objet d'un traitement par les professionnels de santé que s'ils
respectentcertainesconditions144(*). Ces conditions affectent particulièrement la
relation entre le professionnel de santé et le prestataire de service de
cloud auquel il peut avoir recourt. Le Code de la santé
publique prévoit quele traitement de ces données est
conditionné à, outre l'information et le consentement à
recueillir de la part du patient, l'obtention d'un agrément par le
prestataire de service145(*). Le professionnel de santé ne pourra alors
sous-traiter la gestion des données de santé qu'à un
hébergeur ayant été agréé par le
ministère de la Santé. Les conditions de l'agrément, qui
sont fixées par décret du Conseil d'État146(*) après avis de la
CNIL, ont vocation à garantir un degré de sécurité
technique particulièrement élevé de ces données et
leur conservation pour une durée de vingt anspar le prestataire.
Ensuite, des règles fiscales françaises
encadrent également le recours au cloud computingpar les
entreprises. Il en va de la sorte pour les obligations relatives à la
conservation de certaines factures transmises par voie électronique.
Ainsi, le Livre des procédures fiscales dispose en son article L102C que
« les assujettis ne peuvent stocker les factures transmises par
voie électronique dans un pays non lié àla France par une
convention prévoyant une assistance mutuelle ainsi qu'un droit
d'accès en ligne immédiat, le téléchargement et
l'utilisation de l'ensemble des données
concernées » et qu'ils « sont tenus de
déclarer, en même temps que leur déclaration de
résultats ou de bénéfices, le lieu de stockage de leurs
factures ainsi que toute modification de ce lieu lorsque celui-ci est
situé hors de France ».Il est en revanche admis que les
serveurs puissent être localisés dans un autre État membre
de l'Union européenne147(*). De telles obligations découlent de la
nécessité, pour les autorités fiscales françaises,
de se voir garantirl'accessibilité des données fiscales de leurs
assujettis. On conçoit alors que les contribuables souscrivant à
une solution cloud de gestion de leur comptabilité, ou que la
dématérialisation des fiches de paies, doive se faire dans le
strict respect de ces obligations. Cela impose pour l'utilisateur de
connaître la localisation des serveurs sur lesquels le prestataire
stockera ses données fiscales, et pour le prestataire de ne sous-traiter
la gestion de ces donnéesqu'à un prestataire répondant
également à ces obligations légales.
Enfin, certains professionnels sont soumis à des
obligations spécifiques qui impactent directement leur accès aux
services de cloud computing. C'est le cas par exemple de la
confidentialité des données de l'avocat couvertes par le secret
professionnel148(*).
L'article 226-13 du Code pénal punit d'ailleurs d'un an d'emprisonnement
et de 15 000 euros d'amende toute révélation d'une information
à caractère personnel. Or, la pratique révèlerait
un abime entre les comportements physique et numérique des avocats
utilisant des services non sécurisés, comme Gmail et Google
drive, pour communiquer avec leurs clients et partager des fichiers
sensibles149(*). Pour
que la profession puisse pleinement bénéficier des avantages de
cette technologie tout en respectant les obligations de sécurité
qui leur incombe, Me A. Bensoussan encourage, par exemple,
à souscrire des solutions de cloud privé150(*). C'est dans ce même
esprit encore que le Conseil National des Barreaux a souscrit auprès du
prestataire SFR businessle service de « cloud
privé des avocats ». Il s'agit d'une infrastructure mise
à dispositiondes avocats leur offrant un service de messagerie et de
stockage en ligne d'une capacité de base de 50 Go, le tout étant
sécurisé et chiffré151(*).
C'est ainsi qu'en droit français la qualification
juridique du contrat de cloudest relativement incertaine mais que
nombre de contraintes légales éparses peuvent influencer
l'utilisationdes services de cloud, par les professionnels. À
en croire la Commission et l'étude comparée des contrats de
cloud qu'elle a commandé, ces remarques propres au droit
français se retrouveraient également dans les droits des autres
États membres de l'Union européenne.
2 - La diversité
des droits nationaux applicables aux contrats de cloud
computing
Le droit français est un exemple parmi tant d'autres du
droit national pouvant être désigné pour régir les
relations contractuelles portant sur des services d'informatique en nuage. Il
est donc intéressant de mettre en relief ce qui vient d'être
présenté sur quelques unes des caractéristiques du droit
français avec les travaux présentés par la Commission
européenne sur l'ensemble des droits nationaux applicables aux contrats
de cloud computing.
Après sa communication initiale de 2012, la Commission
européenne acommandé une étude comparative des droits
applicables aux contrats de cloud computing. Celle-ci a
été menée par le cabinet d'avocats DLA Piper UK LLP et a
abouti à un rapportfinal en mars 2015152(*). Cette étude avait pour but de
« comprendre dans quelle mesure les législations,
jurisprudences et orientations administratives existantes s'appliquent aux
contrats de cloud computing »153(*). Le travail a été
effectué par des professionnels du droit des nouvelles technologies de
chacundes États faisant l'objet d'une étude, à savoir tous
les États membres de l'Union européenne (à l'exception de
la Croatie) et les États-Unis. Trois « Work
Package » (ci-après « WP ») ont
été réalisés. Le premier consistait en la
présentation générale des législations applicables
aux contrats de cloud154(*) ; le second en l'élaboration
d'un panel représentatif des États selon des critères
juridiques et économiques155(*) ; le troisième recoupait les deux
premiers travaux en comparant les législations nationales des pays
composant l'échantillon sélectionné156(*).
La méthodologie employée pour les premier et
dernier travaux est celle du questionnaire. À titre d'exemple,
l'étude comparative du WP3 a été réalisée
sur 15 questions divisées en 8 parties :
1. Accord de niveau de service (« Service Level
Agreement ») ;
2. Politique d'utilisation acceptable
(« Acceptable Use Policy ») ;
3. Protection des données ;
4. Droits de propriété intellectuelle ;
5. Responsabilité directe et indirecte ;
6. Fin du contrat ;
7. Modification du contrat ;
8. Sécurité, Protection et perte des
données.
La sélection de l'échantillon
représentatif des États s'est basée sur des
critères légaux tels que le niveau d'avancée de la
législation sur le cloud, la loi la plus souvent choisie dans
les contrats de cloud, les différentes traditions juridiques
européennes et sur des critères économiques tels que la
composition des marchés nationaux dans le domaine numérique, la
taille des marchés de cloud public ou plus
généralement le développement des nouvelles technologies.
Ainsi, ont été sélectionnées 8 États :
le Royaume-Uni, les États-Unis, l'Allemagne, la France, les Pays-Bas, la
Suède, l'Italie et la Pologne157(*) ; classés selon leurs traditions
juridiques respectives158(*).
La présente étude de droit comparé peut
être critiquée, tant dans son procédé scientifique
que dans ses résultats et questionne sur la place que la Commission lui
octroieradans ses travaux préparatoires159(*). Néanmoins,
elleaurait pour intérêt de révéler des
caractéristiques communes aux droit nationaux des États membres :
aucun droit spécial régissant les contrats de cloud n'a
été élaboré dans les droits nationaux, ces contrats
sont tantôt régis par le droit commun des obligations tantôt
par des règles relatives à des contrats nommés, le droit
de l'Union européenne en matière de protection des données
personnelles a harmonisé les législations nationales selon un
degré élevé de protection, très peu d'affaires
dédiée intégralement au cloud n'ont encore
été tranchées par les tribunaux des États membres
mais de nombreusesinitiatives sectorielles pourraient concerner, à
l'avenir, le cloud160(*).
C'est ainsi qu'on se rend compte, à travers cette
brève présentation des travaux de comparaison des droits
nationaux de la Commission, que ce qu'on a décrit plus longuement
concernant le droit français pouvait se retrouver dans d'autres droits
des États membres. Partant, le rattachement des contrats internationaux
de cloud à un droit national impose qu'un choix soit
opéré à travers la multitude de droits potentiellement
applicables. Les règles de droit international privé permettent
de gérer cette diversité et méritent alors d'être
présentées.
§2 - Les règles de droit international
privé applicables aux contrats internationaux de cloud
computing
Un contrat est dit « international »
lorsqu'il « présente des contacts avec le droit de
plusieurs États ou le droit international »161(*). Il doit donc comporterun ou
plusieurs éléments d'extranéité,
c'est-à-dire des points de rattachement de fait ou de droit qui
« lient une situation à un État
déterminé »162(*). Cela peut se déduire dela nationalité
des cocontractants, de leur lieu de résidence, du lieu de conclusion ou
d'exécution du contrat, des langues du contratetc. Les contrats
de cloud computing sont susceptibles d'être, par nature,
internationaux.La localisation des données, des serveurs, la
nationalité ou le lieu de résidence des prestataires et des
utilisateurs tout commeles lieux d'accès au service peuvent induire son
internationalité. Lorsque tous les éléments dudit contrat
sont localisés sur le territoire des États membres de l'Union
européenne, à défaut de régime contractuel
unifié, la loi applicable est nécessairement celle d'un droit
national. La technique des règles de conflit de lois permet alors de
rattacher le contrat à un droit étatique. La question se pose en
des termes identiques en ce qui concerne la désignation de la
juridiction compétente en cas de litige. Au final, que ce soit pour la
détermination du droit applicable ou du juge compétent, on se
réfère à des règles de conflit qui peuvent
être tant de source internationale que nationale. En la matière,
l'européanisation des sources est d'ailleurs patente163(*). La pratique veut qu'il
convienne de procéder d'abord à la désignation de la
juridiction compétente (A) avant de désigner
ensuite la loi applicable(B).
A
-Les règles de conflit de juridictionsapplicables aux contrats
internationaux de cloud computing
Les règles de conflit de juridictions en matière
civile et commerciale ont fait l'objet d'une uniformisation entre les
États membres des Communautés européennespar la Convention
de Bruxelles de 1968164(*). Ce n'est que dans les années 2000 que le
droit communautaire s'est emparé du sujet, avec le règlement dit
« Bruxelles 1»165(*) récemment révisé et
désormais nommé « Bruxelles 1bis »166(*). En ce qui concerne le champ
d'application de ce règlement, celui-ci est applicable depuis le 10
janvier 2015167(*),à condition que le défendeur ait son
domicile sur le territoire de l'Union européenne168(*) et que soit viséela
« matière civile et
commerciale »169(*),ce qui inclut les contrats170(*). La Cour de Justice a plus
précisément fait de la « matière
contractuelle » une notion autonome du droit de l'Union
supposant un « engagement librement assuméd'une partie
envers une autre »171(*). Pour en venir au fait, le règlement
Bruxelles 1bis prévoit comme principe la compétence du tribunal
de l'État du lieu du domicile172(*) du défendeur173(*). Or, ce principe estsoumis
à plusieurs exceptions comme à des règles d'application
exclusive174(*) ou
alors, pour ce qui nous intéresse plus particulièrement, au choix
formulé par les parties(1) etauxdispositions
d'application spéciale à la matière contractuelle
(2).
1-La clause attributive de
juridiction
Le droit de l'Union européenne permet aux parties
à un contrat international de choisir conventionnellement le tribunal
qui sera compétent en cas de litige les concernant. L'article 25 permet
en effet de prendre en compte les clauses d'electio fori, sous le
vocable de « prorogation de compétence ».
L'autonomie des parties à cet égard est quelque peu
limitée. En effet celles-ci ne peuvent choisir que des juridictions d'un
État membre de l'Union, les clauses d'attribution demeurent soumises aux
conditions de validité du droit de l'État membre choisi et elles
ne seront pas applicablesau détriment des parties faibles que
représentent l'assuré175(*), leconsommateur176(*) ou le travailleur177(*). Aussi, les parties peuvent effectuer ce choix
« sans considération de leur
domicile »178(*), ce qui étend le régime du
règlement à des parties domiciliées dans des États
non membres de l'Union européenne.
C'est ainsi que deux professionnels qui seraient parties
à un contrat de cloud peuvent valablement choisir le juge qui
sera compétent en cas de litiges les opposant. Or,à défaut
d'un tel choix, il faudra se référer aux règles
spéciales prévues à l'article 7 du règlement
Bruxelles 1bis.
2-La juridiction compétente à
défaut de choix des parties
Le règlement prévoit des règles
spéciales dédiées à la désignation du
for compétent en matière contractuelle. L'article 7
dispose en ce sens qu'une personne domiciliée sur le territoire d'un
État membre peut être attraite « devant la
juridiction du lieu d'exécution de l'obligation qui sert de base
à la demande ». Lorsque l'objet du contrat est la
fourniture d'une prestation de service, cela devrait désigner, le
« lieu d'un État membre où, en vertu du contrat, les
services ont été ou auraient du être
fournis ». Ces dispositions ont été
clarifiées par la Cour de Justice. On apprend ainsi que si plusieurs
obligations sont en cause dans le contrat, celle qui « sert de
base à la demande » s'entend plus
précisémentde l'obligation
« principale»179(*) et du lieu de la « fourniture
principale des services»180(*) pour les contrats de prestation de service. Cela
dit, comme nous l'étudierons plus loin, l'application de ces
critères de rattachement aux activités par internet peut
s'avérer particulièrement délicate du fait de leur
accessibilité par voie de télécommunication181(*).
C'est ainsi que, répondant à la qualification de
contrat de prestation de service, les contrats de cloudseront
nécessairement soumis à ces dispositions. Cela étant, la
désignation du juge compétent ne présage pas celle du
droit applicable au contrat litigieux qui dépend de règles de
conflits qui lui sont propres.
B -
Les règles de conflit delois applicables aux contrats internationaux de
cloud computing
En ce qui concerne la désignation du droit applicable
aux contrats internationaux de cloud computing, il faut se
référer au règlement Rome I sur la loi applicable aux
obligations contractuelles (1). Néanmoins, en ce
qui concerne les services de la société de l'information,la
question s'est posée de savoir si la directive relative au commerce
électronique ne dispose pas, elle-même d'une règle de
conflit de loi spéciale(2).
1-Le règlement Rome I sur la loi applicable aux
obligations contractuelles
À l'instar des règles de conflit de
juridictions, les règles de conflit de lois applicables aux obligations
contractuelles ont fait l'objet d'une uniformisation par la voie
conventionnelle dès 1980182(*). Cet acquis a ensuite été
intégré en droit de l'Union européenne avec le
règlement n°593/2008183(*) dit règlement « Rome I ».
Ce règlement est applicable aux contratsayant pour
objet la matière civile et commerciale184(*) conclus postérieurement au 17 décembre
2009, il est également d'application universelle en ce sens qu'il
s'applique même si la loi désignée n'est pas celle d'un
État membre de l'Union185(*). Il permettrait ausside choisir un droit non
étatique, international ou européen186(*). Ce
règlements'appliqueradonc inéluctablement aux contrats
internationaux de cloud computing. Comme le règlement Bruxelles
1 bis, le règlement Rome I fait une distinction entre la situation
où les parties ont elles-mêmes choisies le droit applicable au
contrat et celle où un tel choix n'a pas été
effectué.
D'une part, le principe en matière contractuelle est
celui de la loi d'autonomie, conférant une liberté de choix
aux contractants. Ce choix doit être exprès et peut concerner tout
ou partie d'un contrat187(*), ce qui admet donc que les
contractantsdésignentplusieurs lois applicablesà
différentes parties du contrat. L'autonomie des parties au contrat est
néanmoins susceptible de se heurter à des dispositions
d'intérêt public188(*) auxquelles on ne saurait déroger. Il convient
de différencier deux situations : celle où le contrat de
cloud conclu entre professionnels ne présente pas
d'élément d'extranéité mais désigne une loi
étrangère, et celle où le contrat est international. Dans
le premier cas, il est prévu que la loi désignée par les
parties ne pourra pas permettre de déroger àl'ordre public de
l'État avec lequel le contrat a des liens étroits189(*). Dans le second cas, le
choix de loi ne pourra pas déroger aux lois de police du
for190(*). Une
telle liberté de choix est également limitée par des
rattachements spéciaux destinés à la protection des
parties faibles que sont le consommateur191(*), la personne transportée192(*), l'assuré193(*) et le
salarié194(*).
Les dispositions visant les consommateurs s'appliqueraient dans un contrat de
cloud où l'une des parties est une personne physique agissant
hors de ses activités professionnelles. Dans ce cas, le choix du droit
applicable est limité à la loi du pays où le consommateur
a sa résidence habituelle. Cette disposition protectrice des
consommateurs est soumise à des limites pratiques : le consommateur
peut en effet accepter l'application d'un droit étranger - a
fortiori celui choisi par le prestataire - s'il démarche activement
un professionnel qui n'exerce pas habituellement son activité de
l'État de résidence du consommateur, ou ne dirige pas son
activité vers celui-ci. Or, l'application de ce critère aux
activités par internet a pu donner lieu à des difficultés
d'interprétation.On s'est interrogé sur le fait de savoir si la
seule accessibilité du site internet d'un commerçant dans
plusieurs États impliquait que celui-ci ait entendu diriger son
activité vers chacun d'entre eux195(*). La Cour a considéré que cela
n'était pas systématique196(*) mais qu'un faisceau d'indices permettait de le
déterminer. Le commerçant actif sur internet sera donc
considéré comme ayant manifesté la volonté de
dirigerson activité vers l'État d'un consommateur s'il est
possible d'établir une expression manifeste de démarchage, un
engagement de dépense dans un service de référencement
à l'attention du marché de cet État, mais également
en fonction du nom de domaine et de la possibilité de choisir plusieurs
langues ou monnaies197(*). Or, même dans un tel cas, le choix de loi ne
peut porter atteinte aux dispositions impératives du droit de
l'État sur lequel le consommateur a sa résidence
habituelle198(*).
D'autre part, en l'absence de choix des parties, le
règlement Rome I prévoit huit options dans son article 4. Le
contrat de prestation de service est régi par la seconde qui
désigne la loi du pays dans lequel le prestataire de services a sa
résidence habituelle. Dans le cadre de contrats complexes, ce même
article renvoi alors à la loi du pays de résidence habituelle de
la partie fournissant la prestation caractéristique199(*)et, à défaut,
la loi de l'État avec lequel « le contrat présente
des liens manifestement plus étroits »200(*). Le principe, à
défaut de choix des parties,est donc que le contrat de cloud
conclu entre professionnels est régi par la loi de l'État de
résidence habituelle du prestataire. Bien qu'étant défini
à l'article 19 du règlement, la détermination du lieu de
la résidence habituelle du prestataire pourra cependant donner lieu
à des difficultés d'interprétation201(*).
Au-delà du règlement Rome I, la question s'est
posée de savoir si la directive relative au commerce électronique
comportait, elle aussi une règle spéciale de conflit de lois.
2 - La clause « marché
intérieur » de la directive relative au commerce
électronique
Le premier paragraphe de l'article 3 de la directive relative
au commerce électronique, appelé « clause marché
intérieur », dispose que « chaque État membre
veille à ce que les services de la société de
l'information fournis par un prestataire établi sur son territoire
respectent les dispositions nationales applicables dans cet État membre
relevant du domaine coordonné »202(*). Une telle mesure met
un point d'honneur à ce que les règles de droit international
privé des États membres ne s'opposent pas aux libertés de
circulation en soumettant le prestataire aux lois des États d'origine de
chacun de ses clients203(*). La question pourrait donc se poser dans ce cas de
savoir si une telle clause aurait pour effet de déroger à la loi
d'autonomie des contrats de la société de l'information pour
soumettre ipso facto l'activité des professionnels de cloud
à la loi de leur pays d'origine204(*). En principe cette directive ne devrait pas
influencer les règles de droit international privé comme
l'établit explicitement son article 1§4205(*). Néanmoins la lecture
de l'article 3 précité peut étonner et aurait pour effet
de soumettre l'application d'une loi autre que celle du lieu de
résidence habituelle du prestataire à « un test de
compatibilité avec l'exercice des libertés
extérieures »206(*). Compte tenu des doutes qui peuvent exister sur
l'interprétation de cet article, la Cour de Justice a eu l'occasion de
se prononcer à l'occasion des affaires jointes eDateet
Martinez207(*). Dans ces
affaires, la Cour de Justice de l'Union a été saisie de questions
préjudicielles posées par le Bundesgerichtshof et le
Tribunal de Grande Instance de Paris à l'occasion d'une action en
responsabilité du fait de la publication illicite d'informations et de
photos sur internet. eDate était une société
autrichienne opposée à un demandeur allemand, M.X.. La question
se posait de savoir si les deux premiers paragraphes de l'article 3 de la
directive sur le commerce électronique devaient être
interprétés comme une règle de conflit écartant
l'application des règles nationales contraires. Si la Cour conclut
rapidement qu'une telle mesurene dispose pas d'une règle de conflit de
lois208(*), elle
rappelle ensuite que « les États membres d'accueil sont en
principe libres de désigner, en vertu de leur droit international
privé, les règles matérielles applicables pour autant
qu'il n'en résulte pas une restriction de la libre prestation des
services du commerce électronique »209(*). À cela, la Cour
ajoute que dans tous les cas on ne doit pas imposer au prestataire de service
« des exigences plus strictes que celles prévues par le droit
matériel applicable dans l'État membre d'établissement
»210(*), ce
qui, pour J.Sénéchal, a pour effet de considérer la clause
marché intérieur comme un correctif a porteriori211(*), permettant de
contrôler si le choix du droit applicable effectué par les parties
n'impose pas au prestataire technique des obligations plus strictes que celles
prévues dans le droit de son État d'origine. De la sorte, le
droit européen participe à la promotion des activités
numériques en permettant aux prestataires de se conformer à leur
seule loi nationale. Cela leur évitede devoir s'adapter
nécessairement aux lois de leurs différents clients, en
présumantde l'équivalence desexigences des législations
des États membres.
On remarque donc que les règles de conflit de lois
applicables aux contrats internationaux laissent aux parties le soin de
désigner le droit applicable à leur relation contractuelle mais
qu'à défaut, ce sera la loi du pays du lieu de résidence
habituelle du prestataire qui sera applicable. Si des questions se posent pour
savoir si la directive relative au commerce électronique pourrait
être à l'origine d'une règle de conflit de lois qui
permettrait aux prestataires de bénéficier d'une application
impérative du droit de leur État d'origine, la Cour de Justice
répond par la négative mais renvoie à la libre
capacité des États membres d'interpréter ladite
directive.
C'est ainsi que les contrats internationaux de cloud
computing sont soumis à l'influence d'une pluralité de
règles juridiques éparses. Si le droit de l'Union
européenne pose un cadre général destiné à
promouvoir la fourniture transfrontière de ces services, c'est plus
précisément les droits nationaux qui régiront le droit des
contrats qui y est applicable. Au sein-même des droits nationaux, des
questions se posent sur le fait de savoir quelles dispositions seront
réellement appliquées aux contrats de cloud. L'absence
de décision de justice de référence et de
législation spécifiquement dédiées à ce
service de la société de l'information en témoignent.
Néanmoins, une des particularités de la conclusion
transfrontière de contrats de cloud réside surtout dans
la nécessité de désigner une loi qui leur est applicable
parmi la multitude de choix que l'internationalité de cette technique
permettrait de réaliser. Sur ce point, le droit international
privé de source européenne a déjà participé
à l'harmonisationdes règles de conflit entre États
membres. Malgré tout, ces caractéristiques du droit actuellement
applicable aux contrats de cloud sont sujettes à critiques. En
effet, alors qu'en principe rien ne s'oppose juridiquement à ce que les
opérateurs et les utilisateurs professionnels de services de
cloud puissent contracter librement entre eux sur le marché
européen, la Commission observe tout de même en pratique le
« morcellement du marché unique
numérique »212(*). Une étude des défauts du droit des
contrats applicable aux contrats internationaux de cloud est donc
nécessaire afin de révéler l'origine de la fragmentation
du marché et, par extension, comprendre quel pourrait être
l'apport du droit de l'Union européenne en la matière.
SECTION 2 - LES DÉFAUTS DU DROIT APPLICABLE AUX CONTRATS
INTERNATIONAUX DE CLOUDCOMPUTING
Rechercher les défauts du droit actuellement applicable
aux contrats internationaux de cloudcomputing est une étape
nécessaire afin de comprendre pourquoi et comment le droit de l'Union
pourrait s'emparer du sujet. On entendra désigner par
« défaut » ce qui est « imparfait,
insuffisant ou mauvais »213(*). Il s'agit en fin de compte de démontrer
que le droit actuel est inadapté au développement
activités de clouden Europe. Une telle approche suppose un
jugement de valeur, une critique du droit, qui ne peut être
effectué qu'en comparaison à un idéal, un objectif
à atteindre. Le droit étant le vecteur d'une politique,
l'étude critique du droit doit alors démontrer quelles
insuffisances entravent les objectifs d'une politique donnée. Or, des
difficultés structurelles sont inhérentes à l'objet
d'étude que constitue une politique. En effet, le programme de la
Commission, qui sert ici de base à l'analyse, ne constitue qu'une
déclaration d'intention partiale et chronophage. Une prise de hauteur
dans l'étude de l'apport du droit de l'Unionen droit des contrats de
cloud computing devra alors être privilégiée. Pour
l'essentiel, nous retiendrons que les objectifs généraux de la
Commission sont l'achèvement du marché intérieur, le
développement de l'économie numérique européenne et
l'approfondissement de l'intégration européenne. On comprend donc
qu'il faudra révéler les caractéristiques du droit actuel
qui sont susceptibles de dissuader les opérateurs européens
à contracter entre eux, à fournir des services de cloud
transfrontières ou y souscrire et à préférer
l'externalisation à la gestion interne des services informatiques. Il
s'agit,en fin de compte, d'identifier les obstacles qui s'opposent au
développement des activités internationales de cloud.
Si l'examen des défauts du droit a une forte dimension
politique, son intérêt n'en reste pas moins juridique.
L'inadaptation du droit peut se traduire par plusieurs
phénomènes, tant en droit national qu'en droit de l'Union
européenne. L. Siorat distinguait plusieurs types de défauts du
droit international dont les lacunes, les obscurités et les
carences214(*). Ces
défauts sont dus à la relativité, temporelle et spatiale
du droit, et à son caractère faillible, car issu d'une
volonté humaine215(*). Suivant ses considérations, le droit est dit
lacunaire lorsqu'il ne prévoit pas de solution à un cas
d'espèce. La lacune désignerait donc le silence de la
règlementation216(*). Pour F. Viangalli, qui désigne
également les « lacunes » comme le
caractère incomplet d'un droit217(*), celles-ci sont intrinsèques au droit de
l'Union européenne mais plus rares en droitnational qui a, lui, vocation
à régir toute sorte de situations218(*). En tant qu'organisation
internationale, l'Union ne dispose que de compétences qui lui sont
attribuées219(*).
Cela l'empêche donc, par nature, de produire un droit complet. Il
désigne ensuite comme « fausse lacune » le
caractère du droit qui n'a pas spécialement été
conçu pour être appliqué à une situation
donnée et qui conduit à une solution
« manifestement inadaptée [qui] heurte le sens
commun »220(*). À l'expression de fausse lacune, L. Siorat
préfère celle de
« carence »221(*). Aussi, selon lui, la carence du droit se
« manifeste [...] chaque fois que le
développement logique de la règle juridique ne s'adapte plus aux
conditions sociales nouvelles »222(*). Enfin, ce même auteur
qualifie d' « obscurité » les doutes
sur le sens du droit à appliquer à un cas
d'espèce223(*),
ce que F. Viangalli nomme lui de « lacune de
sens »224(*). Le caractère de la carence, insistant sur
l'inadaptation du droit aux évolutions sociales, est
particulièrement intéressant en ce qui concerne les nouvelles
technologies et donc le cloud computing. Mais à bien des
égards nous verrons que le droit actuel peut alternativement être
lacunaire, carencé et obscur dans son application aux contrats
internationaux de cloud computing. Ces défauts
caractérisent d'ailleurs tant le droit substantiel (§
1) que le droit international privé (§ 2)
applicables.
§1 - Les défauts du droit substantiel
applicableaux contrats internationaux de cloud computing
Le cloud computing, par ses caractéristiques
dont la nature est transnationale, questionne nos régimes juridiques
actuels (A). Le cadre légal régissant les
contrats de cloud computing apparaît particulièrement
flou, incertain et fragmenté, ce qui témoigne des
difficultés de son adaptation à la fourniture
transfrontière de ces services (B).
A - Les difficultés d'appréhension des
activités internationales de cloud computing par le droit
actuel
Alors que la Commission souhaite exploiter les
capacités de l'informatique en nuage, son constat part de l'existence
d'un certain nombre de problèmes révélés par la
pratique et non solutionnés par le droit actuel. Ces problèmes
freineraient le développement des services transfrontières de
cloud. C'est donc avant tout la nature même du cloud
computing, (1), qui révèle la mauvaise
adaptation du droit actuel (2).
1 - Les difficultés pratiques inhérentes
au cloud computing
On remarque sous la plume de la Commission que tant la nature
du cloud computing que son environnement contractuel ont des
défauts consubstantiels dissuadant les professionnels à recourir
à ce type de services. Si l'examen des difficultés pratiques du
cloud mériterait une étude empirique des comportements
des entreprises et d'un panel de contrats, nous baserons principalement nos
développements sur les documents officiels publiés par les
institutions européennes225(*), les autorités nationales chargées de
la protection des données226(*) et le groupe d'expert sur le
cloudcomputing227(*). Cela nous permettra alors d'identifier quels
éléments, relatifs au cloud ou aux contrats
internationaux de cloud sont au centre des préoccupations de
l'Union européenne. Pour cela, seront successivement abordés les
risques que représente le cloud pour les utilisateurs
professionnels ; puis les défauts propres aux contrats de
cloud ;et enfin l'intérêt particulier que les
institutions portent aux petites et moyennes entreprises.
Les risques du cloud computing pour les utilisateurs
professionnels
Certaines caractéristiques inhérentes au
cloud computing rendent cette technique informatique difficilement
appréhendable par le droit et risquée pour les entreprises. Dans
leur ensemble, les services de cloud soulèvent plusieurs enjeux
pour les utilisateurs professionnels. Ceux-là se concentrent sur la
sécurité du service et la protection de l'intégrité
des données de l'entreprise. De plus, les risques seront
décuplés lorsque les données en question présentent
un caractère stratégique ou sont sensibles et nécessitent
un traitement particulier228(*). Physiquement, ces risques peuvent être
liés à des incidents matériels susceptibles de menacer les
bases de données ou les réseaux229(*), que ce soient les réseaux d'énergie
électrique nécessaires au fonctionnement des infrastructures ou
les réseaux de télécommunication permettant l'accès
des utilisateurs au service. Dans le même esprit, la qualité du
matériel peut également être source de défaillance.
Informatiquement, les risques se concentrent sur tous les
procédés nécessaires à la garantie du bon
fonctionnement du service. Cela inclut notamment l'accessibilité au
service par un niveau élevé de bande passante, le contrôle
du trafic sur le réseau et l'accès sécurisé au
VPN230(*). Sont
également concernés le chiffrement des données et les
pare-feu sensés protéger des intrusions malveillantes
soupçonnables de vol, de destruction des données ou d'espionnage
des activités. En pratique, il s'agit enfin de garantir
aux utilisateurs la possibilité de récupérer les
données qu'ils ont stockées231(*), de changer de prestataire et d'importer leur
structure informatique dématérialisée sur un autre
support232(*). Pour
résumer, les craintes principales des professionnels à
l'égard de ces services de cloud seraient liées à
la dépendance vis-à-vis de la technologie, les risques d'atteinte
à la continuité du service par unquelconque dysfonctionnement, ou
encore la perte de contrôle sur les données et les risques
liés à leur destruction, leur vol ou l'espionnage233(*).
Ensuite, il s'avère que le cloud computing est
un objet difficilement saisissable par le droit du fait de son caractère
protéiforme. Il prend en réalité la forme de plusieurs
types deservices de natures différentes. Rappelons à ce titre
qu'entre les services de location d'un espace de stockage de données,
d'utilisation d'une machine virtuelle, ou de « services
métiers »234(*) tels que des logiciels de gestion comptable ou de
service de messagerie électronique, un grand nombre de
différences peuvent exister. À cette diversité de services
s'ajoute la pluralité des modes de gestion et des modèlesde
cloud. Ainsi, un même service -par exemple la location d'un
espace de stockage de données - peut être administré
de différentes manières. On fait référence ici aux
distinctions entre le cloud public, privé, communautaire et
hybride. Cela a un impact sur la relation contractuelle liant l'utilisateur au
prestataire puisque les garanties liées à la
sécurité des données varient selon le mode de gestion des
services cloud fournis. Le cloud privé est
conçu pour les besoins de sécurité du client alors que la
gestion publique ou communautaire impose des standards de
sécurité communs aux utilisateurs qui en partagent
l'accès. Il est alors probable que la gestion publique d'un
cloud apporte des garanties moindres que celles des cloud
privés, mais cela n'est pas automatique. Dans le même esprit
la nature du service varie en fonction du modèle de
cloud : Infrastructure as a Service, Platform as a
Service ou Software as a Service235(*).
Des difficultés s'opposeraient alors à
régir toutes ces activités par un seul et même cadre
juridique, d'autant plus que l'innovation pourrait le rendre aussitôt
désuet au regard des pratiques futures. Aussi, rappelons peut-être
que le caractère de paiement à l'usage236(*) lié à la
flexibilité du service de cloud a pour conséquence
d'indexer le prix de la prestation au niveau de service accepté. Si le
prix varie selon la capacité de stockage exigée par
l'utilisateur, ça l'est également et surtout, en fonction du
niveau de sécurité des données, d'accessibilité du
réseau, de garantie de réversibilité des données et
donc du mode de gestion du service de cloud. En somme, plus les
risques seront élevés pour l'utilisateur, plus le coût du
service sera faible et inversement. On comprend donc à ce stade que la
contrainte économique puisse être un facteur
d'inégalité entre les professionnels dans leur recours au
cloud. Ainsi, et pour schématiser, les grands groupes
bénéficieront plus facilement des solutions de
cloud privé avec un niveau plus élevé de
garanties de sécurité des données, alors que les petites
et moyennes entreprises (ci-après « PME »),
les très petites entreprises (ci-après
« TPE ») ou qui plus est les start up,
s'orienteront naturellement vers les types de services les plus avantageux
économiquement237(*). Pour démontrer cela, l'exemple des services
de cloud utilisés par les avocats semble pertinent. Rappelons
que Me Bensoussan conseillait à la profession de
privilégier la souscription de services de cloud privés
leur assurant une gestion des données conforme aux exigences
déontologiques de la profession238(*). Dans cet esprit le Conseil National des Barreaux a
conclu avec le prestataire SFR business une solution de cloud
conçue sur-mesure pour la profession239(*). À cet égard constatons seulement que
l'organisation ordinale des avocats a permis la commande d'une offre de service
qui est réellement adaptée aux exigences de la profession.
Naturellement, ce qui est réalisable en commun le serait bien plus
difficilement individuellement. Aussi, le niveau de service du
« cloud privé des avocats » se limitant
à un espace de 50 Go de stockage, il est fort à parier que tous
les professionnels ne puissent pas également compléter ce service
par une solution de cloud privée, propre à leur cabinet.
Certains d'entre eux continueront certainement de souscrire des solutions
inadaptées aux exigences de leurs professions240(*), pour des raisons tant
économiques que pratiques. Observons enfin que plus
généralement, les prestataires de service de cloud,
prévoient des offres standardisées et au coût attrayant,
spécialement dédiées aux PME, TPE et start
up241(*).
Un dernier phénomène pratique, rendant plus
opaque les conditions de prestation des services de cloud,
réside dans le recours de plus en plus fréquent à la
sous-traitance242(*). La
CNIL appelle d'ailleurs les entreprises désireuses de souscrire des
solutions de gestion de cloud à se méfier des
« faille(s) dans la chaine de sous-traitance, dans le
cas ouÌ le prestataire a lui-même fait appel aÌ des tiers
pour fournir le service»243(*). Le Groupe d'expert de la Commission confirme ce
point de vue en rappelant que les chaînes de contrats sont susceptibles
de failles de sécurité244(*). L'enjeu peut donc être important pour
l'utilisateur du service de cloud d'être informé du
recours, par son prestataire de service, à la sous-traitance. Cela a un
intérêt certain pour l'attribution de la responsabilité du
traitement des données. Dans le même temps, la sous-traitance
favorise l'internationalisation des prestations de service de cloud.
Il va sans dire que les difficultés décrites
précédemment pourraient être exacerbées si ledit
sous-traitant résidait dans un État tiers à l'Union
européenne. Or ces informations ne seront connues de l'utilisateur final
du service que si le prestataire fait preuve de suffisamment de
transparence.
Les risques qui viennent d'être décrits peuvent
être appréhendés par le contrat en soumettant le
prestataire à certaines obligations dont la violation pourra être
sanctionnée. Le contrat apparaît donc ici comme outil de gestion
des risques de l'activité de cloud computing245(*). Or, la pratique rend compte
du fait que les contrats de cloud souffrent de défauts qui,
eux-mêmes, suscitent la méfiance des professionnels.
Les défauts propres aux contrats de cloud
computing
Le contrat, en ce qu'il encadre la relation entre
l'utilisateur et le prestataire de service, a pour vocation de prémunir
les utilisateurs des risques inhérents à la technique du
cloud. Ainsi, le contenu contractuel doit prévoir les
obligations incombant aux parties et les conséquences qui
résulteront de leur violation. Cependant, tout contrat traduit un
rapport de force économique. Durkheim dénonçait en ce sens
la contrainte existante dans tout acte que l'homme conclu, et ce
« car ils ne sont jamais conformes à ce que nous
désirons » et que : « qui dit contrat
dit concessions, sacrifices pour éviter de plus
graves »246(*). Ainsi, les défauts des contrats de
cloud sont principalement dusau déséquilibre des
obligations qu'il instaure et à leur complexité. À cela
s'ajoute des particularités propres aux contrats conclus sur internet.
Pour les institutions européennes, le
déséquilibrecontractuel des services de cloud se traduit
principalement par l'existence de clauses d'exonération ou de limitation
de responsabilité au profit du prestataire247(*). Il s'avère que
celles-ci peuvent porter sur des éléments essentiels du contrat
comme les dysfonctionnements du service ou l'intégrité des
données248(*).
À l'inverse, l'utilisateur voit ses droits limités, notamment
lorsque les offres standardisées empêchent toute
négociation précontractuelle. La CNIL rappelle à cet
égard qu'il s'agit souvent de « contrats d'adhésion
ne laissant pas aux clients la possibilité de les
négocier» et conseille alors aux professionnels de comparer
les différentes offres249(*). Encore une fois, toutes les entreprises clientes de
services de cloud ne sont pas sur un même pied
d'égalité : si les plus grandes entreprises pourront
négocier de gré à gré un contrat
individualisé, la majorité des autres se contentera d'un contrat
d'adhésion250(*).
Aussi, l'effet du déséquilibre contractuel seraient
accentué par la complexité des contrats et le manque de
transparence du prestataire, notamment en ce qui concerne la localisation des
infrastructures servant de bases à la prestation, tout comme les
éventuels recours à la sous-traitance.
Enfin, on peut évoquer plus généralement
la particularité des relations contractuelles sur internet dont le
cloud peut être l'objet. À ce sujet N. Martial-Braz
rappelle qu'en apparence les prestataires de services sur internet
entretiennent une « négation de l'existence du
contrat»251(*)
en les nommant « chartes d'utilisation » ou
« politiques de confidentialité » et auxquels on ne
consent qu'en un clic. On pourrait décrire ce processus comme
un phénomène psychologique encourageant à la conclusion
des contrats électroniques et dont le risque, concernant le
cloud, tendrait à la méconnaissance pour les
utilisateurs des obligations leur incombant ou des risques qu'ils prennent
relativement à la qualité du service fourni.
On se rend finalement compte que toutes ces
caractéristiques du cloud et des contrats de cloud ont
en réalité pour objet de placer les plus petites entreprises en
situation de faiblesse vis-à-vis du prestataire de cloud. Il
semblerait d'ailleurs que la Commission projette plus précisément
de protéger ces petites entreprises dans les relations contractuelles de
cloud.
