Contrat MSP Managed Service Provider : fini les zones d’ombre

contrat MSPA l’occasion du webinar organisé par BeMSP pour le rendez-vous annuel French Summit, Eric Le Quellenec a précisé les enjeux du contrat de Managed Service Provider (MSP) (1).

Beaucoup d’Entreprises de Services du Numérique (ESN) doivent revoir leur modèle économique ; à la fois en raison des opportunités ouvertes par le Cloud computing mais aussi à cause de la Covid-19. Elle a eu pour effet d’accélérer la recours au télétravail et aux prestations de services informatique à distance.

Le cadre technique du contrat MSP

Défini comme une entreprise de services informatiques qui gère les systèmes informatiques de ses clients à distance, le modèle du contrat MSP se développe de manière croissante en France.

L’infogérance a pour finalité principale le maintien en condition opérationnel d’un système. A l’inverse, le MSP vise à aligner les services informatiques avec les buts et les enjeux de l’entreprise.

Le prestataire MSP met en effet en place des outils pour détecter les mises à jour à effectuer sur le parc client et assurer un service global et anticipatif. Le MSP permet au prestataire d’industrialiser ses services ou ses process (2).

Véritable partenaire de confiance du client, le prestataire MSP est proactif dans le management des parcs informatiques pour assurer un fonctionnement optimal. Il détecte ainsi les incidents et procède à leur résolution avant que ces derniers impactent le client.

Afin de limiter les coûts et améliorer son efficacité, le prestataire MSP utilise des solutions de type RMM (Remote Monitoring and Management) et PSA (Professional Service Automation). Un RMM permet en effet au MSP de gérer et dépanner à distance les postes et serveurs et ainsi gérer simultanément l’informatique de plusieurs clients. Le PSA quant à lui permet de consolider l’ensemble des fonctions métier dans un outil unique et d’assurer une fondation solide à la croissance de l’entreprise.

Le cadre économique du contrat MSP

Le MSP doit toutefois veiller à conserver une certaine spécialité et ne pas proposer l’intégralité des services susvisés (3).

Pour être efficace, le MSP doit a minima proposer les services suivants dans son catalogue :

  • monitoring de l’infrastructure et des postes clients ;
  • sauvegarde des données à distance et plans de reprise d’activité ;
  • support utilisateur ;
  • prise en charge des applications cloud ;
  • gestion de parcs.

L’organisation de visites préventives chez le client constitue un élément à part entière de la proactivité. Il en va de même du suivi du cycle de vie du matériel installé.

Le prestataire MSP doit ainsi proposer un périmètre de service défini. Il doit donc être attentif au périmètre inscrit au contrat.

En effet, la facturation du modèle MSP se fait de façon forfaitaire avec le plus souvent des échéances au mois ou au trimestre. Grâce à ce système d’abonnement, le fournisseur s’assure une fiabilité de trésorerie en ayant des revenus mensuels récurrents contrairement à la distribution et aux projets unitaires. Cela lui permet également de fidéliser la clientèle.

Le catalogue MSP vient donc enrichir l’offre des ESN.

La proportion de revenus récurrents dans le chiffre d’affaires est un ainsi un excellent indicateur du positionnement d’un MSP. On considère habituellement que le revenu récurrent doit représenter au moins 50% du chiffre d’affaires.

Le cadre légal du contrat MSP et responsabilité

Le MSP souffre de l’absence de loi encadrant le contrat. Le MSP prendra la forme d’un contrat de prestation informatique ou un contrat d’infogérance classique.

Il convient de procéder à la limitation de responsabilité du prestataire MSP car celui-ci a vocation à tout gérer pour le compte de son client. Eu égard à l’autonomie et à la proactivité du prestataire MSP, il est fortement recommandé au prestataire MSP de présenter des rapports d’activité réguliers et de se rendre chez le client.

Faute de clause de gouvernance et de reporting adapté, le client risque en effet de contester la facturation.

Toutefois, il peut arriver, comme cela est déjà le cas fréquemment actuellement, que le prestataire MSP gère de manière quasi-autonome les systèmes et/ou données qui lui sont confiées. Au sens du RGPD, la qualification de responsable du traitement lui sera cependant difficilement attribuable, la relation de sous-traitance doit ainsi être encadrée en application de l’article 28 du RGPD (4).

En application de cet article, certaines obligations doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.

La rédaction du contrat MSP doit être rigoureuse dans la définition des services fournis. En effet, un contrat mal rédigé pourrait engager la responsabilité du prestataire MSP sur la qualité de sauvegarde des données et sur l’exposition à des cyber-risques alors même que le MSP n’est en charge que du logiciel qui active la maintenance et non pas de la mise en sécurisation de l’ensemble du système informatique.

Le périmètre d’intervention et le degré d’autonomie du MSP dans les fonctions qui lui sont confiées détermineront l’intensité des obligations à sa charge, ayant pour corollaire l’intensité du devoir de conseil et de mise en garde auprès de son propre client (5).

Ainsi, un contrat MSP équilibré permet de satisfaire les attentes fonctionnelles du client tout en assurant un niveau élevé de sécurité juridique au profit de chacune des parties.

Eric Le Quellenec
Marine Lecomte
Lexing Informatique Conseil

(1) Replay Webinar « contrats MSP : fini les zones d’ombres », Eric Le Quellenec pour BeMSP French Summit, juillet 2020
(2) Entretien Thomas Bresse BeMSP, L’essentiel de la Distribution IT, hors-série n°20, éd. 2020, p. 22.
(3) Entretien Thomas Bresse précité, p. 23.
(4) Contrat cloud : les impacts du RGPD sur la sous-traitance, Eric Le Quellenec, Post du 30-01-2017.
(5) CA Lyon, 1-02-2018, n°16/05963 ; CA Paris, 18-10-2017, n°04/18739.




Contract Manager face à la crise sanitaire : premiers enseignements

Eric Le Quellenec

Eric Le Quellenec, a participé au colloque « Contract Manager face à la crise sanitaire : premiers enseignements » organisé par le Centre de Formation Permanente – Université Paris 2 et l’Aducma, Association du DU de Contract Management d’Assas, intervenant sur la thématique de la protection des données personnelles.

Covid-19, données personnelles et vie privée

La crise sanitaire de la Covid-19 engendre de nombreux retards ou reports dans l’exécution des projets de toute nature. Le contract manager, en lien avec le project manager, doit savoir si l’indisponibilité de collaborateurs ou d’équipes clients côté utilisateur nécessite justement de :

  • revoir le planning projet,
  • mettre en place un complément de budget ou peut-être encore
  • réorganiser le phasage de lots.

Par conséquent, ces mesures nécessitent d’avoir une vue claire sur qui est absent, indisponible et pendant combien de temps. Cela supposerait qu’il puisse y avoir nécessité au niveau des personnes clés du projet d’individualiser la gestion des équipes.

Il pourrait être tentant d’avoir une vue claire sur les arrêts maladie voire peut-être l’état de santé des personnes clés du projet en prenant leur température. Cela n’est pas possible.

Ainsi, dans des recommandations très claires, le Cnil a indiqué que malgré la Covid-19, il n’y a pas de régime d’exception sur la collecte des données de santé. Il n’est pas possible d’avoir un fichier de santé qui répertorie de telles données a fortiori sur des relevés de température.

