Dans toutes les entreprises, des données sont hébergées dans le cloud et des contrats portant sur des outils SaaS sont souscrits. Souvent, sans que personne n’en ait vraiment conscience.
Ces expressions signifient que les logiciels et les disques durs utilisés par l’entreprise ne sont plus dans un local serveur dans l’entreprise mais à l’extérieur. Où exactement ? Parfois, on sait. Souvent, on n’en sait rien.
Or, les contrats portant sur ces outils logiciels et l’hébergement de ces données recèlent plusieurs pièges : ils sont souvent des contrats d’adhésion (en anglais, avec des annexes techniques, et une architecture contractuelle peu stable). Et de nombreux outils sont très simples à souscrire. Un numéro de carte bancaire et l’entreprise est engagée. Inutile de dire que la direction juridique n’est parfois pas consultée.
Ces outils portent sur des éléments stratégiques pour l’entreprise : outils CRM, RH, logistique, facturation/finance… Ces actifs immatériels sont rarement évalués au bilan (à l’exception des marques et brevets). Pourtant ils peuvent représenter des ressources cachées d’une valeur considérable.
Quand on passe en revue un tel contrat, quelques clauses doivent être plus particulièrement examinées.
L’objet de cet article est de fournir une check-list simplifiée de questions à poser au représentant de l’entreprise qui s’apprête à souscrire ce type de contrat et à son interlocuteur prestataire (s’il y en a un).
La clause de réversibilité : comment changer de crèmerie, pardon, de prestataire ? Le contrat est valable 36 mois, il faut respecter un préavis de trois ou six mois pour faire échec à la tacite reconduction, tout est classique. Oui, mais. Quid en cas de contentieux à ce moment-là ? Et si le prestataire connaît des difficultés économiques ? Certains prestataires ont des offres révolutionnaires et très intéressantes mais sont fragiles. Que se passe-t-il si on veut récupérer ses données dans l’urgence ? Il faut prévoir que l’entreprise cliente garde la maîtrise technique sur ces données et peut les récupérer régulièrement (une fois par mois, par semaine ?) dans un format technique ouvert. Sinon, les données sont récupérées mais sont illisibles. Le mieux du mieux ? Obtenir la cartographie du modèle de données. C’est technique, mais c’est très bien pour les techniciens du service informatique. En plus, si vous utilisez ce terme, vous aurez l’air compétent à leurs yeux…
A ce sujet, une précision juridique essentielle : le contrat est important car les données en question ne sont généralement pas appréhendées par un droit de propriété. Une entreprise n’est pas propriétaire de « ses » données. Non, non, et non. Parfois, ces données peuvent être protégées par un droit de propriété intellectuelle, comme une base de données. C’est rarement le cas. Et même si certains tribunaux de commerce utilisent la formule pour « rendre » à leur « propriétaire » des données comptables, financières, ou autre, ce n’est pas orthodoxe juridiquement. C’est là que le contrat est hyper-important !
Tous les plans d’assurance (plan de continuation, de reprise d’activité). Soyons clairs, nous ne sommes pas compétents pour juger si le data center (la pièce aux données) est capable de résister à un incendie. En revanche, poser quelques questions sur un ton faussement candide peut faire avancer les choses : où sont situés les locaux ? Quelqu’un de l’entreprise les a-t-il visités ? Que se passe-t-il en cas d’incendie ? A ce sujet, évidemment, ne jamais accepter la réponse qu’on m’a bien été donnée 20 fois : il ne peut pas y avoir d’incendie parce que (il y a des extincteurs, un système magique d’argon et d’azote). Basiquement, un data center est un bâtiment qui produit une chaleur démente. On récupère même la chaleur de certains pour alimenter des bureaux…
La clause d’audit : il faut permettre à un représentant de l’entreprise (ou un cabinet de consultants mandaté pour cela) de visiter les locaux du data center, les méthodes techniques pour assurer la sécurité et la confidentialité de vos données, les plans d’assurance etc. Les prestataires sont souvent réticents. L’argument le plus solide pour vous dans la négociation est celui des liberticides de tout temps : si vous n’avez rien à vous reprocher, qu’avez-vous à cacher ?
Enfin, le respect des règles relatives à la vie privée (pour parler vite, la loi informatique et libertés). Il faut absolument savoir où sont vos données (clause de localisation). En France ? En Europe ? En dehors de l’Union Européenne ? Si les datas center sont en France ou en Europe, pas d’inquiétude. Le Règlement européen du 26 mai 2016 pose le principe de la libre circulation des données au sein de l’UE. Autrement dit, votre prestataire peut héberger vos données en Espagne sans avoir à accomplir de formalités particulières. A l’inverse, si vos données sont exportées en dehors de l’UE, demandez à votre prestataire 1) dans quel pays ? 2) si des engagements précis ont été souscrits (clause contractuelle type, mesures d’accountability adoptée, étude d’impact réalisée, demande d’autorisation auprès de la Cnil (plus obligatoire d’ici deux ans), mesures de sécurité et d’audit adoptées ?) Et vérifier cette localisation (retour à la case audit). Cette clause est cruciale…..
Et si on vous soumet le contrat après ? D’abord, revenir aux fondamentaux : certaines lois sont d’ordre public. Ainsi, même si un contrat mentionne que le juge compétent est du Delaware, cela peut laisser entière la compétence du juge des référés français. Et certaines clauses seront contraires à l’ordre public. Par exemple, celle qui prévoit que le prestataire n’est responsable de rien, par application de la jurisprudence Faurecia / Oracle (Cass. Com. 29 juin 2010), codifiée au nouvel article 1170 du code civil.
Ensuite, commencer par explorer discrètement les solutions techniques. Si l’outil permet de télécharger toutes les données nécessaires à l’entreprise (par des outils du type : « importation des données »), la dépendance au prestataire sera bien limitée. Et dans un tel cas, l’action judiciaire peut être un recours utile.
Bernard LAMON et Laëtitia LE METAYER
La date de publication de cet article est : 20/10/2016 . Des évolutions de la loi ou de la jurisprudence pouvant intervenir régulièrement, n’hésitez pas à nous contacter pour plus d’information.