L'intérêt des institutions européennes
pour l'accès des PME aux services de cloud computing
En filigrane des documents officiels étudiés
apparaît un certain intérêt porté aux PME dans leur
accès aux services de cloud. Notons à cet égard
que si les PME sont des professionnels, et jouissent de ce fait de la
liberté contractuelle, leur taille et leur capital, sans commune mesure
avec les grandes entreprises, peut-être source de
vulnérabilité. À cet égard, il est
intéressant de relever que, dans sa communication de 2012, la Commission
distingue les « petites entreprises » des autres
« utilisateurs professionnels » en les comparant
aux « particuliers »252(*). Cela est d'autant plus
explicite lorsqu'elle déclare que :
« Pour les contrats avec les particuliers et les
petites entreprises, il sera peut-être nécessaire
d'élaborer des clauses et conditions reposant sur un instrument de droit
des contrats facultatif de façon à disposer de contrats clairs et
équitables en matière de services en
nuage »253(*).
La Commission souligne ainsi une similitude entre les
comportements des petites entreprises et ceux des personnes physiques dans leur
recours au cloud. Les projets de droit des contrats de cloud
computing pourraient alors s'orienter vers des dispositions protectrices
de ces seuls utilisateurs du cloud. Juridiquement cela pourrait se
traduire par la création d'un statut protecteur desentreprises les plus
faibles, a simili de celui du consommateur. La pertinence d'une telle
piste de réflexion semble justifiée par sa mise en contexte. En
effet deux initiatives récentes de l'Union européenne à
l'attention des PME intéressent, de près ou de loin, le
cloud.
D'une part, le projet de règlement relatif à un
droit commun européen de la vente avait pour ambition de créer
des règles spécialement applicables aux PME dans leurs rapports
avec d'autres professionnels. En ce sens, l'article 7 disposait que le
règlement pouvait être appliqué à une relation
contractuelle transfrontière lorsque « le fournisseur du
contenu numérique est un professionnel » et que l'autre
partie au moins « est une petite ou moyenne
entreprise»254(*). Il définissait d'ailleurs la PME comme
« un professionnel qui emploie moins de 250 personnes, et dont le
chiffre d'affaire annuel ne dépasse pas 50 millions d'euros ou dont le
bilan total annuel n'excède pas 43 millions d'euros»255(*) . Dans cet esprit, ce
projet avait pour ambition de lever les freins aux échanges
transfrontières qui, pour les PME comme pour les consommateurs,
« ont un effet particulièrement
dissuasif»256(*). L'article 86 retenait particulièrement
l'attention à cet égard en prévoyant un régime
juridique de « clauses contractuelles abusives dans les contrats
entre professionnels », lorsque des dispositions n'ont pas pu
faire l'objet de négociation et seraient contraires aux principes de
bonne foi et de loyauté. Comme il l'a déjà
été expliqué en introduction, ce projet semble être
tombé en désuétude. D'ailleurs, les derniers amendements
du Parlement européen ont fait disparaître cette distinction entre
grandes et petites entreprises257(*). Il est aujourd'hui remplacé, pour ce qui
nous concerne, par une directive dédiée aux contrats de
fourniture de contenu numérique258(*), et sur lequel nous reviendrons259(*).
D'autre part, il est intéressant de constater que
l'Agence de l'Union européenne chargée de la
sécurité des réseaux et de l'information est à
l'origine d'un « Cloud Security Guide for
SME's »260(*). Il s'agit d'un guide d'une cinquantaine de pages
dans lequel sont identifiés clairement les intérêts et les
risques du cloud pour les PME. Ce procédé est
particulièrement intéressant en ce qu'il identifie le
comportement à adopter par les PME utilisant le cloud et
témoigne d'un intérêt particulier porté à ces
entreprises par les institutions européennes.
C'est ainsi que le cloudd'une part et les contrats de
cloud d'autre partsont emprunts de défauts qui en ralentissent
le développement dans l'ensemble du marché intérieur. Pour
la Commission, la principale cause de ces défauts serait
« la complexité et le flou du cadre juridique applicable
aux prestataires de service en nuage »261(*). En somme le droit actuel
semble apporter des solutions inadaptées aux problématiques
posées par le cloud.
2 - L'inadaptation des réponses du droit actuel
aux problèmes pratiques du cloud computing
Face aux difficultés pratiques que peuvent rencontrer
les professionnels désireux de contracter des services de cloud
computing, force est de constater qu'actuellement le droit ne leur apporte
qu'un nombre infime de garanties. En résulte l'inadaptation du droit qui
compte à cet égard tant de lacunes que de carences.
En ce qui concerne tout d'abord les lacunes, la
présentation du droit applicable aux contrats internationaux de
cloud computingtémoigne que tant le droit européen que
les droits nationaux présentent des lacunes dites « de
construction ». Ce constat est sans appel en ce que le droit ignore
actuellement l'expression de « cloud computing »
ou d' « informatique en nuage ». Aucune règle
n'a donc été spécialement conçue pour régir
les activités de cloud computing262(*). D'ailleurs, on ne trouve
actuellement aucune définition légale du cloud en droit
positif. Cela étant, nous avons entendu démontrer qu'en
dépit de telles lacunes, quelques dispositions éparses
influencent indirectement les activités de cloud computing. Il
en va de la sorte par exemple pour les obligations incombant aux professionnels
de stocker leurs données fiscales sur un serveur localisé dans un
pays européens ou dans un pays tiers lié par une convention
internationale à leur État d'origine, ou pour un prestataire
d'être agréé par les autorités publiques s'il
souhaite opérer un traitement des données de santé
etc. Or, ces réglementations impactant les activités de
cloud ne suffisent pas à combler les lacunes décrites au
préalable. En effet, dans l'ensemble, ces caractéristiques
auraient un effet néfaste sur les activités
transfrontières de cloud. Le silence du droit sur les contrats
de cloud computing serait source d'insécurité juridique.
De plus le caractère épars des règles nationales rend
l'information juridique difficile à obtenir pour chacun des droits
nationaux, dissuadant donc à la fourniture transfrontière de ces
services. Néanmoins, si le droit de l'Union est lacunaire par essence,
les droits nationaux sont eux susceptibles de régir toutes les
situations qui se posent à lui. Si bien qu'alors, plus que de lacunes,
c'est de carences (ou « fausses lacunes ») que
souffriraient les droits nationaux dans leur application aux contrats de
cloud computing.
Ensuite, le fait qu'aucune disposition n'ait été
créée spécifiquement pour les activités de
cloudcomputing ne signifie pas que celles-là ne soient pas
soumises à certaines règles. Au contraire, dans une telle
situation,le droit commun s'appliquera et le juge l'interprètera
à la lumière des spécificités du
cloud263(*). Il
peut paraître précipité de se positionner sur la question
alors même qu'en Europe très peu d'affaires ont eu lieu à
propos ducloud. Or, c'est bien à l'occasion des litiges quenous
pouvons réellement mesurer les carences d'un droit. Aussi, nous nous
contenterons d'invoquer une partie seulement de ce qui, en l'état du
droit, pose problème aux contrats internationaux de cloud. Pour
l'essentiel, nos remarques concerneront les problématiques de la
qualification juridique du contrat, du régime de responsabilité
contractuelle et de la difficulté d'appliquer le régime de
protection des données à caractère personnel aucloud
computing.
D'une part, rappelons peut-être les doutes que pose la
qualification juridiquedu contrat de cloud en doctrine
française. La question de savoir si le régime juridique du
contrat de dépôt pourrait être applicable aux
opérations de stockage de données
dématérialisées rouvrirait le débat opposant, au
siècle passé, les défenseurs de la méthode
d'interprétation exégétique à ceux de la libre
recherche scientifique de F.Gény264(*). Plus concrètement, les doutes relatifs
à la qualification juridique des contrats de cloud soulignent
lesdifficultés qui pourraient se poser à l'adaptation du cadre
légal du Code civil français à la pluralité de
pratiques dont le cloud peut faire l'objet et « qui
n'ont en commun que l'externalisation des données »265(*). Dans cet esprit, la
perspective d'une définition légale générale des
contrats de cloud pourrait être abandonnée au profit de
qualifications, au cas par cas, de chacun des modèles de service
proposé. Si l'on poursuit la réflexion, il faut alors s'attendre
à voir émerger des notions jurisprudentielles telles que celles
de contrat de dépôt dématérialisés que l'on
distinguera des contrats de coffre-fort dématérialisés,
a simili de la distinction actuellement opérable entre les
contrats de dépôt et de coffre-fort
« physiques ».
C'est, d'autre part, le régime de responsabilité
applicable aux contrats de cloud qui peut être
questionné, et plus particulièrement la validité des
clauses exonératoires et limitatives de responsabilité. Le lien
avec la qualification juridique du contrat est notable puisque de celui-ci
dépendent les obligations respectives des contractants. À
défaut d'obligations légales spéciales nous avons vu que
les parties disposaient d'une certaine liberté dans l'aménagement
du contenu contractuel et, en pratique, de l'insertion de clauses limitatives
de responsabilité. Le régime français de
responsabilité contractuelle autorise les professionnels à
convenir entre eux d'éventuelles limites ou exonérations de
responsabilité266(*). Mais cette liberté est encadrée.
Ainsi, les clauses d'exonération ou de limitation de
responsabilité ne couvrent pas les cas d'inexécution dolosive
d'une obligation267(*),
de faute lourde et, en principe, de la violation de l'obligation essentielle du
contrat. Si la faute lourde se traduit par un manquement à une
obligation contractuelle caractérisée par la gravité du
comportement du débiteur de ladite obligation268(*) et peut résulter de
la seule méconnaissance d'une clause expresse269(*), il est intéressant
de noter l'évolution de la jurisprudence sur les effets d'une violation
de l'obligation essentielle du contrat. Dans l'affaire Chronopost de 1996, la
Cour de cassation reconnaissait alors qu'une clause de limitation de
responsabilité était réputée non écrite si
elle contredisait la portée de l'engagement pris270(*). En 2006, dans un autre
arrêt Chronopost la Cour retenait la même solution pour la
violation d'une « obligation
essentielle »271(*) du contrat. Néanmoins, lors d'une affaire
opposant la société informatique Oracle à
Faurecia272(*) en 2010,
la Cour de cassation a eu l'occasion de se prononcer sur la validité de
telles clauses dans les contrats informatiques et semble avoir assoupli sa
position. En l'espèce, Oracle devait livrer un logiciel de gestion de
production et de gestion commerciale à l'équipementier automobile
Faurecia. Ce dernier se plaignait du défaut de livraison dudit logiciel
dans le temps conventionnellement prévu, mais le contrat
prévoyait une clause limitative de responsabilité plafonnant le
montant de l'indemnisation au montant du prix payé par Faurecia pour la
prestation. À l'appui de ses prétentions la société
invoquait la méconnaissance par Oracle de l'obligation essentielle du
contrat pour ne pas se voir opposer une telle limitation de
responsabilité. Mais la Cour refusa cet argument au motif que
« la clause limitative de réparation ne vidait pas de
toute substance l'obligation essentielle de la société
Oracle ». L'interprétation des clauses devient alors plus
favorable à leur validité. Alors que les affaires Chronopost
conduisaient à leur nullité systématique dès lors
qu'elles allaient à l'encontre d'une obligation essentielle du contrat,
désormais le client devra prouver que la clause vide l'obligation
essentielle « de toute sa substance ». Par
cetarrêt la Cour consacre la nécessité d'établir un
examen in concreto du comportement fautif et redonne ainsi de la
consistance au principe de la liberté contractuelle qui prévaut
entre professionnels. Celadoit nous interroger à propos du
cloud273(*).
Serait-il raisonnable qu'une clause limite la responsabilité d'un
prestataire de cloud à un certain montant de
dommages-intérêts en cas de dysfonctionnement du service274(*) ou de mise en cause de
l'intégrité des données275(*) ? Si l'on se réfère à
l'ordonnance en référé rendue dans l'affaire opposant
l'UMP à Oracle, il a pu être considéré que le
préjudice subit du fait du défaut du service empêchant la
réversibilité des données ne pouvait pas faire l'objet
d'une limitation de responsabilité. En effet, le juge aurait
implicitement appliqué la jurisprudence relative à la violation
d'une obligation essentielle du contrat. Il serait également
intéressant de se demander sile législateur, par l'ordonnance du
10 février 2016 portant réforme du droit des contrats276(*)devant entrer en vigueur le
premier octobre 2016, n'a pas entendu donner raison à
l'interprétation de la Cour dans l'affaire Oracle c/ Forecia en
codifiant expressément dans le futur article1170 du Code civil que
« toute clause qui prive de sa substance l'obligation essentielle
du débiteur est réputée non
écrite ». Un doute demeure sur le fait de savoir si les
juges retiendront le même degré d'appréciation que celui de
l'affaire Faurecia à savoir : la privation de
« toute » la substance de l'obligation essentielle
du contrat, alors que l'article n'y fait pas référence. Aussi
est-il possible de se demander, dans un contrat de prestation de service de
cloud, quelle obligation sera considérée comme
« essentielle » : celle relative au niveau de
sécurité à garantir, celle relative à la
réversibilité des données, celle relative à la
continuité du service ou une autre ?
Enfin, l'application du régime juridique de la
protection des données à caractère personnel poserait
actuellement problème aux activités de cloud computing
entre professionnels. Mais, sur ce point, le règlement relatif à
la protection des données à caractère personnel qui sera
applicable deux ans après sa publication au Journal officiel de
l'Union277(*), et qui a
été voté par le Parlement européen le 14 avril
2016, devrait clarifier la situation. Actuellement, la Directive 95/46/CE
harmonise dans l'Union européenne le régime juridique applicable
à la protection des données personnelles. Or, et comme on l'a
déjà démontré, celle-ci intéresse les
relations de cloud computing entre professionnels. Pour
N. Martial-Braz, les limites de l'adaptation de cette directive au
cloud computing sont doubles : d'une part, n'étant pas
spécifiquement adaptée au cloud, elle
n'appréhende pas la question du traitement des données
après leur externalisation vers un prestataire278(*), et d'autre part elle ne
permet pas la qualification juridique de chacun des acteurs qui prennent part
au traitement dans le nuage279(*). Le groupe de travail de l'Article 29
(« G29 »), partage ce constat en admettant
« la difficulté d'appliquer les définitions de la
directive dans un environnement complexe qui permet d'envisager maints
scénarios faisant intervenir des responsables du traitement et des
sous-traitants, seuls ou conjointement avec d'autres, avec différents
degrés d'autonomie et de
responsabilité »280(*). Plus concrètement encore, la carence du
régime instauré par la directive proviendrait du fait qu'elle a
été conçue pour la conception traditionnelle du traitement
des données, impliquant seulement deux acteurs : l'individu
concerné et le responsable du traitement. Or la pratique et le
développement technologique ont permis, par le cloud,
l'externalisation par le responsable du traitement initial de ses ressources
informatiques sur les infrastructures d'un tiers prestataire, lequel peut
lui-même sous-traiter, ou « sous-sous-traiter »,
certaines activités. Ainsi, au schéma binaire traditionnel du
traitement s'oppose celui, répandu par le cloud, des
chaînes de traitement des données à caractère
personnel. Or, dans un tel cas, alors qu'il en conserve la
responsabilité de droit, le responsable du traitement n'en a plus le
contrôle de fait. Il est alors primordial pour le fournisseur de service
de prévoir contractuellement les obligations et responsabilités
de ses sous-traitants281(*) et de s'assurer que ceux-là ne puissent
également sous-traiter le traitement qu'avec son autorisation282(*), puisque la directive
n'instaure pas un régime de responsabilité des sous-traitants
à l'égard des intéressés relativement au traitement
de leurs données à caractère personnel. Cela dit, le
règlement adopté au mois d'avril 2016283(*), semble témoigner de
l'adaptation du régime de protection des données à
caractère personnel. Ce règlement prend en effet compte du
phénomène de sous-traitance dès les dispositions relatives
à son champ d'application284(*), puis en y consacrant son article 28. Cet article
invoque même les chaînes de sous-traitance en disposant
qu' « un sous-traitant ne recrute pas un autre sous-traitant
sans autorisation préalable du responsable du
traitement ». Une autre nouveauté de ce règlement
réside dans le statut qu'il crée de « responsable
conjoint du traitement », prévu en son article
26285(*)et qui
intéresse également leur responsabilité en disposant en
son troisième paragraphe que « la personne
concernée peut exercer les droits que lui confère le
présent règlement à l'égard de et contre chacun des
responsables du traitement ».Ce règlement augure un
renouveau du régime de la protection des données à
caractère personnel qui influencera sans aucun doute la technique
contractuelle des opérateurs et clients professionnels de service de
cloud computing.
C'est ainsi que plusieurs facteurs participent à
ralentir le développement des activités de
cloud :alors que le cloud est une technique
risquée pour l'utilisateur professionnel, les contrats de cloud
ne leurs garantissent pas nécessairement la sécurité
du service attendue et le droit lui-même peine à rétablir
l'équilibre contractuel et manque, tout du moins,de clarté et de
prévisibilité. À cela la Commission ajoute que ces
défauts, génériques, sont souvent accentués pour
les contrats internationaux de cloud. Or, cette fois-ci,
c'estprincipalement ladiversité des droits potentiellement applicables
qui est visée.
B - Les défauts liés à la
diversité des droits nationaux applicables aux contrats internationaux
de cloud computing
Les contrats internationaux de clouddevant être
soumis à un droit national, il convient de s'interroger sur l'impact de
la diversité des droits des contrats sur le développement du
marché unique numérique. On remarque à cet égard
que la Commission présume quasiment que la pluralité des droits
constitueune entrave au bon fonctionnement du marché intérieur
(1). Aussi, la possibilité pour les opérateurs
de choisir le droit qui sera applicable au contrat rendrait possible le
phénomène du law shoppinget, par extension, la
concurrence normativeentre les États membres de l'Union
(2).
1 - La diversité des droits nationaux comme
entraveau bon fonctionnement du marché intérieur
La question suscite les débats. En doctrine, nombre
d'auteurs considèrent que la diversité des droits nationaux des
contrats nuit à la réalisation du marché unique286(*), quand bien même il
est difficile de le prouver287(*). D'autres au contraire demeurent perplexes à
cet égard288(*)
et jugent les études de l'Union « trop
empiriques » et préfèreraient qu'elle«
[étaye]la justification [...] d'études
académiques mettant en évidence les distorsions provoquées
par les législations nationales»289(*).
En ce qui concerne les contrats de cloud computing,
dès 2012la Commission semblait considérer comme acquis que la
« diversité des cadres juridiques
nationaux » a comme conséquence « le
morcellement du marché unique numérique » et que
cela nuirait à la fourniture transfrontière de ces
services290(*). Il
s'agit d'une position constante de la Commission de considérer que la
multitude des droits des contrats nuise au marché
intérieur291(*).
Aussi entendait-elle le démontrer dans ses communications sur le droit
des contrats de 2001292(*) et de 2010293(*). Elle identifie d'abord comme frein aux
échanges le fait que le choix du droit applicable aux contrats puisse
être altéré par les dispositions impératives de la
loi d'un autre pays294(*). Elle pointe ensuite du doigt la
méconnaissance, pour les consommateurs et les PME, des droits des
contrats étrangers295(*) et le coût que représente le conseil
juridique ou le contentieuxpour les entreprises opérant sur le
marché intérieur296(*). Pour confirmer cette vision, la Commission a
procédé à des consultations publiques. L'une d'entre elles
est particulièrement intéressante en ce qu'elle a pour objectif
d'identifier l'impact du droit européen des contrats dans les
transactions entre entreprises297(*). On y apprend par exemple que 49% des6476 dirigeants
d'entreprises interrogés considèrent que le droit des contrats
constitue un obstacle, même minime, sur leur activité commerciale
avec les entreprises provenant d'autres États membres298(*) et que la moitié
d'entre eux opterait pour un remplacement des droits nationaux des contrats par
un droit européen unique299(*).
Ces allégations portées par la Commission sur le
droit des contrats trouvent un écho dans leur application au
cloud. De prime abord, le coût que supportent les
opérateurs de cloud dans leurs prestations de service
transfrontières est particulièrement visé dans la
communication de 2015 relative aux contrats de services de la
société d'information300(*). La proposition de directive portant sur les
contrats de fourniture de contenu numérique confirme cette tendance en
souhaitant « réduire l'insécurité [...] du
fait de la complexité du cadre juridique et des coûts liés
aux différences entre les droits nationaux des contrats que doivent
supporter les entreprises»301(*). Mais rappelons que ce projet, bien que
concernant les activités de cloud, ne vise que la protection
des consommateurs.Ensuite, la méconnaissance des droits des contrats
étrangers apparaît clairement dans le projet de règlement
de droit commun européen de la vente. Le premier considérant
dispose clairement que « les professionnels classent la
difficulté de trouver les textes d'un droit des contrats étranger
parmi les premières entraves aux transactions entre professionnels et
consommateurs et à celles entre
professionnels »302(*). Enfin, plus juridiquement peut-être,
certaines questions se posent relativement aux divergences des droits nationaux
des contrats. Le groupe d'expert sur le cloud relève en ce
sens que la validité des clauses limitatives de responsabilité au
regard des droits nationaux expose des solutions qui diffèrent, et
notamment entre le droitbritannique et les autres systèmes
juridiques303(*). Ces
divergences concernent le droit des contrats en général, et ne
sont pas spécifiques au cloud. Néanmoins, il est
possible de s'interroger sur le fait que le développement du
cloud entraînera tôt-ou-tard une intervention juridique,
législative ou judiciaire, en droit national. Dans ce cas, en l'absence
d'harmonisation européenne, les chances sont grandes pour que chacun des
droits nationaux évolue indépendamment l'un de l'autre et donne
lieu à de futures divergences. C'est donc tant la diversité
actuelle des droits que leurs divergences futures qui devraient
inquiéter quant au développement des échanges
transfrontières portant sur les services de cloud.
C'est ainsi que, pour la Commission, la diversité des
droits nationaux est clairement un obstacle au perfectionnement du
marché unique numérique. Aussi, dans l'ombre de ces
considérations, se poserait la question de savoir si la diversité
des droits ne favoriserait pas le phénomène de concurrence
normative entre les États membres de l'Union européenne.
2 - La diversité des droits nationaux comme
source de concurrence normative entre États membres
Le phénomène de concurrence normative304(*) ou
régulatoire305(*), résulte d'une approche économique du
droit consistant à mesurer l'attractivité des systèmes
juridiques que l'on perçoit dans une relation de
compétitivité les uns par rapport aux autres306(*). Trois conditions sont
jugées nécessaires à l'existence de rapports
concurrentiels entre les droits : la diversité des droits, la
mobilité des acteurs économiques307(*)et le fait que ces derniers
aient un intérêt particulier à préférer un
droit à un autre308(*). On attribue à la concurrence normative deux
conséquences opposées que sont la course vers le haut
(« race to the top ») et la course vers le bas
(« race to the bottom). Elle pourrait donc être tant
source de progrès que de nivellement par le bas309(*).
La question peut donc se poser de savoir si le droit
applicable aux activités de cloudcomputingpourrait être
à l'origine d'une concurrence normativeau sein de l'Union
européenne. Il convient pour cela d'examiner si les trois conditions
nécessaires à l'émergence d'un tel phénomène
sont réunies. En ce qui concerne tout d'abord la diversité des
droits nationaux, il a déjà été prouvé que
celle-ci est actée puisque le droit des contrats est essentiellement
d'origine étatique. Ensuite, la possibilité pour les
opérateurs de cloud de choisir le droit qui leur est applicable
se vérifie par la flexibilité des règles de droit
international privée dont l'autonomie contractuelle des
professionnels permet de choisir le droit applicable au contrat et le juge
compétent lors d'éventuels litiges. Aussi, à défaut
de choix des parties, la loi de l'État de résidence habituelle du
prestataire de service devait être désignée comme
régissant le contrat. Or, dans ce cas les opérateurs de
cloudpourraient bénéficier des libertés
d'établissement310(*) et de prestation de service pour choisir le
régime juridique auquel leurs activités de cloud seront
soumises. Ce phénomène est plus connu du droit international
privé sous le vocable de law shopping et de forum shopping
et qui traduisent « la satisfaction des
intérêts privés »311(*) des opérateurs
économiques. Il ne reste enfin qu'à se positionner sur la
question de savoir si les prestataires de cloud auraient un
intérêt à préférer un droit à un
autre. De ce point de vue on peut distinguer le choix du droit applicable aux
contrats internationaux de cloud de celui applicable à
l'activité de l'opérateur de cloud. En ce qui concerne
d'une part le droit applicable au contrat de cloud, on
aétudié que des divergences peuvent exister entre les droits sur
la question de la validité des clauses exonératoires ou
limitatives de responsabilité qui composent souvent les contrats de
cloud. Dans ce cas il y aurait un intérêt évident
pour le prestataire à choisir la loi et le juge les plus enclins
à admettre l'exonération de responsabilité en cas de
dysfonctionnement de service ou d'atteinte à l'intégrité
des données. Le fait que l'étude comparative des contrats de
cloud ait mentionné que le droit anglais fût souvent
choisi dans ces contrats312(*), et que le groupe d'expert ait affirmé que ce
droit était plus enclin que d'autres à tolérer la
validité de ces clauses le confirmerait. En ce qui concerne d'autre part
le droit applicable aux activités de cloud du prestataire, on a
étudié que la directive relative au commerce électronique,
par sa clause marché intérieur, instaurait un correctif a
posteriori permettant de faire en sorte que les prestataires de services de la
société d'information ne soient pas soumis, dans leurs
activités, à des normes plus strictes que celles de leur
État d'origine. Un tel principe permettrait donc à un prestataire
de cloud de choisir l'État à partir duquel il diffusera
ses services en fonction du droit auquel il préfère soumettre son
activité de cloud computing. Néanmoins, les droits des
États membres ne concernant pas encore spécifiquement les
activités de cloud computing, il est possible de douter que de
telles considérations constituent actuellement un élément
de mobilité pour les opérateurs de cloud. Au contraire
ce seront peut-être d'autres éléments, exogène au
cloud et au droit des contrats, qui détermineront le choix
d'établissement des prestataires. On pense alors aux domaines
traditionnels faisant l'objet des études relatives à la
concurrence normative que sont la fiscalité, les normes sociales ou
environnementales.
C'est ainsi que le droit actuellement applicable aux contrats
internationaux apparaît défaillant tant du fait de sa substance
que de sa diversité. Or, il a déjà été
présenté que la diversité des droits pouvait être
coordonnée par les règles de droit international privé.
D'ailleurs, le bon fonctionnement du marché intérieur implique
des règles de droit internationalprivé fiables. En ce sens
F.Viangalli rappelle qu' « aucune circulation des personnes
ou des marchandises n'[est] possible lorsque les droits des personnes,
et ceux qui s'exercent sur les marchandises ne sont pas reconnus au-delà
des frontières qu'elles franchissent»313(*). Mais qu'en serait-il
si ces règles sont également empruntes de
défauts ?
§2 - Les défauts des règles de
droit international privé applicables aux contrats internationaux de
cloud computing
L'inadaptation des règles de droit international
privée résulte principalement des défauts des
critères de rattachement instaurés par le droit européen
(A). Néanmoins, il résulte des
précédents développements que l'évolution du
cloud computing passerait notamment par la protection des utilisateurs
professionnels les plus vulnérables face aux risques de cette pratique.
Or les règles de droit international privé semblent actuellement
contradictoires à cet objectif (B).
A
- Les défauts des critères de rattachement du droit international
privé applicable aux contrats internationaux de
cloudcomputing
Les critiques adressées au droit international
privé applicable aux contrats internationaux de cloud
concernent tant les conflits de juridictions (1) que les
conflits de lois (2).
1 - Les défauts des règles de conflit de
juridictions
Le principal défaut que l'on peut reprocher aux
règles de conflits de juridictions instituées par le
règlement Bruxelles 1bis consiste en l'obscurité des
critères de rattachement qu'elles instaurent. Le critère
général du « lieu d'exécution de
l'obligation qui sert de base à la demande », en
matière contractuelle, a fait l'objet d'une précision pour les
contrats de prestation de service en désignant le for du lieu
de l'État membre où le service a été ou aurait du
être fournis314(*). Mais des difficultés peuvent exister tant en
ce qui concerne la qualification du contrat de prestation de service que la
localisation du critère de rattachement315(*). Il a déjà
été étudié qu'en droit européen rien ne
semble s'opposer à ce que le contrat de cloudcomputing soit
qualifié de contrat de fourniture de service, en le rattachant à
la notion de « service de la société
d'information ». Par contre, les critères de rattachement
retenus traditionnellement pour ces types de contrats s'avèrent
difficilement applicables au cloud. C'est plus particulièrement
la désignation du lieu de fourniture des services qui pose
problème. La Cour de Justice ayant déjà
précisé qu'en cas d'exécution de la prestation dans des
lieux différents, seul le lieu de fourniture principale316(*) devait être retenu,
l'appréciation de celui-ci dans la prestation de service de cloud
computing pourrait être particulièrement délicate
à établir. Rappelons en effet qu'un contrat de cloud
computing s'exécute via un réseau de communication
et que la portabilité du service le rend alors disponible partout
où l'utilisateur sera susceptible d'établir une connexion.
Partant de ce constat, J. Sénéchal s'interroge alors sur les
critères qui seront retenus : peut-être que ce seront tous
les tribunaux des lieux où la connexion au service pourra être
établie, ou qu'un critère propre au cloud sera
créé ? Dans ce cas l'on pourrait retenir le lieu
à partir duquel l'activité du fournisseur de service est
déployée ou alors le lieu où le client accède
habituellement au service. Or, chacun de ces critères pourrait
également se dédoubler: le premier laissant le choix entre le
lieu d'établissement du prestataire ou d'hébergement de son site
et le second pouvant être rattaché au lieu de l'adresse de
connexion ou à l'État du lieu de résidence du
client317(*).
Ces réflexions ne sont pas exhaustives des
critères qui pourront être établis pour déterminer
le rattachement d'un contrat de cloud.Le recours à la
sous-traitance pourrait aussi complexifier cette démarche en
décuplant les lieux de prestation du service. Ces difficultés
appelleront nécessairement un éclaircissement par la Cour de
Justice. En attendant, les contractants qui n'ont pas pris le soin de choisir
conventionnellement la juridiction compétence en cas de litige demeurent
dans l'expectative. Or, à ces lacunes de sens des règles de
conflit de juridictions s'ajoutent celles des règles de conflit de
lois.
2 - Les défauts des règles de conflit de
lois
À l'instar des conflits de juridictions, les conflits
de lois peuvent laisser les contractants de service de cloud dans une
certaineincertitude quant à la loi qui sera désignée
à défaut de choix exprès de leur part. L'obscurité
de ces règles de conflit de lois est déduite tant des
difficultés d'interprétation du règlement Rome I que des
divergences de transposition de la directive sur le commerce
électronique.
En ce qui concerne d'une part le règlement Rome I, il a
déjà été expliqué que l'autonomie dont
bénéficient les parties au contrat peut être limitée
par l'application de dispositions impératives comme les lois de police
du for318(*).
Or, ces termes ne recouvrent pas un contenu prédéfini et
exhaustif, de sorteque la prévisibilité des relations
contractuelles puisse être affectée. Ce sont ensuite à
travers les règles de conflit de lois du règlement Rome I qu'on
retrouverait des lacunes de sens. Celles-ci désignent en effet la loi du
pays de résidence habituelle du prestataire319(*). Cela dit, cette notion de
« résidence habituelle » doit retenir notre
attention en ce qu'elle laisse un certain nombre d'incertitudes320(*). En effet le
règlement désigne par là une pluralité de
critères : le lieu de l'administration centrale321(*), ou, le cas
échéant, le lieu de la succursale, de l'agence ou de tout autre
établissement devant fournir la prestation322(*). Dans ce contexte, la
libertéd'établissement permettant pour les entreprises de
s'établir librement dans chacun des États membres de l'Union
européenne, l'alternative possible entre la désignation de la loi
de l'État sur lequel l'entreprise a son administration centrale et celle
d'une succursale peut soulever des enjeux déterminants en matière
de cloud computing.
Pour ce qui intéresse la directive relative au commerce
électronique d'autre part, rappelons qu'après avoir
réfutéque son article 3 traduise une règle de conflit de
loi, la Cour de justice a ensuiterappelé que les États membres
étaient libres de la transposer comme tel dans leur ordre juridique. En
ce sens, J.Sénéchalidentifie troismanières
différentes dont les Étatsauraient putransposer l'article
3 : soit en ce sens que la directive énonce une règle de
conflit désignant le droit du pays d'origine du prestataire de service,
soit qu'elle énonce ce principe en tant que loi de police, soit qu'elle
n'énonce pas de règle de conflit323(*). Or, si l'on se
réfère aux conclusions de l'avocat général M. Cruz
dans l'affaire eDate, la transposition de l'article 3 de la directive
semble s'être réalisée de façon
hétérogène entre les États membres324(*). Il identifie à cet
égard que dix-sept d'entre eux l'ont transposé fidèlement
à la directive325(*), dont l'Allemagne qui en a reproduit
l'énoncé tel quel, et que sept autres l'ont intégré
en droit nationalpar une règle de conflit de lois326(*), dont la France. C'est plus
particulièrement la loi de confiance pour l'économie
numériquedu 21 juin 2004327(*) qui l'a transposée en France. Son article 17
dispose qu'à défaut de choix des parties, les activités de
commerce électronique sont soumises à « la loi de
l'État membre sur le territoire duquel la personne qui l'exerce est
établie ». La LCEN retient donc le critère de
l'établissement, lequel s'entend, d'après l'article 14, comme
l'établissement « stable et durable pour exercer
effectivement son activité, quel que soit [...] le lieu
d'implantation de son siège social ». La question
pourrait donc se poser de savoir dans quelle mesure est-ce que cette
disposition pourrait faire échec à la règle de conflit
prévue par le règlement Rome I désignant la loi du lieu de
la résidence habituelle du prestataire ? Rappelons ensuite
que la clause « marché intérieur »
instaure un régime correctif pouvant représenter une limite au
choix de la loi applicable à l'activité des professionnels de la
société de l'information328(*).Cela a pour effet qu'il ne peut être
imposé des exigences plus strictes aux opérateurs de services de
la société d'information que celles prévues par le droit
matériel applicable dans l'État membre de leur
établissement329(*). Une telle clause entretientdonc un flou sur le
droit qui sera applicable à l'activité de cloud et nuit
à la prévisibilité et donc à la
sécurité juridique que le droit international privé
était sensé instaurer.
C'est ainsi qu'à défaut de choix exprès
des parties, les règles de droit international privé
désignant le droit applicable aux contrats internationaux de cloud
pourront être sujettes à des difficultés
d'interprétation. À ces lacunes de sens pourrait s'ajouter une
carence du droit international privé actuel. Si l'on se
réfère à l'intérêt que portent les
institutions européennes pour les utilisateurs professionnels les plus
faibles dans leur accès au cloud et qu'on rappelle que les PME,
TPE et les start-up sont les premières entreprises à
être exposées aux risques du cloud computing et à
la difficulté d'opérer des transactions internationales, il ne
serait alors pas exclu que le développement du cloud dans
l'Union européenne passe par l'instauration de critères de droit
international privé protecteurs des professionnels les plus faibles.
B
- Vers des critères protecteurs des utilisateurs professionnels les plus
faibles ?
L'attention particulière que semble porter la
Commission européenne aux plus petites entreprises dans sa
stratégie relative au cloud doit conduire à questionner
les défauts des critères de rattachement actuels
(1)et l'opportunité que constituerait la
possibilité d'instaurer des critères de rattachement
destinés à protéger les utilisateurs professionnels les
plus vulnérables (2).
1 -
Les défauts de la désignation de la loi du pays d'origine du
prestataire de service
La question se pose de savoir dans quelle mesure est-ce que le
critère de la loi du pays d'origine du prestataire de service ou de
l'État du lieu de sa résidence habituelle, peut être un
frein à la conclusion transfrontière de contrats d'informatique
en nuage au sein de l'Union européenne ?
Tout d'abord la première entrave pourrait simplement
consister en la méconnaissance de ce droit par le client, notamment
lorsqu'il s'agit d'une PME, TPE ou d'une start-up. En effet, puisque
ce critère vise à désigner un droit étranger de
celui de l'utilisateur, ce dernier pourrait alors rencontrer des
difficultés pour se renseigner sur ce droit. Ces difficultés
peuvent être liées tant à la non-maîtrise de la
langue, qu'aux coûts supplémentaires générés
par un éventuel conseil juridique. Or, a contrario, ce principe
trouve toute sa légitimité dans un autre fondement. En effet,
appliquer le droit des utilisateurs pourrait être encore plus
préjudiciable aux activités transfrontières de cloud
computing. Dans ce cas-làle prestataire serait contraint de devoir
s'adapter aux règlementations nationales de chacun de ses clients, ce
qui, pour des activités se déroulant sur internet comme le
cloud computing, s'avère être particulièrement
contraignant, sinon impossible.
Ensuite, la référence au phénomène
de concurrence normative laisserait craindre que le prestataire ne choisisse
comme État d'origine que celui le plus permissif en termesdes
obligations lui incombant dans la réalisation de ses activitésde
cloud computing. Or, cette recherche du droit le moins-disant pourrait
être préjudiciableà la qualité des services de
cloud computing, notamment lorsque seront concernées les normes
de sécurité liées au matériel utilisé ou aux
garanties légales apportées.D'un autre point de vue, la
conception libérale de la concurrence défendrait au contraire que
les différences de législations puissent-être un atout pour
la compétitivité des services et pour l'innovation des
entreprises européennes.
On se rend alors compte que la désignation de la loi du
pays d'origine du prestataire de service pourrait particulièrement nuire
à la conclusion de ces services par les PME, TPE ou start-up.
Or, il ne semblerait pas impossible que de tels défauts soient
compensés par des règles de conflit protectrices des
professionnels les plus faibles.
2 - L'opportunité de la protection des
utilisateurs professionnels les plus faibles
La protection des professionnels les plus faibles par le droit
international privé ne s'impose pas de soi. Elle n'a en effet aucune
reconnaissance dans le droit actuel, et n'apparaît pas mêmeen droit
prospectif. Cette perspective pourrait néanmoins être pertinente
à certains égards. Admettre que les règles de droit
international privé soient défaillantes suppose en effet que,
pour une partie au contrat, la loi désignée ou le juge
compétent lui soit défavorables. Aussi, après avoir
souligné l'intérêt que portent généralement
les institutions de l'Union européenne aux PME dans leur
stratégie de développement de l'économie numérique,
on ne saurait s'empêcher d'avancer l'idée qu'une protection de ces
entreprises serait nécessaire pourfaciliter leur accès au
cloud. Au-delà, sécuriser la relation contractuelle des
PME, TPE et start-up pourrait atténuer leurs réticences
à la souscription de ces services et bénéficierait alors
au développement de l'économie numérique en Europe.
Certains éléments nous laisseraient penser qu'une telle
protection serait possible à l'échelle européenne. D'une
part, force est de constater que l'unification du droit international
privé de source européenne s'est établie sur le principe
commun de la protection des parties faibles que sont le consommateur, le
salarié ou encore l'assuré. D'autre part, rappelons aussi que
l'idée d'une protection des PME, similaire à celle des
consommateurs, a déjà été proposée par le
projet de règlement de droit commun européen de la vente. De cela
découle l'idée selon laquelle la réalisation du
marché intérieur passe par l'instauration d'un climat de
confiance entre ses acteurs et donc par une clarification du droit applicable.
Vouloir protéger les entreprises les plus faibles dans leur souscription
de service de cloud pourrait donc passer par l'édiction de
règles de conflits qui désigneraient une juridiction
compétente et une loi applicable qui bénéficierait aux
utilisateurs de cloud les plus faibles. En l'espèce il pourrait
simplement s'agir de garantir aux entreprises les plus vulnérables que
tant le juge compétent que le droit applicable soient ceux de
l'État du lieu de leur résidence habituelle.
Il convient pourtant de prendre quelques précautions
vis-à-vis de ce qui vient d'être décrit. En effet rien ne
permet d'assurer qu'un tel critère de rattachement au
bénéfice des entreprises les plus faibles sera un jour
proposé. Aussi, retiendrons-nous de ce développement que les
règles de droit international privée participent à la
désignation d'un droit qui, dans tous les cas pour les activités
de cloud, sera au bénéfice d'une partie et au
détriment de l'autre. Dans ce contexte, entre le droit de l'État
de résidence de l'utilisateur et celui du prestataire, aucun de ces
choix ne paraîtra satisfaisant pour sécuriser la relation
contractuelle. Dans une telle configuration, le droit international
privé semble trouver ses limites dans sa capacité à
ordonner la diversité des droits et impose donc d'examiner par quels
autres moyens l'Union européenne pourrait intervenir.
C'est ainsi que l'état du droit applicable aux contrats
de cloud computing révèle nombre de défauts
empêchant le bon fonctionnement du marché unique numérique.