Le contract manager doit bien faire avec les outils comme le dossier de risques, le dossier de problèmes mais aussi le suivi des actions. Par exemple, il convient de mettre en œuvre le principe de la minimisation de la collecte des données personnelles, s’en tenir à une approche chiffrée, objective qui permette de mesurer impact sur l’exécution contrat et prendre les mesures adaptées au niveau de la gestion du projet au travers d’un nouveau phasage des lots ou envisager de régulariser un avenant, lequel supposera la signature des parties.

L’action du contract manager ne doit pas se faire en violation du RGPD. La prise de mesures adaptées nécessite d’appliquer la démarche et d’utiliser les outils à sa disposition.

L’usage de la vidéoconférence par le contract manager en négociation

La vie des affaires ne s’est pas arrêtée pendant la crise de la Covid-19. Simplement, il a fallu s’adapter et de réunions que l’on privilégie en présentiel lorsque l’on parle de négociation de contrat, il a fallu se contenter de visioconférence voire de téléconférence. Les outils sont nombreux, le Contract Manager aura tendance à utiliser les outils qui sont ceux de son entreprise.

Pour des raisons de compatibilité, il a parfois été nécessaire d’utiliser des outils grands publics comme Facetime ou l’outil vidéo proposé dans Messenger. Pour des raisons de confidentialité, il est nécessaire, dans certaines négociations sensibles, de :

  • régulariser certains accords de confidentialité et
  • fixer des règles comme l’interdiction de la captation du son ou des images afin de préserver la loyauté des échanges.

Il a fallu une meilleure coordination ou discipline dans le déroulement de ces réunions ou séances de travail, tout particulièrement en phase de négociation :

  • présentation obligatoire des parties (tour de table) et
  • mise à disposition d’un ordre du jour écrit
  • suivi d’un compte-rendu avec plan d’action associé.

Sur la phase de négociation contractuelle, la plus sensible, en séance, il est assez aisé d’anticiper les réactions des uns et des autres et de s’accorder un peu de souplesse dans le déroulement des échanges et, peut-être, organiser des pauses.

En visioconférence, sur une session liée à un créneau horaire donné et fixé à l’avance, cela est plus compliqué. Il faut, pour chaque contract manager réunissant autour de lui des parties, s’assurer que chacune puisse, en temps utile :

  • s’exprimer et
  • bénéficier le moment venu d’une pause autant que nécessaire, sans perdre la session de visioconférence.

Il faut également :

  • prévoir que le micro soit en mode « muet » et
  • partager autant que de besoin son écran lorsque des clauses sensibles doivent être discutées en séance.

Une réorganisation plutôt qu’une révolution

Ces règles doivent s’appliquer lorsque l’on est sur des réunions de gestions de projet auxquelles le contract manager est associé. A cet effet, il doit également s’assurer avec les parties prenantes, que :

  • chacun ait la possibilité de s’exprimer et
  • les idées partagées au cours de cette réunion le soient d’une manière transparente, accessible et constructive.

La Covid-19 n’a pas révolutionné la manière de travailler à distance. Elle a plutôt contraint à se réorganiser et être un peu plus sensible à ces règles de travail collaboratif afin que la cible et les résultats obtenus soient atteints et partagés de tous.

Eric Le Quellenec,
Avocat au barreau de Paris
Lexing Informatique Conseil




Les contrats cloud Microsoft rattrapés par le RGPD

contrats cloud MicrosoftDepuis l’application du RGPD, les acteurs du cloud sont contraints à la fois de repenser leurs outils et de revoir leurs contrats.

Le dernier exemple en date concerne Microsoft. Le Contrôleur européen s’alarme des conditions contractuelles signées par l’Union européenne. Microsoft s’engage à réagir promptement (1).

La position du Contrôleur européen sur les contrats cloud Microsoft

Dans un contexte marqué par des menaces toujours plus fortes d’accès par des États à la donnée numérique directement chez le prestataire cloud, en particulier le Cloud Act pour les États-Unis d’Amérique, le Contrôleur européen a lancé en avril 2019 un audit complet des contrats cloud signés par les institutions de l’Union européenne (2).

Même si les institutions européennes disposent de leur « propre RGPD », à savoir le règlement 2018/1725 du 11 décembre 2018, les principes et leur mise en œuvre sont en très grande partie les mêmes.

Le contrôleur Giovanni Buttarelli et le contrôleur adjoint Wojciech Wiewiórowsk ont donc mis en œuvre un audit pour s’assurer que les clauses applicables respectent la réglementation et que les droits des personnes soient effectifs.

Ces travaux ont été menés en coopération avec le ministre néerlandais de la justice qui, au même moment, s’était engagé dans la réalisation d’une étude d’impact sur le service bureautique phare de Microsoft, Office 365, hébergé dans le cloud « maison », Azure.

Le Contrôleur européen fait siennes toutes les réserves figurant dans cette analyse d’impact et, en particulier :

  • l’absence de transparence sur la circulation des données personnelles, notamment hors de l’Union européenne ;
  • l’impossibilité de « prendre le contrôle total » de ses données, notamment du fait de l’activation automatique d’outils de traçabilité des actions utilisateurs et de statistiques ;
  • la difficulté pour l’utilisateur à pouvoir faire valoir ses droits dans les interfaces actuellement disponibles.

Pour proposer plus concrètement des clauses types pouvant s’appliquer à toute administration publique, un forum dit de la Haye a été mis en place pour réunir les parties intéressées, utilisateurs et prestataires mais aussi toute partie concernée, à se joindre à ces travaux.

Dès 2012, l’Agence européenne de cybersécurité, l’Enisa avait déjà formulé ses recommandations sur la contractualisation des services dans le cloud (3). Avec les travaux du forum, il s’agit désormais d’aller bien au-delà des préconisations de l’Enisa, alors que le cadre réglementaire est de plus en plus précis et contraignant. Il est d’ailleurs possible de considérer, au moins pour la gestion des données personnelles, que le contrat cloud est désormais un contrat nommé (4).

Les contrats cloud de Microsoft revus par le RGPD

Microsoft a pris publiquement l’engagement formel de revoir ses contrats. La nouvelle version des Online Services Terms (OST) devrait intervenir pour début 2020 (5). A la lumière des critiques formulées par le contrôleur, outre les travaux du ministre néerlandais de la justice, les dispositions suivantes devraient être revues :

  • Une clause doit garantir la possibilité pour le responsable de traitement d’assurer leurs droits effectifs aux utilisateurs. Ces personnes concernées doivent ainsi disposer de toute information utile sur l’usage de leurs données et pouvoir directement exercer leurs droits dans les outils utilisés.
  • La clause d’audit sur site devrait être désormais présente au contrat selon des conditions à préciser. Elle était jusqu’alors refusée par Microsoft au prétexte que les certifications à diverses normes, dont la norme ISO 27001 complétée de la norme ISO 27018 sur l’hébergement de données personnelles, devaient suffire en soi.
  • On devrait aussi avoir des précisions sur la directive NIS et l’obligation de notifier les failles de sécurité affectant tout type de données et système auprès de l’Agence nationale de cybersécurité (l’ANSSI en France).
  • Enfin, dans la mesure où le Contrôleur européen et le CEPD ont déjà exprimé leur inquiétude sur le Cloud Act (6), il devrait être prévu que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager à en contester la mise en œuvre auprès du juge compétent.