Bien que le droit de l'Union ait contribué à créer un
espace sans frontières intérieures, la diversité des
droits s'y poseraiten entrave. Cette situation perturberait tant le
développement de l'économie numérique en Europe que la
réalisation du marché intérieur. Si le droit international
privé lui-même ne semble pas suffireà pallier les
défauts de la diversité des droits applicables aux contrats
internationaux de cloud, force est de constater que la solution
réside ailleurs etpourquoi pas dans l'unification du droit des contrats
de cloud ?En tout cas, tellesemble être la position de la
Commission européenne dans sa communication de 2012. Mais alors, quel
pourrait être le réel apport du droit de l'Union européenne
en droit des contrats de cloud computing ?
CHAPITRE 2 - L'APPORT DU DROIT DE L'UNION EUROPEENNE EN DROIT
DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING
L'inadaptation du droit actuel conduit à s'interroger
sur l'apport potentiel du droit de l'Union européenne en droit des
contrats de cloud computing. Les défauts décrits
précédemment sont particulièrement liés à la
diversité des droits nationaux et aux lacunes du droit européen.
Le droit international privé qui coordonne actuellement l'application
des droits nationaux ne paraît pas non plus suffisant. Dès 2001,
le Parlement européen rapportait en ce sens que « le droit
international privé a cessé d'être un instrument
approprié pour un marché intérieur largement
intégré »330(*). Dans ce contexte les objectifs de la Commission
européenne, à savoir ceux de l'établissement du
marché unique numérique et du développement de
l'informatique en nuage, passeraient donc par un processus d'intégration
normative. À l'insécurité juridique liée à
la diversité et à la méconnaissance des droits nationaux
des contrats de cloud devrait succéder un instrument juridique
commun (Section 1). Une fois la confiance rétablie
envers le droit applicable aux contrats, rien ne s'opposerait alors à la
conclusion transfrontière de ces services. Néanmoins, nous
étudierons que l'harmonisation comme l'unification des droits nationaux
peut être sujette à des difficultés au sein de l'Union,
notamment lorsqu'il est question du droit des contrats. Aussi, l'étude
de la pratique actuelle démontrerait que si une alternative devrait
être trouvée, la piste de nouvelles formes de normativités,
notamment à travers les mécanismes de corégulation,
mériterait particulièrement notre attention (Section
2).
SECTION 1 - L'APPORT POTENTIEL D'UN DROIT DE L'UNION
EUROPÉENNE DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING
Si la diversité des droits nationaux a pu être
considérée comme un des défauts essentiels du droit
actuellement applicable aux contrats internationaux de cloud, notre
intérêt doit alors se tourner vers les instruments de gestion de
cette diversité. Ayant déjà prouvé que le droit
international privé, outil de coordination des ordres juridiques, ne
convient pas à régir convenablement les contrats internationaux
de cloud, ce sont les procédés permettant leur
intégration qui retiendront désormais notre attention. En ce qui
concerne le droit des contrats de cloud computing, la substitution de
la diversité des droits nationaux par un droit européen unique
apparaît particulièrement intéressante
(§1), mais sa réalisation appelle l'expression de
certains doutes (§2).
§ 1 - L'intérêt d'un droit
européen des contrats de cloud computing
Les États membres de l'Union et la Commission disposent
de plusieurs voies juridiques pour l'élaboration d'un droit
européen des contrats de cloud computing. L'étude des
principaux procédés de gestion de la diversité des droits
nationaux par l'Union européenne (A) permet de mesurer
l'opportunité du rapprochement de ces droits en matière de
cloud computing (B).
A - La gestion de la diversité des droits
nationaux par l'Union européenne
Conceptuellement, A. Jeammaud distingue trois méthodes
de régulation de la pluralité des droits : l'harmonisation,
l'uniformisation et l'unification. L'harmonisation conduit à
l'équivalence des différentes règles de droit national
entre elles, l'uniformisation consiste à ce que des règles
formellement distinctes aient un contenu matériellement identique alors
que l'unification vise à substituer un droit commun à la
diversité des droits nationaux331(*). L'auteur souligne cependant qu'en pratique cette
distinction est mise à mal par une « inconstance
terminologique »332(*). Il prend notamment pour exemple UNIDROIT qui est
l'institut pour l'unification du droit privé mais dont le statut
organique prévoit en son premier article la mission
d'« harmoniser et de coordonner le droit privé entre les
États » et d'aboutir in fine à une
« législation privée
uniforme »333(*). Force est de constater que cette distinction trouve
difficilement sens en pratique. Il semblerait au contraire qu'entre ces trois
formes de rapprochement de législations, deux d'entre elles seulement
soient consacrées par les politiques internationales :
l'unification et l'harmonisation334(*). On ne peut qu'adhérer à ce constat
tant il trouverait un écho dans les caractéristiques qui
différencient les deux principaux actes de droit dérivés
des institutions de l'Union européenne que sont les
règlements et les directives. Même si le rapprochement entre les
modalités de convergence des droits et la nature des actes de droit
dérivé peut être intéressant d'un point de vue
pédagogique, il est loin d'être systématique en
pratique335(*). Si l'on
confie généralement au règlement la vertu d'unifier les
droits et à la directive de les harmoniser, il peut arriver qu'en
pratique un règlement ait pour effet d'harmoniser les droits nationaux
et qu'une directive les unifie336(*). Pour autant, dans un cas comme dans l'autre, le
rapprochement des droits, notamment lorsqu'il est relatif aux contrats,
favoriserait les échanges économiques sur le marché
intérieur337(*).
En ce sens, les articles 114 et 115 du TFUE portent un intérêt
tout particulier au « rapprochement des dispositions
législatives, règlementaires et administratives »
dans le but de perfectionner le fonctionnement du marché
intérieur. Aussi, la description liminaire des particularités des
techniques d'unification (1) et d'harmonisation
(2) devrait permettre de mesurer l'opportunité de leur
éventuelle application au droit des contras de cloud
computing.
1 - L'unification des droits
nationaux
À première vue, l'unification des droits n'est
pas connue du droit de l'Union. L'expression ne figure tout du moins pas
explicitement dans les Traités européens. Comme on l'a
déjà laissé entendre, cette technique est hostile à
la diversité des droits en ce sens qu'elle a pour effet de la remplacer
par une règle unique, en l'espèce une norme de source
européenne. Parmi les actes juridiques que les institutions ont la
capacité d'adopter, le règlement paraît l'outil le plus
approprié pour opérer la substitution du droit européen
aux droits nationaux. Le second alinéa de l'article 288 du TFUE dispose
en ce sens que le règlement « est obligatoire dans tous ses
éléments et [...] directement applicable dans tout
État membre ». Cela n'est pas, en soi, une qualité
exclusive du règlement puisque ça l'est aussi pour les
dispositions des Traités produisant des effets directs. Aussi, la
pratique prouve que la relation entre le droit communautaire et les droits
nationaux peut être affectée de différentes manières
par ces dispositions. En effet, soit le droit européen se substitue
réellement aux droits nationaux, soit il coexiste avec eux. C'est par
exemple, le cas du droit européen de la concurrence qui ne s'appliquera
que pour les affectations du commerce entre États membres. Ainsi, si le
territoire ou le marché d'un seul État membre est impacté,
les droits nationaux de la concurrence trouveront à s'appliquer. Le
règlement et les Traités ne sont pas non plus les seuls
instruments européens menant à l'unification des droits. La Cour
de Justice a elle-même pu considérer qu'une directive pouvait
avoir pour effet d'uniformiser les droits nationaux dans un arrêt ENKA BV
de 1977. Dans cette affaire était en cause l'effet direct de la
directive de 1969 concernant l'harmonisation des dispositions
législatives, réglementaires et administratives relatives au
régime des entrepôts douaniers. Or, en dépit de
l'intitulé de la directive qui visait l'harmonisation des droits, la
Cour a clairement considéré qu'elle avait pour objectif
d'« assurer une application uniforme du tarif douanier
commun » et, dans ce cas, qu'« il peut
s'avérer nécessaire de réaliser une identité
rigoureuse [des dispositions] qui règlent le traitement
à réserver aux marchandises importées dans la
Communauté »338(*). Cela se remarque également en droit des
contrats, L. Fin-Langer invoque à cet égard une
« dérive vers l'unification »339(*). Elle cite à l'appui
de ses prétentions l'influence de certaines directives sur les mentions
obligatoires d'informations dans les offres de contrats, comme c'est le cas de
l'article 3 de la directive relative aux voyages340(*) dont elle considère
que « certes, l'État peut imposer des mentions
supplémentaires, mais en réalité, tout est
déjà prévu par la directive »341(*).
Finalement, peu importe l'acte qui permet l'uniformisation des
droits nationaux par le droit européen. Aussi, l'unification des droits
peut revêtir différentes caractéristiques. On distingue
généralement son caractère impératif de son
caractèresupplétif. D'une part, l'unification supplétive a
pour vocation la création d'un instrument optionnel. Le droit ainsi
créé ne se substituera aux droits nationaux que, lorsque dans une
situation juridique internationale, il a volontairement été
décidé de le rendre applicable. Appliqué aux relations
contractuelles il s'agit alors pour les parties au contrat de choisir le droit
européen supplétif et, en quelques sortes, de s'affranchir des
autres droits nationaux potentiellement applicables selon les règles de
droit international privé. Il est intéressant à cet
égard de constater que le règlement Rome I tolèrerait la
désignation d'un tel droit optionnel dans ses treizième et
quatorzième considérants342(*). F. Viangalli considère que ces
instruments supplétifs ont pour intérêt la
possibilité de pallier à « l'effet paralysant de la
diversité des lois sur le commerce
interétatique »343(*) et qu'à cet égard notamment, ils
constituent l'une des plus probables perspectives de développement du
droit européen344(*). Le Comité économique et social
européen porte également un certain intérêt à
ce type d'instrument. Ainsi, dans un avis de 2011, le CES a pu
considérer le régime optionnel comme « une option
pour mieux légiférer au niveau communautaire
»345(*). L'origine
du plébiscite pour cette option se trouve principalement dans
l'idée qu'elle pourrait s'appliquer indistinctement à tous les
échanges transnationaux, par le simple choix des opérateurs
économiques, tout en n'éludant pas pour autant les droits
nationaux. Pour le CES le succès de cet instrument passe par un
régime de protection élevée de la partie la plus faible,
permettant de faire fi des lois de police nationales et réduisant les
coûts ou l'insécurité juridique supplémentaire que
cause la diversité des droits nationaux actuels. D'autre part,
l'unification impérative suppose la création d'un instrument qui
a vocation à remplacer les droits nationaux. Elle fait cependant l'objet
de davantage de réticences, comme en témoignent les
hostilités manifestées à l'encontre du projet de Code
civil européen dont on craignait qu'il menace l'autonomie des
États membres346(*). Pour toutes ces raisons la délimitation du
champ d'application spatial suscite des enjeux particulièrement
intéressants. En effet, deux situations semblent envisageables. La
première consisterait à admettre l'application de tels
instruments aux seules situations internationales, dans ce cas l'unification
n'élude pas réellement l'intérêt pour les droits
nationaux. En revanche une juste définition de l'élément
d'extranéité permettant l'application du droit supplétif
ou impératif doit être établie. Il est en effet
nécessaire de déterminer les cas où le droit national
devrait s'appliquer et ceux où l'instrument d'unification pourra
l'être. La seconde situation viserait à permettre leur application
à toutes les situations, même lorsqu'elles sont strictement
nationales, ce qui consisterait à substituer littéralement le
droit de l'Union aux droits nationaux.
Ainsi présentée, l'unification pourrait
paraître difficilement réalisable, notamment si elle suppose
l'anéantissement des droits nationaux. Or, cette technique n'est pas
exclusive de la gestion de la diversité des droits. En ce sens, et face
aux difficultés pratiques de l'unification des droits, J. Porta
considère que l'harmonisation représente une alternative
opportune347(*).
2 - L'harmonisation des droits
nationaux
Contrairement à l'unification, les Traités
fondateurs de l'Union européenne font directement
référence à l'harmonisation des droits nationaux348(*). Comme il l'a
déjà été mentionné, l'harmonisation est
respectueuse de la diversité en ce sens qu'elle tolère
l'existence des droits nationaux mais les influence en rapprochant leur
contenu. Sur un même domaine, le droit de l'Union européenne et
les droits nationaux coexistent. L'acte juridique de droit européen qui
semble le plus approprié à l'harmonisation des droits nationaux
serait donc la directive. L'article 288 alinéa 3 du TFUE dispose en ce
sens que « la directive lie tout État membre destinataire
quant au résultat à atteindre, tout en laissant aux instances
nationales la compétence quant à la forme et aux
moyens ». Une distinction entre la fin et les moyens est ainsi
opérée. J. Porta écrit à ce sujet qu'en
présence d'une directive, le droit national « se trouve
privé de déterminer lui-même ses
finalités »349(*). A contrario, le respect de la
diversité des droits réside dans la marge d'appréciation
laissée aux autorités nationales pour définir les moyens
par lesquels ils transposeront les objectifs européens dans leur droit
national. Il s'agit d'une technique respectueuse de l'autonomie des ordres
juridiques nationaux. Ainsi, un objectif fixé par l'ordre juridique
européen est atteint dans les ordres juridiques nationaux suivant des
procédures et actes juridiques de nature qui leurs sont propres.
Partant, il est possible de distinguer différents résultats
d'harmonisation par voie de directives. Une directive est dite d'harmonisation
totale lorsqu'elle se substitue à la loi nationale antérieure
alors qu'elle sera dite optionnelle lorsque l'autorité nationale a la
simple faculté d'opérer ou non cette modification. Lorsque
l'harmonisation est totale, celle-ci peut avoir un caractère complet si
elle concerne tout ou partie d'un domaine juridique ou partiel lorsqu'une
partie du domaine juridique seulement est visée. On voit qu'au sein
même de la technique d'harmonisation, différents degrés de
tolérance de la diversité coexistent. D'ailleurs, l'harmonisation
totale ne se rapproche-t-elle pas davantage de l'unification, en ce sens
qu'elle a pour effet non pas le seul rapprochement des droits mais leur
identité ?
Tout comme c'est le cas pour l'unification, ce n'est pas tant
l'acte de droit que les effets qu'il produit sur les droits nationaux qui doit
intéresser. Il est acquis que, politiquement, l'harmonisation est une
méthode plus douce et diffuse de rapprochement des droits que celle de
l'unification. Plus respectueuse de la souveraineté et des
identités nationales des États, l'harmonisation n'oppose pas les
ordres juridiques les uns aux autres et, pour cela, conviendrait davantage au
rapprochement des droits des contrats350(*). En effet, comme on l'a déjà
mentionné, aucun projet d'unification du droit des contrats au sein de
l'Union européenne n'a encore abouti. Aussi, pour l'heure, les
principales avancées en la matière ont été
sectorielles et concernent principalement l'harmonisation des
législations nationales en faveur des contrats conclus par voie
électronique, et notamment dans l'objectif de protection des parties les
plus faibles dont les consommateurs. Ainsi, les directives relatives aux
clauses abusives351(*),
aux produits défectueux352(*), aux contrats conclus à distance353(*) ou au commerce
électronique s'inscrivent incontestablement dans cette tendance. Il est
important dans ce contexte de souligner le rôle qu'a pu jouer la Cour de
Justice de l'Union européenne dans le rapprochement de ces
législations. Par exemple l'affaire Pannon GSM354(*) fut l'occasion pour la Cour
de rappeler les juges nationaux à leur obligation « d'examiner
d'office le caractère abusif d'une clause contractuelle dès
qu'[ils disposent] des éléments de droit et de fait
nécessaires à cet effet ». Cela traduit des
avancées concrètes du droit de l'Union européenne en droit
des contrats, même si celles-ci sont matériellement circonscrites
à quelques types de contrats ou, le plus souvent, au
bénéfice des parties faibles.
C'est ainsi que le rapprochement des législations
nationales peut s'effectuer de différentes manières, toutes plus
ou moins tolérantes de la diversité et des particularités
des droits. L'unification, impérative ou supplétive, tout comme
l'harmonisation, totale, complète ou partielle et optionnelle
procèdent toutes à ce rapprochement. Plus concrètement il
convient de s'intéresser à leur application au cloud
computing et leur capacité à régler les
défauts du droit actuel. La question se pose donc de
l'opportunité du rapprochement des droits nationaux applicables aux
contrats internationaux de cloud.
B
- L'opportunité d'un rapprochement des législations en droit des
contrats de cloud computing
Rappelons peut être qu'en 2012, la Commission
considérait qu' « il sera peut-être
nécessaire d'élaborer des clauses et conditions reposant sur un
instrument de droit des contrats facultatif de façon à disposer
de contrats clairs et équitables en matière de services en
nuage ». À première vue, c'est donc vers la
création d'un instrument optionnel spécialement
dédié aux contrats de cloud que la Commission semble se
projeter. Depuis 2012, la Commission a proposé plusieurs projets dont le
dernier en date, concernant la fourniture de contenu numérique,
intéresserait les activités de cloud.
Néanmoins,ils n'ont qu'un intérêt limité pour
notre objet d'étude puisqu'ils n'intéressent pas les contrats
conclus entre professionnels (1). De ce fait, aucun projet
d'unification d'un droit européen des contrats de cloud
computing entre professionnels n'a encore été
proposé, alors même qu'il pourrait être
particulièrement opportun (2).
1 - L'intérêt limité des
projets relatifs au droit des contrats de fourniture de contenu
numérique
Par des initiatives sectorielles qui ne visent pas
explicitement les contrats de cloud computing, l'Union
européenne tente déjà de clarifier la question du droit
qui y est applicable. En ce sens, le nouveau règlement relatif à
la protection des données à caractère personnelest
révélateurde l'adaptation aux nouveaux enjeux de la pratique dont
le cloud est vecteur. Plus précisément la Commission a
entendu proposer la formation d'un cadre juridique davantage adapté aux
contrats de cloud computing à travers la notion de
« contrats de fourniture de contenu
numérique ». Cela aurait pu être le cas de la
proposition de droit commun européen de la vente, aujourd'hui
abandonnée et remplacée par deux projets dont celui d'une
directive relative au droit des contrats de fourniture de contenu
numérique.
Tout d'abord, le projet de règlement de droit commun
européen de la vente355(*) aurait pu intéresser les contrats de
cloud computing conclus entre professionnels. Ce règlement
aurait du instaurer deux régimes juridiques : l'un facultatif et
applicable au choix des parties356(*) pour les contrats transfrontières conclus
entre professionnels357(*) ayant leurs résidences habituelles dans
différents États, dont un au moins est membre de l'Union ;
l'autre impératif et concernant les contrats conclus entre
professionnels et consommateurs358(*). Ces contrats, au-delà de la vente,
concernaient également ceux ayant pour objet la fourniture d'un contenu
numérique ou d'un service connexe359(*). Le contenu numérique étant
défini à l'article 2. j) comme : « des
données produites et fournies sous forme numérique [...]
notamment les vidéos, enregistrements audio, images ou contenus
numériques écrits, les jeux numériques, les logiciels, et
les contenus numériques qui permettent de personnaliser des
équipements informatiques ou des logiciels existants »,
il pouvait donc inclure certaines activités de cloud, mais
seulement pour les contenus numériques fournis par le vendeur. En ce qui
nous concerne, rappelons qu'il n'avait donc pas pour vocation de comprendre les
contrats ayant pour objet l'externalisation de services informatiques
d'entreprises, ni même certains services applicatifs comme les services
de messagerie électronique360(*). J.Sénéchal dénonçait en
ce sens les lacunes de ce règlement361(*). D'ailleurs, les considérants ne donnaient
comme exemple concret de « contenu numérique » que
le téléchargement de musique362(*),manifestant donc un intérêt
privilégié pour les services à destination des
consommateurs.Néanmoins, si le projet initial de la Commission ne visait
pas explicitement l'informatique en nuage, le Parlement européen a
entendu y faire explicitement référence en amendant ainsi le
considérant n°17 bis :
« L'informatique en nuage se développe
rapidement et recèle un grand potentiel de croissance. [...]
Ces règles devraient pouvoir s'appliquer également lorsque
les contenus numériques ou les services connexes sont fournis en
utilisant le nuage, en particulier lorsque les contenus numériques
peuvent être téléchargés depuis le nuage du vendeur
ou stockés temporairement sur le nuage du fournisseur. [Am.
8] »363(*)
.
En réalité, ce projet visait plus
précisément les contrats conclus entre professionnels dont l'un
d'eux était une PME, c'est-à-dire une entreprise qui n'emploie
pas plus de 250 personnes et dont le chiffre d'affaire annuel ne dépasse
pas 50 millions d'euros. Ce règlement devait unifier le droit des
contrats en prévoyant par exemple des obligations
précontractuelles d'information entre professionnels, en posant les
conditions de formation des contrats364(*) ou des vices de consentement365(*) et allait jusqu'à
poser un cadre juridique pour les clauses contractuelles abusives dans les
contrats entre professionnels dans son article 86. Or, depuis mars 2014 le
Conseil de l'Union n'a encore adopté aucune position en première
lecture de ce texte, à l'inverse la Commission semble avoir prévu
d'autres projets touchant au droit des contrats et tendant àla
spécialisation de la matière. Ce courant semble
particulièrement intéressant en matière de
cloud.
C'est donc, ensuite, par une proposition de directive que les
contrats de fourniture de contenu numérique ont été
abordés par l'Union européenne. À l'approche
« optionnelle » du droit commun de la vente succède
une approche privilégiant l'harmonisation complète de
règles précises. Ce projet concernerait davantage le cloud
computing. En effet, la directive définit le contenu
numérique tant par des données, quelque soit leur format, que par
les services permettant leur conservation, traitement, création ou
partage366(*).
D'ailleurs, l'exposé des motifs de la directive mentionne à deux
reprises que « le contenu numérique couvre une large gamme
de produits, comme [...]les applications, [...] les services de stockage en
nuage »367(*). Cela dit, l'intérêt de ce projet est
tout relatif pour ce qui concerne notre champ d'étude puisqu'il exclut
explicitement de son d'application les contrats de cloud conclus entre
professionnels. En effet, l'article 1er de la directive dispose que
seuls sont concernés les contrats pour lesquels « un
fournisseur fournit un contenu numérique au
consommateur »368(*). Une autre limite à l'intérêt de
cette proposition de directive réside dans le fait que, contrairement au
projet de droit commun européen de la vente, elle exclut de son champ
d'application les questions de droit des contrats relatives à la
formation, la validité, les effets et les conséquences des
éventuelles résiliations369(*). En effet, l'essentiel des dispositions impose
certaines obligations et responsabilités du fournisseur à
l'égard du consommateur. Pour ces raisons le projet de directive
concernant certains aspects des contrats de fourniture de contenu
numérique n'a que peu d'intérêt pour ce qui concerne les
contrats internationaux de cloud conclus entre professionnels, et ne
réduit que partiellement les effets de la diversité des droits
nationaux.
C'est ainsi que depuis maintenant cinq ans, tous les projets
concernant de loin ou de près le droit des contrats relatif aux
transactions transfrontières de services de cloud ont, soit
échoué, soit ne concernaient que la protection des consommateurs.
Aussi, les projets actuellement soumis au Parlement européen et au
Conseil de l'Union ne favoriseront que les prestations intracommunautaires de
service de cloud à destination des consommateurs. Pour autant,
dans l'objectif d'instaurer les conditions juridiques les plus profitables aux
opérateurs économiques dans leurs recours aux services de
cloud dans le cadre de leurs activités
professionnelles, la création d'un instrument de droit
privé unifié demeure particulièrement
opportune.
2 - L'opportunité d'une unification
supplétive du droit des contrats de cloud computing
L'idée d'une unification supplétive du droit des
contrats de cloud computing avancée par la Commission en 2012
conserve tout son intérêt dans l'objectif d'achèvement du
marché unique numérique. Rappelons que cette méthode est,
d'un point de vue général, relativement prometteuse en ce qui
concerne le droit des contrats en Europe. En particulier, le droit de l'Union
européenne paraîtrait d'autant plus légitime en intervenant
en matière de droit des contrats de cloud par l'unification
supplétive, notamment en vue de protéger les parties les plus
faibles.
Tout d'abord, l'idée d'un instrument optionnel semble
particulièrement adaptée aux enjeux européens du droit des
contrats. Cette piste était déjà invoquée à
l'appui de projets relatifs au droit européen des contrats par la
Commission européenne. Cette dernière l'invoquait en
2001370(*) et davantage
encore dans son livre vert de 2010371(*). En effet, la quatrième option du livre vert
proposait la création d'un règlement instituant un instrument
facultatif de droit européen des contrats. L'apport de cet instrument
serait particulièrement adapté aux besoins du marché
intérieur. La Commission mentionne à cet égard que ces
règles bénéficieraient particulièrement à
« l'utilisateur moyen » et devraient être
particulièrement claires afin de garantir toute la
sécurité juridique nécessaire à ses
activités transnationales. Aussi, cet instrument facultatif
n'altèrerait pas la diversité des droits nationaux mais se
superposerait à eux, pouvant s'appliquer soit aux seules situations
transnationales, soit également aux situations purement nationales. La
Commission mentionne également le fait que, contrairement à la
pratique actuelle, les juristes et magistrats appliquant l'instrument
facultatif seraient ainsi dispensés d'éventuelles études
des droits étrangers que les règles de conflit de lois actuelles
désignent. C'est enfin du côté des principes de
subsidiarité et de proportionnalité, principes clés de
l'attribution des compétences de l'Union européenne, que ce type
d'instrument trouve son intérêt. Le principe de
subsidiarité sous-entend que l'action de l'Union européenne ne
peut se justifier qu'à condition que les États membres ne
puissent pas apporter une réponse jugée satisfaisante et
qu'à l'inverse l'action de l'Union s'avère manifestement plus
efficace. Pour respecter le principe de proportionnalité il faudra en
revanche que l'action de l'Union ne dépasse pas ce qui est
nécessaire pour atteindre les objectifs visés. Ainsi,
appliquée au droit des contrats, la condition du respect de la
subsidiarité serait remplie puisque la création d'un droit commun
est manifestement plus adaptée à régir une situation
juridique transnationale que les 28 droits nationaux préexistant. Aussi,
du fait de son caractère facultatif, respectueux de la diversité
des droits nationaux et de leurs normes impératives, on ne saurait
qualifier l'instrument de droit européen de disproportionné
à l'objectif visé de facilitation des échanges
transfrontières. De toute manière, le succès d'un tel
instrument se mesurera probablement par l'usage qui en sera fait suivant la
désignation du droit applicable par les parties au contrat.
Néanmoins, et puisque la diversité des droits nationaux n'a pas
le même effet sur tous les acteurs du commerce européen, un tel
instrument serait plus légitime à s'appliquer davantage aux
consommateurs et PME qui sont les parties les plus affectées par la
diversité des droits. C'était d'ailleurs la position de la
Commission dans le projet de règlement de droit commun européen
de la vente où elle considérait que « les contrats
conclus entre des particuliers et ceux conclus entre des professionnels dont
aucun n'est une PME ne sont pas inclus, aucun besoin d'action pour ces types de
contrats transfrontières n'ayant été
constateì »372(*). Au contraire les PME, dans leur recours aux
services de cloud, tout comme les PME qui sont prestataires de
services de cloud, trouveraient un réel avantage au type
d'instrument optionnel dans leurs activités. Ainsi, qu'elles souhaitent
prester leurs services à l'étranger ou qu'elles souhaitent
souscrire à un service de cloud offert par un opérateur
étranger, les PME n'auraient pas à craindre l'application d'un
droit national qui leur est étranger373(*). Pour toutes ces raisons, les instruments optionnels
sont qualifiés en doctrine de « smart
regulation »374(*) et retiennent l'intérêt des
institutions dans une perspective d'amélioration du processus
législatif européen. En ce sens, l'unification supplétive
semblerait tout autant légitime dans son application aux contrats de
service de cloudnotamment si elle passait par la protection des PME y
souscrivant.
C'est donc l'apport d'un tel instrument applicable aux
contrats de cloud qui doit ensuite retenir notre attention. Rappelons
qu'actuellement les professionnels désireux de souscrire à des
services de cloud computing sont soumis à bon nombre de
contraintes qui pourraient les en dissuader. Parmi celles-ci figurent surtout
le fait que la sécurité du système ne leur est pas
toujours garantie par les contrats et que, si l'opérateur est
étranger, c'est probablement son droit d'origine qui trouvera à
s'appliquer. En la matière un instrument optionnel n'aurait donc
d'intérêt que s'il était particulièrement protecteur
des parties les plus faibles, à l'instar de ce qui était
prévu pour les PME dans le projet de droit commun de la vente. Dans ce
cas alors, la seule référence dans le contrat à un tel
instrument juridique pourrait être un gage, pour les utilisateurs
professionnels, de la prévisibilité juridique nécessaire
pour contracter des solutions cloud avec des opérateurs
étrangers. Celui-ci devrait alors surtout, unifier les obligations
à la charge du prestataire de cloud, soit en lui imposant un
certain résultat quant à la sécurité de
l'information, soit en lui imposant le respect de certains
procédés jugés nécessaires pour y parvenir. Tout
l'enjeu d'un tel instrument pour les institutions européennes est de
trouver le juste équilibre entre la protection des utilisateurs
nécessaire à rétablir leur confiance dans ces services et
la liberté des fournisseurs dans leurs offres de services,
nécessaire à l'innovation et la compétitivité des
opérateurs sur le marché européen. En effet, à
l'inverse, garantir un niveau de service particulièrement
élevé aux utilisateurs aura pour effet néfaste, d'une
part, de décourager les initiatives des prestataires et, d'autre part,
d'augmenter le coût des prestations. Dans l'état du droit actuel,
l'échec des projets relatifs à la création d'un droit
européen des contrats ou de la plus récente proposition de droit
commun européen de la vente pourrait entretenir des doutes quant
à la réalisation d'un droit commun des contrats de cloud.
Au contraire, face aux difficultés classiques altérant
l'unification du droit des contrats en général, on pressent la
volonté, au niveau européen, de s'intéresser davantage
à certains types de contrats manifestant un intérêt
particulier pour les échanges intracommunautaires. C'est par exemple la
position unanime des cinq groupes de réflexion sur le livre vert relatif
au droit européen des contrats du réseau Trans Europe experts qui
portent leurs faveurs à « un ou plusieurs instruments
spéciaux »375(*). Appliqué au cloud computing et au
commerce électronique plus généralement,
l'européanisation du droit semble d'autant plus légitimée
par la volonté d'apporter une solution internationale à des
phénomènes eux-mêmes internationaux. Aussi, à
l'inverse, il est possible d'avancer que les contrats de cloud, par
leurs spécificités, ne pourraient être convenablement
régis par un instrument général concernant le droit des
contrats. En effet, l'intérêt d'une intervention européenne
en la matière réside tant dans le droit des contrats, en
général, que dans le droit matériel spécialement
applicable aux activités de cloud. Or, l'émergence d'un
droit des contrats spéciaux de cloud suffirait à
concilier ces deux aspects, alors qu'un instrument général ne le
permettrait pas. Ainsi, ce sont surtout les obligations incombant à
chacune des parties dans les contrats de cloud qui devront être
clarifiées, et plus particulièrement sur des
éléments clés de ces contrats tels que la question de
réversibilité des données, la flexibilité,
l'interopérabilité et la sécurité du service.
Enfin, la crédibilité d'une telle action en droit spécial
de contrats de cloud serait renforcée par le fait que, pour
l'instant, aucun droit national des contrats de cloud n'a encore
été développé. À l'inverse, une attente trop
importante des institutions européennes pourrait voir tout projet
européen concurrencé directement par le développement des
droits nationaux. En ce sens par exemple, le législateur français
est en passe d'y procéder en ce qui concerne les services de cloud
à destination des consommateurs. En effet, le projet de loi pour
une République numérique prévoit actuellement une section
intitulée « portabilité et
récupération des données » et un article 20
qui dispose de l'obligation pour les fournisseurs de services de stockage de
données en ligne de garantir la réversibilité des
données aux utilisateurs consommateurs, à défaut de quoi
les prestataires défaillants seraient sujets à une amende d'un
montant de 15 000 €.
C'est ainsi que la perspective d'un rapprochement des
législations européennes en matière de contrats de
cloud computing pourrait être légitime, notamment en
faveur des PME utilisatrices des services de cloud. Cependant, le fait
que la Commission n'ait pas encore avancé de proposition concrète
en la matière doit attirer notre attention sur certaines limites
affectant l'unification du droit des contrats de cloud computing.
§ 2 - Les limites à l'unification
européenne du droit des contrats de cloud computing
L'unification du droit des contrats de cloud par le
droit de l'Union européenne est confrontée en pratique à
de nombreuses limites. Celles-ci concernent généralement
l'unification du droit européen des contrats en elle-même
(A) mais d'autres sont propres aux contrats de cloud
computing (B).
A -
Les limites inhérentes à l'unification européenne du droit
des contrats
On oppose plusieurs limites à l'unification
européenne du droit des contrats qui, en pratique, se confirment dans
les échecs successifs des projets les plus ambitieux tenant au droit des
contrats en droit de l'Union européenne. Nous proposons de distinguer
ici les obstacles inhérents à l'unification des droits
(1) des limites liées à la
spécificité du droit des contrats (2).
1 - Les limites inhérentes à
l'unification des droits
L'unification des droits se voit généralement
opposer des limites pratiques et politiques. C'est également
l'opportunité du caractère optionnel des instruments
procédant à l'unification qui pourrait, en soi, être
contestée.
D'une part, parmi les limites pratiques, il est possible de
distinguer le coût d'autres difficultés, linguistiques ou
d'interprétation, dont l'unification fait l'objet. Tout d'abord, en ce
qui concerne le coût du rapprochement des droits, celui-ci est
évidemment lié aux travaux menant à l'élaboration
de l'instrument mais surtout à ceux tenant à la formation des
juristes nationaux et l'adaptation des cadres juridiques
préexistants376(*). En ce sens, les projets d'unification du droit des
contrats ont pu être critiqués en opposant à la Commission
européenne de s'être longuement employée à
défendre les économies que les opérateurs
économiques tireraient d'un tel projet, sans jamais en évoquer le
coût377(*).Ensuite, 24 languessont officiellement
employées parmi les 28 États membres de l'Union. Or cette
diversité est particulièrement mal adaptée à
l'unification du droit. La question se pose alors de savoir si la
réduction de la diversité des droits peut concorder avec le
maintien de la diversité des langues. Une première réponse
peut être apportée en ce que l'anglais a, seul, été
utilisé pour la conception du Cadre commun de référence de
droit des contrats. À cela H. Claret rappelle que la langue
privilégiée par les institutions européennes dans leurs
travaux préparatoires est l'anglais et que cela se vérifie par
des « malfaçons » de certaines versions
françaises des actes finaux378(*). Or, la traduction des principaux actes
européens dans les langues nationales est encore une obligation et reste
également nécessaire à l'application du droit
européen dans les États membres. Dans ce contexte, la
diversité linguistique en Europe complique davantage la tâche de
l'unification. Hormis le coût et la lenteur que l'on peut imputer
à la traduction, des difficultés juridiques peuvent
également naître des interprétations. Dans cet esprit, S.
Glanert dénonce généralement la qualité des
traductions et considère à cet égard que les études
juridiques actuelles laissent trop peu de place aux autres disciplines que sont
« la linguistique, la traductologie ou la
philosophie »379(*) alors que, pourtant, leur pertinence en
dépend. En ce sens, faisant référence à
J. Derrida et M.Heidegger, elle rappelle que derrière la traduction
se cache en réalité une appropriation : « un
transfert ou un déplacement de sens »380(*). Ainsi, la traduction
juridique d'un acte de droit unifié rétablirait, de fait, une
diversité de sens et d'interprétation qui ressortira peut
être de la pratique ou des décisions de justices nationales.
À cet égard la question s'est posée de savoir si les
différences d'interprétations d'un droit unifié ne
rétabliront pas, de fait, la pluralité des droits que l'on a
souhaité atténuer. La réponse a pu être affirmative
dans les cas où aucune juridiction internationale n'a pas la
compétence de régler les difficultés
d'interprétation du droit uniforme. En pratique, P.Lagarde rapporte que
les juges ont pu avoir recours aux méthodes de conflit de lois pour
coordonner les interprétations divergentes d'une convention
internationale qui devait pourtant unifier le droit matériel
applicable381(*).
L'auteur prend pour principal exemple l'arrêt
« Hocke » de la Cour de cassation
française382(*)
dans laquelle les juges se référèrent à la loi
allemande pour régler une divergence d'interprétation de la
Convention portant loi uniforme sur les lettres de change et billets à
ordre qui était applicable. Cette pratique ne fait pas office
d'exception, l'auteur l'identifie également dans la jurisprudence des
juges allemands, italiens et belges383(*). Mais le droit de l'Union n'est a priori
pas concerné par cette limite. Les décisions de la Cour de
Justice de l'Union ayant autorité de chose interprétée et
la Cour ayant compétence pour guider l'interprétation des actes
de l'Union, sa jurisprudence ordonnera ainsi toute interprétation d'un
acte européen de droit unifié. C'est ainsi que les principales
limites relatives à la disparité des langues européennes
résident dans le coût et la lenteur que le processus de traduction
cause inéluctablement.
D'autre part, les limites à l'unification sont
également politiques. Rappelons que du Traité de Paix de
Westphalie signé en 1648 résultait que chaque État serait
souverain et l'égal l'un de l'autre au sein de la société
internationale. L'État est donc seul souverain dans la production du
droit applicable sur son territoire. En revanche, les deux premières
guerres mondiales de la première moitié du
XXème siècle ont marqué le passage d'une
société dite de coexistence à une autre, dite de
coopération entre États. La coopération s'est traduite par
l'émergence et le développement d'organisations internationales.
À cet égard l'Union européenne est topique. En tant
qu'organisation internationale d'intégration, l'Union dispose de
compétences exclusives et ses institutions sont dotées, dans ce
cadre, d'une certaine capacité normative. Néanmoins,
malgré ces qualités et la particularité de la nature
juridique de l'Union européenne, il n'empêche que celle-ci demeure
une organisation internationale et qu'elle soit, à ce titre, soumise aux
principes et procédures classiques des relations internationales. Le
réalisme impose d'admettre que l'Union ne tire ses compétences
que des États membres qui, par les Traités fondateurs, ont
consentis à en faire un exercice partagé. À cet
égard l'unification des droits est symbolique en ce sens qu'elle a pour
condition préalable le concourt de volonté des États
membres. Si elle est donc possible quand les États qui y participent
sont animés d'un dessein commun, l'unification peut tout autant
être mise à mal si l'un d'entre eux s'y refuse. À cela on
pourrait opposer que les modalités de vote à la majorité
qualifiée auraient du annihiler le caractère interétatique
du processus législatif de l'Union européenne. Cela dit, il
s'avère qu'en pratique la majorité qualifiée prévue
au sein du Conseil laisse place au consensus entre ses membres384(*). J-P Jacqué
écrit d'ailleurs à cet égard que « les
discussions au Conseil visent aÌ rechercher un
consensus » et que « si, aÌ l'origine,
l'exigence de l'unanimité ne laissait pas d'autre choix, le passage
aÌ la majorité dans un très grand nombre de cas n'a pas
sensiblement modifieì la pratique »385(*). Cela est d'autant plus vrai
en matière de rapprochement des droits nationaux. En effet, les articles
115 et 352 du TFUE prévoient tous deux l'unanimité du Conseil en
vue du rapprochement des législations entre États membres. Aussi,
comme nous le démontrerons plus loin, la complexité et la
particularité du droit des contrats serait également facteur de
blocage politique, au point que l'unanimité, et a minima un
consensus, soient difficiles à trouver entre les États
membres.
Enfin, même si l'instrument a un caractère
optionnel, celui-ci serait également sujet à critiques. Tout
d'abord, il n'écarterait pas l'application des règles nationales
impératives386(*), ce qui en complexifierait l'application alors
même que l'avantage escompté initialement consistait à
donner plus de prévisibilité aux opérateurs
économiques en clarifiant le droit applicable et écartant les
interférences des droits nationaux. Ensuite, la question de la base
juridique poserait également problème. Un Groupe du réseau
Trans Europe experts rappelle en ce sens que les articles 114 et 115 du
Traité sur le fonctionnement de l'Union européenne mentionnent
tous deux le « rapprochement » des droits nationaux. Or, un
instrument uniforme supplétif n'a pas pour effet de modifier et
rapprocher les droits nationaux. La base juridique la plus pertinente à
leur égard serait donc plutôt la clause de l'article 352 du TFUE.
Or, les projets présentés par la Commission demeurent sourds
à cet égard, la proposition de droit commun européen de la
vente qui devait instaurer un régime optionnel pour les contrats entre
professionnels se fondait d'ailleurs sur l'article 114 du TFUE.
C'est ainsi qu'en soi, l'unification des droits nationaux fait
face à de nombreuses difficultés qui ne seraient
qu'exacerbées pour ce qui concerne le droit des contrats.
2 - Les particularités du droit des
contrats
Le droit est généralement perçu comme un
produit social en ce sens qu'il est intimement lié à la
société qu'il régit387(*). Lors d'une audition au Conseil économique
social et environnemental français, le professeur Grimaldi rapportait en
ce sens que : « de la même manière que l'on a
du mal aÌ extirper d'un peuple sa langue, on a du mal aÌ extirper
d'un peuple son droit »388(*). Ce lien entre l'identité d'un peuple et le
droit qui en régit les rapports sociaux serait d'autant plus
prégnant en ce qui concerne le droit des contrats. Ainsi, relativement
à l'unification du droit des contrats, G. Cornu rappelait qu'il n'y a
« aucun rapport entre une unité lentement, longuement
secrétée par un peuple et, tombant un jour de l'extérieur,
une unification décrétée »389(*). Aussi, le bijuridisme du
Canada est particulièrement pertinent pour témoigner de l'aspect
identitaire du droit des contrats. Après la conquête de la
Nouvelle-France par la Grande-Bretagne, la proclamation royale de 1763
substituait le droit anglais à l'application de la Coutume de Paris. Un
tel changement, sur un territoire peuplé en très grande
majorité de colons français a donné lieu à des
tensions sociales. Or, pour le maintien de la paix, le Gouverneur Carleton fit
le choix, par l'acte de Québec de 1774, de restaurer l'application du
droit romano-civiliste au Québec. Fondateur du « contrat
social » canadien, ce fait explique encore aujourd'hui
qu'après la séparation entre le haut et le bas Canada en 1791,
l'acte de l'Amérique du Nord britannique de 1867 confère
désormais aux provinces canadiennes, par son article 92, la
compétence pour légiférer en matière de
propriété et de droits civils390(*). Aujourd'hui encore coexistent au Canada, le code
civil du Québec et la Common law. C'est donc peut-être au
Québec que le « rôle de symbole identitaire du droit
civil»391(*) se perçoit davantage. Appliqué
à l'Europe, ce raisonnement fait particulièrement sens. En
effet, à en croire la classification réalisée dans les
travaux comparatifs de la Commission à propos des contrats de cloud
computing, celle-ci distingue 6 traditions juridiques coexistant entre les
États membres de l'Union. Il s'agirait de la Common law, du
droit de tradition germanique ou civiliste, du droit nordique, du droit romain
et du droit d'Europe de l'Est392(*). Or, chacun de ces droits se rattacherait à
une unité économique, sociale et culturelle donnée. Cela
n'a rien d'étonnant pour un continent ayant connu l'émergence des
États-nations. Les liens unissant la culture et l'histoire de l'Europe
ont en effet été largement mise à mal par la
création, dans chacun des États européens d'une
identité nationale qui leur est propre, et qui fondent alors leurs
distinctions les uns des autres393(*). Dans la lignée d'E. Renan qui distinguait
deux éléments constitutifs d'un nation, à savoir
« un plébiscite de tous les jours » et
« un riche legs de souvenirs », A.-M. Thiesse
entend décrire la création, durant le XVIIIème
siècle, des identités nationales en Europe. Pour cela, elle
distingue huit éléments constitutifs de
« l'âmenationale » et en décrit
l'émergence dans les sociétés européennes394(*). Mais elle ne désigne
pas directement comme tel, le lien entre une nation et son droit. À cet
égard pourtant, il ne faudrait pas minimiser l'influence de
l'unification du droit des contrats, et plus généralement du
droit privé, sur la création de ces identités nationales.
D'ailleurs, l'unité de la Nation française n'a-t-elle pas
été considérablement consolidée par la codification
napoléonienne de 1804 qui, de ce fait, mit un terme à quelques
700 coutumes locales qui divisaient la France395(*) ? Le lien entre l'unification des droits et
l'unification politique semble ainsi posé et, dans ce cadre, les
difficultés qui affectent l'unification politique sont autant de
difficultés pouvant affecter l'unification des droits. Dans ses
réponses au livre vert de la Commission sur le droit européen des
contrats, le réseau Trans Europe experts regrette d'ailleurs que cette
dernière n'ait avancé, au soutien de son projet, que des
arguments économiques, masquant par la même occasion
« la volonté des européens d'appartenir à
une même communauté »396(*). Dans cet esprit toujours,
J.Sénéchal rappelle la difficulté politique qui s'oppose
à la création, ex nihilo, d'un droit supranational des
contrats397(*). Aussi,
une autre difficulté réside dans le fait qu'à ces
divergences de traditions juridiques s'ajoute un facteur d'influence politique
qui n'est pas à minorer dans la réalisation d'une unification. Il
s'agit tout simplement du risque d'influence d'un droit sur l'autre lorsque,
par l'unification, un choix est opéré. Rappelons à ce
titre que sur la scène internationale, le droit continental et la
common law, sont proies à une certaine compétition.
À l'intelligibilité et la prévisibilité du droit
continental s'opposerait le caractère libéral et anglophone de la
common law398(*). Dans ce contexte par exemple, la concurrence entre
les systèmes juridiques a pu se mesurer dans les rapports Doing
Business de la Banque Mondiale. En effet, ceux-là sont
inspirés du courant de sciences économiques
« Theory of legal origins » d'après lequel
la tradition juridique des États influencerait la régulation de
l'économie et quiperçoit la common law comme globalement
favorable au commerce399(*). Cela a d'ailleurs conduit l'association Henri
Capitant à critiquer vivement la méthode de réalisation
des rapports de la Banque mondiale et, partant, de mettre en exergue les
nombreux atouts de la tradition civiliste française400(*). Dans cette guerre
d'influence, l'on a pu considérer que le droit français avait,
à travers la francophonie, une carte particulière à jouer.
J. Attali a d'ailleurs pu conseiller au Président de la
République française de « créer une union
juridique francophone » en promouvant le droit continental et
diffusant les normes françaises401(*), vantant notamment les qualités des contrats
synthétiques de droit continental contre les longs, complexes et
onéreux contrats de common law. Or, de telles positions
juridiques traduisent l'opposition d'intérêts politiques nationaux
et semblent difficilement conciliables avec la conception d'un droit
européen des contrats unifié.
C'est ainsi qu'à l'unification des droits, et
particulièrement du droit des contrats, s'opposent nombre de
difficultés pratiques et politiques en altérant la
réalisation. Dans ce contexte il peut être pertinent d'identifier
les limites qui s'opposent particulièrement à l'unification du
droit des contrats de cloud computing.
B
- Les limites d'une unification européenne du droit des contrats de
cloud computing
En plus des limites précitées, l'idée
d'une unification européenne du droit des contrats de cloud se
heurte à des difficultés qui lui sont propres
(1). Ce sont enfin les défauts propres au droit de
l'Union européenne qui questionnent l'opportunité d'un
rapprochement des législations en matière de contrats de
cloud computing (2).
1 - Les limites de l'unification juridique
inhérentes à la nature du cloud computing
Le cloud computing revêt des qualités
qui, comme on l'a déjà mentionné au préalable,
rendent son appréhension par le droit complexe. Aborder cette
problématique par le prisme du droit européen et de l'unification
peut, certes, résoudre les difficultés liées à la
nature transnationale de ces services et à la diversité des
droits applicables au contrat de cloud computing mais cela ne permet
pas d'écarter du débat les limites liées au
caractère protéiforme et évolutif du cloud
computing, ni de la grande diversité de données qui peuvent
faire l'objet d'un traitement par des services de cloud computing.
Effectivement, le cloud computing peut être le vecteur d'une
multitude de prestations différentes, ce qui en fait un objet
difficilement saisissable juridiquement. Rappelons peut-être ici qu'entre
le contrat d'externalisation de service, de stockage de données, de
fourniture d'applications hébergées qui permettent l'utilisation
de messageries ou d'application de gestion, tout comme entre les contrats de
cloud « SaaS », « PaaS » et
« IaaS », nombre de différences existent. Ces
différences touchent particulièrement à la nature des
obligations qui incomberont à chacune des parties. Ainsi, les attentes
et les risques d'un client ne sont assurément pas les mêmes
lorsqu'il opte pour l'utilisation d'un logiciel professionnel de gestion
accessible sur le cloud que quand il souscrit à
l'externalisation de la totalité de ses ressources informatiques sur
l'infrastructure d'un prestataire. Les difficultés rencontrées en
droit français pour appliquer les concepts contractuels
préexistants à ces formes de services en témoignent. La
flexibilité du cloud et sa capacité d'adaptation aux
besoins du client, participent également à cette impression en
rendant la révision des contrats de cloud essentielle à
la fourniture du service. Aussi, au sein même de chacune de ces
catégories, le niveau de service fourni peut être d'une infinie
variété, et un même contrat pourrait très bien
donner lieu à la prestation de plusieurs services. Cette
caractéristique est assurément accentuée par l'internet.
En ce sens, à propos de la fourniture de contenus numériques
(« digital content ») M. Loos prends l'exemple
d'un utilisateur lambda souhaitant souscrire à un service lui
donnant accès à des jeux en ligne pour lequel il souscrit un
abonnement mensuel. L'auteur recense par cela la souscription de l'utilisateur
à trois transactions de natures différentes que sont la
fourniture du logiciel d'installation, l'accès au compte du joueur et
l'abonnement mensuel au contenu en ligne. Le contrat ainsi conclu serait un
contrat complexe recouvrant à la fois la vente d'un logiciel que
l'utilisateur installera sur son ordinateur personnel, l'accès à
un compte personnel d'utilisateur en ligne et la fourniture à distance
d'un contenu numérique. Ainsi, tant la vente du logiciel que la
prestation de service d'accès au contenu numérique sont les
prestations caractéristiques du contrat, puisque les deux sont
nécessaires pour que l'utilisateur puisse jouer en ligne402(*). Par ailleurs, ce contrat
pourrait être caractérisé de contrat de cloud en
ce sens qu'il revêt ses principales caractéristiques, à
savoir un accès sur demande, par internet, à un outil
informatique distant de l'utilisateur mais mis à sa disposition par un
prestataire. Cet exemple prouve que, repoussant le champ des possibles, la
technique informatique participe à la complexification des relations
contractuelles et rend la tâche du juriste particulièrement
complexe. En ce sens, prévoir un instrument juridiquesuppose
préalablement d'appréhender clairement les contours des services
de cloud. À défaut, le droit unifié soufrerait
d'incomplétude et ne règlementerait qu'une partie des
activités de cloud, laissant aux droits nationaux le soin de
régir tous les autres. Aussi, quand bien même il ait vocation
à saisir l'ensemble des usages actuels du cloud, le droit
unifié se verrait probablement aussitôt dépassé par
les pratiques que le progrès technologique rendra possible. Or, à
cet égard, la complexité et la lenteur des procédures
législatives européennes ne permettront certainement pas la
prompte adaptation du droit. De plus, même si l'on se
réfère à une seule forme de service comme celle du
stockage de données, là encore, l'unité apparente du
service cache une grande diversité de données qui peuvent y
être stockées. Légiférer sur le droit
matériel applicable aux contrats de cloud suppose au
préalable de définir des standards de protection des
données incombant aux prestataires. Dans ce cas se pose la question de
savoir si toutes les données méritent un même niveau de
protection et, si la réponse est négative, comment définir
le standard propre à chacune d'entre elles ? Cela supposerait
également au préalable une reconnaissance juridique des
données d'entreprises, à l'instar, peut-être, de ce qui a
été fait pour les données à caractère
personnel. Sur ce point les opérateurs et les clients professionnels se
sont, en pratique, accommodés de leur liberté contractuelle en
s'accordant, au cas par cas, quant au niveau de service presté. Celui-ci
est défini par les « Service Level
Agreements » joints aux contrats de cloud et propres
à chaque relation contractuelle. L'idée persiste donc que, pour
les professionnels, ceux-là sont à même de définir
le niveau de protection devant incomber à leurs données.
Il s'avère donc particulièrement
compliqué de réguler juridiquement les contrats de service de
cloud computingdans leur ensemble. Aussi, toute tentative
d'unification du droit en la matière serait sujette à des
défauts. Ceux-là nous conduisent à douter de la pertinence
et de la réalisation de l'unification des droits relatifs aux contrats
de cloud.
2 - Les défauts
d'un éventuel instrument de droit des contrats de cloud
computing
Alors que l'on avance des arguments économiques
à l'appui de l'unification des droits, l'instrument qui y
procèderait s'expose intrinsèquement à deux types de
défauts juridiques : son caractère lacunaire, dans le sens
d' « incomplet », et une critique de la méthode
comparative employée par la Commission européenne.
D'une part, il est possible d'avancer l'idée selon
laquelle une unification du droit des contrats de cloud ne permettrait
pas efficacement de réduire la diversité des droits nationaux,
car il serait nécessairement incomplet. En effet, toutes les
matières non réglées par le droit de l'Union seront
soumises aux droits nationaux dont la désignation sera encore
établie par des règles de droit international privé. Cela
n'est pas rare en droit européen. Au contraire, Viangalli qualifie
d'ailleurs le renvoi à un droit national comme un
« remède ultime à
l'incomplétude » du droit de l'Union
européenne403(*).
En ce sens, la directive de 1990 harmonisant la protection des consommateurs de
forfait de voyages faisait par exemple un renvoi explicite au droit national.
Son article 4 paragraphe 6 détermine l'indemnisation du consommateur en
cas modification du voyage par l'organisateur qui fait face à des
événements imprévus, « selon ce que prescrit
la législation de l'État membre concerné ».
La proposition de droit commun européen de la vente se voulait
ambitieuse en concernant toute la matière contractuelle, de
l'information précontractuelle en passant par les conditions de
formation du contrat à sa résiliation. Or, ce n'est plus le cas
des directives d'harmonisation lui succédant. En ce sens, la proposition
de directive concernant les contrats de fourniture de contenu numérique
disposent explicitement à l'article 3 paragraphe 9 qu'elles n'ont
« pas d'incidence sur les dispositions générales du
droit des contrats prévues au niveau national, notamment les
règles relatives aÌ la formation, aÌ la validité et
aux effets des contrats, y compris les conséquences de la
résiliation d'un contrat ». N'est-ce pas là un
signe de blocage institutionnel à l'unification des
éléments les plus sensibles du droit commun des contrats ?
Il est vrai que certains pans du droit des contrats s'avèrent
particulièrement difficiles à unifier. Il en va par exemple de la
sorte pour les règles tenant à la formation du contrat et qui
font l'objet de particularismes nationaux à l'instar de la
cause404(*)
française et de la consideration405(*) de common law. À ce titre,
l'argument principal à l'unification des droits nationaux étant
de réduire le coût et les difficultés que cause la
diversité des droits nationaux, il est pertinent de douter de
l'intérêt d'un instrument de droit unifiant seulement quelques
champs du droit des contrats applicables aux services decloud.
D'autre part, les fondements d'un éventuel instrument
de droit des contrats de cloud pourraient eux-mêmes être
critiqués. Rappelons à ce titre que les travaux de la Commission
se baseraient sur une étude de droit comparé,
présentée précédemment. Celle-ci est d'ailleurs
citée deux fois dans la proposition de directive concernant les contrats
de fourniture de contenu numérique406(*) et une fois dans celle relative aux contrats de
vente en ligne407(*).
Or, les fondements de cette étude comparée pourraient être
critiquables. En effet, un choix a été opéré parmi
les droits qui ont fait l'objet d'une étude approfondie et, à ce
titre, seuls huit droits nationaux ont été retenus dans le panel,
au motif de leur représentativité d'une tradition juridique
particulière. On en déduit un certain
désintérêt pour la vingtaine d'autres droits nationaux au
motif de leurs similitudes avec les droits choisis. Aussi, parmi les huit
droits concernés compte celui des États-Unis d'Amérique.
Si ce choix est légitime quant au cloud computing puisque,
d'une part,de nombreux opérateurs de services de cloud se
situent sur le continent américain et que,d'autre part, les
États-Unis peuvent être un exemple de gestion de la
diversité des droits des États fédérés, ce
choix peut aussi questionner politiquement. Effectivement, suivant la place qui
serait accordée à l'influence d'un instrument européen de
droit unifié, quelle légitimité aurait la Commission pour,
en éludant vingt-et-un droits nationaux, procéder à un
apport d'un droit étranger à l'Union ? De plus,
l'étude ayant été publiée en 2013, elle se base sur
des fondements juridiques nécessairement antérieurs. Alors,
quelle fiabilité accorder à cette expertise si elle devait servir
à ce jour de référence à la création d'un
instrument d'unification des droits ? Certains doutes sur sa pertinence
peuvent également être formulés. Tout d'abord la partie
concernant le droit français ne sera-t-elle pas biaisée du simple
fait que l'étude comparative ne tient pas compte de la réforme du
droit des obligations française dont quelques changements par rapport au
régime antérieur sont notables, notamment en ce qui concerne la
disparition de la cause en tant qu'élément de formation du
contrat. Ensuite, cela ne tient pas compte des travaux législatifs qui
ont eu, depuis, vocation à intéresser les contrats de cloud
computing, notamment dans les rapports entre professionnels et
consommateurs. Rappelons en ce sens qu'en France le projet de loi relatif
à la République numérique est en passe d'inscrire la
réversibilité des données comme un droit des
consommateurs.
Pour toutes ces raisons, malgré l'opportunité
que pourrait constituer le rapprochement des droits relatifs aux contrats de
cloud, toute proposition d'un instrument commun aux États
membres de l'Union européenne rencontrera inévitablement des
blocages. Ceux-là peuvent être tant politiques puisque certains
droits des contrats nationaux font l'objet d'un désintérêt
manifeste de la Commission, que juridiques car l'étude comparative des
droits s'avèredéjà dépassée par le
développement sectoriel des droits nationaux en matière de
contrats de cloud. Aussi, en la matière, la question se pose de
savoir si l'unification des droits ne serait pas excessive dans le but
poursuivi d'intégration du marché intérieur
numérique, et plus précisément celui
d' « exploiter le potentiel de l'informatique en
nuage ». Dans son discours d'introduction devant la
Société de Législation Comparée à propos du
cloud computing, J.-M. Sauvé se demandait justement si la
réglementation du cloud ne produirait pas un effet inverse
à celui escompté, à savoir de pénaliser les acteurs
opérant sur le marché européen par rapport à un
marché international davantage compétitif 408(*). Toute intervention
juridique en la matière devrait donc permettre l'équilibre entre
le libéralisme économique, nécessaire à
l'innovation et à la compétitivité du marché et des
opérateurs européens, et un certain interventionnisme,
étatique ou européen, garantissant un développement
raisonnable de ces services en vue d'établir la confiance des
utilisateurs. Ces remarques conduisent à s'interroger sur le fondement
même du mode d'intervention de l'Union européenne sur la
diversité des droits. F. Viangalli rapportait dans un paragraphe
critiquant la technique du droit privé uniforme supplétif qu'il
peut être « reproché à la Commission de
vouloir intervenir dans un domaine où le marché
s'autorégule, et où des initiatives privées et informelles
apportent déjà des solutions satisfaisantes aux problèmes
qui surgissent lors de la réalisation d'opérations commerciales
transfrontières »409(*). À la doctrine économique
libérale prônant l'autorégulation d'un marché,
s'ajouterait une doctrine juridique également libérale
prônant l'émergence et la reconnaissance de nouvelles formes de
normativités, notamment d'initiatives privées. Appliqué au
cloud computing, un tel raisonnement apparaît d'autant plus
pertinent que l'on constate dores-et-déjà un intérêt
manifesté par les institutions européennes pour des
normativités alternatives.
SECTION 2 - L'INTÉRÊT DE L'UNION
EUROPÉENNE POUR LES NORMATIVITÉS ALTERNATIVES EN MATIERE DE CLOUD
COMPUTING
Au vu des difficultés posées par les
procédés classiques d'unification et d'harmonisation du droit des
contrats de cloud computing à l'échelle
européenne, l'idée peut être avancée de se tourner
vers d'autres formes de normativités. Ainsi, face aux limites des
normativités européennes classiques, les instruments de soft
lawont pu être présentés comme des
« alternatives séduisantes » et de
« nouveaux vecteurs
d'intégration »410(*). La soft law, traduite en français
par l'expression de « droit souple », est
également qualifiée dedroit « flou »,
« doux » ou « mou » pour ses attributs
respectivement imprécis, dépourvu de caractère
obligatoireou de sanction411(*).Le droit souple s'inscrit doncen opposition à
la conception classique du droit, composé de règles
« socialement édictées et sanctionnées, qui
s'imposent aux membres de la société »412(*) et que l'on qualifie de
« hard law » en opposition à la
« soft law ».Le droit souple se posedonc en
alternative au droit moderne, rationnellement hiérarchisé,
contraignant et produit par l'État. Sous l'expression de droit souple on
désigne en réalité une pluralité de normes que l'on
regroupera ici sous le vocable de « normativités
alternatives ». En l'espèce, il semble que le recours à
ces types de normes ait un intérêt particulier afin de
réguler et encourager les activités de cloud computing
(§1). D'ailleurs, cela se confirme
d'ores-et-déjà en pratique pour les professionnels opérant
des transferts de données vers les États tiers de l'Union
européenne (§2).
§ 1 -
L'intérêt des normativités alternatives dans la
régulation des activités internationales de cloud
computing
Le recours à des normativités alternatives en
vue de réguler les prestations internationales de service de cloud
computing suscite l'intérêt particulier des institutions
européennes. Celles-ci semblent particulièrement
plébisciter l'emploi de mécanismes de corégulation
conciliant les opérateurs privés et les organismes publics dans
la production normative (A). Cependant, quelle que soit
l'opportunité de ces modes de régulations pour les
activités de cloud computing transnationales, force est de
constater qu'ils sont susceptibles de faire l'objet de dérives et sont
donc critiquables dans leurs fondements (B).
A - L'intérêt
des mécanismes de corégulation en droit des contrats de cloud
computing
La corégulation consiste en l'association des acteurs
privés au processus décisionnel public. Elle se distingue de
l'autorégulation qui laisse ces opérateurs privés libres
de déterminer eux-mêmes les règles auxquelles ils se
soumettront et donne lieu à l'émergence d'un droit
« négocié » ou
« spontané »413(*). Ces modes de gouvernance ne sont pas totalement
novateurs en ce sens qu'ils sont déjà mis en oeuvre par les
institutions européennes. Ils ont néanmoins fait l'objet d'un
regain d'intérêt depuis le début des années 2000. Un
accord interinstitutionnel de l'Union européenne de 2003 visait en ce
sent à « mieux
légiférer »414(*) en utilisant des « modes de
régulations alternatifs » chaque fois que
« le traité CE n'impose pas spécifiquement le
recours à un instrument juridique »415(*). Plus
précisément, en ce qui nous concerne, il semblerait que les
institutions européennes aient dès lors manifesté leur
intérêt pour la corégulation des activités
transnationales de cloud computing (1). D'ailleurs,
ces modes de régulation semblent particulièrement adaptés
aux spécificités des contrats de cloud computing et,
plusgénéralement, à la nature des activités de
commerce électronique (2).
1 - L'intérêt
des institutions européennes pour la corégulation des
activités de cloud computing
Il
apparaît assez clairement que face aux difficultés que
rencontreraient les institutions européennes dans l'unification d'un
droit des contrats de service de cloud computing, ces dernières
manifesteraient un intérêt particulier pour une harmonisation plus
diffuse, passant par l'adoption d'actes de droit souple. Dans cet esprit
l'Union européenne s'imposerait d'ailleurs comme un cadre institutionnel
favorable au développement de nouvelles normativités. Cela se
vérifie tant actuellement en pratique, par le recours à des
instruments de soft law, que dans les projets européensvisant
à favoriser le développement de l'informatique en nuage en
Europe.
Tout d'abord, l'Union européenne s'impose sur la
scène internationale comme le laboratoire de nouvelles formes de
normativité416(*)
par l'adoption d'actes juridiques non contraignants. Si l'on se
réfère aux Traités constitutifs de l'Union, il y est par
exemple prévu que les institutions européennes émettent
des avis et des recommandations, lesquels « ne lient
pas »417(*). Pour une partie de la doctrine, ces actes sont
d'ailleurs l' « exemple le plus incontestable de soft
law »418(*) et
témoignent de « l'importance déjà prise par
ces formes souples de normativité dans le système
communautaire »419(*). En pratique ce constat se vérifie par
l'adoption d'une grande diversité d'actes tels que des
résolutions, déclarations et autres normes techniques, comme en
témoignent les activités de normalisation et l'adoption de codes
de bonne conduite, de lignes directrices, lois modèles, contrats-types
ou communications. Ce phénomène affecte avant tout les
compétences exclusives du droit de l'Union, comme le droit de la
concurrence ou du marché intérieur. En ce sens, rappelons que la
normalisation a contribué à l'établissement du
marché unique420(*). En effet, dès 1985 une « nouvelle
approche » a été définie à
l'échelle européenne en matière d'harmonisation technique
et de normalisation421(*). Cela s'est traduit concrètement par la mise
en place de procédés de certification dont le
marquage « CE » des marchandises qui présument
du respect des exigences européennes et bénéficient en
conséquent pleinement des libertés de circulation. Ces
procédés ont permis de fluidifier les transactions
européennes de marchandises et sont complémentaires à
l'application du principe de reconnaissance mutuelle de l'équivalence
des normes techniques nationales dans les domaines non harmonisés par le
droit de l'Union européenne. Néanmoins, la question de la
légitimité de l'Union européenne pour la production de ce
type de normes dans des matières exorbitantes de son champ exclusif de
compétence pourrait être posée. En effet, il a pu
être démontré que les institutions européennes
usaient d'une « soft law paralégislative »
en droit privé des contrats pour favoriser les transactions
transnationales, alors même que l'Union n'en est pas expressément
habilitée422(*).
Dans le même esprit, et comme nous le démontrerons plus loin, on
constate que les institutions européennes influencent déjà
la pratique contractuelle des professionnels en matière de cloud
computing par des procédés de corégulation et
l'édiction actes de soft law.
Rappelonsensuite que dans sa communication de 2012, la
Commission invoquait déjà, pour rétablir la confiance des
opérateurs dans le cloud, la perspective d'établir des
normes, des certificats, des clauses et conditions contractuelles assurant
aux utilisateurs des contrats sûrs et équilibrés423(*). Or, l'on constate en
pratique que les activités de la Commission en matière de
contrats de cloud computing privilégient principalement la
recherche de solutions de droit souple en partenariat avec l'industrie du
cloud, et des instances nationales chargées de la protection de
la vie privée. Deux initiatives doivent principalement retenir notre
attention : il s'agit du projet d'élaboration d'un code de conduite
à destination des prestataires de service de cloud, ainsi que
des clauses contractuelles types pour le transfert de données à
caractère personnel vers des pays tiers.
D'une part, la possibilité pour les institutions
européenne et les États membres de promouvoir la constitution de
codes de conduite découle de l'article 27 de la directive
95/46/CE424(*). Ainsi,
un projet de code de conduite à destination des fournisseurs de services
par le cloud425(*) a été élaboré par le
Cloud Select Industry Group (ci-après
« C-SIG ») sous l'impulsion de la Commission
européenne. Le C-SIG est essentiellement composé de
représentants des principaux acteurs de l'industrie du cloud
computing comme Oracle, Atos, Google ou Orange et d'un représentant
de la Commission nationale française de l'informatique et des
libertés. En l'espèce, le groupe a pour mission, à travers
la réalisation de ce code de conduite, de clarifier les conditions dans
lesquelles les opérateurs de cloud devraient fournir leurs
services. Il s'agit plus principalement d'encourager les opérateurs
à garantir un haut niveau de protection des données afin
d'instaurer un climat de confiance propice au développement de cette
technique426(*). Le
projet de code intéresse tant les activités de cloud
fournies à l'attention des professionnels que des consommateurs.
Celui-ci mentionne par exemple les rapports de sous-traitance de cloud
computing et vise la promotion d'un niveau de service équivalent
à celui prévu dans la relation entre le prestataire initial et
l'utilisateur dont les données personnelles font l'objet d'un
traitement427(*). En
général le code de conduite privé est l'apanage des
procédés d'autorégulation par lesquels des acteurs
économiques définissent les bonnes pratiques à adopter
dans la réalisation de leurs activités, et qui fonctionne sur une
base volontariste. En revanche ce projet de code de conduite en matière
de services de cloud tend davantage à être
assimilé à de la corégulation. Il a en effet
été présenté pour approbation au Groupe de
l'Article 29428(*)
(ci-après « G29 »), qui est l'instance
européenne indépendante regroupant les autorités
nationales chargées du respect de la vie privée à l'instar
de la CNIL. Ce dernier a rendu un avis429(*) soulignant que le projet de code du C-SIG, bien
qu'allant dans le bon sens comme pour les questions de transparence, devait
être précisé sur une dizaine de points. Parmi ces points
figurent les conséquences liées à l'adhésion
à ce code par les entreprises, le régime de responsabilité
y afférant en cas de non respect de ses dispositions et les moyens
concrets devant être mis en oeuvre pour garantir la
sécurité des données. Cela démontre une
coopération entre le secteur privé et public afin de
déterminer des pratiques d'entreprises correspondant aux standards de
protection fixés par les institutions dans les politiques publiques
européennes comme nationales, le tout par des procédés
distincts du processus législatif européen ordinaire. D'ailleurs,
le 29 octobre 2015, le C-SIG s'est engagé à revoir le projet
à la lumière des observations du G29 et de le lui soumettre de
nouveau à fin d'approbation430(*).
D'autre part, la Commission élabore
régulièrement des clauses contractuelles types concernant le
transfert de données à caractère personnel vers des
sous-traitants établis dans des pays tiers. Il existe deux types de
clauses contractuelles émises par la Commission sous forme de
décisions : celles concernant les transferts de données
entre responsables de traitement exportateurs et importateurs de 2001431(*) et 2004432(*), puis celles entre les
responsables du traitement et leurssous-traitants, datant de 2001433(*) et 2010434(*). Les dernières
clauses diffusées, celles de 2010, trouvent une utilité
particulière pour les contrats de service de cloud computing
conclusentre professionnels. Elles ont pour intérêt de
déterminer clairement les obligations incombant aux prestataires de
cloud sous-traitant des responsables de traitement de données.
Ces clauses assurent par exemple que le traitement des données
réalisé par le prestataire établi sur le territoire d'un
pays tiers soit réalisé dans le strict respect des exigences
définies par le droit de l'Union européenne, et notamment de la
directive 95/46/CE. Au-delà de ces considérations, les
clauses ont vocation à empêcher toute modification
ultérieure du contrat sur les aspects tenant aux données
personnelles435(*) et
prévoient la possibilité de résilier le contrat, et donc
d'empêcher le transfert de données si l'importateur de
données manque à ses obligations436(*). Plus
particulièrement, les clauses types de 2010 démontrent clairement
une volonté de s'adapter à la complexification des montages
contractuels et de la vie des affaires relatives aux nouvelles technologies.
Elles ont pour particularité de prévoir, par exemple, un
régime propre à la « sous-traitance
ultérieure »437(*) qui consiste, pour l'importateur établi dans
un pays tiers ayant recours à la sous-traitance des activités de
traitement des données à caractère personnel, d'obtenir
l'accord de l'exportateur initial et de prévoir avec son sous-traitant
le respect des obligations qui lui incombent. Aussi la clause n°3, dite
« clause du tiers bénéficiaire », définit
les droits de la personne concernée par le traitement des données
à l'égard des différents opérateurs, fussent-ils
sous-traitants, et notamment la possibilité d'engager la
responsabilité de chacun d'entre eux438(*). En termes d'activités de cloud
computing, cela témoigne effectivement d'une volonté
d'adapter les relations contractuelles à la pratique. En effet, nombre
de prestataires de cloud sont des opérateurs étrangers
(non-européens), et les chaînes de traitement des données
à caractère personnel se développent et se complexifient.
L'édiction de telles clauses contractuelles types par voie de
décision de la Commission européenne a pour effet, non pas
l'harmonisation ou l'unification des droits, mais celles des pratiques. On aura
d'ailleurs l'occasion d'observer dans la partie consacrée au
régime juridique des transferts de données à
l'étranger439(*),
que les prestataires insérant ces clauses dans leurs contrats en
retirent certains avantages, leur permettant par exemple d'être
autorisés à procéder au transfert de données
à caractère personnel vers un pays tiers quand bien même
celui-ci ne bénéficierait pas d'un niveau de protection des
données jugé adéquat à celui de l'Union
européenne.
Enfin, il est intéressant de relever que les
institutions européennes ne sont pas seules à porter un
intérêt manifeste à la soft law en vue de
réguler les activités de cloud entre professionnels. En
effet, la CNIL a incontestablement suivi la même voie. Une initiative de
cette Commission est plus particulièrement révélatrice de
ce phénomène. Il s'agit des « Recommandations pour les
entreprises qui envisagent de souscrire aÌ des services de Cloud
computing »440(*),
publiées en 2012, et dont l'objet est d'accompagner les professionnels
dans leur souscription à des services de cloud en appelant
à leur vigilance sur certains points clés des contrats. La CNIL
conseille par exemple d'effectuer une analyse des risques, de définir
les exigences attendues du service et d'en vérifier le respect par des
audits réguliers. Mais ces recommandations s'accompagnent surtout de
clauses contractuelles types pouvant être insérées dans les
contrats de prestations de services de cloud. Ainsi stipulées
dans les contrats, ces clauses apporteraient aux clients l'assurance de
souscrire à un service présentant des garanties de
sécurité suffisante et, à défaut, à ce que
des droits de recours leurs soient ouverts. À titre d'exemple la
Commission française conseille d'insérer la clause de
réversibilité des données suivante :
« Au terme du Contrat ou en cas de rupture
anticipée de ce dernier pour quelque cause que ce soit, le Prestataire
et ses éventuels sous-contractants restitueront sans délai au
Client une copie de l'intégralité des Données dans le
même format que celui utilisé par le Client pour communiquer les
Données au Prestataire ou à défaut, dans un format
structuré et couramment utilisé.
Cette restitution sera constatée par
procès-verbal daté et signé par les Parties. Une fois
la restitution effectuée, le Prestataire détruira les copies des
Données détenues dans ses systèmes informatiques dans un
délai raisonnable et devra en apporter la preuve au Client dans un
délai raisonnable suivant la signature du procès-verbal de
restitution. »441(*)
Aussi, dans la consultation publique effectuée par la
CNIL préalablement à la réalisation de cette
recommandation, celle-ci concluait à la nécessité,
partagée et revendiquée par les opérateurs de
cloud consultés, de définir des références
techniques et autres bonnes pratiques en matière de cloud
computing. Elle prend d'ailleurs pour exemple le bénéfice
retiré de la norme ISO 27 001 sur le management de la
sécurité de l'information442(*). Tout cela confirme l'intérêt
porté aux normes alternatives, tant par les opérateurs
économiques que les autorités publiques. M.-C. Roques-Bonnet,
lorsqu'elle était représentante de la CNIL auprès du G29,
mentionnait d'ailleurs que ces actions démontraient
« l'existence d'un nouveau mode de
régulation » destiné « à
donner aux prestataires de service de cloud des outils moins
standardisés, plus souples, parce qu'ils constituent des options de
soft law très intéressantes en ce qu'elles sont quasi
contractuelles »443(*). La CNILcollabore d'ailleurs au sein de
l'Organisation Internationale de Normalisation (ci-après
« ISO ») et a déjà pu participer à
l'élaboration de normes ISO spécifiquement dédiées
à la sécurité de l'information dans le cloud,pour
les utilisateurs,privés444(*)comme publics445(*).
C'est ainsi que les autorités publiques manifestent un
intérêt certain pour les mécanismes de corégulation
et plus généralement pour la production de nouvelles formes de
normativités destinées à réguler les
activités de cloud entre professionnels. C'est d'ailleurs une
tendance de plus en plus affirmée. À titre d'exemple le
règlement général de protection des données
(ci-après « RGPD »), qui sera applicable en 2018,
tend à développer le recours aux codes de conduites et à
la certification pour attester de la conformité des opérateurs
aux obligations dudit règlement446(*). Dans cet esprit, O. Tambou rappelle que
« l'émergence d'une certification européenne en
matière de protection des données personnelles répond
à de fortes attentes [...] plébiscitées par le
monde économique [en vue de rétablir] la confiance des
utilisateurs »447(*). En effet, le recours à des formes de
normativités alternatives semble particulièrement adapté
aux caractéristiques du cloud computing.
2 - Une pratique
adaptée aux caractéristiques des contrats internationaux de cloud
computing
Alors qu'on vient d'étudier que l'Union
européenne est souvent présentée comme le laboratoire de
nouvelles formes de normativités, d'autres, à l'instar de la
présidente de la CNIL, I. Falque-Pierrotin, avancent que le
cloud constitue, lui-même, un « laboratoire de la
régulation »448(*). Il est intéressant, en effet, de relever que
le recours à des formes alternatives de normativité est
particulièrement adapté à la régulation des
activités de cloud computing, notamment vis-à-vis de son
aspect technique et international.
En ce qui concerne l'aspect technique des services de
cloud, il est intéressant de rappeler qu'il s'agit là
avant tout d'une des limites à l'adaptation du droit actuel aux
activités d'informatique en nuage. En effet, son caractère
protéiforme, complexe et sa soumission aux changements augurés
par l'avancée technologique compliquent particulièrement la
tâche du législateur ou du juriste souhaitant, soit adapter les
concepts classiques du droit au cloud, soit en unifier le droit
applicable à l'échelle européenne. Or, à cet
égard, les normativités alternatives seraient beaucoup plus
adaptées. En ce sens, dans un rapport de 2013 sur le droit souple, le
Conseil d'État mentionnait le caractère
« réactif et adaptatif »449(*), notamment au progrès
technologique, de ces types de normes. Il citait d'ailleurs à titre
d'exemple la recommandation adressée par la CNIL aux professionnels
désireux de souscrire à des services de cloudcomputing.
Toujours dans le même esprit, V. Lasserre observe une tendance qui fait
que « le droit, aux prises avec les sciences et les techniques,
change et se technicise »450(*) et avance le concept de
« technodroit »451(*) pour en rendre compte. De plus, sans unification du
droit applicable aux activités et aux contrats de service de cloud
computing en Europe, l'harmonisation des pratiques par l'encouragement du
recours aux labels de qualités et à la certification des
politiques internes d'entreprises par les autorités publiques pourraient
être des moyens alternatifs permettant de garantir aux clients le respect
d'un certain niveau de sécurité de l'information stockées
sur le cloud. En effet, cela participerait peut être à
rétablir la confiance des utilisateurs de services de cloud,
notamment pour ce qui concerne les professionnels les plus faibles.
C'était d'ailleurs ce que la Commission européenne souhaitait
réaliser en 2012 dans l'objectif d'exploiter le potentiel de
l'informatique en nuage. En revanche, l'usage de ces normes et labels est
limité dans ses effets sur le régime juridique applicable aux
activités de cloud et à la relation contractuelle liant
le client au prestataire. En effet, en cas de non respect des exigences d'un
label, d'une certification ou d'un code de conduite par le prestataire, rien ne
garantit en soi au client qu'il puisse engager la responsabilité du
prestataire. On a pu dénoncé en ce sens la « force
symbolique de la normalisation technique »452(*) qui favorise
l'activité économique davantage par des arguments commerciaux que
par l'instauration d'un cadre juridique fiable. Cela dit, la diffusion de
contrats, clauses contractuelles types ou l'insertion dans les contrats de
l'obligation de respecter les exigences liées à une certification
ou un label permettrait de répondre à ces critiques. Ainsi, si
l'on prend l'exemple des clauses contractuelles diffusées par la CNIL en
2012 pour les contrats de prestations de services de cloud à
usage professionnel, l'une d'entre elle visait à donner une valeur
contractuelle au respect de la certification des prestataires de services de la
société d'information en stipulant :
« Par ailleurs, il [le prestataire]
s'engage à maintenir pendant toute la durée du Contrat les
critères permettant de répondre aux exigences de la certification
obtenue. »453(*)
Plus généralement, le recours à ces types
de normativité, par la CNIL, témoigne d'une volonté
d'adopter une approche horizontale et non plus seulement verticale des modes de
régulation, en privilégiant une réglementation
« pédagogique et intuitu
personae »454(*). Cette approche concilierait d'ailleurs
l'intervention publique au respect de la liberté contractuelle. Dans cet
esprit, l'adaptation du droit, par d'autres formes de normativités, aux
spécificités des activités numériques
apparaît essentielle. En ce sens, M. Mosse, directeur des affaires
juridiques de Microsoft, déclarait à propos du droit applicable
au cloud qu'il était nécessaire que le droit soit
« plus souple que jamais [...] de sorte que la
technique ne soit pas la seule à englober les formes culturelles et
civilisationnelles de demain »455(*).