Si Microsoft a explicitement pris cette position après l’avis du Contrôleur européen, ces nouvelles mesures contractuelles ne devraient pas se limiter aux seules institutions européennes mais bien à tout client, responsable de traitement soumis au RGPD.

Il n’est pas précisé si ces nouvelles dispositions auront un effet rétroactif. En tout cas, tout contract manager devra veiller à ce que les contrats cloud Microsoft dont il dispose dans son organisation,seront bien soumis aux nouvelles OST plus favorables.

Eric Le Quellenec, Avocat
Lexing Informatique conseil

(1) Post du Contrôleur européen du 21 octobre 2019.
(2) Post du Contrôleur européen du 8 avril 2019.
(3) Guide achat cloud, Enisa, 2012.
(4) Eric Le Quellenec, Les contrats informatiques et la protection des données à caractère personnel : aspects pratiques, AJ contrat, Dalloz, octobre 2019, p.420.
(5) Post Microsoft du 18 novembre 2019.
(6) Lettre de couverture sur le Cloud Act du 10 juillet 2019.




Aspects contractuels de la protection des données – RGPD et loi I & L modifiée

Aspects contractuels de la protection des données Le cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




Les limites de l’informatique serverless

informatique serverlessEric Le Quellenec, Avocat, Directeur du département Informatique conseil de Lexing Alain Bensoussan Avocats, interviewé par IT Social sur l’ informatique serverless.

Contrairement à ce que l’on pourrait croire, il ne s’agit pas d’une architecture sans serveur mais de libérer totalement le développeur des contraintes liées aux serveurs, leur puissance, capacité et performance.

Pour l’entreprise cliente d’un tel service, l’intérêt est de pouvoir disposer d’une plateforme scalable sur laquelle pouvoir librement développer des outils métiers.

L’ informatique serverless est présentée comme l’avenir du cloud computing (1). Si elle présente des atouts indéniables (flexibilité, réduction des coûts, gestion déléguée), elle présente également des limites, en particulier en matière de confidentialité d’informations sensibles.

« Pour le Serverless, la gestion des flux transfrontières de données, donc de leur localisation est cruciale, car exclusivement sous la responsabilité du prestataire. Dans la mesure où le prestataire Serverless est seul décisionnaire des moyens alloués au traitement, il y aurait légitimement une réflexion à mener sur la qualification de responsable conjoint du traitement », explique Éric Le Quellenec.

Le Règlement général sur la protection des données (RGPD) implique en effet de retenir la juste qualification des intervenants au traitement, la sous-traitance n’étant pas systématiquement applicable.

Éric Le Quellenec interviewé par Philippe Richard, « Serverless : les pour et contre », IT Social.fr du 7 mai 2019.

Isabelle Pottier
Directeur Études et Publications

(1) Voir « Serverless computing, enjeux juridiques de l’avenir du cloud » du 8-2-2018.




Formation aux contrats informatiques SaaS et Open Source

Contrats informatiques Saas et Open SourceMarie Soulez anime une formation pour Lamy Formation (Wolters Kluwer) sur les contrats informatiques SaaS et Open Source le 21 mai 2019.

Avocat au barreau de Paris et directrice du département Propriété intellectuelle Contentieux de Lexing Alain Bensoussan Avocats, Marie Soulez, abordera de nombreuses questions autour des contrats SaaS et Open source :

  • quels sont les outils juridiques permettant d’améliorer la rédaction des contrats SaaS ?
  • comment optimiser sa pratique rédactionnelle des contrats SaaS ?
  • quels sont les principes liés à la protection des logiciels par le droit d’auteur et les prérogatives associées de l’auteur ?
  •  comment maîtriser les principes fondamentaux du logiciel libre ? les différents niveaux de copyleft, les enjeux liés à la contamination et à la compatibilité des licences , etc.

La protection du logiciel par la propriété intellectuelle

  • La définition du logiciel (les éléments protégeables, la condition d’originalité, la traçabilité)
  • Le titulaire de droits (les principes, les œuvres de commande, le logiciel développé par un salarié)
  • Les droits patrimoniaux
  • Les différents types de contrat (les contrats de cession, les contrats de développement, les contrats de licence, les contrats de maintenance)

Le Contrat Saas

  • Les acteurs et l’objectif du contrat SaaS
  • Les clauses essentielles (Préambule et définitions, périmètre des services et bénéficiaires, conformité et recette, responsabilité, propriété intellectuelle, convention de services, service level agreement)
  • Le contrat Saas et les données

L’Open Source

  • Les 4 libertés fondamentales (exécuter, étudier et modifier, distribuer, redistribuer)
  • Les typologies de licences et leurs philosophies (Copyleft et sans copyleft, l’absence de garantie, les impacts)
  • La gestion contractuelle (exploiter des logiciels sous licence libre, distribuer des logiciels sous licence libre)
  • Etude de cas
  • L’identification des clauses favorables au client et celles favorables au fournisseur dans un contrat Saas par l’analyse d’un contrat piégé
  • L’analyse d’un contrat de tierce-maintenance applicative de logiciel libre

Télécharger la fiche thématique : Contrats informatiques Saas et Open Source

Pour la formation « Contrats informatiques Saas et Open Source », s’inscrire auprès des éditions Wolter Kluwer




Petit-déjeuner Débat : les grandes tendances du Cloud en 2019

tendances du CloudLe cabinet organise, le 10 avril 2019, un petit-déjeuner débat animé par Eric Le Quellenec, sur l’actualité du Cloud Computing.

Le Cloud Computing est incontournable pour l’informatique d’entreprise. Les tendances du Cloud, la localisation des données, leur confidentialité et sécurité, sont au cœur des préoccupations du DSI, du juriste comme de la direction générale.

Les grandes tendances du cloud : RGPD, directive NIS et Cloud Act,

Eric Le Quellenec, directeur du département informatique conseil, du cabinet Lexing Alain Bensoussan Avocats, s’attachera à traiter des enjeux du cloud computing en 2019, en particulier concernant les thématiques :

  • le multi-cloud : une tendance lourde ;
  • l’impact des directives NIS et secret des affaires ;
  • l’impact de la norme ISO 19086 : qualité de service et SLA;
  • la conformité du service cloud au RGPD, un an après ;
  • la signatures des avenants ou clauses de sous-traitance ;
  • les cas de responsabilité conjointe ;
  • la localisation des données, les flux transfrontières, le cas particulier du Brexit ;
  • les modalités et la conduite des audits RGPD ;
  • failles de sécurité, RGPD et cloud : retours d’expériences et sanctions CNIL ;
  • la réversibilité et la portabilité des données du cloud.

Cette présentation des tendances du Cloud sera suivie d’une session de questions-réponses avec les participants.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Parution du Minilex Le Contract manager

Eric Le Quellenec, contract manageret Alain Bensoussan publient chez Larcier un ouvrage intitulé « Le contract manager : outils et bonnes pratiques de la fonction ».

Outil d’optimisation des relations contractuelles au service de la performance d’entreprise, le Contract Management (ou gestion de contrat) est un processus à forte valeur ajoutée pour les grands projets.

Parce qu’il qui permet à une entreprise, en tant que client, de maximiser les résultats contractuels escomptés tout en minimisant les risques.