En ce qui concerne par ailleursle caractère
international du cloud, il s'avère que ces normes seraient
particulièrement adaptées à la régulation
supranationale des activités. Le recours à des normes
édictées internationalement par les professionnels du secteur
informatique, comme c'est le cas des normes ISO précitées, est
ici révélateur. Plus généralement, l'uniformisation
des techniques permettrait la facilitation des échanges de produits et
services à l'international en se posant comme le gage de la
qualité du service fourni et la certification de la qualité du
matériel utilisé pour la fourniture du service. Ainsi,
l'émergence de ces types de normativités semble incontestablement
portée par la globalisation et marque l'affaiblissement du rôle
des États dans une économie mondialisée. Ce mouvement
n'est pas propre au numérique, au contraire toutessortes
d'activités commerçantes s'appuient sur ce type de normes.
Mentionnons par exemple les International Commercial Terms
(« INCOTERMS ») produits par la Chambre de Commerce
Internationale de Paris qui sont des termes définissant chacun un
régime d'obligations lié aux modalités de transport et
d'assurance devant incomber à chacun des opérateurs. À
titre d'exemple la mention de l'INCOTERMS« EXW » (pour
« Ex Works ») dans un contrat international de
vente de marchandises stipule que l'acheteur aura la charge de
récupérer et procéder au transport des marchandises, des
locaux du vendeur jusqu'aux siens. À l'inverse, l'INCOTERMS
« DAP » (pour « Delivered At
Place ») imposera au vendeur l'obligation de remettre la
marchandise au lieu de livraison conventionnellement définie. Ainsi, par
la mention des trois lettres composant un INCOTERMS dans un contrat
international de vente, c'est toute l'économie du contrat - les
obligations de transport, d'assurance, de documentation et donc le prix de la
vente - qui sera bouleversée. Mais ce qui est valable pour le commerce
en général l'est d'autant plus pour le commerce
électronique qui procède d'échanges
dématérialisés, à distance et rapides de biens et
de services. Pour désigner le cyberspace marchand, K. Seffar et K.
Benyekhlef font d'ailleurs « référence à une
zone d'achalandage planétaire où les magasins deviennent virtuels
et sans territoire propre »456(*). Face à ce phénomène, la
réglementation étatique est limitée dans sa propension
à appliquer des règles imposables internationalement et le droit
international privé n'est pas toujours satisfaisant pour y
pallier457(*). De cette
situation résulte d'une part la volonté des États de
s'organiser, internationalement ou régionalement, en vuede s'accorder
sur les règles à imposer aux opérateurs de commerce
électronique et, d'autre part, la volonté des acteurs
économiques de s'accommoder de la pluralité de
règlementations étatiques par la souscription à des
standards, codes ou labels,destinés à gagner la confiance des
autorités publiques et de leurs clients. Ainsi, à la lex
mercatoria regroupant les usages de la communauté internationale de
marchands succèderait une lex electronica définissable
comme « l'un des ensembles de règles de droit encadrant
les activités se déroulant dans l'espace
virtuel »458(*). En ce qui nous concerne plus
précisément à propos du cloud, il est
intéressant de noter que la production de droit souple ne se cantonne
pas à l'échelle européenne mais s'organise
déjà à l'échelle internationale. En effet, la
Cloud Security Alliance se présente comme une organisation
mondiale chargée de définir les pratiques exemplaires
(« best practices ») et de la certification des
prestataires de service de cloud computing459(*).
C'est ainsi, que le pragmatisme des institutions
européennes les conduit à privilégier la régulation
des activités transnationales ou européennes de cloud
computing par des formes de normativités particulièrement
adaptées à leur technicité et leur
internationalité. Pour autant, si intéressant puisse être
le recours à ces formes de régulation, il convient tout de
même de rappeler qu'elles font aussi l'objet de critiques.
B - Les défauts des procédés
alternatifs de régulation des activités de cloud
computing
Malgré ses potentielles opportunités, la
gouvernance des activités transnationales de commerce
électronique par des mécanismes de corégulation ou
d'autorégulation se confronte à nombre de critiques, notamment en
doctrine. Celles-ci concernent essentiellement le déficit
démocratique de ces procédés (1) et le
défaut de juridicité des normes alternatives
(2).
1 - Le défaut de
légitimité démocratique des régulations
alternatives
L'argument essentiel des pourfendeurs des méthodes de
régulation et des normativités alternatives a trait à leur
manque de légitimité démocratique. En
réalité, invoquer le déficit démocratique de ce
type de normes revient plus largement a remettre en cause les
caractéristiques propres à ces modes de régulation. Aussi,
ces critiques se vérifieraient dans l'application de ces normes au
cloud. Il convient donc de nuancer ici l'idée selon laquelle le
recours à des normativités plus souples serait davantage
adapté à la régulation et à la promotion des
activités de cloud computing au sein du marché
intérieur.
En ce qui concerne d'une part le défaut de
légitimité démocratique des modes alternatifs de
régulation, cela se remarque tant quant à la conception
qu'à l'accessibilité des normes. En ce qui concerne tout d'abord
la conception des normes, l'essentiel des critiques consiste à remettre
en cause la place attribuée aux opérateurs privés et
l'origine des financements de l'oeuvre normative. En effet, l'essentiel, si ce
n'est la totalité, de la procédure de conception se
réalise hors des parlements nationaux. En ce sens, V. Lasserre note
d'ailleurs la tendance qu'ont les autorités publiques à
déléguer la régulation de certaines activités aux
acteurs de la société civile et parle à ce titre de
« dépolitisation de l'action
publique »460(*). Aussi, force est de constater que l'argument du
déficit démocratique est souvent celui utilisé par les
opposants à l'Union européenne et vise généralement
la cooptation de ses membres et les limites affectant les pouvoirs du Parlement
européen. Or, l'intérêt que portent les institutions de
l'Union pour les normativités alternatives ne participerait-il pas
à attiser les critiques portées généralement
à l'Union ? À cette question, J. Porta répond
à l'affirmative en constatant que « ces
[procédés] rompent avec une conception moderne de la
légitimité » et s'interroge sur la question de
savoir s'il ne s'agit pas là de « signes avant-coureurs
d'un rabaissement des exigences démocratiques dans l'Union
européenne ? »461(*). Pour ce qui intéresse ensuite les
difficultés liées à l'accessibilité des normes, ce
sont tant leur transparence que leur intelligibilité qui sont mises en
cause. Un défaut de transparence peut être opposé aux
normes d'origine privée comme les codes de conduites internes aux
entreprises. Mais cela est encore plus notable en ce qui concerne les normes
dont on ne peut prendre connaissance que moyennant un paiement
préalable. Cela est le cas des normes ISO, dont les deux
précitées concernant le cloud valent respectivement 138
et 118 Francs suisses. En ce qui concerne leur intelligibilité, ces
normes, du fait de leur technicité, s'avèrent
généralement complexes et donc difficilement
compréhensibles pour les non initiés. Ces difficultés
d'intelligibilité et de transparence participent pleinement à la
critique de déficit démocratique de ces normes etserait facteur
d'une dégradation de la qualité du droit, peu
souhaitable462(*).
Néanmoins, ces remarques peuvent être
nuancées par l'existence de certains carcans, spécifiquement en
ce qui concerne la corégulation. En effet, les autorités
publiques ont la possibilité, voire le devoir, de contrôler le
bien fondé des normes d'origine privée. L'exemple
déjà invoqué du code de conduite à destination des
opérateurs de cloud conçu par le Cloud Select
Industry Group est particulièrement révélateur de ce
fait. Rappelons en effet que le G29, qui est l'instance regroupant les
autorités nationales de protection des données l'a contraint
à améliorer son premier projet de Code et le validera in
fine. C'est aussi le cas de la certification qui n'est pas ipso
facto une activité déléguée à un
opérateur privé, mais qui peut se réaliser par les
autorités publiques elles-mêmes. À titre d'exemple, en
France, l'agrément autorisant les prestataires de cloud
à opérer un traitement de données de santé est
soumis à une pluralité de contrôles dont un avis de la CNIL
et une validation finale par le ministère de la santé. En
réalité, les critiques dénonçant le déficit
démocratique des méthodes alternatives de régulation
permettent essentiellement la mise en garde contre certaines dérives,
notamment lorsqu'elles impliquent l'autorégulation des activités.
D'ailleurs, en réaction à ces critiques, on a pu proposer la
démocratisation de la normalisation, soit en instituant un
contrôle des travaux par les Parlements soit en promouvant leur
publication gratuite463(*). En somme, les autorités publiques
démocratiquement élues ont la possibilité de garder un
certain contrôle sur ces formes de normativités, mais à
défaut, le risque tendrait à ce que la soft law se
supplée à la hard law.
D'autre part, certains doutes méritent d'être
formulés quant aux qualités que l'on octroie
généralement aux normes alternatives. En effet, bien qu'on puisse
critiquer la lenteur du processus législatif (notamment en visant le
fait que la directive de 1995 ait rapidement été
dépassée par l'évolution de la technique et que
l'adaptation du régime juridique applicable aux données
personnelles n'a donné lieu qu'à une réforme tardive qui
sera applicable en 2018), force est de constater que la production du droit
souple peut également être longue. Le projet de code de conduite
est encore une fois là pour nous le prouver. Le droit souple, par son
caractère technique et le consensus qu'il appelle entre acteurs
privés, peut également résulter d'un long processus de
conception. De plus, le prix des normes ISO précitées pourrait
être un facteur de discrimination entre les opérateurs de
cloud, voire entre les clients de services de cloud, selon
qu'ils soient des PME, TPE ou start-up. Enfin, il est possible de
critiquer le régime de certification prévu par le RGPD. En effet,
l'article 42 paragraphe 7 du règlement dispose qu'une certification
d'une durée maximale de trois ans peut être accordée aux
acteurs opérant un traitement de données à
caractère personnel pour attester de leur conformité au droit
européen. L'article 43 paragraphe 4 du même règlement
dispose lui que les organismes de certification peuvent être
agréés, c'est-à-dire habilités à accorder ou
renouveler les certifications, pour une durée maximale de cinq ans, par
les autorités nationales de contrôle ou des organismes nationaux
d'habilitation. Or, ces durées de trois ans et cinq ans ont pu
être critiquées comme étant
particulièrement longues « étant donné
l'évolution rapide des technologies »464(*).
C'est
ainsi que l'on peut opposer aux normativités et modes de
régulation alternatifs un certain déficit démocratique et
que, même si des garanties de contrôle par les autorités
publiques existent, des risques de dégradation de la qualité et
de l'accessibilité du droit persistent. À cet argument s'ajoute
celui des doutes entourant la juridicité des normes de droit souple.
2 - La
problématique de la juridicité des normes
alternatives
Après la question du déficit
démocratique, c'est celle de leur juridicité465(*) qui se pose aux normes de
soft law. Il est souvent reproché aux formes alternatives de
normativité de faire partie d'un ordre
« volontaire », distinct de l'ordre juridique. Cela se
confirme d'ailleurs dans la jurisprudence de la Cour de cassation
française. Ainsi, par exemple, la Cour a pu conclure que le seul respect
par un entrepreneur des DTU - normes françaises définies par les
experts du bâtiment - n'était pas un fait exonératoire de
sa responsabilité466(*). Les réformes récentes des droits
français et européen confirment cette tendance. L'article 17 du
décret de 2009467(*) réformant la normalisation prévoit en
effet que « les normes sont d'application
volontaire » et le règlement européen de 2012
relatif à la normalisation européenne le rappelle
également à quatre reprises468(*).
Néanmoins, ces normes ne sont pas ipso facto
dépourvues d'intérêt juridique. En effet, V. Lasserre
qualifie les règles de droit souple de « normes en devenir
juridique »469(*). En ce sens par exemple, l'article 17 du
décret français de 2009 précité, dispose
également que « les normes peuvent être rendues
d'application obligatoire par arrêté signé du ministre
chargé de l'industrie et du ou des ministres
intéressés ». Cela témoigne d'un parfait
exemple de corégulation. Plus généralement encore,
l'absence de juridicité per se de ces normes n'est pas
opposable lorsque leur respect est explicitement prévu dans un contrat.
À ce titre le Conseil d'État estime que « sur le
plan juridique, l'usage développé du contrat facilite la
réception du droit souple par le droit dur »470(*). Ainsi, la mention du
respect d'une norme ISO, d'un code de conduite ou autre label par un contrat
européen de prestation de service de cloud lierait le
prestataire au respect des normes de qualité de service
stipulées.
C'est ainsi que l'on ne peut que souscrire aux propos de K.
Seffir et K. Benyekhlef concluant que « la régulation
étatique doit subsister en s'internationalisant mais surtout en
apprenant à coexister avec l'autorégulation par les
opérateurs du commerce électronique ».
Appliqué à notre champ d'étude, la régionalisation
de la régulation des activités de cloud entre
professionnels serait d'autant plus pertinente que le cadre institutionnel de
l'Union européenne est particulièrement propice au
développement de nouvelles formes de normativités. Cela dit, il
faut veiller à ce que les opérateurs privés n'aient pas un
trop grand contrôle de la production de ces normes. La
corégulation doit plutôt permettre d'apporter une certaine forme
légitimité démocratique à ces normes
comportementales. Or, à cet égard, le régime juridique
applicable au transfert de données à caractère personnel
est symbolique : s'il révèle l'intérêt pratique
des règles internes d'entreprises et des contrats-types, il questionne
également leur capacité à prévenir les atteintes
aux droits fondamentaux des personnes privées.
§ 2 - Le rôle
des normativités alternatives dans le transfert des données
à caractère personnel vers un État tiers
L'importance des normativités alternatives applicables
aux contrats de prestation de service de cloud prend
particulièrement corps lorsqu'on étudie le régime
juridique entourant le transfert de données à caractère
personnel vers un États tiers. En effet, le principe
général posé par la Directive 95/46/CE impose comme
condition préalable à tout transfert de ce type de
données, que le pays de destination garantisse un niveau de protection
adéquat et qu'une décision d'adéquation en atteste
(A). Or, suite à l'invalidation par la Cour de Justice
du désormais célèbre Safe Harbor, qui n'est rien
d'autre que la décision d'adéquation autorisant l'exportation de
données à caractère personnel aux États-Unis, la
pratique a révélé l'intérêt des
méthodes de corégulation permettant aux entreprises de passer
outre cette invalidité (B).
A - La méthode
classique de la décision d'adéquation
Le principe prévu par le droit de l'Union
européenne est celui de l'autorisation du transfert de données
à caractère personnel vers un États tiers à
condition que ce dernier garantisse un niveau de protection des données
jugé adéquat à celui de l'Union européenne
(1). L'invalidation de la décision de Safe
Harbor par la Cour de Justice et les négociations actuelles en vue
d'aboutir à un nouvel accord avec les
États-Unisdénommé « Privacy
Shield » témoignent de la difficile conciliation entre
les impératifs de sécurité nationale et le droit
fondamental au respect de la vie privée des individus
(2).
1 - L'autorisation des
transferts de données à caractère personnel vers des
États tiers ayant un niveau de protection
adéquat
En vue de protéger la vie privée des personnes
physiques, le droit de l'Union européenne conditionne la capacité
des responsables de traitement de données à caractère
personnel d'opérer un transfert de ces données vers
l'étranger à ce que l'État d'expédition assure un
« niveau de protection adéquat » à celui du
droit de l'Union. Cette condition est prévue par la directive 95/46/CE,
en son article 25, et est reprise dans le RGPD, en son article 45.
Le régime juridique prévu par la directive
prévoit cinq étapes préalables à ce que la
Commission reconnaisse, par voie de décision, l'adéquation du
niveau de protection des données à caractère personnel par
un État tiers. L'initiative revient à la Commission qui
présente une proposition au G29 et au Comité de l'article 31,
regroupant des représentants des États membres. Ceux-là
rendent chacun un avis consultatif préalable et ensuite le Parlement
européen et le Conseil de l'Union contrôlent que la Commission ait
respecté ses compétences d'exécution attribuées par
la directive. Ils peuvent à ce titre la contraindre à modifier ou
retirer le projet de décision. Enfin, la Commission adopte la
décision d'adéquation. Les conditions d'adéquation
fixées par la directive sont vagues. Elle précise seulement qu'il
faut prendre en compte « la nature des données, la
finalité et la durée du ou des traitements envisagés, les
pays d'origine et de destination finale, les règles de droit,
générales ou sectorielles, en vigueur dans le pays tiers en
cause, ainsi que les règles professionnelles et les mesures de
sécurité qui y sont respectées »471(*). Une grande marge de
manoeuvre semble être laissée aux institutions dans
l'appréciation finale du respectd'un niveau de protection
adéquat. Avec le RGPD, le régime juridique des transferts de
données à caractère personnel vers des États tiers
est voué à se généraliser. Ainsi le transfert de
données à caractère personnel pourra être
envisagé à destination d'organisations internationales et non
plus seulement des États472(*). Les conditions que les États tiers ou les
organisations internationales devront respecter pour que la décision
d'adéquation soit adoptée ont également été
précisées. Ainsi, la Commission devra désormais s'assurer
que les personnes concernées par le transfert se voient garantir des
« droits effectifs et opposables » et des
« recours administratifs et judiciaires »
effectifs473(*) par le
régime juridique de l'État ou de l'organisation de destination.
Il faudra également vérifier l'existence de
« plusieurs autorités de contrôle
indépendantes [...] chargées d'assurer le respect des
règles en matière de protection des données et de les
faire appliquer »474(*). Cela semble témoigner d'une volonté
de l'Union européenne de diffuser, voire d'imposer, son modèle
régional de protection de données à caractère
personnel. Elle conditionne en effet l'autorisation du libre transfert de
données vers un États tiers à des niveaux d'exigences
propres au droit de l'Union :en désirant traiter avec des
organisations internationales, en imposant le respect du droit à un
recours effectif et en exigeant qu'un contrôle soit exercé par des
organismes indépendants sur ces activités.
Actuellement, l'Union européenne a adopté douze
décisions d'adéquation dont l'une a fait l'objet d'une
invalidation par la Cour de Justice et est aujourd'hui en voie de
renégociation. Ainsi, l'Andorre475(*), l'Argentine476(*), le Canada477(*), la Suisse478(*), les îles Féroé479(*), Guernesey480(*), l'État
d'Israël481(*),
l'île de Man482(*), Jersey483(*), la Nouvelle-Zélande484(*) et l'Uruguay485(*) sont
considérés comme garantissant un niveau de protection
adéquat à celui du droit de l'Union européenne. De la
sorte, les opérateurs de cloud proposant leurs services
à des professionnels qui sont responsables du traitement de
données à caractère personnel pourrontopérer des
transferts vers ces États dans des conditions similaires aux transferts
de données effectués au sein de l'Union européenne.
Ces décisions d'adéquation ont donc un
intérêt particulier pour les opérateurs de cloud
computing qui se voient ainsi ouvrir de plus grands
marchés.À cet égard,l'invalidationde la décision
d'adéquation 2000/520/CE486(*) qui autorisait les transferts de données
à caractère personnel vers les États-Unis pourrait avoir
une incidence importante pour les opérateurs de cloud
computing. C'est ainsi que la Commission européenne négocie
actuellement un nouvel accord réévaluant les garanties que les
institutions américaines devraient apporter pour faire de nouveau
l'objet d'une décision d'adéquation.
2 - La
négociation du Privacy Shield entre l'Union européenne et
les États-Unis suite à l'invalidation du Safe
Harbor
Par un arrêt rendu en grande chambre le 6 octobre
2015487(*), la Cour de
Justice de l'Union européenne a invalidé la décision
d'adéquation de la Commission européenne considérant que
les États-Unis justifiaient d'un niveau de protection des données
adéquat à celui du droit de l'Union. Dans cette affaire, un
litige opposait M.Schrems, résident autrichien, au Commissaire
européen suite à son refus d'enquêter sur la question de
savoir si les transferts de données à caractère personnel
opérés par l'entreprise Facebook Ireland Ltd vers les
États-Unis respectaient les droits fondamentaux et la directive
95/46/CE. Dans cette affaire, la Cour de Justice s'est prononcée sur la
validité de la décision dite Safe Harbor qui attestait
de la conformité des « principes de la sphère de
sécurité » américaine aux standards
européens. Ces principes mettent en place un régime
d'auto-certification des entreprises américaines important des
données à caractère personnel en provenance de l'Union
européenne. Sur cette base, plus de 5 000 entreprises se sont
auto-certifiées de respecter les exigences européennes en
matière de sécurité des données et de garantir de
respect des droits fondamentaux488(*). La Cour critique principalement le fait que la
décision d'adéquation de la Commission n'ait que peu tenu compte
du cadre règlementaire des États-Unis. En effet, elle constate
d'une part que la décision 2000/520/CE ne prévoyait pas de
disposition en vue de « limiter les éventuelles
ingérences dans les droits fondamentaux des personnes dont les
données sont transférées depuis l'Union vers les
États-Unis »489(*) ni ne garantissait « l'existence d'une
protection juridique efficace contre des ingérences de cette
nature »490(*). La Cour de Justice considère d'autre part
que le droit américain n'apportait pas non plus l'assurance d'une
protection effective de la vie privée des personnes privées dans
le traitement de leurs données à caractère personnel. Au
contraire elle reproche à la réglementation américaine
d'autoriser « de manière généralisée
la conservation de l'intégralité des données à
caractère personnel [...] sans qu'aucune
différenciation, limitation ou exception soit opérée en
fonction de l'objectif poursuivit et sans que soit prévu un
critère objectif permettant de délimiter l'accès des
autorités publiques aux données et à leur
utilisation »491(*). En somme, pour toutes ces raisons, la
décision d'adéquation de la Commission n'assurait pas
effectivement que les États-Unis d'Amérique garantissent un
niveau de protection adéquat des données à
caractère personnel492(*). C'est ainsi que la Cour jugea de
l'invalidité de la décision d'adéquation en ce qu'elle
méconnait les exigences de la directive 95/46/CE lues à la
lumière de la Charte des droits fondamentaux493(*).
Cette décision est, en quelque sorte, la
conséquence logique des révélations d'E. Snowden en 2013
à propos de l'Affaire PRISM et des pratiques de surveillance massive des
communications électroniques des individus par l'Agence
américaine de renseignements. La Cour y fait d'ailleurs explicitement
référence en citant la High Court Irlandaise qui retenait que
« les révélations de M.Snowden avaient
démontré que la NSA et d'autres organes fédéraux
avaient commis des excès considérables »494(*). D'ailleurs, depuis 2013,
les négociations ont été rouvertes entre l'Union et les
États-Unis pour réviser l'accord du Safe Harbor. Mais,
c'est en réalitél'arrêt Schrems qui a relancé le
dialogue entre les deux partenaires. Ainsi, à l'ancien
SafeHarbor devrait succéder un nouveau PrivacyShield
(« Bouclier de protection de la vie privée ») dans
lequel les autorités américaines devront assurer les garanties
nécessaires en vue d'un droit de recours effectif des particuliers
contre le traitement illégal de leurs données et une
autorité indépendante chargée de vérifier le
respect des droits fondamentaux desdits particuliers dans le traitement fait de
leurs données à caractère personnel. En ce sens, le 29
février 2016 la Commission européenne a rendu public le projet
d'accord négocié avec les États-Unis495(*). Se prononçant
à ce sujet, la commissaire européenne à la Justice, V.
Jourová, a déclaré que « pour la première
fois, les États-Unis ont fourni à l'Europe des assurances
écrites que l'accès des pouvoirs publics [...] sera
soumis à des limitations claires et à des mécanismes de
contrôle [...]. Tout citoyen considérant que leurs
données ont été mal utilisées aura à sa
disposition de nombreuses possibilités pour rétablir la situation
»496(*). Or,
à cet égard, la Commission s'est attirée les critiques des
associations défenderesses des libertés publiques497(*)et de la doctrine498(*). Les avis à propos du
nouvel accord restent en effet partagés. Dans l'ensemble le G29 a rendu
un avis plutôt favorable à l'accord499(*) en notant
« the major improvements the Privacy Shield offers compared to
the invalidated Safe Harbour decision »500(*). L'essentiel dont on peut se
réjouir serait la désignation par les États-Unis d'un
ombudsman indépendant chargé des médiations entre les
autorités américaines et les personnes concernées par le
traitement de leurs données501(*) et l'examen périodique par la Commission
européenne de l'adéquation du niveau de protection garanti par
les États-Unis502(*). Aussi, le G29 exprime quelques méfiances et
recommandations, dont notamment la nécessité de ne pas
conserver les données collectées plus longtemps que ce qui
s'avère nécessaire pour garantir la sécurité
publique, que l'administration s'engage explicitement à ne plus
collecter massivement et aléatoirement les données ainsi que de
garantir que les pouvoirs du médiateur soient effectifs en droit
américain503(*).
Dans le même sens I. Falque-Pierrotin regrette que l'accord soit complexe
et qu'il se base encore sur la directive 95/46/CE alors qu'il aurait pu
anticiper la réforme du règlement général sur la
protection des données qui entrera en vigueur en 2018504(*).
C'est ainsi que la méthode actuelle procédant
par une décision d'adéquation à l'autorisation des
transferts de données à caractère personnel vers un
États tiers n'est plus efficiente en ce qui concerne les transferts vers
les États-Unis. Or, en dépit de ce que la Cour de Justice de
l'Union européenne a pu considérer, il est intéressant
d'observer qu'en pratique des méthodes alternatives de régulation
permettent encore aux opérateurs de cloud computingde
procéder au transfert de données à caractère
personnel aux États-Unis.
B - La méthode
pragmatique des normativités alternatives
Suite à l'invalidation du Safe Harbor par la
Cour de Justice, il peut paraître étonnant que les transferts de
données à caractère personnel à destination des
États-Unis n'aient pas cessé. Cela est juridiquement possible
parce qu'en plus du mécanisme de décision d'adéquation, le
droit de l'Union prévoit un régime d'exception par le recours
à des procédés alternatifs de régulation. Nous
étudierons ainsi que par des Binding Corporate Rules
(ci-après « BCR »), c'est-à-dire des
règles d'entreprises contraignantes, et par l'utilisation des
contrats-types de la Commission, le transfert de données à
caractère personnel vers un États tiers de l'Union
européenne peut être autorisé (1). Ces
procédés ont, sans nul doute, un effet économique
favorable à l'industrie du cloud, notamment parce que les
États-Unis recensentle nombre le plus important de data
centers, mais également car les principaux opérateurs de
services de cloud y sont implantés originellement. Outre cet
intérêt pratique, il peut néanmoins paraître
étonnant de constater le silence de la Cour à l'égard de
la juridicité de ces procédés, et de douter de leur
conformité aux droits fondamentaux (2).
1 - Les normes permettant le
transfert de données à caractère personnel à
destination d'un État tiers n'assurant pas un niveau de protection
adéquat
La directive 95/46/CE ainsi que le règlement
général sur la protection des données prévoient
deux mécanismes alternatifs permettant le transfert de données
à caractère personnel vers un État tiers, quand bien
même ce dernier n'assurerait pas un niveau de protection adéquat
à celui de l'Union européenne. Il s'agit principalement des
règles d'entreprises contraignantes et des clauses contractuelles types
de protection des données, mais le RGPDsemble en étendre la
liste.
Tout d'abord, l'article 26 paragraphe 2 de la directive sur la
protection des données à caractère personnel
prévoit cette dérogation. Conformément à cet
article, un État membre de l'Union européenne peut autoriser le
transfert de données « lorsque le responsable du
traitement offre des garanties suffisantes au regard de la protection de la vie
privée et des libertés et droits fondamentaux des
personnes » et que « ces garanties peuvent
notamment résulter de clauses contractuelles
appropriées ». Si il est explicitement fait
référence aux clauses contractuelles, dont la directive
précise qu'il revient à la Commission de les
définir505(*),
les règles contraignantes d'entreprises ne sont pas expressément
nommées. Elles sont plutôt issues des nécessités de
la pratique qui se traduisent dans la rédaction de codes de bonne
conduite, que la directive incitait en son article 27. Ainsi, il apparaît
qu'une entreprise justifiant d'une part d'une politique interne respectueuse du
niveau de protection des données garanties par la directive ou d'autre
part de l'exécution d'obligations contractuelles prises sur fondement
des clauses contractuelles types de la Commission, puisse opérer un
transfert de données vers les États-Unis sans même qu'ils
soient considérés comme garantissant un niveau de protection
adéquat à celui de l'Union. En ce qui concerne tout d'abord les
BCR, il revient aux entreprises souhaitant en bénéficier de
communiquer à une autorité nationale de protection des
données les engagements de conformité pris en vertu de sa
politique interne d'entreprise et justifiant un respect du droit de l'Union
européenne dans le traitement des données à
caractère personnel, même lorsque ceux-là sont
effectués physiquement à l'étranger. L'instruction, par
les autorités nationales des procédures de certification des BCR
est unifiée à l'échelle européenne par le G29
agissant par voie de recommandation. Ainsi, deux types de BCR sont actuellement
admises par les autorités de protection de données
européennes, les premières règles ont trait aux transferts
intragroupe de données et sont dites « BCR responsable de
traitement »506(*) et les secondes s'appliquent aux activités de
sous-traitance du traitement des données et sont dites « BCR
sous-traitant »507(*). Pour pouvoir bénéficier de la
dérogation permettant le transfert de données dans un
États tiers, les BCR des entreprises devront justifier du respect de
grilles d'analyses également produites par le Groupe de l'Article 29
à l'échelle européenne508(*). À l'issue de la procédure de
conformité, l'autorité nationale certifie la compatibilité
des règles d'entreprises contraignantes aux principes de la directive
95/46/CE. Les entreprises justifiant de BCR auront ainsi la possibilité
d'opérer des transferts sans tenir compte de l'existence
préalable d'une décision d'adéquation. À titre
d'exemple, la CNIL opère par déclarations simplifiées.
Elle en a actuellement délivrées 27 concernant les BCR
responsables de traitement et 5 concernant les BCR sous-traitant. Les
bénéficiaires de ces règles internes sont essentiellement
des grandes entreprises a l'instar de Michelin509(*) et Capgemini510(*). La Commission
européenne diffuse une liste complète des entreprises
bénéficiant de BCR511(*). En ce qui concerne ensuite les clauses
contractuelles types permettant le bénéfice de la
dérogation déjà présentées au
préalable, celles-ci permettent d'obtenir une autorisation
préalable de l'autorité nationale de protection des
données pour les entreprises souhaitant opérer des transferts de
données vers l'étrangers en application d'un contrat les
stipulant. L'intérêt de ces clauses est, rappelons-le, de
prévoir contractuellement la répartition des
responsabilités entre les responsables des traitements successifs ou les
sous-traitants et, partant, les droits des personnes intéressées
à leur encontre en cas de violation des obligations de protection de
leurs données à caractère personnel. Dans les deux cas ces
modes de régulation auront vocation à permettre aux clients
professionnels de prestataires de cloud de continuer à avoir
recours à de la sous-traitance avec des opérateurs
américains et ainsi d'opérer des transferts de données
à caractère personnel vers les États-Unis.
Il est intéressant, ensuite, d'étudier que le
RGPD semble accroître l'intérêt accordé à ces
types de normativités et, partant, aux exceptions à la
décision d'adéquation. En effet, dans un article
dédié aux « transferts moyennant des garanties
appropriées »512(*), le règlement met fin à l'obligation
d'autorisation préalable des autorités de contrôle
certifiant le respect des exigences du droit européen dans l'exportation
de données. En revanche, le même article s'inscrit en
continuité du régime de la directive qu'il remplacera en faisant
explicitement référence aux « règles
d'entreprises contraignantes » et « clauses types
de protection des données adoptées par la
Commission »513(*). Mais à cela il ajoute 4 autres
alternatives : « un instrument juridiquement contraignant et
exécutoire entre les autorités ou organismes
publics », « des clauses types de protection des
données adoptées par une autorité de contrôle et
approuvées par la Commission », un « code
de conduite » ou « un mécanisme?de
certification » tous deux assortis d'un engagement contraignant
pris par l'importateur de données justifiant ainsi l'application de
garanties appropriées514(*).
C'est ainsi qu'actuellement les opérateurs de cloud
computing souhaitant opérer des transferts intragroupe ou à
destination d'un sous-traitant situé dans un État ne justifiant
pas d'un niveau de protection adéquat peuvent tout de même y
procéderavecl'autorisation de la CNIL en France ou de toute autre
autorité nationale en Europe. Pour cela, il leur faudra prouver que le
contrat ayant pour objet ledit transfert ou que leurs règles internes
d'entreprises justifient des procédés conformes aux exigences du
droit de l'Union. À l'avenir, le RGPD semble instaurer une
présomption de licéité du transfert de données en
n'exigeant plus d'autorisation préalable du transfert et élargit
le champ des normes pouvant servir de fondement à la
licéité du transfert. Cela témoigne d'une volonté
déjà exprimée mais vouée à s'étendre,
de la part des institutions européennes, de privilégier le
recours à des modes alternatifs de normativités afin de
réguler les activités de cloud computing entre
professionnels et à l'échelle internationale. Mais la
compatibilité de ces procédés avec les droits fondamentaux
des individus au respect de leur vie privée et de la protection de leurs
données à caractère personnel peut être
questionnée.
2 - Le silence de la Cour
de Justice sur la juridicité de ces normes
Ce qui vient d'être décrit témoigne de
l'intérêt pratique des normes alternatives pour le commerce
électronique et notamment pour les opérateurs de cloud
computing. Il n'en demeure pas moins que des doutes sur la valeur
juridique de ce type de norme persistent en théorie. Or, à cet
égard, il peut être regrettable que dans l'affaire du Safe
Harbor la Cour de Justice n'ait pas traité de la juridicité
des normes que l'on a décrites. Pour autant, l'arrêt de la Cour
s'est brièvement prononcé sur la validité du
système d'auto-certification américain.
D'une part, la Cour a en effet considéré que
« le recours, par un pays tiers, à un système
d'autocertification n'est pas, par lui-même, contraire à
l'exigence [...] selon laquelle le pays tiers concerné doit
assurer un niveau de protection adéquat »515(*). On en retient que le
mécanisme d'autorégulation mis en place par les États-Unis
devant attester du respect des entreprises américaines de principes dits
de « la sphère de sécurité » pourrait
être valide en soi. La Cour de Justice précise en revanche par la
suite que la fiabilité de ce système d'auto-certification
dépendrait de certains garde-fous que le régime juridique
étranger devrait instaurer à travers des
« mécanismes efficaces de détection et de
contrôle permettant d'identifier et de sanctionner [...]
d'éventuelles violations des règles assurant la protection
des droits fondamentaux ». Ainsi la Cour entend conditionner la
validité d'un mécanisme de régulation alternatif
étranger aux garanties juridiques que prévoit le cadre
règlementaire de l'État en question.
D'autre part, la Cour ne se prononce à aucune reprise
sur la validité des BCR ou des contrats-types permettant aux entreprises
d'opérer des transferts de données à caractère
personnel vers les États-Unis d'Amérique. Aucune mention n'en est
faite. Cela se justifie probablement par le fait que la Cour n'ait pas
été saisie de la question de leur validité. Mais
peut-être pourrions nous voir ici, a similidu raisonnement
appliquéà l'auto-certification américaine, une validation
implicite de ces normes européennes du fait qu'elles font l'objet d'un
contrôle préalable des autorités nationales
européennes de protection des données et qu'un droit de recours
effectif est garanti aux particuliers qui auraient intérêt
à agir. Néanmoins, la question mériterait d'être
posée. En effet, qu'en serait-il de la conformité de ces normes
aux droits fondamentaux sous le régime juridique du règlement
général de la protection des données à
caractère personnel qui abolit la condition d'autorisation
préalable ? Aussi, la problématique soulevée par
l'invalidation du Safe Harbor a trait à la conciliation entre
le droit fondamental à la protection de la vie privée des
individus et l'objectif légitime de maintien de la
sécurité aux États-Unis. La Cour met d'ailleurs en cause
la disproportion des mesures prises par les autorités américaines
qui conduisent, pour des motifs sécuritaires, à opérer un
traitement massif et systématique des données à
caractère personnel des personnes privées européennes. Or,
une question doit alors nous interpeller : comment est-ce que l'emploi,
par une entreprise, de BCR ou de clauses contractuelles types pourrait assurer
aux utilisateurs d'un service opérant un transfert de données
vers les États-Unis que les autorités américaines ne
portent pas atteinte au respect de leur vie privée ? Il semblerait
en effet que si ces mécanismes sont profitables à
l'économie numérique et donnent des solutions viables pour les
opérateurs de cloud computing dans leurs activités entre
professionnels, celles-ci ne garantissent pas aux utilisateurs, personnes
physiques, que leurs données n'échappent au contrôle des
autorités américaines chargées de la
sécurité. Cette remarque a déjà été
soulevée par le Parlement européen qui, dans une note de 2013, se
prononçait sur le système des clauses-contractuelles types
diffusées par la Commission. Ildéclarait clairement que :
« Les révélations concernant
le programme PRISM illustrent de manière frappante le caractère
insensé de ce stratagème juridique. Aucune
autorité ne peut, dans un contexte civil impliquant des acteurs
privés, garantir le droit au respect de la vie privée lorsqu'un
acteur tel que la NSA enfreint ce droit en tentant d'accéder aÌ
des données en opérant selon des règles qui lui sont
propres et de manière légale aÌ ses yeux.
[...]
En leur qualité réputée de
mécanismes juridiques de protection des droits et d'obtention de
réparations en cas de mesures de sécurité insuffisantes ou
de mauvaises pratiques en matière de protection de la vie privée,
ces contrats (et leurs clauses « modèles ») se sont
avérés inutiles, dans la mesure ouÌ ils n'ont
donneì lieu aÌ aucune procédure juridique.
»516(*)
(mention en gras non ajoutée).
CONCLUSION
C'est ainsi que l'apport du droit de l'Union européenne
en droit des contrats de service decloud computing conclus entre
professionnels pourrait consister enla définition d'un cadre juridique
unifié destiné à sécuriser et faciliter les
transactions au sein du marchéunique numérique. Néanmoins,
un tel projet pourrait rencontrer des difficultés institutionnelles et
politiques majeures. D'ailleurs, aucuneproposition n'a encore été
avancée en la matière. Notons également que les
institutions de l'Union européenne ont actuellement recours à des
formes alternatives de normativité et de régulation pour
sécuriser contractuellement les activités de cloud
computing et encourager les opérateurs à adopter de bonnes
pratiques dans leurs prestations de services, notamment à
l'international. De cela pourrait être induite l'opportunité d'un
usage, au sein même du marché intérieur, de ces modes de
régulation. C'est également la pratique que semble
privilégier la CNILen publiant des recommandations et clauses
contractuelles types à destination des professionnels désireux de
souscrire à des services de cloud.Ces modes de
régulations seraient d'ailleurs adaptés aux activités de
commerce électroniques par leurs caractéristiques techniques,
internationales et respectueuses de la liberté contractuelle des
opérateurs économiques. OEuvrant de la sorte, la Commission
pourrait alors atteindre son objectif d' « exploiter le
potentiel de l'informatique en nuage » et de favoriser le
développement du marché unique numérique.
Néanmoins, si tel est le cas, l'apport du droit de l'Union
européenne s'exposerait à des critiques concernant tant la
légitimité des institutions dans leur action, que la
validité de ces types de normesau regard des droits
fondamentaux,notamment lorsqu'elles permettent des transferts de données
à destination d'États non membres de l'Union européenne.