Il permet tout particulièrement de développer et de contrôler le cycle de vie des contrats par la coordination méthodique des ressources impliquées.

Après avoir dressé une cartographie des principaux risques liés à tous projets d’envergure, les auteurs présentent la méthodologie propre au Contract Manager.

Le Contract management (ou gestion de contrat)

Nombreuses sont les réalités pratiques qui peuvent conduire à des difficultés, voire même à l’échec du projet, souvent coûteux pour les parties. A titre d’exemple, les projets mal pilotés sont souvent :

  • entravés par des décisions non prises à temps ou non prise du tout ;
  • confrontés à des erreurs de compréhension des obligations contractuelles et des responsabilités attachées ;
  • freinés par des mauvaises analyses ou des désaccords conduisant à des escalades inappropriées ;
  • ou encore, gênés par la mauvaise mesure de la performance et des niveaux de qualité de service.

Pour ces raisons, le recours au Contract Management est une pratique courante pour les contrats d’envergures.

Contrôler le cycle de vie de contrats complexes

Le Contract Manager a pour mission d’assurer la gestion de contrats complexes tout au long du cycle de vie des projets.

  • Cerner le déroulé d’un cycle contractuel par l’étude de ses phases et des principaux risques associés,
  • découvrir les missions du Contract Manager et les outils et processus à sa disposition,
  • maîtriser les bonnes pratiques en matière de transfert de la connaissance contractuelle et de gestion des évolutions,
  • identifier les principaux risques d’un cycle contractuel complexe et d’interagir avec les experts de la gestion de contrat en vue d’être associé à la stratégie d’optimisation du cycle

sont autant d’objectifs poursuivis par les auteurs de cet ouvrage, un des rare en langue française qui soit consacré à la matière.

Le Contract Manager : Outils et bonnes pratiques de la fonction
Editions Larcier, 1ère édition, janvier 2019
116 p.

 




Les impacts de la norme ISO/IEC 19086 dans les contrats cloud

19086Développée conjointement par l’International Standard Organisation et l’International Electronical Commission, la norme ISO/IEC 19086 n’a pas de caractère obligatoire et ne permet pas la certification par un tiers habilité. Il serait plus approprié de parler d’un ensemble d’outils à la disposition des parties à un contrat cloud.

Les normes ISO 19086-1 à 4

La norme 19086 comprend en réalité quatre déclinaisons :

  • ISO/IEC 19086-1:2016 pose les bases sémantiques et conceptuelles pour établir une convention de services ;
  • ISO/IEC 19086-2:2018 est la dernière en date et elle pose les modèles de métriques sur la base des concepts standard du cloud ;
  • ISO/IEC 19086-3:2017 spécifie les exigences de conformité pour les niveaux de service établis dans 19086-1 ;
  • ISO/IEC 19086-4 n’est encore qu’à l’état de projet et va apporter des réponses sur la sécurité et le respect des données personnelles grâce aux niveaux de service.

Si l’ensemble constitué de ces quatre volets n’est pas encore totalement achevé, il n’en demeure pas moins que les parties au contrat cloud peuvent déjà, en tout ou partie, les exploiter utilement.

Les points du contrat cloud impactés

En 2016, Microsoft a commandé au cabinet Forrester (1) une étude pour évaluer dans les contrats cloud les points absents ou mal traités dans les contrats cloud et auxquels la seule norme IECO/IEC19086 pouvait déjà apporter des réponses.

467 utilisateurs du cloud situés sur les cinq continents ont été sondés. Les écarts constatés entre le contrat et ladite norme ont porté, par ordre décroissant d’importance, sur :

  • la fiabilité du service ;
  • la performance du service ;
  • la sécurité ;
  • la supervision ;
  • la disponibilité ;
  • la protection des données personnelles ;
  • l’accessibilité ;
  • la titularité des données ;
  • le support ;
  • les rôles et responsabilités.

Tous ces sujets peuvent être couverts dans le corps du contrat cloud et dans les annexes dédiées. Microsoft a tiré de cette étude une « check list » qui peut être appliquée à tout projet cloud au titre des « due diligences » (2).

En conclusion, si tous les acteurs du cloud ne peuvent ou veulent se soumettre aux recommandations de la famille des normes ISO 19086, il n’en demeure pas moins qu’elles constituent un fort encouragement à standardiser les services du cloud et partant à sécuriser les utilisateurs. Avant même sa publication, le Syntec appelait déjà à leur intégration dans le référentiel incontournable du cloud (3). A sa lumière, les parties au contrat cloud disposent de nouveaux outils pour en préciser et clarifier les termes.

Eric Le Quellenec
Lexing Informatique conseil

(1) Infographie étude Forrester, juin 2016.
(2) Cloud services due diligence checklist.
(3) Note du Syntec sur le référentiel d’exigences à l’informatique en nuages, 2015.




Les outils juridiques nécessaires au contract manager

Contract manager

Les outils juridiques du contract manager sont essentiels à la performance des projets, quelle que soit leur taille.
Les outils fondamentaux méritent d’être abordés (C. civ, art. 1102). Certains outils ne sont utiles que pour certaines étapes du cycle de vie du contrat (C. civ, art. 1104).

Les outils juridiques fondamentaux

Le contract manager dispose d’un panel d’outils juridiques lui permettant d’assurer une organisation efficace des relations entre les parties afin que les projets se déroulent dans de bonnes conditions et atteignent le but qui leur a été assigné lors de la conclusion du contrat.

Juridiquement, la contractualisation repose notamment sur deux principes fondamentaux, d’une part, la liberté contractuelle mise en œuvre dans le cadre d’un accord de volonté licite entre les parties (C. civ, art. 1102) et, d’autre part, l’obligation qu’ont, dans ce cadre, les parties de négocier, de former et d’exécuter les contrats de bonne foi (C. civ, art. 1104). Ces deux principes ont été réaffirmés par l’ordonnance portant réforme du droit des contrats.

Or, dans de nombreuses situations, au cours de l’exécution du contrat, ces deux fondements se trouvent ébranlés par les difficultés inhérentes à la mise en œuvre concrète des projets.

Le contract manager, pour éviter ces dérives fondamentales, devra toujours user de certains outils juridiques fondamentaux, qui seront salvateurs des principes du contrat exécuté. La hiérarchie et le caractère fondamental des outils juridiques reposent sur l’importance d’éviter de porter atteinte à ces principes fondamentaux cités.

Trois outils juridiques fondamentaux peuvent notamment être identifiés, se rapportant chacun aux volets technique, économique et juridique que traditionnellement les parties souhaitent sauvegarder tout le long de l’exécution du contrat :

  • plan qualité projet : l’assurance d’une qualité de réalisation technique du projet par l’utilisation d’un plan qualité projet négocié en amont de la conclusion du contrat ; il permet de préciser l’organisation relationnelle concrète entre les parties ; celui-ci intègre notamment un glossaire des termes clés du projet, un calendrier complet des phases de réalisation du projet et une matrice des responsabilités pour clarifier la répartition des rôles dans le projet ;
  • dossier de risques : la sauvegarde de la performance économique souvent souhaitée par les parties grâce à un processus de gestion des risques intégrant la mise en œuvre d’un dossier d’analyse des risques permettant à la fois d’identifier les risques en amont de la conclusion du contrat, d’anticiper les nouveaux risques et de détecter l’embryon d’un problème avant qu’il ne naisse ;
  • dossier de preuves : la sécurisation juridique des parties par la conservation, dès le début de la négociation du projet et au plus tôt 5 ans après son terme (C. civ. art. 2224) (2), de l’ensemble des pièces projets organisé selon une nomenclature claire dans un dossier de preuves.