Au terme de cette étude de nombreuses questions restent
en suspens quant à l'opportunité d'une intervention de l'Union
européenne en droit des contrats de cloud computing. L'examen
de l'apport du droit de l'Union européenne sur le droit applicable aux
contrats de cloud computingconclus entre professionnels et
consommateurs aurait probablement mérité d'aussi longs
développements. Néanmoins, le projet de directive relative aux
contrats de fourniture de contenu numérique prouve peut-être que
l'intervention de l'Union serait facilitée si elle s'inscrivait au
bénéfice des consommateurs. De plus, une étude
comparée des méthodes de régulations employées par
les autorités américaines pour faciliter le développement
du cloud serait également envisageable, notammentparce que les
États-Unis sont historiquement liés au développement du
cloud computing. De même, une étude comparée avec
le droit canadien serait pertinente quant à l'appréhension des
activités de cloud par un système originellement
bijuridique et bilingue. Enfin, l'opportunité de la comparaison du droit
de l'Union au droit canadien serait également propice à l'examen
des conditions dans lesquelles les transferts de données à
destination des États-Unis sont encadrées par les
autorités canadiennes.
Annexe1 -
Schématisation de la répartition des tâches entre
l'entreprise et le prestataire suivant les modèles de service de cloud
computing fournis
SOURCE :Me Cathie-Rosalie JOLY, Le cadre
juridique des contrats de cloud, med-it 4ème salon international
des technologies de l'information, Disponible en ligne sur <
http://www.ulys.net/upload/conferences/doc/14-11-2012
- Casablanca - Contrats Cloud - Me CR JOLY -.pdf>.
Annexe2 -
Développement des usages du cloud computing en France
SOURCE :
http://www.orange-business.com/files/styles/large/public/Blog/1_1.png?itok=FFuZ9DHF
Annexe 3 -panel
représentatif de l'etude comparee des contrats de cloud computing
Common law :
- Le Royaume-Uni
- Les États-Unis
Droit de tradition germanique :
- L'Allemagne
Droit de tradition civiliste :
- La France
- Les Pays-Bas
Droit nordique :
- La Suède
Droit romain :
- L'Italie
Droit d'Europe de l'Est :
- La Pologne
SOURCE : European Commission, Comparative study
on cloud computing contracts, Final report, Annex 2, methodology and
sample country selection, WP2, march 2015, pp.19-20.
Annexe 4 - Impact du droit
des contrats sur le commerce transfrontalier
SOURCE :Commission européenne, rapport :
le droit européen des contrats dans les transactions interentreprises,
résume flash eurobaromètre, 2011, p. 8.
Annexe 5 - Le modele de
droit européen des contrats preféré
SOURCE :Commission européenne, rapport :
le droit européen des contrats dans les transactions interentreprises,
résume flash eurobaromètre, 2011, p. 11.
GLOSSAIRE517(*)
BANDE PASSANTE -
La bande passante représente le débit d'une
connexion, et évoque généralement la fréquence
maximale disponible pour effectuer des transmissions.
CHIFFREMENT DES DONNÉES -
Le chiffrement est une technique de cryptographie
destinée à sécuriser les données, immobiles ou
mobiles, et l'accès à un service. Il est synonyme de
« codage » ou de « cryptage ». Les
personnes pouvant avoir accès aux informations chiffrées sont
généralement en possession d'un mot de passe ou d'une clé
de décryptage appropriés.
INTEROPÉRABILITÉ -
Qualité permettant à des
systèmesdifférents de fonctionner de manière
coordonnée, simultanée et de s'adapter à différents
produits, logiciels ou programmes.
INFRASTRUCTURE INFORMATIQUE -
L'infrastructure informatique est l'ensemble des serveurs,
espaces de stockage et autres composantes permettant la fourniture des services
de cloud. Pour cela, le matériel utilisé doit
répondre aux critères de capacité, flexibilité et
de sécurité nécessaires pour le type de service fourni.
MACHINE VIRTUELLE -
Une machine virtuelle permet de créer un système
informatique virtuel adapté à l'usage souhaité et
indépendamment des caractéristiques physiques de la machine
physique. Elle peut également permettre la séparation virtuelle
des serveurs pour un usage partagé (cf. virtualisation). Ainsi,
une machine virtuelle donne l'illusion de l'existence de plusieurs ordinateurs
en dépit de l'unité du système physique.
PARE-FEU -
Le pare-feu est un programme ou un logiciel permettant le
contrôle de la sécurité d'un réseau et des
accès qui y sont effectués. Il bloque par exemple les tentatives
d'entrée d'opérateurs malveillants et est ainsi le gage de la
sûreté d'un réseau privé.
PORTABILITÉ -
Caractère d'un programme, logiciel ou service dont
l'usage ou l'accès peut être effectué sur ou à
partir de plusieurs ordinateurs, systèmes d'exploitation et lieux
différents.
SERVEUR -
Système informatique dont la connexion permet à
un utilisateur une pluralité d'usages dont ceux de logiciels, de bases
de données ou autres services. On emploie généralement le
terme de serveur pour désigner le matériel informatique servant
de base à la prestation de différents services informatiques.
VIRTUALISATION -
La virtualisation est le procédé qui permet de
partitionner un serveur physique en plusieurs machines virtuelles. Cela est
particulièrement utile pour assurer, via le cloud, une mise en
service rapide des serveurs et permet leur utilisation rentable et plus
efficiente.
VPN -
De l'anglais Virtual Private Network, le VPN
désigne un réseau privé virtuel qui permet l'accès
protégé à un service distant. Le VPN donne l'illusion d'un
usage privé d'un système informatique similaire à celui
qui peut être fait sur un réseau local.
BIBLIOGRAPHIE
I - OUVRAGES
A - Manuels :
C. Blumann, L. Dubouis, Droit matériel de l'Union
européenne, Montchrestien, 6ème édition, 2012,
Paris, 805 pages.
C. CASTETS-RENARD, Droit de l'internet : droit
français et européen, Montchrestien, Collection Cours,
Lextenso éditions, éd. 2012, 492 pages.
G.CORNU, Association Henri Capitant, Vocabulaire
juridique, éditions PUF, Quadrige, 11ème
édition, Paris, 2016, 1100 pages.
M. FABRE-MAGNAN, Droit des obligations, 1 -
Contrat et engagement unilatéral,3édition, Puf, 201, Paris,
748 pages.
P. MALAURIE, L. AYNÈS, P.-Y. GAUTIER, Les contrats
spéciaux, 7ème édition LGDJ, Lextenso
éditions, Paris, 2014, 712 pages.
M.-L. NIBOYET et G.DE GEOUFFRE DE LA PRADELLE, Droit
international privé, LGDJ, Lextenso éditions,
Issy-les-Moulineaux, 2015, 712 pages.
L. SIORAT, Le problème des lacunes en droit
international, Librairie générale de droit et de
jurisprudence, Paris, 1959, 479 pages.
Lexique des termes juridiques 2011, Dalloz,
18ème édition, 917 pages.
B - Ouvrages
spécialisés :
1. Le cloud computing
J.-P. BRIFFAUT et F.STEPHAN, Cloud computing,
évolution technologique, révolution des usages,
Lavoisier, 2013, Paris, 268 pages.
Sous la direction de B. FAUVARQUE-COSSON et C.ZOLYNSKI, Le
cloud computing, l'informatique en nuage, Société de
législation comparée, actes du Colloque du 11 octobre 2013,
Collection colloques, volume 22, 160 pages.
V. GAUTRAIS, Neutralitéì technologique :
rédaction et interprétation des lois face aux changements
technologiques, Les éditions Thémis, 269 pages.
P. LE TOURNEAU, Contrats informatiques et
électroniques, Dalloz référence, Paris, 2014, 521
pages.
P. MUSSO, la « révolution
numérique » : techniques et mythologies, La
Pensée, 2008, 26 pages.
G. PLOUIN, Cloud computing, sécurité,
gouvernance du SI hybride et panorama du marché, Dunod,
4ème édition, 2016, Paris, 269 pages.
V.J.R. WINKLER, La sécurité dans le Cloud.
Techniques pour une informatique en nuage sécurisée,
Pearson, Paris, 2011, 314 pages.
J. GUALINO, Dictionnaire pratique, Informatique, internet et
nouvelles technologies de l'information et de la communication, Gualino,
Paris, 2005, 506 pages.
H. LILEN, Dictionnaire informatique &
numérique, First, Paris, 2014, 251 pages.
2. Le droit des contrats
Sous la direction de M.BEHAR-TOUCHAIS et
M.CHAGNY, Livre vert sur le droit européen des contrats.
Réponses du réseau Trans Europe Experts,
Société de Législation Comparée, 2011, Paris, 255
pages.
M. CLERMONT, Le rapprochement du droit européen des
contrats, enjeux et perspectives, sous la direction du Professeur Jamin
C., Université de Lille 2 du droit et de la santé, 2003, 117
pages.
K. GARCIA, Le droit civil européen, nouvelle
matière, nouveau concept, Larcier, Bruxelles, 2008, 680 pages.
Sous la direction de D. VOINOT et J.
SÉNÉCHAL, Vers un droit européen des contrats
spéciaux, Larcier, Bruxelles, Code économique
européen, 2012, 232 pages.
3. Le rapprochement des
législations
Sous la direction de S. CORNELOU et N. JOUBERT, Le
règlement communautaire « ROME I » et le choix de
loi dans les contrats internationaux, LexisNexis, Litec, Paris, 2011,
Vol.35, 487 pages.
S.NADAUD, « Codifier le droit civil
européen », Larcier, Bruxelles, 2008, 463 pages
J. PORTA, La réalisation du droit communautaire.
Essai sur le gouvernement juridique de la diversité, éd.
Varenne, Tome I, 2008, 443 pages.
J. PORTA, La réalisation du droit communautaire.
Essai sur le gouvernement juridique de la diversité, éd.
Varenne, Tome 2, 2008, 478 pages.
Sous la direction de R.SEFTON-GREEN et L.USUNIER,La
concurrence normative, mythes et réalités,
Société de législation comparée, Collection de
l'UMR de droit comparé de Paris, Vol. 33, 2012, 298 pages.
A.-M. THIESSE, La création des identités
nationales, Europe XVIIIe-XIXe siècle, Édition du Seuil,
2001, 307 pages.
F. VIANGALLI, La théorie des conflits de lois et le
droit communautaire, PUAM, Aix-en-Provence, 2004, 515 pages.
4. Les normativités alternatives
K.BENYEKHLEF, Une possible histoire de la norme, les
normativités émergentes de la mondialisation,
éditions Thémis, 2008, Montréal, 934 pages.
J. CHEVALLIER, L'État post-moderne,
L.G.D.J, droit et société, 2004, 272 pages.
B. FRYDMAN, Petit manuel pratique de droit global,
Académie Royale de Belgique, Col. L'Académie en poche,
vol.48, Bruxelles, 2014, 128 pages.
V.LASSERRE, Le nouvel ordre juridique, Le droit de la
gouvernance, LexisNexis, 2015, 370 pages.
II - ARTICLES
A. Le cloud computing
A. BENSOUSSAN, « Le cloud au service de
l'avocat », Gazette du palais, 15 octobre 2011 n°288.
C. BERNAULT, « Informatique en nuage et
données personnelles : quand l'informatique est dans les nuages,
les données personnelles s'envolent ! », RDLI, 2012/78,
p.82-87.
E. BARBRY et K. BERBETT, « Cloud computing :
attention à la réversibilité », Stratégie
internet n°177, nov-déc 2013.
F. CHAFFIOL-CHAUMONT et A. DAVID, « Entrer dans
l'ère du Cloud Computing en maîtrisant ses aspects
contractuels », Cahiers de droit de l'entreprise n°2, 2010.
G. CHANTEPIE,« L'inexécution du contrat de
cloud computing », RLDI nov. 2013, n° 3272,
pp. 115-120.
G. CORDIER et A. JOBARD,« Les sept recommandations
de la CNIL en matière de cloud computing : nécessaires mais pas
suffisantes »,RLDI, août-sept. 2012, n° 2871,pp. 89-92.
B. DELMAS-LINEL, « Promesses du Cloud
computing et protection des données à caractère
personnel : la remise en question du cadre juridique français et
européen », Lexbase n°292, 12 avril 2012.
N. DUBOIS et C. HELLENDORFF,
« La protection des données et le cloud
computing », RLDI, nov. 2013, n° 3273, pp.121-125.
Rédaction LEXTENSO et C. BERREBI, « Le Cloud
privé des avocats, le secret professionnel et la confidentialité
des correspondance », Gazette du Palais, 18 octobre 2014,
n° 291, p. 12 et s.
M. GRIGUER, « Cloud computing et protection des
données personnelles : clôture des
débats ? », Cahiers de droit de l'entreprise,
n°4, juill. 2012, prat. 20.
P-Y GAUTIER, « du contrat de dépôt
dématérialisé : l'exemple du « cloud
computing», in. B.TEYSSIÉ, La communication
numérique, un droit, des droits, éd. Panthéon-Assas,
Paris, 2012, p.157.
J. HUET, « Responsabilité du
fournisseur de service dans une intégration de
système », RDCO, 1er déc.
2015, n°4.
B. JACOB, « « cloud computing »
les points clés des contrats », Expertises, mars
2011, p.107.
D. LEBEAU-MARIANNA et E-C.VERMYNCK, « Le passage au
Cloud Computing : une nécessaire coopération entre
l'informatique et le juridique afin de ne pas rester dans les
nuages ! », RLDI, 2011, p.53-56.
N. MARTIAL-BRAZ, « Les géants de
l'Internet et le Cloud Computing », in.L'effectivité du
droit face à la puissance des géants de l'Internet, Sous la
direction de M.BEHAR-TOUCHAIS, IRJS éditions, pp. 107-116.
A. PORTMANN, « Le cloud privé des avocats
enfin lancé », Dalloz actualité, 14 mars 2016.
E. SORDET, R. MILCHIOR, « Le cloud computing, un
objet juridique non identifié », Communication
Commerce Electronique, 2011, n°11, p.12.
E. SORDET, R. MILCHIOR, « La
définition des contours juridiques du cloud
computing », Communication Commerce Electronique, 2012,
n°11, p.7.
N. WEINBAUM, « La protection des
données personnelles à l'épreuve du nuage
informatique », La Semaine Juridique, 13 novembre 2014, n°46, 1,
1578, p.37.
C. LE DOUARON, « Numérique : le cloud
privé des avocats sera opérationnel en décembre
2015 », Dalloz actualité, 1er juillet 2015.
B. Le droit des contrats
J. BASEDOW, « Un droit commun des contrats pour
le Marché commun », RIDC, 1998, vol. 50, n°1, pp. 7-28
G. BRUNAUX, « Cloud computing,
protection des données : et si la solution résidait dans le
droit des contrats spéciaux ? », Dalloz, 2013, n°19,
p.1158.
P.-Y. GAUTIER, « Le dépôt : exercices
de qualification », Lextenso, Revue des contrats, 01 mars 2014
n° 1, p. 149.
L. GRYNBAUM, « Réforme du droit des
contrats : synthèse du droit français et convergences avec
le droit européen », RLDI, mars 2016, n°124,pp.
37-43.
A. JEAMMAUD, « Unification, uniformisation,
harmonisation : de quoi s'agit-il? », in.Vers un code
européen de la consommation, Bruxelles, Bruylant, 1998, pp.
35-55.
N.MARTIAL-BRAZ, « Le droit des contrats à
l'épreuve des géants d'Internet»,
in.L'effectivité du droit face à la puissance des
géants de l'Internet, Sous la direction de M.BEHAR-TOUCHAIS, IRJS
éditions, pp. 61-72.
B.POIDEVEVIN et A.ARBUSA, « Les enjeux contractuels
du Cloud computing », Comm. Com. Electr. 2011 n°2,
p.2-3.
J. SÉNÉCHAL,« Les règles
applicables au contrat international de cloud computing : des
règles bien imparfaites pour un contrat d'avenir »,
RLDI, nov. 2013, n° 3269. pp. 90-103.
D.SINDRES, « Contrat, principe d'autonomie et
analyse économique du droit international privé », in.La
concurrence normative, mythes et réalités, Sous la direction
de R.SEFTON-GREEN et L.USUNIER, Société de législation
comparée, Collection de l'UMR de droit comparé de Paris, Vol. 33,
2012, pp.172-188.
C. Le rapprochement des
législations
B. BONNAMOUR, « Modernisation du marché
unique, Cadre Commun de Référence et droit privé
européen », RLDA, 2008, n°23, pp. 62-63.
H. CLARET, « Le défi du langage
(déterminabilité d'un droit européen des contrats et
pluralisme linguistique) », Les défis de l'harmonisation
européenne du droit des contrats, Université de Savoie,
2012. <hal-01120176>.
L. FIN-LANGER, « L'intégration du droit du
contrat en Europe », in. Critique de l'intégration
normative, sous la direction de M.DELMAS-MARTY, PUF, Paris, 2004, pp.
37-111.
S. GLANERT, « Comparaison et traduction des
droits : à l'impossible tous sont tenus »,
in.Comparer les droits, résolument, sous la direction de P.
Legrand, pp. 279-311.
P. LAGARDE, « Les interprétations divergentes
d'une loi uniforme donnent-elles lieu à un conflit de lois ?
(à propos de l'arrêt HOCKE de la Section commerciale du 4 mars
1963) » , in. Revue critique de droit international privé,
1964 pp. 235-251.
J. LIPENS, « Les constantes de l'unification du
droit privé », In. Revue Internationale de Droit
Comparé, Paris, 1958 pp. 277-297.
C. MIALOT ET P.DIMA EHONGO, « De
l'intégration normative à géométrie et à
géographie variable », in. Critique de
l'intégration normative, sous la direction de M.DELMAS-MARTY, PUF,
Paris, 2004, pp. 25-36.
A. RAYNOUARD, « La contestation des indicateurs
Doing Business : un positionnement politique », Petites
affiches, 11 septembre 2009, n°182.
R.SEFTON-GREEN, « Concurrence normative, performance
juridique et nationalisme juridique à la lumière de l'instrument
optionnel en droit commun européen de la vente », in.La
concurrence normative, mythes et réalités, Sous la direction
de R.SEFTON-GREEN et L.USUNIER, Société de législation
comparée, Collection de l'UMR de droit comparé de Paris, Vol. 33,
2012, pp.189-208.
D. Les normativités alternatives
C.CHASSIGNEUX « aterritorialité des atteintes
face aux logiques territoriales de protection juridique et problème de
l'absence d'homogénéité des législations
protectrices (quid des safe harbor principles) »
Lex electronica, 2004, vol.9, n°2.
M. EMANEMEYO, « La force normative
« invisible » de la Soft law para-législative de
l'Union européenne en droit privé des
contrats », Revue de l'Union européenne, 2014,
p.94.
F. NAFTALSKI, « La sous-traitance
internationale de la prestation de cloud computing et les Binding Corporate
Rules (BCR) », RLDI, nov. 2013, n° 3275.
M.-C. ROQUES-BONNET, « Cloud computing : les actions
de la CNIL démontrant l'existence d'un nouveau mode de
régulation », RLDI, nov. 2013, 3274, pp.126-137.
E. Expertises
Commission européenne, Le droit européen des
contrats dans les transactions interentreprises, résumé
flash eurobaromètre, rapport 2011.
Green Peace, How clean is your cloud ?, april
2012.
IBM, Ponemon Institute : 2015 Cost of Data Breach
Study: Global Analysis , may 2015.
International Data Protection, Quantitative Estimates of
the Demand for Cloud Computing in Europe and the Likely Barriers to Take-
up, 2012.
III - LÉGISLATION
A - Droit de l'Union européenne
1. Travaux préparatoires, propositions,
communications, rapports
Communication de la Commission au Conseil et au Parlement
européen, « concernant le droit européen des
contrats », (2001/C 255/01).
Communication de la Commission au Parlement européen et
au Conseil, « concernant un plan d'action pour un droit
européen des contrats plus cohérent », (2003/c
63/01).
Communication de la Commission au Parlement européen et
au Conseil, « EUROPE 2020 - Une stratégie pour une croissance
intelligente, durable et inclusive », COM(2010) 2020 final.
Communication de la Commission au Parlement européen,
au Conseil, au Comité économique et social européen et au
Comité des régions du 26 août 2010 « Une
stratégie numérique pour l'Europe »,COM (2010)
245/2.
Communication de la Commission au Parlement européen,
au Conseil, au Comité économique et social européen et au
Comité des régions, « Le haut débit en Europe:
investir dans une croissance induite par le numérique »,
COM(2010) 472 final.
Communication de la Commission au Parlement européen,
au Conseil, au Comité économique et social européen et au
Comité des régions, « Exploiter le potentiel de
l'informatique en nuage en Europe », COM(2012) 529 final.
Communication de la Commission au Parlement européen,
au Conseil, au Comité économique et social européen et au
Comité des régions, « Le marché unique des
télécommunications », Bruxelles, le 11.9.2013 COM(2013)
634 final.
Communication de la commission au parlement européen,
au conseil, au comité économique et social européen et au
comité des régions, Programme de travail de la Commission pour
l'année 2015, « Un nouvel élan », COM(2014)
910 final.
Communication de la Commission au Parlement européen,
au Conseil, au Comité économique et social européen et au
Comiteì des régions, « Vers un cadre moderne et plus
européen pour le droit d'auteur », Bruxelles, le 9.12.2015
COM(2015) 626 final.
Proposition de règlement du Parlement européen
et du Conseil relatif à un droit commun européen de la vente,
COM/2011/0635 final - 2011/0284 (COD).
Proposition de règlement du parlement européen
et du conseil visant à assurer la portabilité
transfrontière des services de contenu en ligne dans le marché
intérieur, COM(2015) 627 final, 2015/0284 (COD).
Proposition de directive du Parlement européen et du
Conseil concernant certains aspects des contrats de ventes en ligne et de toute
autre vente aÌ distance de biens, 2015/0287 (COD).
Résolution législative du Parlement
européen du 26 février 2014 sur la proposition de
règlement du Parlement européen et du Conseil relatif à un
droit commun européen de la vente,
COM(2011)0635
- C7-0329/2011 - 2011/0284(COD), (Procédure législative
ordinaire: première lecture).
Parlement européen, rapport sur l'exploitation du
potentiel de l'informatique en nuage en Europe, 24 octobre 2013,
(2013/2063(INI)).
Parlement européen, résolution du 26 mai 1989,
JO C 158 du 26.6.1989.
Association HENRICAPITANT des Amis de la Culture Juridique
Française, Projet de Cadre Commun de référence
principes contractuels communs, Société de
Législation Comparée, 2008, Collection droit privé et
européen, volume 7, dirigée par B. FAUVARQUE-COSSON.
Académie des privatistes européens, Avant
projet de Code européen des contrats, 2004, édition de poche
revue et corrigée par L.Gatt, MILANO-DOTT. A. GIUFFRE' EDITORE, 2004.
Cloud Select Industry Group, Draft Data Protection Code of
Conduct for Cloud Service Providers.
Draft, Commission implementing decision of XXX, pursuant to
Directive 95/46/EC of the European Parliament and of the Council on the
adequacy of the protection provided by the EU-U.S. Privacy Shield.
European Commission, Comparative Study on Cloud computing
contracts, Final report, Prepared by DLA Pipper UK LLP, march, 2015.
K.-H. LEHNE, Rapport sur la communication de la Commission au
Conseil et au Parlement européen concernant le rapprochement du droit
civil et commercial des États membres, COM(2001) 398, C5-0471/2001,
2001/2187 (COS).
Livre vert de la Commission relatif aux actions envisageables
en vue de la création d'un droit européen des contrats pour les
consommateurs et les entreprises,COM(2010)348 final.
Principles, Definitions and Model Rules of European Private
Law?Draft Common Frame of Reference (DCFR), Prepared by the? Study Group on a
European Civil Code?and the?Research Group on EC Private Law (Acquis Group)
Based in part on a revised version of the Principles of?European Contract
Law.
2. Règlements, directives, décisions,
avis
Directive 95/46/CE, du Parlement européen et du Conseil
du 24 octobre 1995, relative aÌ la protection des personnes physiques
aÌ l'égard du traitement des données aÌ
caractère personnel et aÌ la libre circulation de ces
données, JO n° L 281, 23.11.1995.
Directive 2000/31/CE du Parlement européen et du
Conseil du 8 juin 2000 relative à certains aspects juridiques des
services de la société de l'information, et notamment du commerce
électronique, dans le marché intérieur («directive
sur le commerce électronique»), JO n° L 178 du 17/07/2000.
Directive 2006/123/CE du Parlement européen et du
Conseil du 12 décembre 2006 relative aux services dans le marcheì
intérieur (« directive service »), JO n° L 376
du 27.12.2006.
Règlement (CE) n° 44/2001 du Conseil du 22
décembre 2000 concernant la compétence judiciaire, la
reconnaissance et l'exécution des décisions en matière
civile et commerciale, JO n° L 012 du 16/01/2001 p. 0001 - 0023.
Règlement (UE) n ° 1215/2012 du Parlement
européen et du Conseil du 12 décembre 2012 concernant la
compétence judiciaire, la reconnaissance et l'exécution des
décisions en matière civile et commerciale, JO n° L 351,
20.12.2012, p. 1-32.
Règlement n°593/2008 du Parlement européen
et du Conseil du 17 juin 2008, sur la loi applicable aux obligations
contractuelles (« Rome I »), JOn° L 177, 4.7.2008.
G29, Avis 1/2010 sur les notions de «responsable du
traitement» et de «sous-traitant», 16 février 2010,
00264/10/FR WP 169.
G29, Avis 05/2012 sur l'informatique en nuage,
1erjuillet 2012, 01037/12/FR WP 196.
Article 29 Data Protection Working Party, Opinion 02/2015 on
C-SIG Code of Conduct on Cloud Computing, 22 September 2015, 2588/15/EN WP
232.
Contrôleur européen de la protection des
données, avis relatif à la communication de la Commission
intitulée « exploiter le potentiel de l'informatique en
nuage », 2013/C 253/03.
Comité économique et social européen,
avis «Le 28e régime - une option pour moins légiférer
au niveau communautaire» (avis d'initiative), Rapporteur :M.
PEGADOLIZ, 2011/C 21/05.
Comité économique et social européen,
avis « L'informatique en nuage (cloud computing) en
Europe », (avis d'initiative), Rapporteur : M. PIGAL, 26 octobre
2011, TEN/452, p.2, pt. 1. et 5.
Comité économique et social européen,
Avis sur la Communication de la Commission au Parlement européen,
au Conseil, au Comité économique et social européen et au
Comité des régions, « Exploiter le potentiel de
l'informatique en nuage en Europe », Rapporteur: M. PIGAL, 16 janvier
2013, TEN/494.
Commission européenne, Décision du 26 avril 2010
portant création du groupe d'experts pour un cadre commun de
référence dans le domaine du droit européen des contrats,
(2010/233/UE).
EU Expert Group on Cloud Computing Contracts, Cloud
Computing Contracts - Discussion Paper on Subcontracting, march 25,
2014.
B - Droit français
Loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés.
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans
l'économie numérique.
Ordonnance n° 2016-131 du 10 février 2016 portant
réforme du droit des contrats, du régime général et
de la preuve des obligations, JORF n°0035 du 11 février 2016.
CNIL, Recommandations pour les entreprises qui envisagent de
souscrire à des services de Cloud computing.
CNIL, Synthèse des réponses aÌ la
consultation publique sur le Cloud computing lancée par la CNIL
d'octobre aÌ décembre 2011 et analyse de la CNIL.
Conseil Économique Social et Environnemental,
l'influence de la France sur la scène européenne et
internationale par la promotion du droit continental, Me D.
GORDON-KRIEF, Septembre 2014.
Conseil d'État, Le droit souple, étude
annuelle 2013, n°64.
Avis de la Commission générale de terminologie
et de néologie, JO 6 juin 2010, texte 42.
IV - DÉCISIONS DE JUSTICE
A - COUR DE JUSTICE DES COMMUNAUTÉS
EUROPÉENNES
CJCE, Johannes Henricus Maria van Binsbergen c/ Bestuur van de
Bedrijfsvereniging voor de Metaalnijverheid, 3 décembre 1974, affaire
33-74.
CJCE, H. Shenavai contre K. Kreischer, 15 janvier 1987,
affaire 266/85.
CJCE, Jakob Handte, 17 juin 1992, affaire C-26/91.
CJCE, ENKA BV, 23 novembre 1997, affaire n°38-77.
CJCE, 5 octobre 1999, Royaume d'Espagne c/ Commission des
Communautés européennes, affaire C-240/97.
CJCE, Tacconi, 17 septembre 2002, affaire C-334/00.
CJCE, Google France et Google, 12 juillet 2011, affaires
jointes C?236/08 et C?238/08.
CJUE, Wood Floor, 11 mars 2010, affaire C?19/09.
CJUE, Peter Pammer, 7 décembre 2010, affaires jointes
C-585/08 et C-144/09.
CJUE, eDate et Martinez, 25 octobre 2011, affaires
jointes,C?509/09 et C?161/10.
CJCE, Pannon GSM, 4 juin 2009, C-243/08.
B - Droit français
Cass.,Com., 4 mars 1963, n°137.
Cass.,3ème Civ., du 22 octobre 1980,
n°78-40.830.
Cass.,Com., 22 octobre 1996, n°93-18632.
Cass.,1èreCiv., 2 décembre 1997,
n°95-16720.
Cass.,Com., 11 octobre 2005, n°03-10975.
Cass.,1èreCiv., 4 février 1969, Soc.
des comédiens français, n°60.
Cass.,Com., 29 juin 2010, n°732.
Cass.,Com., 30 mai 2006, n°04-14.974.
Cass.,soc., 18 Avril 2014, Infirmation, n° 13/00894.
Tribunal de Grande Instance, Nanterre, Ordonnance de
référé, 30 novembre 2012, UMP / Oracle, n°
12/02746.
V - PRESSE ELECTRONIQUE
M. SERRES, INRIA, Les nouvelles technologies :
révolution culturelle et cognitive,intervention du 11
décembre 2007, disponible sur :
< http://www.ac-grenoble.fr/ien.bourgoinashnord/IMG/pdf_Texte_de_la_conference.pdf >.
ENISA, Cloud Security Guide for SMEs, Cloud computing
security risks and opportunities for SMEs, april 2015, 50 pages,
disponible sur :
< https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes >.
P.-Y. GAUTIER, Association H. CAPITANT, le contrat
bouleversé ou non par l'électronique : un rapport critique,
11 pages, disponible sur :
< http://www.henricapitant.org/sites/default/files/France_1.pdf >.
M.SARR, « Droit souple et commerce
électronique », Jurisdoctoria n°8, 2012, pp. 51-74,
disponible sur
< http://www.jurisdoctoria.net/pdf/numero8/aut8_SARR.pdf >.
S. PEYROU,Transfert de données personnelles de l'UE
vers les États-Unis : du « Safe Harbor »
à l' « EU-US Privacy Shield », réel
épilogue ou simple péripétie ?, Réseau
Universitaire Européen CDRE, 14 février 2016, disponible sur
< http://www.gdr-elsj.eu/2016/02/14/droits-fondamentaux/transfert-de-donnees-personnelles-de-lue-vers-les-etats-unis-du-safe-harbor-a-l-eu-us-privacy-shield-reel-epilogue-ou-simple-peripetie/ >.
INDEX
Binding Corporate Rules,
.............................................. 110 et s.
Cloud computing,
...................................................... 12 et s., 48et s., 86 et
s., 99 et s.
Code de conduite,
...................................................... 94, 99, 103 et 113.
Concurrence normative,
............................................... 61 et s.
Conflit de juridictions,
................................................. 39 et s., 64 et s.
Conflit de lois,
......................................................... 41 et s., 65 et s.
Contrats-types,
......................................................... 93 et s., 111 et
s.
Comparative study on cloud computing contracts,
................ 37 et s., 62, 90, 119.
Données à caractère personnel,
....................................... 15, 28 et s., 57 et s., 75, 88, 95 et
s.
Décision d'adéquation,
................................................. 106 et s.
Droit commun européen de la vente,
................................ 26, 53 et s., 66, 75 et s., 89.
Harmonisation,
.......................................................... 73 et s.
Normes ISO,
............................................................. 97, 98, 100,
103.
Petites et moyennes entreprises,
...................................... 50, 52 et s., 60, 67 et s., 78 et s.
Réversibilité des données,
............................................. 35, 49, 57, 80, 90, 97.
Soft law,
................................................................. 92 et s., 104
et s.
Sous-traitance,
.......................................................... 15, 30, 50, 58, 95
et s., 112.
Transfert de données vers un État tiers,
.............................. 96 et s., 106 et s.
Unification,
.............................................................. 18, 70 et s., 81
et s.
TABLE DES MATIÈRES
REMERCIEMENTS
.........................................................................................
5
SOMMAIRE
.................................................................................................
7
INTRODUCTION 11
CHAPITRE 1 - L'INADAPTATION DU DROIT ACTUEL AUX CONTRATS
INTERNATIONAUX DE CLOUD COMPUTING 23
SECTION 1 - L'ETAT DU DROIT APPLICABLE AUX CONTRATS
INTERNATIONAUX DE CLOUD COMPUTING
23
§ 1 - Le droit substantiel applicable aux contrats
internationaux de cloud computing
23
A - L'influence du droit de l'Union européenne sur le
droit applicable aux contrats internationaux de cloud computing
24
1 - L'influence du droit du marché intérieur
sur la conclusion des contrats transfrontières de cloud computing
24
2 - L'influence du droit de l'Union européenne sur le
régime juridique applicable aux contrats internationaux de cloud
computing
25
B - L'application des droits nationaux aux contrats
internationaux de cloud computing : l'exemple du droit
français
30
1 - L'application du droit français aux contrats de
cloud computing
31
2 - La diversité des droits nationaux applicables aux
contrats de cloud computing
37
§ 2 - Les règles de droit international privé
applicables aux contrats internationaux de cloud computing
39
A - Les règles de conflit de juridictions applicables aux
contrats internationaux de cloud computing
39
1 - La clause attributive de juridiction
40
2 - La juridiction compétente à défaut
de choix des parties
41
B - Les règles de conflit de lois applicables aux contrats
internationaux de cloud computing
41
1 - Le règlement Rome I sur la loi applicable aux
obligations contractuelles
41
2 - La clause « marché
intérieur » de la directive relative au commerce
électronique
43
SECTION 2 - LES DÉFAUTS DU DROIT APPLICABLE AUX
CONTRATS INTERNATIONAUX DE CLOUDCOMPUTING
46
§ 1 - Les défauts du droit substantiel applicable aux
contrats internationaux de cloud computing
47
A - Les difficultés d'appréhension des
activités internationales de cloud computing par le droit
actuel
47
1 - Les difficultés pratiques inhérentes au
cloud computing
48
2 - L'inadaptation des réponses du droit actuel aux
problèmes pratiques du cloud computing
54
B - Les défauts liés à la diversité
des droits nationaux applicables aux contrats internationaux de cloud
computing
59
1 - La diversité des droits nationaux comme entrave au
bon fonctionnement du marché intérieur
59
2 - La diversité des droits nationaux comme source de
concurrence normative entre États membres
61
§ 2 - Les défauts des règles de droit
international privé applicables aux contrats internationaux de cloud
computing
63
A - Les défauts des critères de rattachement du
droit international privé applicable aux contrats internationaux de
cloudcomputing
63
1 - Les défauts des règles de conflit de
juridictions
64
2 - Les défauts des règles de conflit de
lois
65
B - Vers des critères protecteurs des utilisateurs
professionnels les plus faibles ?
66
1 - Les défauts de la désignation de la loi du
pays d'origine du prestataire de service
67
2 - L'opportunité de la protection des utilisateurs
professionnels les plus faibles
67
CHAPITRE 2 - L'APPORT DU DROIT DE L'UNION EUROPEENNE EN
DROIT DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING
69
SECTION 1 - L'APPORT POTENTIEL D'UN DROIT DE L'UNION
EUROPÉENNE DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING
69
§ 1 - L'intérêt d'un droit européen des
contrats de cloud computing
70
A - La gestion de la diversité des droits nationaux par
l'Union européenne
70
1 - L'unification des droits nationaux
71
2 - L'harmonisation des droits nationaux
73
B - L'opportunité d'un rapprochement des
législations en droit des contrats de cloud computing
75
1 - L'intérêt limité des projets
relatifs au droit des contrats de fourniture de contenu numérique
75
2 - L'opportunité d'une unification
supplétive du droit des contrats de cloud computing
77
§ 2 - Les limites à l'unification européenne
du droit des contrats de cloud computing
81
A - Les limites inhérentes à l'unification
européenne du droit des contrats
81
1 - Les limites inhérentes à l'unification des
droits
81
2 - Les particularités du droit des contrats
84
B - Les limites d'une unification européenne du droit
des contrats de cloud computing
86
1 - Les limites de l'unification juridique
inhérentes à la nature du cloud computing
86
2 - Les défauts d'un éventuel instrument de
droit des contrats de cloud computing
88
SECTION 2 - L'INTÉRÊT DE L'UNION
EUROPÉENNE POUR LES NORMATIVITÉS ALTERNATIVES EN MATIERE DE
CLOUD COMPUTING
92
§ 1 - L'intérêt des normativités
alternatives dans la régulation des activités internationales de
cloud computing
92
A - L'intérêt des mécanismes de
corégulation en droit des contrats de cloud computing
92
1 - L'intérêt des institutions
européennes pour la corégulation des activités de cloud
computing
93
2 - Une pratique adaptée aux caractéristiques
des contrats internationaux de cloud computing
99
B - Les défauts des procédés alternatifs de
régulation des activités de cloud computing
101
1 - Le défaut de légitimité
démocratique des régulations alternatives
102
2 - La problématique de la juridicité des
normes alternatives
104
§ 2 - Le rôle des normativités alternatives
dans le transfert des données à caractère personnel vers
un État tiers
106
A - La méthode classique de la décision
d'adéquation
106
1 - L'autorisation des transferts de données à
caractère personnel vers des États tiers ayant un niveau de
protection adéquat
106
2 - La négociation du Privacy Shield entre
l'Union européenne et les États-Unis suite à
l'invalidation du Safe Harbor
108
B - La méthode pragmatique des normativités
alternatives
110
1 - Les normes permettant le transfert de données
à caractère personnel à destination d'un État tiers
n'assurant pas un niveau de protection adéquat
111
2 - Le silence de la Cour de Justice sur la juridicité
de ces normes
113
CONCLUSION
116
ANNEXE 1 - Schématisation de la répartition
des tâches entre l'entreprise et le prestataire suivant les
modèles de service de cloud computing fournis
117
ANNEXE 2 - Développement des usages du cloud
computing en France
118
ANNEXE 3 - Panel représentatif de l'etude comparee
des contrats de cloud computing
119
ANNEXE 4 - Impact du droit des contrats sur le commerce
transfrontalier
120
ANNEXE 5 - Le modele de droit européen des
contrats preféré
120
GLOSSAIRE
....................................................................................................
121
BIBLIOGRAPHIE.............................................................................................
122
INDEX
............................................................................................................
128
Dès 2012, la Commission européenne
annonçait vouloir « exploiter le potentiel de
l'informatique en nuage ». Mieux connu sous son appellation anglaise,
le cloud computing consiste en l'accès, via un
réseau de télécommunication, à une structure
informatique distante et gérée par un prestataire. Au coeur des
activités de l'économie numérique, cette technique fait
l'objet d'autant de craintes que d'espoirs pour les opérateurs du
commerce électronique. Or, pour bénéficier pleinement de
cette technique informatique il apparaît essentiel d'en atténuer
les risques et de rétablir la confiance des utilisateurs.
Actuellement, les conditions nécessaires à
l'instauration d'un climat de confiance autour du cloud computing ne
seraient pas réunies en Europe. Cette technique est porteuse de risques
pour les entreprises qui encourent la destruction, la perte, la
dépossession ou le vol des données qui y sont stockées.
Les contrats, liant juridiquement les clients aux prestataires de service de
cloud computing, devraient permettre la gestion de ces risques en
définissant les obligations et responsabilités des parties. Mais
la pratique révèle qu'au contraire, les contrats de
cloud apparaissent souvent déséquilibrés,
prévoient des clauses limitatives de responsabilité des
prestataires ouleur possibilité de modifier unilatéralement les
termes du contrat et sont imprécis sur les questions essentielles de la
réversibilité des données, la continuité et
l'interopérabilité du service.
Le droit actuellement applicable aux contrats internationaux
de cloud computing pourrait rétablir l'équilibre
contractuel et garantir la fiabilité du service aux éventuels
clients. Or, le constat qui préside l'étude du droit positif est
tout autre : alors que le droit de l'Union pose un cadre favorable
à la libre circulation des services de la société
d'information, les législations nationales demeurent
défaillantes. D'ailleurs, pour la Commission, la seule disparité
des droits nationaux applicables à ces contrats se poserait en entrave
aux échanges. En résulteraitle morcellement, de fait et de droit,
du marché unique numérique.
Le présent mémoire se propose, tout en
clarifiant les défaillances actuelles du droit, de déterminer les
voies juridiques par lesquelles le droit de l'Union européenne pourrait
y remédier.
En la matière, la coordination des droits nationaux par
les règles de droit international privé n'apporte pas la
prévisibilité juridique nécessaire. Cela imposedonc de se
questionner sur l'éventuel apport d'un instrument de droit unifié
de l'Union européenne. La Commission mentionne d'ailleurs la
possibilité d'unifierle droit applicable aux contrats de cloud,
par un instrument facultatif au profit des petites et moyennes entreprises.
Pour l'instant, aucun projet de la sorte n'a encore été
proposé. Peut-être est-ce dû aux difficultés,
pratiques et politiques, intrinsèques à l'unification du droit
des contrats ? À l'inverse des initiativessont en cours par des
instruments de soft law. La réalisation d'un code de conduite
et de clauses contractuelles types adaptés au cloud en
témoigne. Le bénéfice que retirent actuellement les
opérateurs économiques des binding corporate rules dans
leurs transferts de données à caractère personnel à
destination des États tiers témoigne de l'intérêt
pratique de ces types de normativités alternatives pour les prestataires
de cloud. Pour autant, leur manque de légitimité
démocratique, tout comme les doutes entourant leur juridicité et
leur compatibilité aux droits fondamentaux doit interpeller le juriste
face au développement actuel de ces modes de régulation.
* 1 K. BENYEKHLEF, Une
possible histoire de la norme. Les normativités émergentes de la
mondialisation, éditions Thémis, 2008, Montréal, 934
pages ; et J. CHEVALLIER, L'État post-moderne, L.G.D.J,
droit et société, Paris, 2004, 272 pages.
* 2 K. BENYEKHLEF, Op.
cit. note 1, p. 95 : « Les technologies de
l'information et Internet en particulier constituent également un fait
qui met en lumière les limites de la norme moderne ».
* 3 Le petit Robert de la
langue française, édition 2015, p. 2651,
« Ubiquité » : « possibilité
d'être présent en plusieurs lieux à la
fois ».
* 4 E. SORDET et R. MILCHIOR,
« le cloud computing, un objet juridique non
identifié », Communication Commerce Electronique, 2011,
n°11, p.12 et s.: « le cloud computing, un concept
brumeux », « version moderne de la boîte de
Pandore ? » ou encore « à
géométrie variable ».
* 5 European Commission,
Comparative Study on Cloud computing contracts, Final report, Prepared by DLA
Pipper UK LLP, march 2015, p.18 : « however, to our
knowledge, no legal definitions of this computing model
exists ».
* 6 Information disponible
sur <
http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=2501384>.
* 7 Commission
créée par le Décret n° 86-439 du 11 mars 1986 relatif
à l'enrichissement de la langue française pris sur fondement de
la loi Toubon du 4 août 1992 qui définit le français comme
« langue de l'enseignement, du travail, des échanges et des
services publics ».
* 8 Avis de la Commission
générale de terminologie et de néologie, JO 6 juin 2010,
texte 42.
* 9 Communication de la
Commission au Parlement européen, au Conseil, au Comité
économique et social européen et au Comité des
régions, « Exploiter le potentiel de l'informatique en nuage
en Europe », COM(2012) 529 final.
* 10Cour d'appel, Nancy,
Chambre sociale, 18 avr. 2014, Infirmation, n° 13/00894.
* 11 Tribunal de Grande
Instance, Nanterre, Ordonnance de référé, 30 nov. 2012,
UMP / Oracle, n° 12/02746.
* 12Sous la direction de B.
FAUVARQUE-COSSON et C. ZOLYNSKI, Le cloud computing, l'informatique en
nuage, Société de législation comparée, actes
du Colloque du 11 oct. 2013, Collection colloques, volume 22, p.9 et s.
* 13CNIL, Recommandations
pour les entreprises qui envisagent de souscrire à des services de Cloud
computing, p. 7 : « contrats de prestation de service de
cloud computing », disponible sur
<
https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf>.
* 14Idem, p.10.
* 15 Cf. National Institute
of Standards and Technology, « The NIST Definition of Cloud
Computing » : « Cloud computing is a model for enabling
ubiquitous, convenient, on-demand network access to a shared pool of
configurable computing resources »,
disponible sur <
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf>.
* 16 Cf. « cloud
computing » sur le site internet de la CNIL disponible sur <
http://www.cnil.fr/les-themes/technologies/cloud-computing/>.
* 17 Cf. CNIL,
Synthèse des réponses aÌ la consultation publique sur
le Cloud computing lancée par la CNIL d'octobre aÌ
décembre 2011 et analyse de la CNIL, disponible sur <
https://www.cnil.fr/sites/default/files/typo/document/Synthese_des_reponses_a_la_consultation_publique_sur_le_Cloud_et_analyse_de_la_CNIL.pdf>.
* 18 Cf. annexe n°1,
p.114.
* 19 cf. article 1101 du
Code civil.
* 20 cf. article 1101 du
Code civil tel que modifié par l'ordonnance n° 2016-131 du 10
fév. 2016 portant réforme du droit des contrats, du régime
général et de la preuve des obligations.
* 21 Principles, Definitions
and Model Rules of European Private Law?Draft Common Frame of Reference (DCFR),
Prepared by the? Study Group on a European Civil Code?and the?Research Group on
EC Private Law (Acquis Group) Based in part on a revised version of the
Principles of?European Contract Law, (II.-1:101(1)), p. 170 et p. 4781
disponible en ligne sur <
http://ec.europa.eu/justice/contract/files/european-private-law_en.pdf>.
* 22 G.CORNU, Association
Henri Capitant, Vocabulaire juridique, éditions PUF, Quadrige,
11ème édition, Paris, 2016, p.260 :
« CONTRAT » et p. 269
« CONVENTION ».
* 23Idem.
p.207 : « COMMUNAUTAIRE ».
* 24 Le petit Robert de la
langue française, édition 2015, p.121 :
« Apport », pt. 4 : « contribution
positive de quelqu'un ou de quelque chose ».
* 25Loi n° 78-17 du 6
janv. 1978 relative à l'informatique, aux fichiers et aux
libertés, article 8.
* 26 Commission
européenne, communication au Parlement européen, au Conseil, au
Comité économique et social européen et au Comité
des régions, « Exploiter le potentiel de l'informatique en
nuage en Europe », COM(2012) 529 final.
* 27 Comité
économique et social européen, avis « L'informatique en
nuage (cloud computing) en Europe », (avis d'initiative), Rapporteur:
M. PIGAL, 26 oct. 2011, TEN/452, p.2, pt. 1. et 5.
* 28 Cf. annexe n°2.
* 29 International Data
Protection, Quantitative Estimates of the Demand for Cloud Computing in Europe
and the Likely Barriers to Take- up, 2012, disponible sur <
http://cordis.europa.eu/fp7/ict/ssai/docs/study45-d2-interim-report.pdf
>.
* 30 Comité
économique et social européen, Avis sur la Communication de
la Commission au Parlement européen, au Conseil, au Comité
économique et social européen et au Comité des
régions, « Exploiter le potentiel de l'informatique en nuage
en Europe », Rapporteur: M. PIGAL, 16 janv. 2013, TEN/494?, p.2.
* 31 Communication,
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p. 5.
* 32Ibid.
* 33 Green Peace, How
clean is your cloud ?, april 2012 p.6, pt. 6 :
« There have been increasing attempts by some companies to
portray the cloud as inherently «green,» despite a continued lack of
transparency and very poor metrics for measuring performance or actual
environmental impact », disponible sur <
http://www.greenpeace.org/international/Global/international/publications/climate/2012/iCoal/HowCleanisYourCloud.pdf>.
* 34 Communication,
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p.12.
* 35Idem, p.6, pt.
3 : « Mesures à prendre ».
* 36Idem, p.11, pt.
3.3.
* 37Idem, p.12, pt.
3.4.
* 38Idem, p.15, pt.
3.5.
* 39 Commission
européenne, Communiqué de presse, Bruxelles, le 27 sept.
2012, Stratégie numérique: nouvelles mesures pour stimuler la
productivité des entreprises et des administrations de l'UE grâce
à l'informatique en nuage : « Aujourd'hui, en
l'absence de normes communes et de contrats précis, de nombreux
utilisateurs potentiels n'osent pas opter pour les solutions d'informatique en
nuage ».
* 40 Parlement
européen, rapport sur l'exploitation du potentiel de l'informatique en
nuage en Europe, 24 oct. 2013, (2013/2063(INI)), p.26 : « 1.
invite instamment la Commission à prendre des mesures pour harmoniser
davantage les législations entre les États membres afin
d'éviter la confusion et la fragmentation juridictionnelles et d'assurer
la transparence sur le marché unique numérique ; ?2.
relève l'urgence d'une législation européenne claire et
uniforme dans le domaine de l'informatique en nuage afin d'assurer un
environnement européen compétitif, qui renforce l'innovation et
la croissance ».?
* 41 Communication de la
Commission au Parlement européen, au Conseil, au Comité
économique et social européen et au Comité des
régions, « Une stratégie numérique pour
l'Europe », 26 août 2010, COM (2010) 245/2.
* 42 Communication de la
Commission, « EUROPE 2020 - Une stratégie pour une croissance
intelligente, durable et inclusive », 3 mars 2010, COM(2010) 2020
final, p. 7 : « Initiative phare: «Une stratégie
numérique pour l'Europe» ».
* 43 Communication de la
Commission au Parlement européen, au Conseil, au Comité
économique et social européen et au Comité des
régions, « Le haut débit en Europe: investir dans une
croissance induite par le numérique », 20 sept. 2010,
COM(2010) 472 final.
* 44 Communication de la
Commission au Parlement européen, au Conseil, au Comité
économique et social européen et au Comité des
régions, « Le marché unique des
télécommunications », 11 sept. 2013, COM(2013) 634
final.
* 45 Communication de la
Commission au Parlement européen, au Conseil, au Comité
économique et social européen et au Comiteì des
régions, « Vers un cadre moderne et plus européen pour
le droit d'auteur », 9 déc. 2015, COM(2015) 626 final.
* 46 Proposition de
règlement du parlement européen et du conseil visant à
assurer la portabilité transfrontière des services de contenu en
ligne dans le marché intérieur, Bruxelles, 9 déc. 2015,
COM(2015) 627 final, 2015/0284 (COD).
* 47 Communication,
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p.7, pt 3.1
intitulé : « informatique en nuage et
stratégie numérique ».
* 48Idem, p.17.
* 49CNUCED,
Communiqué de presse, pour l'utilisation des médias
d'information, 2 déc. 2013, Genève, document non officiel
disponible sur
<
http://unctad.org/fr/Pages/PressRelease.aspx?OriginalVersionID=165>.
* 50 Avant projet de Code
européen des contrats, Académie des privatistes européen,
édition de poche revue et corrigée par L.GATT, MILANO-DOTT. A.
GIUFFRE' EDITORE, 2004, Réflexions marginales, p.17 :
« ... le jeune Bonaparte avait pensé d'enthousiasme
lorsque, dans un décret (trop vite oublié) du 6 messidor an XIII,
il avait institué une commission chargée de traduire le nouveau
Code en latin ... ».
* 51 Les Journées de
l'Association Henri-Capitant des amis de la culture juridique française
(Pavie el Milan, 10-13 sept. 1953),
Revue internationale de droit
comparé, Année 1954, vol. 6, p. 93-96.
* 52Idem, p. 51.
* 53 Communication de la
Commission au Parlement européen et au Conseil, « Un droit
européen des contrats plus cohérent », COM/2003/0068
final, p. 7 : « les mesures qui sont de nature à
dissuader la conclusion de transactions transfrontalières,
découlant directement ou indirectement des droits des contrats nationaux
divergents ou de la complexité juridique qui résulte de ces
divergences, et qui sont susceptibles d'interdire, ou d'empêcher, ces
transactions, ou en tout cas de les rendre moins
avantageuses ».?
* 54 Parlement
européen, résolution du 26 mai 1989, JO C 158 du 26.6.1989, p.
400.
* 55Avant projet de Code
européen des contrats, 2004, op. cit. note 50.
* 56Les principes du droit
européen des contrats, version complète et révisée
de 1998, disponible sur : <
http://www.lexinter.net/JF/dispositions_generales.htm>.
* 57 Communication de la
Commission au Conseil et au Parlement européen, (le droit
européen des contrats), COM(2001) 398 final.
* 58Idem, §49
et s.
* 59Idem, §52
et s.
* 60Idem, §57
et s.
* 61Idem, §61
et s.
* 62 Communication,
« Un droit européen des contrats plus
cohérent », op. cit. note 53.
* 63 Communication de la
Commission au Conseil et au Parlement européen, « Droit
européen des contrats et révision de l'acquis : la voie à
suivre », COM(2004) 651 final.
* 64 Communication,
« le droit européen des contrats », COM(2001) 398
final, op.cit., p.11, §59.
* 65 Le premier projet a
été réalisé sous la direction de l'universitaire
allemand Von Bar, et est disponible en ligne
sur <http://ec.europa.eu/justice/policies/civil/docs/dcfr_outline_edition_en.pdf
> et le second par l'association Capitant et la Société de
législation Comparée : Collection droit privé et
européen, volume 7, dirigée par B. FAUVARQUE-COSSON, Projet
de cadre commun de référence. Principes contractuels
communs, Association Henri Capitant des Amis de la Culture Juridique
Française, Société de Législation Comparée,
2008.
* 66Commission,
décision du 26 avr. 2010 portant création du groupe d'experts
pour un cadre commun de référence dans le domaine du droit
européen des contrats, (2010/233/UE).
* 67 Proposition de
règlement du Parlement européen et du Conseil relatif à un
droit commun européen de la vente, COM/2011/0635 final ; 2011/0284
(COD).
* 68Résolution
législative du Parlement européen du 26 fév. 2014 sur la
proposition de règlement du Parlement européen et du Conseil
relatif à un droit commun européen de la vente,
COM(2011)0635 ;
C7-0329/2011 ; 2011/0284(COD).
* 69 Communication de la
Commission au Parlement européen, au Conseil, au Comité
économique et social européen et au Comité des
régions, Programme de travail de la Commission pour l'année 2015,
« Un nouvel élan », COM(2014) 910 final.
* 70 Proposition de
directive du Parlement Européen et du Conseil concernant certains
aspects des contrats de ventes en ligne et de toute autre vente à
distance de biens, 2015/0288 (COD).
* 71Proposition de directive
du Parlement européen et du Conseil concernant certains aspects des
contrats de fourniture de contenu numérique, 2015/0287 (COD).
* 72 Cf. intervention de M.
SERRES à l'INRIA le 11 déc. 2007 sur le thème de
« Les nouvelles technologies : révolution culturelle et
cognitive ».
* 73 P. MUSSO, la
« révolution numérique » : techniques et
mythologies, La Pensée, 2008, pp.103-120.
* 74 Lexique des termes
juridiques 2011, Dalloz, 18ème édition, p. 765 :
« SUBSTANTIEL ».
* 75 Cf. article 26 du
Traité sur le Fonctionnement de l'Union européenne
(ci-après « TFUE »).
* 76 CJCE, 3 déc.
1974, Johannes Henricus Maria van Binsbergen contre Bestuur van de
Bedrijfsvereniging voor de Metaalnijverheid, affaire 33-74.
* 77 Cf. article 57 TFUE.
* 78 Directive 2006/123/CE
du Parlement européen et du Conseil du 12 déc. 2006 relative aux
services dans le marcheì intérieur (« directive
service »), article 4.
* 79Alors que l'article 56
de la directive services ne vise que les « ressortissants des
États membres », une lecture combinée avec
l'article 54 permet d'étendre le régime de la libre circulation
des services aux « sociétés constituées en
conformité de la législation d'un État membre et ayant
leur siège statutaire, leur administration centrale ou leur principal
établissement à l'intérieur de
l'Union ».
* 80 Directive 2000/31/CE du
Parlement européen et du Conseil du 8 juin 2000 relative à
certains aspects juridiques des services de la société de
l'information, et notamment du commerce électronique, dans le
marché intérieur («directive sur le commerce
électronique»), JO n° L 178 du 17/07/2000.
* 81Directive 98/48/CE du
Parlement européen et du Conseil du 20 juil. 1998 portant modification
de la directive 98/34/CE prévoyant une procédure d'information
dans le domaine des normes et réglementations techniques,?JO n° L
217 du 05/08/1998, art. 1. 2).
* 82 Directive 2000/31/CE,
op.cit. note 80, considérant 4.
* 83Idem, article
3§4 : ceux-là doivent être des risques sérieux et
graves menaçant l'ordre public, la santé publique, la
sécurité publique ou la protection du consommateur.
* 84 C. CASTETS-RENARD,
Droit de l'internet : droit français et européen,
Montchrestien, collection Cours, Lextenso éditions, Paris, 2012,
p.3 : « L'internet intéresse de plus en plus le
législateur de l'Union européenne. Ce dernier y voit tout d'abord
un moyen privilégié de renforcer le marché
intérieur, par le développement du commerce électronique.
[...] L'adoption d'une « stratégie numérique pour
l'Europe » le 26 août 2010 témoigne de cet engouement
pour cet outil ».
* 85 CJCE, 5 oct. 1999,
Royaume d'Espagne contre Commission des Communautés européennes,
affaire C-240/97, point. 99.
* 86 Proposition de
règlement du Parlement européen et du Conseil relatif à un
droit commun européen de la vente, COM/2011/0635 final ; 2011/0284
(COD), considérant n°30.
* 87 Cf. Section 1,
§2 : p.36 et s. ; Section 2, §2 : p. 60 et s.
* 88 Directive 2000/31/CE,
op.cit., art. 9 : « Les États membres
veillent à ce que leur système juridique?rende possible la
conclusion des contrats par voie électronique [...] ni ne conduise
à priver d'effet et de validité juridiques de tels contrats pour
le motif qu'ils sont passés par voie
électronique ».
* 89 CNUDCI, Loi type
sur le commerce électronique et Guide pour son incorporation, 1996,
p. 20.
* 90 V. GAUTRAIS,
Neutralité technologique : rédaction et interprétation
des lois face aux changements technologiques, Les éditions
Thémis, page 78.
* 91 Directive 2000/31/CE,
op.cit., 10.
* 92Idem, art.
14.
* 93Idem,
considérant 42.
* 94Ibid.
* 95 CJCE, Google France et
Google, 12 juil. 2011, affaires jointes C?236/08 à C?238/08.
* 96Idem, pt
106.
* 97Idem,pt 116.
* 98Idem, pt
120.
* 99 Directive 95/46/CE, du
Parlement européen et du Conseil du 24 oct. 1995, relative aÌ la
protection des personnes physiques aÌ l'égard du traitement des
données aÌ caractère personnel et aÌ la libre
circulation de ces données.
* 100 La directive 95/46/CE
vise directement l'objectif de protection des « droits
fondamentaux et la vie privée des personnes » dans son
considérant n°34. Depuis, la Charte des droits fondamentaux de
2001, érigée au rang du droit primaire depuis l'entrée en
vigueur du Traité de Lisbonne, a consacré conventionnellement la
protection des données à caractère personnel comme un
droit fondamental dans son article 8. La Cour de Justice de l'Union
européenne a d'ailleurs eu l'occasion d'appliquer cet article à
plusieurs reprises, notamment dans les célèbres affaires
« Google Spain » (CJUE, 13 mai 2014 , C-131/12, point 68)
et « Schrems » (CJUE, 6 oct. 2015, C-362/14, point 39).
* 101 Directive 95/46/CE,
op. cit. note 99, article 2, a)
* 102Idem, article
8, 1.
* 103Idem, article
2, b).
* 104Idem, article
7.
* 105Idem, article
12.
* 106Idem, article
14.
* 107Idem, article
17§1.
* 108Idem, article
21.
* 109Idem, article
2, d) : « [...] organisme qui, seul ou conjointement avec
d'autres, détermine les finalités et les moyens du traitement de
données à caractère personnel; lorsque les
finalités et les moyens du traitement sont déterminés par
des dispositions législatives ou règlementaires nationales ou
communautaires, le responsable du traitement ou les critères
spécifiques pour le designer peuvent être fixes par le droit
national ou communautaire ».
* 110Idem, article
23.
* 111 Directive 95/46/CE,
op. cit. note 99, article 2, e).
* 112Idem, article
17§2 et §3.
* 113Cass., Civ., 21 juin
1950, D. 1951, p.749
* 114 Cf. §2, B., p.38
et s.
* 115 P. MALAURIE, L.
AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux,
7ème édition LGDJ, Lextenso éditions, Paris,
2014, p.3.
* 116 Article 1582 du Code
civil et s.
* 117 Article 1710 du Code
civil et s.
* 118 P. MALAURIE, L.
AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, op.
cit. note 115, p.34.
* 119Idem, p.5.
* 120 P.-Y. GAUTIER,
Association H. CAPITANT, le contrat bouleversé ou non par
l'électronique : un rapport critique, p.8 :
« notons que l'Internet est friand de contrats innommés,
i.e. non réglementés par la loi », disponible
sur : <
http://www.henricapitant.org/sites/default/files/France_1.pdf>.
* 121 Cf. Articles 1917
à 1954 du Code civil.
* 122 G. BRUNAUX,
« Cloud computing, protection des données : et si la solution
résidait dans le droit des contrats spéciaux ? »,
Dalloz 2013, p.1158.
* 123 P. MALAURIE, L.
AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, op.
cit. note 115, p.505.
* 124 Cf. articles 1927,
1932 et 1944 du Code civil.
* 125 G. BRUNAUX, op.
cit. note 122, pt. 7.
* 126 P.-Y. GAUTIER,
« Le dépôt : exercices de qualification »,
Lextenso, Revue des contrats, 01 mars 2014 n° 1, p. 149.
* 127 P.-Y. GAUTIER, Le
contrat bouleversé ou non par l'électronique : un rapport
critique, op. cit. note 120, p.7.
* 128P.-Y. Gautier, Le
contrat bouleversé ou non par l'électronique : un rapport
critique, op. cit. note 120, p.7.
* 129 G. BRUNAUX, op.
cit. note 122, p.1160.
* 130CNIL, Recommandations
pour les entreprises qui envisagent de souscrire à des services de cloud
computing p. 7, 8, 11 et 12 : « contrats de
prestation de service cloud computing ».
* 131132 G. BRUNAUX,
op. cit. note 122, note de bas de page n°12 : il fait
référence à : « Microsoft, art. 3.1 ;
Dropbox ; Box, art. 5 ».?
* 133Cass., Com., 11 oct.
2005, n°03-10975 : « Mais attendu que l'article 1722 du
Code civil n'est pas applicable au contrat par lequel la banque loue à
un client un compartiment ou un coffre dont elle assume la surveillance et
auquel le client ne peut accéder qu'avec le concours du
banquier ».
* 134 Article 1719 du Code
civil.
* 135 P. LE TOURNEAU,
Contrats informatiques et électroniques, Dalloz
référence, Paris, 2014/2015, p.375.
* 136 Article 1709 du Code
civil.
* 137 Article 1711 du Code
civil.
* 138 Céline
CASTETS-RENARD, Droit de l'internet : droit français et
européen,op. cit.. note 84, p.103 : « le contrat
d'hébergement est un contrat de location d'un espace dans le disque dur
du fournisseur ».
* 139 P. LE TOURNEAU,
op.cit. note 134,p.376.
* 140 P. LE TOURNEAU,
op.cit. note 134, p.370.
* 141 Tribunal de Grande
Instance de Nanterre, Ordonnance de référé, 30 nov. 2012,
UMP / Oracle, n°. RG 12/02746.
* 142 Cf. E.BARBRY et
K.BERBETT, « Cloud computing : attention à la
réversibilité », Stratégie internet
n°177, nov-déc. 2013.
* 143 Loi n° 78-17 du
6 janv. 1978 relative à l'informatique, aux fichiers et aux
libertés.
* 144Idem, article
8 : « Les traitements nécessaires aux fins de la
médecine préventive, des diagnostics médicaux, de
l'administration de soins ou de traitements, ou de la gestion de services de
santé et mis en oeuvre par un membre d'une profession de santé,
ou par une autre personne à laquelle s'impose en raison de ses fonctions
l'obligation de secret professionnel prévue par l'article 226-13 du code
pénal ».
* 145Article L1111-8 du
Code de la santé publique, modifié par la loi n°2016-41 du
26 janv. 2016, art. 96.
* 146 Condition de
l'agrément fixées par le Décret n° 2006-6 du 4 janv.
2006 relatif à l'hébergement de données de santé
à caractère personnel et modifiant le Code de la santé
publique.
* 147 Directive 2010/24/UE
du Conseil du 16 mars 2010 concernant l'assistance mutuelle en matière
de recouvrement des créances relatives aux taxes, impôts, droits
et autres mesures et par le règlement UE du Conseil 904/2010 du 7 oct.
2010 concernant la coopération administrative et la lutte contre la
fraude dans le domaine de la taxe sur la valeur ajoutée.
* 148 Cf. Loi du 31
déc. 1971, art. 66-5 ; et Décret n°2005-790 du 12 juil.
2005 relatif aux règles de déontologie de la profession d'avocat,
art. 4.
* 149 Cf. C. LE DOUARON,
« Numérique : le cloud privé des avocats sera
opérationnel en déc. 2015 », Dalloz actualité,
1er juil. 2015.
* 150 A. BENSOUSSAN,
« Le cloud au service de l'avocat », Gazette du palais, 15
oct. 2011 n°288, p.3.
* 151 A. PORTMANN,
« Le cloud privé des avocats enfin lancé »,
Dalloz actualité, 14 mars 2016.
* 152 Directorate-General
for Justice and Consumers, European Commission, « Comparative Study
on cloud computing contracts », Final Report, prepared by DLA Piper
UK LLP, March 2015, disponible sur <
http://bookshop.europa.eu/en/comparative-study-on-cloud-computing-contracts-pbDS0115164/>.
* 153Idem,
p.12.
* 154 Final Report, Annex
1, Country Report Work Package 1.
* 155 Final Report, Annex
2, Methodology and sample country selection.
* 156 Final Report, Annexe
4, Country Report Overview Work Package 3.
* 157 European Commission,
Comparative study on cloud computing contracts, Final report, Annex 2,
methodology and sample country selection, WP2, march 2015, pp.19-20.
* 158 Cf. annexe
n°3.
* 159 Cf. Chapitre 2,
Section 1, §2, B., 2., p.82 et s.
* 160 Final report, Annex
2, op. cit., p.13.
* 161 G .CORNU,
« Vocabulaire juridique », op. cit. note 22,
p.567 : « INTERNATIONAL ».
* 162Idem,
p.853 : « RATTACHEMENT ».
* 163F. VIANGALLI, la
théorie des conflits de lois et le droit communautaire, Presses
universitaires d'Aix-Marseille, 2004, p.14.
* 164 Convention de
Bruxelles de 1968 concernant la compétence judiciaire et
l'exécution des décisions en matière civile et
commerciale.
* 165 Règlement (CE)
n° 44/2001 du Conseil du 22 déc. 2000 concernant la
compétence judiciaire, la reconnaissance et l'exécution des
décisions en matière civile et commerciale, JO n° L 012 du
16/01/2001 p. 0001 - 0023.
* 166 Règlement (UE)
n ° 1215/2012 du Parlement européen et du Conseil du
12 déc. 2012 concernant la compétence judiciaire, la
reconnaissance et l'exécution des décisions en matière
civile et commerciale, (Bruxelles 1 bis), JO n° L 351, 20.12.2012, p.
1-32.
* 167Idem, art.
62.
* 168Idem,art.
5§1 et 6§1.
* 169Idem,art.
1er.
* 170 CJCE, Jakob
Handte, affaire C-26/91 ; CJCE, Tacconi, 17 sept. 2002, affaire C-334/00.
* 171Idem, pts 15
et 23 respectivement.
* 172 Règlement
Bruxelles 1bis, op. cit. note 165 : l'article 63 dispose qu'on
entend par là, pour les sociétés, alternativement le lieu
de leur siège statutaire, de leur administration centrale ou encore au
lieu de leur principal établissement.
* 173Idem, art.
4.
* 174Idem, art.
24.
* 175Idem, art.
15.
* 176Idem, art.
19.
* 177Idem, art.
23.
* 178Idem, art.
25.
* 179 CJCE, H. Shenavai c/
K. Kreischer, 15 janv. 1987, affaire 266/85.
* 180 CJUE, Wood Floor, 11
mars 2010, affaire C?19/09.
* 181 Cf. Chapitre 1,
Section 2, §2, A., p. 61 et s.
* 182Convention de Rome du
19 juin 1980 sur la loi applicable aux obligations contractuelles, JO n° C
027 du 26/01/1998.
* 183 Règlement
n°593/2008 du Parlement européen et du Conseil du 17 juin 2008, sur
la loi applicable aux obligations contractuelles (« Rome
I »), JO L 177 du 04/07/2008.
* 184 Comme cela a
été vu précédemment pour le règlement
Bruxelles 1bis, cela exclue les contrats en matière fiscale,
administrative ou douanière.
* 185 Règlement Rome
I, op. cit. note 182, art. 2.
* 186Idem,
considérants n°13 et 14 : « (13) Le
présent règlement n'interdit pas aux parties d'intégrer
par référence dans leur contrat un droit non étatique ou
une convention internationale.
(14) Si la Communauté adopte dans un
instrument juridique spécifique des règles matérielles de
droit des contrats, y compris des conditions générales et clauses
types, cet instrument peut prévoir que les parties peuvent choisir
d'appliquer ces règles. ».
* 187Idem, art.
3§1.
* 188 Idem,
considérant n°37 : « Des
considérations d'intérêt public justifient, dans des
circonstances exceptionnelles, le recours par les tribunaux des États
membres aux mécanismes que sont l'exception d'ordre public et les lois
de police. La notion de « lois de police » devrait
être distinguée de celle de « dispositions auxquelles il
ne peut être dérogé par accord » et devrait
être interprétée de façon plus
restrictive » .
* 189Idem, art.
3§3: « Lorsque tous les autres éléments de la
situation sont localisés, au moment de ce choix, dans un pays autre que
celui dont la loi est choisie, le choix des parties ne porte pas atteinte
à l'application des dispositions auxquelles la loi de cet autre pays ne
permet pas de déroger par accord. ».
* 190Idem, art. 9:
« Une loi de police est une disposition impérative dont le
respect est jugé crucial par un pays pour la sauvegarde de ses
intérêts publics, tels que son organisation politique, sociale ou
économique ».
* 191Idem, art.
6.
* 192Idem, art.
5§2.
* 193Idem, art.
7§3.
* 194Idem, art.
8.
* 195 CJUE, Peter Pammer, 7
déc.2010, Affaires jointes C-585/08 et C-144/09.
* 196Idem, pt
72.
* 197Idem, pts 80,
81, 83, 84.
* 198 Règlement Rome
I, op. cit. note 182, art. 6§2.
* 199Idem,art.
4§2.
* 200Idem, art.
4§3.
* 201 Cf. Chapitre I,
Section 2, §2, A., 2., p.63 et s.
* 202 L'article 2 g)
définit le domaine coordonnée comme suit :
« les exigences prévues par les systèmes juridiques
des États membres et applicables aux prestataires des services de la
société de l'information ou aux services de la
société de l'information, qu'elles revêtent un
caractère général ou qu'elles aient été
spécifiquement conçues pour eux. ».
* 203 G. BUSSEUIL,
« Le choix de la loi applicable au contrat électronique,
in Le règlement communautaire « Rome I » et
le choix de loi dans les contrats internationaux », Lexis Nexis,
Litec, 2011, Vol.35 p. 397 et s.
* 204 Cela ne valant que
dans les rapports entre professionnels, l'annexe 3 de la directive disposant
que l'article 3 n'est pas applicable aux « obligations
contractuelles concernant les contrats conclus par les
consommateurs ».
* 205 Directive 2000/31/CE,
op.cit., art. 1§4 : « La présente
directive n'établit pas de règles additionnelles de droit
international privé et ne traite pas de la compétence des
juridictions ».
* 206 G. BUSSEUIL,
« Le choix de la loi applicable au contrat
électronique », in.Le règlement communautaire
« Rome I » et le choix de loi dans les contrats
internationaux, op. cit. note 202, p. 413.
* 207 CJUE, 25 oct. 2011,
eDate et Martinez, affaires jointes C?509/09, C?161/10.
* 208Idem, pt.
61.
* 209Idem, pt.
62.
* 210Idem, pt.
68.
*
211J. SÉNÉCHAL,« Les règles
applicables au contrat international de cloud computing : des
règles bien imparfaites pour un contrat
d'avenir »,RLDI nov. 2013, n° 3269, p. 100.
* 212 Communication,
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p.6.
* 213 Le petit Robert,
op. cit. note 24, n°4, p.646.
* 214L. SIORAT, Le
problème des lacunes en droit international, Librairie
générale de droit et de jurisprudence, Paris, 1959, 479 pages.
* 215Idem,
p.35.
* 216Idem, p.8.
* 217 F. VIANGALLI, op.
cit. note 162, p.270 : « il y a en effet lacune en
droit lorsque manque, à l'intérieur d'un système
juridique, une norme dont le juge puisse faire usage pour résoudre
correctement un cas déterminé ».
* 218Idem, pp.
281-306.
* 219 Article 5 TUE :
« 1.Le principe d'attribution régit la délimitation
de compétences de l'Union. » ;
« 2. En vertu du principe d'attribution, l'Union n'agit
que dans les limites des compétences que les États membres lui
ont attribuées dans les traités pour atteindre les objectifs que
ces traités établissent. Toute compétence non
attribuée à l'Union dans les traités appartient aux
États membres ».
* 220 F. VIANGALLI,
op. cit. note 162, p. 278.
* 221L. SIORRAT, op.
cit. note 213,p.85.
* 222Ibid.
* 223 L. SIORRAT, op.
cit. note 213,p.63.
* 224 F. VIANGALLI, op.
cit. note 162, p. 298.
* 225 Notamment la
Commission européenne, le Parlement européen, le Conseil
économique social et environnemental et le Contrôleur
européen de la protection des données.
* 226 Principalement la
CNIL et le Groupe de l'article 29.
* 227 Groupe d'expert
institué par la Décision de la Commission du 18 juin 2013 (2013/C
174/04), dont les travaux sont disponibles en ligne sur
< http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm >.
* 228 À titre
d'exemple : les données bancaires, comptables, de ressources
humaines ou des données de santé et à caractère
personnel des tiers.
* 229 Les prestataires de
services sont particulièrement attentifs aux risques d'incendie,
d'inondation et autres catastrophes naturelles susceptibles de menacer leur
infrastructure.
* 230 VPN pour
« Virtual Private Network », c'est-à-dire
le réseau privé virtuel, comparable à un réseau
local mais auquel deux ordinateurs distants peuvent avoir accès.
* 231 Ce qu'on nomme
communément la « réversibilité » des
données.
* 232 Ce qu'on nomme
communément
l' « interopérabilité » des
systèmes.
* 233 Étude IBM et
Ponemon Institute : 2015 Cost of Data Breach Study: Global
Analysis, mai 2015 : sur l'étude de 350 entreprises le
coût moyen d'une violation des données est de 3,8 millions de
dollars US et que 45 % des infractions proviennent d'attaques
malveillantes.
* 234 J.-P. BRIFFAUT et
F.STEPHAN, Cloud computing,évolution technologique,
révolution des usages, Lavoisier, 2013, Paris, p.17.
* 235 Cf. Annexe 1,
p.115.
* 236Ce que l'on qualifie
de « pay as you go ».
* 237 Contrôleur
européen de la protection des données, avis relatif à la
communication de la Commission intitulée « exploiter le
potentiel de l'informatique en nuage », 2013/C 253/03, p. 6, pt
21 : « Si les gouvernements et les grandes entreprises
peuvent disposer de nuages privés établis selon leurs propres
exigences ou négocier des accords de services avec les prestataires de
service en nuage sur un pied d'égalité, les petites et moyennes
organisations des secteurs public et privé et les consommateurs
individuels devront accepter les clauses et conditions imposées par les
prestataires de services pour les services en nuage publics ».
* 238A. BENSOUSSAN,
« Le cloud au service de l'avocat », op.cit.
* 239 L'accès au
cloud privé des avocats est sécurisé, les
données archivées ainsi que les courriels envoyés sont
chiffrés.
* 240 C. LE DOUARON,
« Numérique : le cloud privé des avocats sera
opérationnel en décembre 2015 »,
op. cit. note 148.
* 241 À titre
d'exemple : SFR BUSINESS, « le catalogue de logiciels
cloud pour TPE-PME », disponible en ligne sur <
https://store.saas.sfrbusinessteam.fr/catalogue/>.
* 242 EU Expert Group on
Cloud Computing Contracts, « Cloud Computing Contracts -
Discussion Paper on Subcontracting », march 25, 2014, p.3 :
« Cloud computing [...] has become unthinkable without
subcontracting ».
* 243CNIL,
« Recommandations pour les entreprises qui envisagent de souscrire
aÌ des services de Cloud computing », op.
cit. note 17, p.4.
* 244 EU Expert Group on
Cloud Computing Contracts, op. cit. note 241, p.10 : «
subcontracting chains, not necessarily long ones, are susceptible to
security breaches ».
* 245 F. CHAFFIOL-CHAUMONT
et A. DAVID, « Entrer dans l'ère du Cloud Computing en
maîtrisant ses aspects contractuels », Cahiers de droit de
l'entreprise n°2, 2010, p.2 : « sécuriser
contractuellement l'externalisation vers le cloud
computing ».
* 246 E.
DURKHEIM, Leçonsdesociologie, PUF, Quadrige, Paris, 2015,
p.342.
* 247 Communication,
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p.12.
* 248Idem,
p.13.
* 249CNIL,
« Recommandations pour les entreprises qui envisagent de souscrire
aÌ des services de Cloud computing », op. cit. note
17, p.1.
* 250P. LE TOURNEAU,
Contrats informatiques et électroniques, op. cit.,
page 378 : « Pour une société importante, le
contrat sera évidemment individualisé ; mais la
majorité des contrats de cloud computing sont des contrats types,
à prendre ou à laisser ».
* 251 N. MARTIAL-BRAZ,
« Le droit des contrats à l'épreuve des géants
d'Internet», L'effectivité du droit face à la puissance des
géants de l'Internet, Sous la direction de M.BEHAR-TOUCHAIS, IRJS
éditions, p.63.
* 252 Communication,
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p. 13 :
respectivement « En ce qui concerne les utilisateurs
professionnels » et « En ce qui concerne les
particuliers et les petites entreprises ».
* 253Ibid.
* 254 Proposition de
règlement du Parlement européen et du Conseil relatif à un
droit commun européen de la vente, COM/2011/0635 final - 2011/0284
(COD), article 7 paragraphe 1.
* 255Idem, article
7 paragraphe 2.
* 256Idem,
considérant n°2.
* 257Résolution
législative du Parlement européen du 26 fév. 2014 sur la
proposition de règlement du Parlement européen et du Conseil
relatif à un droit commun européen de la vente (
COM(2011)0635
- C7-0329/2011 -
2011/0284(COD)),
article 7.
* 258 Proposition de
directive du Parlement européen et du Conseil concernant certains
aspects des contrats de ventes en ligne et de toute autre vente aÌ
distance de biens, 2015/0287 (COD).
* 259 Cf. Chapitre 2,
Section 1, §1, B., 1., p. 51 et s.
* 260 ENISA,
« Cloud Security Guide for SMEs, Cloud computing security risks and
opportunities for SMEs », April 2015, disponible sur <
www.enisa.europa.eu >.
* 261Communication,
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p. 13.
* 262 E.SORDET et
R.MILCHIOR, « La définition des contours juridiques du
cloud Computing », Communication Commerce Electronique, 2012,
p.5 : « Il est incontestable que le cloud Computing ne
s'intègre pas encore dans un régime juridique établi et
stable ».
* 263 On interprète
généralement de l'article 4 du Code civil la capacité
du juge français de pallier à une lacune du droit pour
éviter le non liquet. Cf. L. BACH,
« Jurisprudence », Répertoire de droit
civil, Dalloz,2009, pt. 125 :« Le législateur
sait que la règle qu'il édicte est incomplète, mais il
charge le juge [...] de la compléter. Il s'agit d'un
procédé commode de législation, caril permet au juge
d'adapter les lois aux besoins nouveaux de la société [...]
l'article 4 du code civil français admet aussi implicitement la
licéité de son utilisation ».