Ces outils juridiques complètent ceux fondamentaux déjà étudiés dans un précédent article (3).

Les outils juridiques complémentaires

À ces outils juridiques fondamentaux permettant de sauvegarder la volonté contractuelle des parties tout en assurant au contrat une exécution dans de bonnes conditions, s’ajoutent de nombreux outils juridiques complémentaires.

Nous en citerons trois qui complètent directement les outils juridiques fondamentaux cités ci-avant.

La qualité du projet peut être protégée par la rédaction de lettre d’incident, même mineur, sous forme simple, afin de préciser par écrit clairement les incidents du projet.

La performance économique du projet peut être améliorée à l’aide du tableau des positions économiques et intérêts des parties, permettant d’avoir une vision claire de la situation économique pour chaque partie.

Le dossier de griefs sera, quant à lui, utile pour répertorier, grâce aux pièces du dossier de preuves, l’ensemble des reproches préjudiciables qui fera l’objet, le cas échéant, d’une réclamation juridique.

Les critères du bon usage des outils juridiques

Par la suite, l’expertise du contract manager permettra aux outils juridiques de prendre toute leur valeur.

Eric Le Quellenec
Daniel Korabelnikov
Lexing Département Informatique conseil

(1) Voir notamment le Rapport au Président de la République relatif à l’ordonnance 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, Préambule 1°).
(2) La prescription extinctive légale pour les actions relatives à la responsabilité contractuelle est en principe de 5 ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer (C. civ. art. 2224).
(3) « Les outils juridiquement utiles du contract manager »  Post du 4-10-2018.




Les outils juridiquement utiles du contract manager

outils juridiquesLe contract management est une méthode permettant, à l’aide d’outils juridiques, de maximiser les résultats et réduire les risques.

La nécessité d’outils juridiques de contract management

Le contract management permet, pendant l’exécution du contrat, d’organiser efficacement les relations entre les parties afin que les projets se déroulent dans de bonnes conditions et se réalisent véritablement. En effet, que les contrats soient parfaitement négociés, très équilibrés ou tout à fait déséquilibrés les projets peuvent échouer en raison des dérives budgétaires, de temps ou de qualité des livrables. Il ne s’agit finalement pas uniquement de négocier le contrat puis de considérer que les conditions du contrat suffiront en cas de difficulté. La réalisation véritable du projet dépend également des conditions de sa gestion efficace.

Quatre outils juridiques fondamentaux

Pour réduire le risque de dérives des projets, quatre outils juridiques sont indispensables aux contracts managers :

  • le glossaire : éviter l’écueil de la tour de Babel, en ayant recours à un glossaire générique et spécifique des termes clés du projet et veiller à son application ;
  • le dossier d’implémentation contractuelle : cette démarche s’inscrit dans une démarche de « contract awarness » ; il est fondamental en ce qu’il permet de connaître les forces, faiblesses, menaces et opportunité, selon la célèbre matrice d’analyse stratégique («FFMO»), en anglais, strengh, weakness, opportunités, threats SWOT») (1) ; ce dossier contient les dates clés, et les fiches de chacun des contrats ou des sections des contrats dans les projets informatiques dans lequel les contrats sont volumineux ;
  • le dossier de risques : permet de déterminer les risques qui peuvent être anticipés ou qui ont été identifiés en phase de négociation du projet ; les risques peuvent être envisagés de manière générique avant d’être envisagés de manière plus spécifique au projet concerné. Autrement dit, le contract manager en partant de la cartographie type des risques, la confronter au projet qu’il doit suivre et nourrir son dossier de risques ; cette approche est intéressante si le contract manager capitalise sur sa propre expérience ou un retour d’expérience sur un projet comparable ;
  • le dossier de levier de négociation : les leviers de négociation apparaissent au fur et à mesure de la mise en œuvre du projet ; ils doivent être répertoriés afin d’aider le contract manager et les équipes projet à élaborer des scenarii de négociation dès lors que certaines conditions techniques, économiques et juridiques du contrat devront être renégociées pendant la phase d’exécution.

Ces outils réduisent les risques de dérive du projet tout en protégeant les parties en proposant un moyen de preuve et d’analyse contractuelle efficace.

Une démarche à valeur ajoutée sur tout le cycle de vie du contrat

A côté de leur utilité pratique indéniable lors du projet en cours, ces outils permettent de conserver une trace de toutes les informations pertinentes d’un projet afin de les capitaliser.

Ainsi, en prenant un peu de hauteur, le contract manager va pouvoir capitaliser sur les bonnes pratiques et autres enseignements méritant d’être relevés pour des projets à suivre de même nature et repenser les contenu de ces outils juridiques pour rendre plus efficace sa gestion contractuelle au fur et à mesure des expériences projet rencontrées.

Dans cette logique, le contract manager va pouvoir apporter en même temps son savoir-faire dans la diffusion et le partage de ses bonnes pratiques notamment au moyen de séminaires, espaces documentaires partagés et collaboratifs. Tout retour du « terrain » mérite d’être répertorié et mis en commun dans l’intérêt de l’entreprise ou de l’organisation considérée.

Eric Le Quellenec
Daniel Korabelnikov
Lexing Département Informatique conseil

(1) Article SWOT (méthode d’analyse) de Wikipédia en français (sous licence CC-BY-SA 3.0).




L’évolution du régime des clauses de médiation préalable

Source d’un réel contentieux, le régime des clauses de médiation préalable s’est formé via de nombreuses décisions.

Les conséquences du non-respect d’une telle clause ont été clairement définies par la jurisprudence et sont aujourd’hui bien connues.

La partie à un contrat contenant clause de médiation préalable ne peut saisir directement le juge avant de l’avoir mise en œuvre au préalable, sous peine de se voir opposer une fin de non-recevoir (sauf naturellement dans l’hypothèse d’un référé, dans laquelle le juge n’est pas chargé de trancher le fond du litige) qui ne peut être régularisée en cours de procédure.

Si les grands principes applicables à ces clauses sont désormais bien ancrés, la jurisprudence est stimulée par la pratique continue d’approfondir et de préciser ce régime, qui est plus complexe qu’il n’y paraît.

Trois arrêts de la Cour de cassation rendus en 2017 et 2018 illustrent parfaitement cette complexité.

Clause d’avis préalable

Dans >le premier (1), la Cour de cassation est venue étendre le champ d’application du régime de la clause de médiation préalable aux clauses imposant la saisine préalable d’une autorité ou d’un organisme pour un simple avis.

Clause de médiation préalable : l’arrêt du 16 novembre 2017

En l’espèce, un maître d’ouvrage avait fait appel à un architecte, intervenant comme maître d’œuvre, pour la construction de deux maisons et d’une piscine. Les travaux de construction avaient été confiés à un entrepreneur. La réception des travaux ayant donné lieu à des réserves de la part du maître d’ouvrage, l’entrepreneur a assigné ce dernier en paiement de la retenue de garantie et des travaux supplémentaires. Appelé en garantie par le maître d’ouvrage, le maître d’œuvre a soulevé l’irrecevabilité de l’action, faute de saisine préalable du conseil régional de l’ordre des architectes.