* 264 N. PIERRE,
« François Gény et la responsabilité
civile : le droit-science et le sens de l'histoire », in.La
pensée de François Gény, sous la direction de O.
CACHARD, F.-X. LICARI et F. LORMANT, Dalloz, Paris, 2013, p. 154 :
« Critiquant le postulat de la plénitude et de la
perfection de la loi écrite, revendiquant clairement son attachement
à la nature des choses ainsi qu'aux réalités sociales et
économiques, Gény fait place, à côté des
sources formelles du droit que sont la loi écrite et la coutume,
à la libre recherche scientifique, source subsidiaire forgée par
un interprète qu'il veut guidé par les impératifs de
justice et d'utilité générale ».
* 265N. MARTIAL-BRAZ,
« Les géants de l'Internet et le Cloud
Computing », in. L'effectivité du droit face à
la puissance des géants de l'Internet, Sous la direction de M.
BEHAR-TOUCHAIS, IRJS éditions, p. 107.
* 266 Article 1150 du Code
civil : « Le débiteur n'est tenu que des dommages et
intérêts qui ont été prévus ou qu'on a pu
prévoir lors du contrat, lorsque ce n'est point par son dol que
l'obligation n'est point exécutée ».
* 267Ibid. ;
confirmé en jurisprudence : Cass., 1èreCiv., 4
fév. 1969, Soc. des comédiens français, n°60.
* 268Cass., Com., 29 juin
2010, n°732.
* 269Cass.,
1èreCiv., 2 déc.1997, n°95-16720.
* 270Cass., Com., 22 oct.
1996, n° 93-18632 : « en raison du manquement à
cette obligation essentielle la clause limitative de responsabilité du
contrat, qui contredisait la portée de l'engagement pris, devait
être réputée non écrite ».
* 271Cass., Com., 30 mai
2006, n°04-14.974.
* 272Cass., Com. 29 juin
2010, n° 732 : « Mais attendu que seule est
réputée non écrite la clause limitative de
réparation qui contredit la portée de l'obligation essentielle
souscrite par le débiteur [à condition] que la clause
limitative de réparation [vidait] de toute substance
l'obligation essentielle de la société
Oracle ».
* 273 G.
CHANTEPIE,« L'inexécution du contrat de cloud
computing », RLDI nov. 2013, n° 3272, p.
118.
* 274 Cf.
« Contrat service cloud Oracle », pt.12.2 :
« Oracle ne garantit pas que (a) les services seront
exécutés exempts d'erreur ou de manière ininterrompue ou
qu'oracle corrigera toutes les erreurs des services ». Contrat
disponible sur <
http://www.oracle.com/us/corporate/contracts/saas-csa-france-fr-2069247.pdf
>.
* 275Idem, pt.13
« Aucune des parties ne sera responsable de dommages indirects,
ou consécutifs, ou de toute perte de bénéfices ou de
chiffre d'affaires (en dehors des redevances au titre du présent
contrat), de données ou d'utilisation des données. La
responsabilitéì totale d'oracle pour tous les dommages au titre
du présent contrat ou de votre commande, sera limitée aux sommes
totales effectivement payées à oracle pour les services au titre
de la commande donnant lieu a la responsabilité dans la période
des douze (12) mois précédant immédiatement
l'évènement donnant lieu a ladite responsabilité
diminuée du remboursement ou des crédits que vous avez
reçus d'oracle au titre de ladite commande ».
* 276Ordonnance n°
2016-131 du 10 fév. 2016 portant réforme du droit des contrats,
du régime général et de la preuve des obligations, JORF
n°0035 du 11 fév. 2016.
* 277Article 99 du
règlement non publié au J.O et disponible sur
< http://data.consilium.europa.eu/doc/document/ST-7530-2016-INIT/fr/pdf >.
* 278 N. MARTIAL-BRAZ,
« Les géants de l'Internet et le Cloud
Computing », op. cit., p. 110.
* 279 Idem,
p.111.
* 280 G29, Avis 1/2010 sur
les notions de «responsable du traitement» et de
«sous-traitant», 16 fév. 2010, 00264/10/FR WP 169, p.36.
* 281 G29, Avis 05/2012 sur
l'informatique en nuage, 1er juil. 2012, 01037/12/FR WP 196, p.11.
* 282Idem,
p.12.
* 283 Règlement du
Parlement européen et du Conseil du 27 avr. 2016 relatif à la
protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE
(règlement général sur la protection des données
« RGPD ») (UE) 2016/679, JO L 119 du 4/5/2016
* 284Idem, art.
3§2.
* 285Idem, art
26§1 : « Lorsque deux responsables du traitement ou
plus déterminent conjointement les finalités et les moyens du
traitement, ils sont les responsables conjoints du
traitement ».
* 286 Cf. J. BASEDOW,
« Un droit commun des contrats pour le Marché commun
», R.I.D.C, 1998, vol. 50, n°1, pp. 7-28.
* 287 K.
GARCIA, Le droit civil européen, nouvelle matière,
nouveau concept, Larcier, Bruxelles, 2008, p.285 : « Il
n'existe aucune preuve pratique qu'un marché unique appelle un
instrument contractuel unique et que la diversité des droits constitue
une entrave à la libre circulation. Rien n'établit à
l'inverse que la diversité favorise cette libre
circulation ».
* 288 Sous la direction de
M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen des
contrats. Réponses du réseau Trans Europe Experts,
Société de Législation Comparée, D011, Paris, p.19.
* 289 Sous la direction de
D. VOINOT et J. SÉNÉCHAL, Vers un droit européen
des contrats spéciaux, Larcier, Bruxelles, Code économique
européen, 2012, p.12.
* 290Communication
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p.6.
* 291B. BONNAMOUR,
« Modernisation du marché unique, Cadre Commun de
Référence et droit privé européen, RLDA, 2008,
n°23, p. 62.
* 292 Commission
européenne, communication au Conseil et au Parlement européen,
« le droit européen des contrats », COM(2001) 398
final, p.9, pt. 23.
* 293 Livre vert de la
Commission relatif aux actions envisageables en vue de la création d'un
droit européen des contrats pour les consommateurs et les entreprises,
1er juil. 2010, COM(2010) 348 final.
* 294 Commission
européenne, communication au Conseil et au Parlement européen,
« le droit européen des contrats », COM(2001) 398
final, pt .28.
* 295Idem, pt.
30.
* 296Idem, pt.
32-33.
* 297 Commission
européenne, « le droit européen des contrats dans les
transactions interentreprises », résumé flash
eurobaromètre, rapport 2011.
* 298 Cf. Annexe
n°4.
* 299 Cf. Annexe
n°5.
* 300 Commission
européenne, communication au Parlement européen, au Conseil et au
Comité économique et social européen, « Contrats
numériques pour l'Europe - Libérer le potentiel du commerce
électronique », COM(2015) 633 final, p.4 :
« les coûts résultant des différences entre
les droits nationaux des contrats ».
* 301 Proposition de
Directive du Parlement européen et du Conseil concernant certains
aspects des contrats de fourniture de contenu numérique, 2015/0288
(COD), p.2.
* 302 Proposition de
règlement du Parlement européen et du Conseil relatif à un
droit commun européen de la vente, COM/2011/0635 final - 2011/0284
(COD), considérant n°1.
* 303 Expert group meeting
on cloud computing contracts synthesis of the meeting of 11/12 dec. 2014,
disponible en ligne : <
http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm>,
p.2 : « Experts agreed that any liability clauses should
comply with the applicable law. [...] Experts recognised that,
especially in the commercial environment, clauses on remedies and liability, on
top of compliance with diverging national laws, reflect market practices which
equally differ - for example in the UK the limitation of liability is very
common in contrast to other legislations in the Member States ».
* 304Sous la direction de
R. SEFTON-GREEN et L. USUNIER,La concurrence normative, mythes et
réalités, Société de législation
comparée, Collection de l'UMR de droit comparé de Paris, Vol. 33,
2012, 298 pages.
* 305 B. FRYDMAN, Petit
manuel pratique de droit global, Académie Royale de Belgique, Col.
L'Académie en poche, vol.48, Bruxelles, 2014, 128 pages.
* 306 L. USINIER,
« La concurrence normative, un mode de représentation des
rapports entre les systèmes juridiques en vogue », in.La
concurrence normative, mythes et réalités, op.cit.
note 303, p.16.
* 307 Idem, pp.
30-31 : « la faculté qui leur est
accordée d'influer d'une façon ou d'une autre sur le droit qui
leur est applicable ».
* 308L. USINIER et R.
SEFTON-GREEN, « Conclusion », in.La concurrence normative,
mythes et réalités, op.cit. note 303, pp.
261-278.
* 309L. USINIER,
« La concurrence normative, un mode de représentation des
rapports entre les systèmes juridiques en vogue », op.
cit. note, p.31.
* 310 Les arrêts de
la Cour de Justice : Centros (CJCE, 9 mars 1999),
Überseering (CJCE, 5 nov. 2002) et Inspire Art (CJCE, 30
sept. 2003), témoignent de la flexibilité des libertés
d'établissement dont les opérateurs économiques peuvent
bénéficier pour s'incorporer dans un État membre de
l'Union européenne tout en ayant leur siège réel dans un
autre État membre.
* 311D. SINDRES,
« Contrat, principe d'autonomie et analyse économique du droit
international privé », in.La concurrence normative, mythes et
réalités, op.cit. note 303, p.176.
* 312 Final Report, Annex
2, Methodology and sample country selection, p.8 :
« In relation to standard contracts, [...]it appears that
typically the law of the jurisdiction in which the provider has its principal
place of business will apply. For standard contracts where this law has not
been appointed as applicable law, the research indicates that often, English
law is chosen either for customers inside of England or even outside of
England » (soulignement ajouté).
* 313 F. VIANGALLI, La
théorie des conflits de lois et le droit communautaire,
op.cit., page 17.
* 314 Règlement
Bruxelles I bis, art. 7. b).
* 315 M.-L. NIBOYET et G.
DE GEOUFFRE DE LA PRADELLE, Droit international privé, LGDJ,
Lextenso éditions, Issy-les-Moulineaux, 2015, pp. 348-351.
* 316 CJUE, Wood Floor, 11
mars 2010, affaire C?19/09.
*
317J. SÉNÉCHAL,« Les règles
applicables au contrat international de cloud computing : des
règles bien imparfaites pour un contrat d'avenir »,
RLDI, nov. 2013, n° 3269, p.94.
* 318 Règlement Rome
I, op. cit., art.3§3 et 3§4.
* 319Idem, art.
4.1.b)
*
320J. SÉNÉCHAL,« Les règles
applicables au contrat international de cloud computing : des
règles bien imparfaites pour un contrat d'avenir »,
op.cit., p. 99.
* 321 Règlement Rome
I, op. cit., art. 19§1.
* 322Idem, Article
19§2.
*
323J. SÉNÉCHAL, « Les
règles applicables au contrat international de cloud computing : des
règles bien imparfaites pour un contrat d'avenir », op.
cit., p.95.
* 324 Cf. conclusions de M.
CRUZ VILLALON, affaires jointes C-509/09 et C-161/10, pt. 75.
* 325 La République
fédérale d'Allemagne, le Royaume de Belgique, la
République de Chypre, le Royaume de Danemark, la République
d'Estonie, la République de Finlande, la République
hellénique, la République de Hongrie, l'Irlande, la
République italienne, la République de Lettonie, la
République de Lituanie, la République de Malte, le Royaume des
Pays-Bas, le Royaume d'Espagne, le Royaume de Suède, la Roumanie et le
Royaume-Uni de Grande-Bretagne et d'Irlande du Nord.
* 326 Il s'agit de la
République d'Autriche, de la République française, du
Grand-Duché de Luxembourg, de la République tchèque, de la
République de Pologne, de la République portugaise et de la
République slovaque.
* 327Loi n° 2004-575
du 21 juin 2004 pour la confiance dans l'économie numérique.
* 328 G. BUSSEUIL,
« Le choix de la loi applicable au contrat électronique,
in Le règlement communautaire « Rome I » et
le choix de loi dans les contrats internationaux », op.
cit., p.413.
* 329 CJUE, 25 oct. 2011,
eDate et Martinez, affaires jointes C?509/09, C?161/10, pt. 68.
* 330K.-H. LEHNE, Rapport
sur la communication de la Commission au Conseil et au Parlement
européen concernant le rapprochement du droit civil et commercial des
États membres, COM(2001) 398, C5-0471/2001, 2001/2187 (COS).
* 331A. JEAMMAUD,
« Unification, uniformisation, harmonisation : de quoi
s'agit-il? », in.Vers un code européen de la
consommation, Bruxelles, Bruylant, 1998, p.47.
* 332Idem,
p.48.
* 333Idem,
p.38.
* 334 J. PORTA, La
réalisation du droit communautaire. Essai sur le gouvernement juridique
de la diversité, éd. Varenne, Tome I, 2008, pp. 212-326.
* 335Idem, p.
309 : « l'appauvrissement de la signification des notions
d'unification, d'harmonisation ou de coordination ne garantit pas leur
concordance à l'intégration juridique communautaire. La richesse
des procédés mis en oeuvre par le législateur
communautaire pour procéder au rapprochement des droits nationaux peine
à se laisser enfermer dans ces catégories
classiques ».
* 336 C.MIALOT et P.DIMA
EHONGO, « De l'intégration normative à
géométrie et à géographie variable »,
in. Critique de l'intégration normative, sous la direction de
M. DELMAS-MARTY, PUF, Paris, 2004, p. 27 : « Par exemple,
les directives sur les clauses abusives dans les contrats de consommation sont
précises et relèvent d'une stratégie d'unification,
cependant que le règlement de 1995 relatif à la protection des
intérêts financiers prévoit l'harmonisation, et non
l'unification, des sanctions administratives en cas de fraude contre les
intérêts financiers de l'Union européenne ».
* 337 L. FIN-LANGER,
« L'intégration du droit du contrat en Europe »,
in. Critique de l'intégration normative, op.cit.,
p.39.
* 338 CJCE, ENKA BV, 23
nov. 1997, affaire n°38-77, pt 12.
* 339 L.FIN-LANGER,
« L'intégration du droit du contrat en Europe »,
in. Critique de l'intégration normative, op. cit,
p.70.
* 340Directive 90/314/CEE
du Conseil, du 13 juin 1990, concernant les voyages, vacances et circuits
à forfait, Journal officiel n° L 158 du 23/06/1990.
* 341Idem,
p.71.
* 342 Règlement Rome
I, considérant n°14 : « Si la Communauté
adopte dans un instrument juridique spécifique des règles
matérielles de droit des contrats, y compris des conditions
générales et clauses types, cet instrument peut prévoir
que les parties peuvent choisir d'appliquer ces
règles ».
* 343 F. VIANGALLI, op.
cit. note 162, p.415.
* 344Idem,
p.399.
* 345M. PEGADOLIZ
(rapporteur),?Avis du Comité économique et social
européen, «Le 28e régime -- une option pour moins
légiférer au niveau communautaire» (avis d'initiative),
2011/C 21/05.
* 346 F. VIANGALLI, op.
cit. note 162, p.438.
* 347 J. PORTA, La
réalisation du droit communautaire. Essai sur le gouvernement juridique
de la diversité, op. cit., pp. 270-277.
* 348 C'est notamment le
cas de l'article 114 TFUE.
* 349 J. PORTA, La
réalisation du droit communautaire. Essai sur le gouvernement juridique
de la diversité, op. cit., p. 307.
* 350 L. FIN-LANGER,
« L'intégration du droit du contrat en Europe »,
in. Critique de l'intégration normative, op. cit.,
pp.39-40.
* 351Directive 93/13/CEE du
Conseil, du 5 avr. 1993, concernant les clauses abusives dans les contrats
conclus avec les consommateurs, Journal officiel n° L 095 du
21/04/1993.
* 352Directive 85/374/CEE
du Conseil du 25 juil. 1985 relative au rapprochement des dispositions
législatives, réglementaires et administratives des États
membres en matière de responsabilité du fait des produits
défectueux, Journal officiel n° L 210 du 07/08/1985.
* 353Directive 97/7/CE du
Parlement européen et du Conseil du 20 mai 1997 concernant la protection
des consommateurs en matière de contrats à distance,?Journal
officiel n° L 144 du 04/06/1997.
* 354 CJCE, Pannon GSM, 4
juin 2009, C-243/08, n° 2009 I-04713.
* 355 Proposition de
règlement du Parlement européen et du Conseil relatif à un
droit commun européen de la vente, COM/2011/0635 final - 2011/0284
(COD), (ci-après « DCEV »).
* 356Idem, article
3.
* 357Idem, article
4.
* 358Idem, article
7.
* 359Idem, article
5.
* 360 D'ailleurs,
était explicitement exclu de son champ d'application : «
vi) la création de nouveaux contenus numériques et la
modification de contenus numériques existants par des consommateurs, ou
toute autre interaction avec les créations d'autres
utilisateurs ».?
*
361J. Sénéchal,« Les règles
applicables au contrat international de cloud computing : des
règles bien imparfaites pour un contrat
d'avenir »,RLDI nov. 2013, n° 3269, p.102.
* 362 DCEV, op.
cit. note 354, considérant n°17.
* 363 Cf. Résolution
législative du Parlement européen du 26 fév. 2014 sur la
proposition de règlement du Parlement européen et du Conseil
relatif à un droit commun européen de la vente (COM(2011)0635 -
C7-0329/2011 - 2011/0284(COD)).
* 364 DCEV, op.
cit. note 354, art. 30-39
* 365 DCEV, op.
cit. note 354, art. 40-48.
* 366 DCEV, op.
cit. note 354, Article 2, paragraphe 1.
* 367Idem, p.3 et
13.
* 368Idem, art.
3.
* 369Idem, art.
3§9.
* 370 Communication de la
Commission au Conseil et au Parlement européen concernant le droit
européen des contrats, (2001/C 255/01), pt. 66. a).
* 371 Livre vert de la
Commission relatif aux actions envisageables en vue de la création d'un
droit européen des contrats pour les consommateurs et les entreprises,
(COM/2010/0348 final).
* 372 DCEV, op. cit.
note 354, p.11.
* 373 M.B.M. LOOS,
« Scope and application of the optional instrument »,
Vers un droit européen des contrats spéciaux, sous la
direction de D. VOINOT et J. SÉNÉCHAL, p.144.
* 374 J.
SÉNÉCHAL, « Quels contrats spéciaux pour quels
futurs instruments en droit européen des contrats ? »,
Vers un droit européen des contrats spéciaux, sous la
direction de D. VOINOT et J. SÉNÉCHAL, p.23.
* 375 Sous la direction de
M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen
des contrats. Réponses du réseau Trans Europe Experts,
op. cit. note 287 pp. 22-33.
* 376 Sous la direction de
J.-S. BORGHETTI, Réponse au livre vert de la Commission
européenne relatif aux actions envisageables en vue de la
création d'un droit européen des contrats pour les consommateurs
et les entreprises, Trans Europe Expert, Janv. 2011, p.6 ; et ;
R. SEFTON-GREEN, « instrument optionnel », in.
La concurrence normative, mythes et réalités, op.
cit. note 303, pp. 203-204.
* 377 M. CLERMONT, Le
rapprochement du droit européen des contrats, enjeux et
perspectives, mémoire de DEA sous la direction du professeur C.
JAMIN, Lille 2, p.81-86.
* 378 H. CLARET,
« Le défi du langage (déterminabilité d'un droit
européen des contrats et pluralisme linguistique) », Les
défis de l'harmonisation européenne du droit des contrats,
Université de Savoie, 2012. <hal-01120176>, p. 54.
* 379 S. GLANERT,
« Comparaison et traduction des droits : à l'impossible
tous sont tenus », inComparer les droits, résolument,
sous la direction de P. Legrand, p. 279.
* 380Idem, 283.
* 381 P. LAGARDE,
« Les interprétations divergentes d'une loi uniforme
donnent-elles lieu à un conflit de lois ? (à propos de
l'arrêt HOCKE de la Section commerciale du 4 mars 1963) »,
in. Revue critique de droit international privé, 1964, pp.
235-251.
* 382Cass.,Com., 4 mars
1963, n°137.
* 383 P. LAGARDE,
« Les interprétations divergentes d'une loi uniforme
donnent-elles lieu à un conflit de lois ? (à propos de
l'arrêt HOCKE de la Section commerciale du 4 mars 1963) »
op.cit., pp. 240-241.
* 384 S. NOVAK, Usages
du vote à la majorité qualifiée de l'Acte unique
européen à nos jours : une permanence inattendue, Notre
Europe, nov. 2011.
* 385 J.-P. JACQUÉ,
Les déclarations unilatérales lors de l'adoption d'actes
législatifs européens, Direction générale des
politiques internes, affaires constitutionnelles, 2010, p. 7.
* 386 Sous la direction de
M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen
des contrats. Réponses du réseau Trans Europe Experts,
op. cit. note 287, pp. 127-128.
* 387 S.NADAUD,
« Codifier le droit civil européen », Larcier,
Bruxelles, 2008, p.78 : « Le droit est partiellement le
fruit des données historiques, sociales, religieuses, économiques
et réflexives ».
* 388 Citation
rapportée par l'avis du CESE, l'influence de la France sur la
scène européenne et internationale par la promotion du droit
continental, Me D. GORDON-KRIEF, sept. 2014, p.9.
* 389 G. CORNU,
« Réflexions en attendant le tricentenaire », Le
Code civil 1804-2004, Livre du bicentenaire, 2004, p.709,
* 390 Loi constitutionnelle
canadienne de 1867, Article 92 § 13.
* 391 T. TREMBLAY, le
code civil chez les canadiens français : une question
d'identité. Disponible sur : <
https://www.erudit.org/livre/CEFAN/1996-1/000467co.pdf>
* 392Cf. Annexe 3, p.83.
* 393 A.-M. THIESSE, La
création des identités nationales, Europe XVIIIe-XIXe
siècle, Édition du Seuil, 2001, 307 pages.
* 394Idem, p.
14 : « une histoire établissant la continuité
avec les grands ancêtres, une série de héros parangons des
vertus nationales, une langue, des monuments culturels, un folklore, des hauts
lieux et un paysage typique, une mentalité particulière, des
représentations - hymne et drapeau - et des identifications pittoresques
- costume, spécialités culinaires ou animal
emblématiques ».
* 395 J. LIPENS,
« Les constantes de l'unification du droit privé »,
In. Revue Internationale de Droit Comparé, Paris, 1958 pp.
278.
* 396 Sous la direction de
M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen
des contrats. Réponses du réseau Trans Europe Experts,
op. cit. note 287, p.21.
* 397 J.
SÉNÉCHAL, « Quels contrats spéciaux pour quels
futurs instruments en droit européen des contrats ? »,
Vers un droit européen des contrats spéciaux, sous la
direction de D. VOINOT et J. SÉNÉCHAL, p. 45.
* 398 Conseil
Économique Social et Environnemental, l'influence de la France sur
la scène européenne et internationale par la promotion du droit
continental, Me D. GORDON-KRIEF, sept. 2014.
* 399 A. RAYNOUARD,
« La contestation des indicateurs Doing Business : un
positionnement politique », Petites affiches, 11 sept. 2009,
n°182.
* 400 Association Henri
CAPITANT des amis de la culture juridique française, Les droits de
tradition civiliste en question, à propos des Rapports Doing Business de
la Banque Mondiale, Société de législation
comparée, 2006, 143 pages.
* 401 J. ATTALI, La
francophonie et la francophilie, moteurs de croissance durable, Rapport
à François Hollande, Président de la République,
Août 2014, parti politique.77-79.
* 402M.B.M. LOOS,
« Scope and application of the optional instrument »,
in. Vers un droit européen des contrats spéciaux, sous
la direction de D.VOINOT et J.Sénéchal, pp. 124-125 :
« For example, how to classify the acquisition of an internet
game with a monthly subscribtion ? The transaction comprises of three
elements : the installation software to install game locally, the player
account and the online subscription. All of these elements are in principle
necessary to play the game online. The installation software could qualify as a
digital good, whilst the subscription as a service. The player account and its
content are stored at a distance and cannot be downloaded on a personal device.
[...] it is likely that the classification of digital content as goods or
services will be even more problematic in the future ».
* 403F. VIANGALLI, la
théorie des conflits de lois et le droit communautaire, p.341.
* 404 Cf. Article 1108 du
Code civil.
* 405 Cf. Case Currie v
Misa (1875), LR 10, Ex 153 : « A valuable
consideration, in the sense of the law, may consist either in some right,
interest, profit, or benefit accruing to the one party, or some forbearance,
detriment, loss, or responsibility, given, suffered, or undertaken by the
other. »
* 406 Proposition de
directive du Parlement européen et du Conseil concernant certains
aspects des contrats de fourniture de contenu numérique, 2015/0287
(COD), p. 5 et 9.
* 407 Proposition de
directive du Parlement Européen et du Conseil concernant certains
aspects des contrats de ventes en ligne et de toute autre vente à
distance de biens, 2015/0288 (COD), p.11.
* 408 J.-M., SAUVÉ,
in. Le cloud computing, l'informatique en nuage, Société de
législation comparée, Sous la direction de
Bénédicte Fauvarque-Cosson et Céclia Zolynski, op.
cit. note 12 : « Une question se pose alors:
jusqu'ouÌ aller dans la fixation des normes? Une règlementation
excessive, ou inadaptée, ne risquerait-elle pas de produire l'effet
inverse, c'est-aÌ-dire de freiner l'industrie européenne dans le
contexte d'un marcheì international extrêmement compétitif
? ».
* 409F. VIANGALLI, op.
cit. note 162, p.417.
* 410 J. PORTA,
op. cit. note 333, p.17.
* 411 V. LASSERRE, Le
nouvel ordre juridique, Le droit de la gouvernance, LexisNexis, 2015,
p.202
* 412 G.CORNU,
Vocabulaire juridique, op. cit. note 22, p.375,
« DROIT ».
* 413 M.SARR, Droit souple
et commerce électronique, Jurisdoctoria n°8, 2012, p. 58, <
http://www.jurisdoctoria.net/pdf/numero8/aut8_SARR.pdf>.
* 414 Parlement
européen, Conseil de l'union européenne, Commission
européenne, Accord interinstitutionnel -- « mieux
légiférer », (2003/c 321/01),?journal officiel n°
c 321 du 31/12/2003 p. 0001 - 0005.
* 415Idem,
§16 et s.
* 416 V. LASSERRE, op.
cit. note 410, p.246 : « laboratoire de
normes ».
* 417 Article 288 TFUE.
* 418 V. LASSERRE, op.
cit. note 410, p.277.
* 419 J. Porta, op.
cit. note 333, p.17.
* 420 V. LASSERRE, op.
cit. note 410, p. 242.
* 421 Résolution du
Conseil, concernant une nouvelle approche en matière d'harmonisation
technique et de normalisation, 7 mai 1985, OJ C 136, 4.6.1985, pp. 1-9.
* 422M. EMANEMEYO,
« La force normative « invisible » de la Soft law
para-législative de l'Union européenne en droit privé des
contrats », Revue de l'Union européenne, 2014 p.94.
* 423 Communication,
« Exploiter le potentiel de l'informatique en nuage en
Europe », op. cit. note 26, p.11.
* 424Directive 95/46/CE,
article 27 : « 1. Les États membres et la Commission
encouragent l'élaboration de codes de conduite destinés à
contribuer, en fonction de la spécificité des secteurs, à
la bonne application des dispositions nationales prises par les États
membres en application de la présente directive. [...] 3. Les projets de
codes communautaires, ainsi que les modifications ou prorogations de codes
communautaires existants, peuvent être soumis au groupe visé
à l'article 29 ».
* 425 Cloud Select Industry
Group, Draft Data Protection Code of Conduct for Cloud Service Providers, 50
pages.
* 426 Cloud Select Industry
Group, Draft Data Protection Code of Conduct for Cloud Service Providers,
p.1 : « The transparency created by the Code will contribute
to an environment of trust and will encourage a high default level of data
protection in the European cloud computing market ».
* 427Idem, p.16,
point 5.4 : « The [Cloud Services Provider] must
ensure that any subcontractors engaged in the processing of personal data
provide an equivalent level of protection to that agreed between the CSP and
the customer in the Services Agreement applicable to the subcontractors
processing activities ».
* 428 Le
« G-29 » a été institué sur fondement
de l'article 29 de la directive 95/46/CE.
* 429 ARTICLE 29 DATA
PROTECTION WORKING PARTY, Opinion 02/2015 on C-SIG Code of Conduct on Cloud
Computing, 22 September 2015, 2588/15/EN WP 232.
* 430 Cf. Minutes of the
plenary meeting of the Cloud-Select Industry Group (C-SIG), 29 October 2015,
10h00-17h00, BU25, Brussels, Belgium, 8 pages.
* 431 Décision de la
Commission, 15 juin 2001, relative aux clauses contractuelles types pour le
transfert de données à caractère personnel vers des pays
tiers en vertu de la directive 95/46/CE, 2001/497/CE.
* 432 Décision de la
Commission, 27 déc. 2004, modifiant la décision 2001/497/CE en ce
qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles
types pour le transfert de données à caractère personnel
vers des pays tiers, 2004/915/CE.
* 433 Décision de la
Commission, 27 déc. 2001, relative aux clauses contractuelles types pour
le transfert de données à caractère personnel vers des
sous-traitants établis dans des pays tiers en vertu de la directive
95/46/CE, 2002/16/CE.
* 434 Décision de la
Commission, décision 2010/87/UE, 5 fév. 2010, relative aux
clauses contractuelles types pour le transfert de données à
caractère personnel vers des sous-traitants établis dans des pays
tiers en vertu de la directive 95/46/CE du Parlement européen et du
Conseil.
* 435Idem, clause
n°10.
* 436Idem, clause
n°5. A).
* 437Idem, clause
n°11.
* 438 À ceci
près que la personne concernée ne pourra faire appliquer la
clause aux sous-traitants de l'importateur des données que si celui-ci
(l'importateur) a « matériellement
disparu », « cessé d'exister en
droit » ou est devenu insolvables.
* 439 Cf. § 2, p. 104
et s.
* 440 CNIL, Recommandations
pour les entreprises qui envisagent de souscrire aÌ des services de
Cloud computing, op. cit. note 17.
* 441Idem, p.
14.
* 442 CNIL,
Synthèse des réponses aÌ la consultation publique sur
le Cloud computing lancée par la CNIL du 17 octobre au 17 novembre 2011
et analyse de la CNIL, p.10.
* 443 M.-C. ROQUES-BONNET,
« Cloud computing : les actions de la CNIL démontrant
l'existence d'un nouveau mode de régulation », RLDI, 2013,
p.131.
* 444 Cf. ISO/IEC
27017:2015 - Information technology - Security techniques - Code of practice
for information security controls based on ISO/IEC 27002 for cloud services.
* 445 Cf. ISO/IEC
27018:2014 - Information technology - Security techniques - Code of practice
for protection of personally identifiable information (PII) in public clouds
acting as PII processors.
* 446 RGPD, op. cit.
note 282, art. 40, 41, 42 et 43.
* 447 O.TAMBOU,
« l'introduction de la certification dans le règlement
général de la protection des données personnelles :
quelle valeur ajoutée ? », RLDI, n°125, avr. 2016,
parti politique. 51-52.
* 448 I.FALQUE-PIERROTIN,
Introduction, in.Le cloud computing, l'informatique en nuage,
Société de législation comparée, op.
cit.
* 449CONSEIL D'ÉTAT,
Le droit souple, étude annuelle 2013, n°64, p. 241.
* 450 V. LASSERRE, Le
nouvel ordre juridique, Le droit de la gouvernance, op. cit.,
p.15.
* 451Idem,
p.18.
* 452 V. LASSERRE, Le
nouvel ordre juridique, Le droit de la gouvernance, op. cit.,
p.207.
* 453CNIL, Recommandations
pour les entreprises qui envisagent de souscrire aÌ des services de
Cloud computing, op. cit., p. 20.
* 454 M.-C. Roques-Bonnet,
« Cloud computing : les actions de la CNIL démontrant
l'existence d'un nouveau mode de régulation », op.
cit., p. 132.
* 455 M. Mosse.
« Le nuage saisi par le droit », in.Le cloud computing,
l'informatique en nuage, Société de législation
comparée, op. cit note 12.
* 456K.SEFFAR et K.
BENYEKHLEF, « Commerce électronique et normativités
alternatives », University of Ottawa law & technologie journal,
2006, 3:2 UOLTJ 353, p.361.
* 457 Cf. M.SARR, Droit
souple et commerce électronique, op. cit., pp. 53-74.
* 458 P. TRUDEL, « La
Lex Electronica » in. Charles-Albert Morand, Le droit saisi
par la mondialisation (Bruxelles : Éditions Bruylant, 2001),
disponible en ligne sur <
https://papyrus.bib.umontreal.ca>
* 459 Il s'agit
principalement des CSA Security, Trust & Assurance Registry (STAR)
et Certificate of Cloud Security Knowledge (CCSK).
* 460 V. LASSERRE, Le
nouvel ordre juridique, Le droit de la gouvernance, op. cit.,
p.212.
* 461 J. Porta, La
réalisation du droit communautaire. Essai sur le gouvernement juridique
de la diversité, op. cit., p.19.
* 462 C'est l'avis du
Conseil d'État, dans son étude annuelle sur le droit souple de
2012 précité, op. cit. note 448, pp. 47-51.
* 463 V. LASSERRE, Le
nouvel ordre juridique, Le droit de la gouvernance, op. cit.,
p.215.
* 464 O. TAMBOU,
« l'introduction de la certification dans le règlement
général de la protection des données personnelles :
quelle valeur ajoutée ? », op. cit. note
446, p.54.
* 465 G. CORNU,
Vocabulaire juridique, op. cit. note 22, p.
586 : « JURIDICITÉ » :
« Caractère de ce qui relève du Droit, par
opposition aux moeurs, à la morale, aux convenances ».
* 466Cass.,
3ème civ., 22 oct. 1980, n°78-40.830 : «
LE SEUL FAIT QU'UNE TECHNIQUE AIT ETE COURANTE ET CONSIDEREE COMME VALABLE AU
REGARD DES DTU A L'EPOQUE OU ELLE A ETE EMPLOYEE NE CONSTITUE PAS UNE CAUSE
ETRANGERE EXONERATOIRE DE RESPONSABILITE POUR L'ENTREPRENEUR ».
* 467Décret n°
2009-697 du 16 juin 2009 relatif à la normalisation, JORF n°0138 du
17 juin 2009, p. 9860.
* 468 Règlement (UE)
n° 1025/2012 du Parlement européen et du Conseil du
25 oct. 2012 relatif à la normalisation européenne, OJ L
316, 14.11.2012, p. 12-33, Cf. considérants n°1, 2, 10 et 11.
* 469 V. LASSERRE, Le
nouvel ordre juridique, Le droit de la gouvernance, op. cit. note
410, p.12.
* 470 Conseil
d'État, Rapport sur le droit souple, Op. cit. note 448,
p.40.
* 471 Directive 95/46/CE,
article 25 § 2.
* 472 RGPD, op. cit.
note 282, art. 44.
* 473Idem, art.
45. 2) a.
* 474Idem, art.
45. 2) b.
* 475 Décision
2010/625/UE.
* 476 Décision
2003/490/CE.
* 477 Décision
2002/2/CE.
* 478 Décision
2000/518/CE.
* 479 Décision
2010/146/UE.
* 480 Décision
2003/821/CE.
* 481 Décision
2011/61/UE.
* 482 Décision
2004/411/CE.
* 483 Décision
2008/393/CE.
* 484 Décision
2013/65/UE.
* 485 Décision
2012/484/UE.
* 486 Commission
européenne, Décision du 26 juil. 2000, conformément
à la directive 95/46/CE du Parlement européen et du Conseil
relative à la pertinence de la protection assurée par les
principes de la « sphère de sécurité» et par les
questions souvent posées y afférentes, publiés par le
ministère du commerce des États-Unis d'Amérique,
2000/520/CE.
* 487 CJUE, Schrems, 6 oct.
2015, C-362/14.
* 488 La Federal Trade
Commission tient d'ailleurs une liste de ces auto-certifications disponible en
ligne sur : < https://safeharbor.export.gov/list.aspx >.
* 489 CJUE, Schrems, 6 oct.
2015, C-362/14, pt. 88.
* 490Idem, pt.
89.
* 491 CJUE, Schrems, 6 oct.
2015, C-362/14, pt. 93.
* 492Idem, pt.
97.
* 493Idem,
pt.98.
* 494Idem, pt.
30.
* 495 Draft, Commission
implementing decision of XXX, pursuant to Directive 95/46/EC of the European
Parliament and of the Council on the adequacy of the protection provided by the
EU-U.S. Privacy Shield, disponible sur <
http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
>.
* 496 European Commission,
Press release, EU Commission and United States agree on new framework for
transatlantic data flows : EU-US Privacy Shield, Strasbourg, 2 February
2016.
* 497 Observatoire des
Libertés et du Numérique, Lettre ouverte à Vìra
Jourová : du Safe Harbor au Privacy Shield, des promesses et du
vent, 10 fév. 2016, disponible sur <
http://www.laquadrature.net/fr/lettre-ouvertr-vera-jourova-safe-harbor-privacy-shield
>.
* 498 S.
PEYROU,Transfert de données personnelles de l'UE vers les
États-Unis : du « Safe Harbor » à
l' « EU-US Privacy Shield », réel
épilogue ou simple péripétie ?, Réseau
Universitaire Européen CDRE, 14 fév. 2016, disponible sur <
http://www.gdr-elsj.eu/2016/02/14/droits-fondamentaux/transfert-de-donnees-personnelles-de-lue-vers-les-etats-unis-du-safe-harbor-a-l-eu-us-privacy-shield-reel-epilogue-ou-simple-peripetie/
>.
* 499 Article 29 data
protection Working Party, Opinion 01/2016 on the EU - U.S. Privacy Shield draft
adequacy decision, adopted on 13 April 2016, 16/EN WP 238.
* 500Idem, p.5.
* 501 Draft, Commission
implementing decision of XXX, op. cit. note 494, pt.
53 ; pts 100-104.
* 502Idem, pts
120-124.
* 503 Article 29 data
protection Working Party, op. cit. note 498, p.57.
* 504 Site de la CNIL,
14 avr. 2016,« G29 : le « Privacy Shield », une
avancée certaine source d'inquiétudes », RLDI, mai
2016, n°126, p.35.
* 505Directive 95/46/CE,
article 26 § 4.
* 506Recommendation 1/2007
on the Standard Application for Approval of Binding Corporates Rules for the
Transfer of Personal Data, WP133, 10 January 2007.
* 507Recommendation 1/2012
on the Standard Application form for Approval of Binding Corporate Rules for
the Transfer of Personal Data for Processing Activities, WP135a, 17 september
2012.
* 508Cf. les
recommandations n° WP153 et n°WP135.
*
509Délibération n° 2015-258 du 16 juil. 2015
portant autorisation unique de transferts de données à
caractère personnel hors Espace économique européen
encadrés par les règles internes d'entreprise (BCR) «
responsable de traitement » du groupe Michelin (BCR-010) , JORF
n°0170 25 juil. 2015, texte n°99.
* 510
Délibération n° 2016-055 du 10 mars 2016 portant
autorisation unique de transferts de données à caractère
personnel hors Espace économique européen encadrés par les
règles internes d'entreprise (BCR) « responsable de traitement
» et « sous-traitant » du groupe Capgemini (BCR-027), JORF
n°0073, 26 mars 2016, texte n° 101.
* 511 La liste compte
actuellement 90 BCR octroyés à 90 entreprises européennes.
La liste est disponible sur <
http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm
>.
* 512 RGPD, op. cit.
note 282, article 46.
* 513Idem, 2. b)
et c).
* 514 RGPD, op. cit.
note 282, 2. a), d), e) et f).
* 515 CJUE, Schrems, 6 oct.
2015, C-362/14, pt. 81.
* 516 Parlement
européen, Direction générale des politiques internes,
Note : Les programmes de surveillance des États-Unis et leurs
effets sur les droits fondamentaux des citoyens de l'UE, PE474.405,
p.34.
* 517 Définitions
inspirées des manuels suivants :
V.J.R. WINKLER, La sécurité dans le Cloud.
Techniques pour une informatique en nuage sécurisée,
Pearson, Paris, 2011, 314 pages.
J. GUALINO, Dictionnaire pratique, Informatique, internet
et nouvelles technologies de l'information et de la communication,
Gualino, Paris, 2005, 506 pages.
H. LILEN, Dictionnaire informatique &
numérique, First, Paris, 2014, 251 pages.
|
|