Pour rejeter cette irrecevabilité et déclarer recevable la demande du maître d’ouvrage contre l’architecte, la Cour d’appel va considérer que la clause de l’article du cahier des charges générales du contrat d’architecte, qui stipulait qu’«en cas de litige portant sur le respect des clauses du présent contrat, les parties conviennent de saisir pour avis le conseil régional de l’ordre des architectes dont relève l’architecte, avant toute procédure judiciaire, sauf conservatoire», n’imposait pas une procédure de conciliation obligatoire préalable à la saisine du juge, mais prévoyait simplement qu’une demande d’avis devait être adressée au conseil régional des architectes. La Cour d’appel en déduisait que la fin de non-recevoir pouvait être régularisée en cours d’instance.

Au visa des >articles 122 et >126 du code de procédure civile, la Cour de cassation va considérer, au contraire, que la clause en question instituait bien «une procédure de conciliation, obligatoire et préalable à la saisine du juge», dont le non-respect devait être sanctionné par une fin de non-recevoir, non susceptible d’être régularisée par la mise en œuvre de la clause en cours d’instance.

La Cour de cassation a donc choisi de ne pas opérer de distinction entre les clauses imposant de saisir un tiers pour concilier les parties et celles imposant l’obtention d’un simple avis.

Si cette décision a le mérite de la simplicité en unifiant le régime applicable à ces clauses, on se doit de reconnaitre qu’il opère un certain glissement quant à la logique qui soutient celles-ci.

En effet, lorsque les parties à un contrat s’imposent la saisine préalable d’un tiers en vue de les rapprocher en cas de litige, c’est pour se donner toutes les chances d’éviter un procès. Si jamais les négociations dirigées par le tiers échouent, il ne peut être fait état de leur contenu par la suite devant le juge. En revanche, lorsque les parties stipulent la saisine d’un tiers pour avis, certes cet avis peut amener les parties à transiger, mais surtout cet avis peut être produit devant le juge au soutien d’une action.

Cette solution de la Cour de cassation ferme donc la voie à la création d’un autre régime de clause, dérivé du régime des clauses de médiation préalable, qui aurait pu recevoir une sanction différente.

Demandes reconventionnelles

Dans les deux autres arrêts (2), la Haute juridiction s’est prononcée sur l’application de la clause de médiation préalable aux demandes reconventionnelles formulées en cours d’instance.

Ces deux décisions, rendues à un an d’intervalle, montrent le caractère évolutif du régime des clauses de médiation préalable.

Clause de médiation préalable : arrêt du 24 mai 2017

L’affaire portée >devant la chambre commerciale en 2017 était la suivante : après une procédure de médiation demeurée infructueuse, une société pharmaceutique en avait assignée une autre en paiement de sommes dues au titre d’un contrat. La société défenderesse avait en réponse formé une demande reconventionnelle en résiliation dudit contrat.

La cour d’appel a considéré que cette demande reconventionnelle était irrecevable, au motif que la situation de défenderesse à la procédure ne lui interdisait nullement de saisir le médiateur des nouveaux griefs qu’elle opposait.

La Cour de cassation va casser la décision, sur le fondement des >articles 53, 122 et 126 du Code de procédure civile, considérant que l’instance étant en cours au moment où elle est formée, la recevabilité d’une demande reconventionnelle n’est pas, sauf stipulation contraire, subordonnée à la mise en œuvre d’une procédure contractuelle de médiation préalable à la saisine du juge. Le contrat n’instituant pas une fin de non-recevoir en pareil cas, la cour d’appel ne pouvait déclarer ces demandes reconventionnelles irrecevables.

La Cour de cassation répondait ainsi à une question que certains praticiens du droit pouvaient se poser : les demandes reconventionnelles formulées en cours d’instance tombent-elles dans le périmètre de l’application de la clause de médiation ou de conciliation préalable ?

De prime abord, l’on pourrait trouver étrange cette question, dans la mesure où la clause de médiation doit être mise en œuvre préalablement à l’action en justice, donc nécessairement avant toutes demandes reconventionnelles.

On peut toutefois objecter à cela que, pour que le tiers désigné pour rapprocher les parties exprime un avis sur le différend les opposant, celui-ci doit être saisi de l’ensemble des demandes de chacune des parties.

A défaut, il est possible de considérer que la partie n’exprimant pas l’ensemble de ses demandes ne permet pas au tiers d’accomplir sa mission et donc, par son comportement, empêche la bonne exécution de la clause de médiation préalable.

Une telle interprétation serait cependant extrêmement lourde de conséquences, d’un point de vu procédurale.

Cela signifierait qu’au stade de l’exécution de la clause de médiation ou de conciliation préalable, les parties devraient exprimer l’ensemble leurs demandes, toute demande non formulée ne pouvant plus, par la suite, être faite en cours d’instance.

Il est clair qu’une telle solution ne serait pas souhaitable, d’autant plus qu’elle n’aurait pas beaucoup de sens, tant sur le fond que sur la forme.

Admettons qu’une partie ait vu sa demande reconventionnelle écartée pour non-respect de la clause de médiation préalable. Pour pouvoir présenter cette demande en justice, elle se retrouve contrainte de mettre en œuvre de nouveau la clause. Même en admettant qu’elle le fasse, elle devrait ensuite assigner l’autre partie dans le cadre d’une autre instance qui, inévitablement, finirait par être jointe à la première. Rappelons, en effet, que la fin de non-recevoir tirée du non-respect de la cause de médiation ne peut être régularisée dans le cadre de l’instance en cours.

La chambre commerciale décide, au final, dans cet arrêt de s’en remettre à la volonté des parties.

Il n’avait échappé, en effet, à aucun lecteur, que la Cour de cassation, dans sa décision, n’écartait pas la possibilité de prévoir directement dans la cause de médiation préalable son application aux demandes reconventionnelles.

Clause de médiation préalable : l’arrêt du 30 mai 2018

C’est pourtant la voie que semble avoir choisi d’emprunter la chambre commerciale dans son >arrêt de 2018 (3).

En l’espèce, deux sociétés avaient conclu un contrat de cession portant sur une activité de commissionnaire de transport. La société cédante s’était par la suite engagée dans le cadre d’un autre contrat avec la société cessionnaire à mettre à sa disposition des locaux.

La société cessionnaire avait saisi les tribunaux aux fins d’obtenir l’annulation de la cession pour dol.

La défenderesse avait, quant à elle, reconventionnellement demandé le paiement d’une indemnité d’occupation des locaux mis à disposition, en exécution du second contrat. La demanderesse avait opposé à cette demande une fin de non-recevoir pour non-respect de la clause de conciliation préalable stipulée dans ledit contrat.

En première instance et en appel, les juges du fond avaient donné raison à la société cessionnaire et déclaré irrecevable la demande reconventionnelle.

Dans son pourvoi en cassation, la défenderesse avait alors soutenu deux moyens :

  • d’une part, qu’en l’absence de description dans la clause de conciliation préalable des modalités de mise en œuvre de celle-ci, cette clause ne pouvait être considérée comme instituant un préalable obligatoire à la saisine du juge ;
  • d’autre part, qu’une telle clause ne pouvait s’opposer à la recevabilité d’une demande reconventionnelle lorsque cette demande se rattachait aux prétentions originaires par un lien suffisant.

Les deux moyens ont été rejetés.

De prime abord, la Cour de cassation semblait opérer un revirement par rapport à sa décision de 2017, en affirmant, de manière assez péremptoire, que le non-respect d’une clause de médiation préalable rend irrecevable toute demande reconventionnelle relative au contrat objet du litige et contenant ladite clause.

La position de la chambre commerciale est toutefois plus subtile qu’il n’y parait.

Appréciation du « lien suffisant »

La demanderesse soutenait que sa demande reconventionnelle se rattachait par un lien suffisant à la demande principale. Ce point était discutable.

En effet, la demande principale portait sur l’annulation du contrat de cession, tandis que la demande reconventionnelle portait sur l’exécution du contrat de mise à disposition des locaux.

Or, la clause de conciliation préalable figurait uniquement dans ce dernier.

Il existait donc bien un lien entre la demande principale et la demande reconventionnelle, l’une étant la conséquence de l’autre, mais ce lien n’était pas suffisant au regard de l’application de la clause.

Ou dit autrement : le lien entre la demande reconventionnelle et la clause était plus fort que celui entre les deux demandes.

Cette solution se comprend, en retenir une différente permettrait à une partie de contourner trop facilement une clause de médiation préalable, dès lors que le litige porterait sur deux contrats, l’un contenant une telle clause et l’autre non.

La Chambre commerciale semble vouloir protéger le contrat, lequel est la loi des parties et l’expression de leur volonté commune.

Ce faisant toutefois, elle complique encore un peu plus le régime des clauses de médiation préalable, sans tenir forcément compte des conséquences procédurales, souvent graves, pour la partie concernée.

Complexité rédactionnelle

Compte tenu des graves conséquences que peut avoir cette clause, la rédaction de celle-ci dans les contrats nécessite d’être mûrement réfléchie et le fait qu’elle s’apparente de plus en plus à une clause de style ne doit pas faire oublier son importance.

Le recours à un avocat, à cette fin, peut prémunir une partie de bien des déconvenues en cas de litige.

Benoit de Roquefeuil
Arnaud Marc
Lexing Contentieux informatique

(1) Cass. 3e civ., 16-11-2017, n°16-24.642.
(2) Cass. com., 24-5-2017, n°15-25457.
(3) Cass. com., 30-5-2018, n°16-26.403.




Quel avenir pour le EU-US Privacy shield ?

EU-US Privacy shieldDepuis l’application du RGPD, le EU-US privacy shield est contesté, les parties au contrat doivent s’y préparer.

Bien qu’adopté trois mois après le RGPD, ce bouclier (1) censé encadrer les flux de données personnelles entre l’Union européenne et les Etats-Unis d’Amérique a déjà été évalué en octobre 2017 (2) puis par le Parlement européen (3) et récemment par la commissaire à la justice, à la consommation et à l’égalité des genres, Věra Jourová (4). Dans l’intervalle, les parties à un contrat informatique prévoyant des flux de données transatlantiques devront parer à toute éventualité et d’ores et déjà anticiper sa disparition.

La position du Parlement européen sur le EU-US privacy shield

Le Parlement européen reprend les conclusions de la Commission d’octobre 2017, en constatant que les réserves faites à l’époque n’ont pas été suivies d’effet par l’administration américaine.

La Commission souhaitait que le dispositif soit amélioré grâce à la nomination d’un ombusdman, faisant office de surveillant général et médiateur dans l’application des obligations au titre du bouclier, une coopération plus étroite entre autorités administratives et judiciaire des deux côtés de l’Atlantique.

Même si le EU-US Privacy shield avait alors passé le test de la Commission, pour toute réponse aux demandes d’amélioration, l’administration américaine a :

  • adopté le Cloud Act pour faciliter l’accès aux données personnelles des «personnes américaines» même si les données sont hébergées physiquement en Europe (4) ;
  • facilité la surveillances des communications en réactivant la section 702 du Foreign Intelligence Surveillance Act (FISA) ;
  • pris des décrets en application de cette loi renforçant la mise en place d’une surveillance généralisée (Décrets 12333 et 13768).

Dressant ce constat alarmant, le Parlement demandait à ce que, faute de réaction immédiate des autorités américaines, l’application du bouclier soit suspendu à effet au 1er septembre 2018. Il n’en a rien été car la résolution votée n’a aucune valeur contraignante. La Commission a toutefois réagi par la voix de la commissaire Věra Jourová.

La position de la commissaire en charge du EU-US privacy shield

La commissaire en charge du numérique a entendu le message du Parlement et a déclaré faire de la nomination de l’ombudsman la condition sine qua non du maintien de l’EU-US privacy shield.

Les autres conditions posées dans la résolution du Parlement ne seraient pas reprises. Le constat est que les droits du citoyen européen seraient encore plus faibles sans le privacy shield qu’avec, aussi imparfaite sa mise en œuvre puisse être.

La nomination de l’ombudsman est cependant clé car celui-ci est l’interlocuteur de l’utilisateur européen : il doit traiter les plaintes relatives à l’application du Privacy Shield. L’administration américaine devrait enfin y pourvoir d’ici le 18 octobre 2018. La Commission devant rendre son rapport annuel d’évaluation à cette même échéance selon des déclarations faites au Financial Times. A défaut, c’est bien une suspension du Privacy Shield qui est envisagée.

Dans le même temps, la Commission envisage mener le combat sur un autre terrain, celui de la lutte contre le détournement de finalité du traitement de données personnelles, à des fins politiques notamment. Ce qui est dans le viseur de la Commission est la fuite de données à l’instar du fameux scandale ayant impliqué Facebook et l’agence Cambridge analytica. Dans ce cas, l’amende maximale prévue dans le RGPD à 4% du chiffre d’affaire annuel mondial passerait à 5%.

Les réponses en cas d’éventuel disparition du EU-US privacy shield

La disparition du Safe Harbor par arrêt de la Cour de justice de l’Union européenne, fin 2015, a laissé des traces (5). Même lorsque le EU-US Privacy Shield s’applique et est visé dans le contrat, une pratique de plus en plus courante amène les parties à prendre la précaution de prévoir qu’elles s’engagent par avance à respecter tout futur accord qui pourrait s’y substituer.

En cas de sa disparition « sèche », elles peuvent aussi se référer notamment :

  • aux Binding corporates Rules (BCR) pour les contrats intragroupes,
  • aux clauses contractuelles types proposées par la Commission européenne,
  • ou encore, lorsque les flux s’y prêtent, sur le fondement d’une des exceptions à l’interdiction des flux transfrontières visées à l’article 69 de la loi Informatique et libertés.

Indispensables à l’activité économique de nombreuses sociétés, l’encadrement des flux transatlantiques se doit d’être d’autant plus rigoureux.

Eric Le Quellenec
Lexing Informatique conseil

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.
(2) Rapport annuel sur le Privacy shield, octobre 2017.
(3) Résolution du Parlement européen, juin 2018.
(4) Interviews de la Commissaire Věra Jourová, juin 2018.
(5) Etat des lieux sur l’invalidation du Safe Harbor par la CJUE, Post du 30 octobre 2015.




Juristendance Informatique et Télécoms n°192-2018

informatique etA signaler dans la Lettre Juristendance Informatique et Télécoms du mois de juillet-août, notre classement parmi les Best Lawyers édition 2019

Egalement à signaler dans la Lettre Juristendance Informatique et Télécoms :

Articles Juristendance

Interviews et vie du cabinet

Outils et nouveautés

Formations Informatique et Télécoms

Enfin, à signaler, dans la Lettre Juristendance Informatique, nos petits-déjeuners à venir (Programme).

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et télécoms n°192, Juillet-août 2018.




Alain Bensoussan Avocats présent aux Assises de la Compliance

Assises de la ComplianceLe cabinet sera présent le 22 juin à Paris aux Assises de la Compliance lors desquelles interviendra Alain Bensoussan.

Les Assises de la Compliance 2018 se tiendront le vendredi 22 juin à l’Hôtel Méridien Etoile à l’initiative de Thomson Reuters, de l’Association du Master 2 Juriste Conformité, du GRASCO et du Cercle De la Compliance.

Lors de cette journée dédiée aux professionnels de la Compliance, seront abordés les sujets suivants :

  • Analyse des risques, présentation des nouvelles menaces, enjeux du KYC
  • Apports et limites des nouvelles technologies dans les processus opérationnels de la Compliance
  • La loi Sapin II et norme ISO37001, retours d’expériences
  • La Compliance, levier de la stratégie d’entreprise

Assises de la Compliance : les personnes présentes

  • Bernard Cazeneuve, Avocat associé, August Debouzy
  • Les régulateurs, dont Charles Duchaine, Directeur de l’AFA, Jean-Christophe Cabotte, Chef du département de l’Analyse, du Renseignement et de l’Information de Tracfin, Anne Maréchal, Directrice des Affaires Juridiques de l’AMF, l’ACPR et Lisa Gamgani de la Haute Autorité pour la Transparence de la Vie Publique (HATVP),
  • Les directeurs LCBFT parmi les plus grandes banques françaises,
  • Les directeurs compliance des plus importants groupes français,
  • Les avocats et Fintech spécialisés sur ces thématiques.

Assises de la Compliance : l’impact des nouvelles technologies dans les programmes de mise en conformité

Alain Bensoussan interviendra en début d’après-midi dans le cadre d’une table ronde consacrée à l’impact des nouvelles technologies dans les programmes de mise en conformité :

Intervenants :

  • Mans Olof-Ors, Head of Thomson Reuters Labs and The Incubator.
  • Damien Martinez, CEO, Facepoint
  • Jean-Philippe Morisseau, Directeur des opérations, GEOIDE Crypto&Com
  • Alain Bensoussan, Lexing Alain Bensoussan Avocats, en conclusion de cette table ronde

Cette table ronde sera modérée par Julien Deschamps, Risk Sales Manager France & Monaco, Thomson Reuters.

Programme
Informations pratiques
Date : Vendredi 22 juin 2018
Heure : 8h30 – 17h30
Lieu : Méridien Etoile – 81 Boulevard Gouvion Saint-Cyr , 75017 Paris




Cloud computing world expo 2018 : réversible et souverain

Cloud computing world expo 2018Les 20 et 21 mars, Eric Le Quellenec et Daniel Korabelnikov sont intervenus lors du Cloud computing world expo 2018.

Ces interventions, sous forme de tables rondes, ont permis d’échanger, avec des sociétés, du secteur privé comme du secteur public, clientes récurrentes des fournisseurs de cloud computing, des bonnes pratiques dans le cloud computing sur les sujets suivants :

  • la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs ;
  • les clouds « souverains » de 2e génération s’affichent publiquement.

Cloud computing world expo 2018 : la réversibilité des contrats cloud

La table ronde de ce Cloud computing world expo 2018, concernant la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs posait les questions suivantes : Le changement de ‘sourcing’ n’est pas un scénario théorique. Que faut-il exiger des ‘providers’ ? Peut-on pratiquer le multi-sourcing sur le Cloud ? Comment s’organiser ? Quelles sont les clauses importantes ?

Monsieur Pierre Mangin, animateur de cette table ronde au Coud computing world expo 2018, était accompagné de Monsieur Jean-Marie Simonin (clouds automation Team Leader, Radio France), Monsieur Carlo Uzan (DSI transition, Infortive), Cyril Bartolo, (Directeur des applications, Groupe Lagardère) et Daniel Korabelnikov (avocat, Lexing Alain Bensoussan Avocats).

Ces échanges centrés sur les bonnes pratiques et les retours d’expérience n’ont pour autant pas occulté l’état des forces en négociation contractuelle entre les différents acteurs d’un projet cloud.

Les bonnes pratiques doivent être méthodologiquement intégrées par les clients pour user des bons leviers de négociation notamment avant la conclusion du contrat et éviter surtout d’être « captif ». Le mot d’ordre pour le client étant d’être autonome et de sortir du contrat le plus facilement possible, sans coût ou impossibilité technique (mise en œuvre de la portabilité des données par exemple).

Une clause de benchmark, sous condition de résiliation ou de réévaluation du prix du contrat, est une bonne pratique permettant de renégocier son contrat cloud tous les trois-quatre ans et d’analyser l’état économique et technique du marché.

Les questions d’un point de vue juridique, de la prévision contractuelle d’un plan de réversibilité à mettre à jour pendant l’exécution du contrat (en termes de tâches et de livrables attendus par le prestataire pour délimiter contractuellement le périmètre technique de la réversibilité), du planning de réversibilité et de son coût, doivent nécessairement se poser dès lors que l’on soulève les bonnes pratiques de la réversibilité dans le cloud.

La réversibilité doit faire l’objet d’une recette précise, sur la base d’un procès-verbal.

Il ne faut pas omettre un des nouveaux leviers de négociation des contrats cloud, au titre du RGPD, qui porte sur l’obligation du fournisseur Cloud de supprimer les données qu’il héberge à l’issue du contrat.

Cloud computing world expo 2018 : les opportunités du cloud souverain

Eric Le Quellenec (avocat, Lexing Alain Bensoussan Avocats) intervenait quant à lui à une table ronde portant sur les enjeux du cloud souverain et plus précisément sur les problématiques de localisation de la donnée et autres exigences du RGPD et de la directive NIS. À ses côtés Alain Merle, Directeur du programme de Transformation des Centres Informatiques, DINSIC et Christophe Boitiaux, Directeur marketing, T-SYSTEMS France apportaient leur témoignage côté client d’une part, prestataire dans l’Union européenne d’autre part.

L’intérêt d’un cloud souverain se renforce dans un contexte international instable et marqué par l’exacerbation de la compétition économique, donc d’un risque d’espionnage industriel renforcé.

Si les menaces liées au Patriot Act sont connues mais restent limitées, ce sont surtout les conséquences d’une éventuelle nouvelle loi américaine intitulée « cloud act » qui ont occupé les débats. « Cloud » signifie ici « clarifying lawful overseas use of data« . Ce texte d’opportunité autoriserait la justice américaine à obtenir des principaux acteurs du cloud toutes données peu importe leur localisation même hors des Etats-Unis d’Amérique dès lors qu’elles concernent une affaire jugée dans ce pays.

Eric Le Quellenec a rappelé les enjeux des transferts internationaux de données hors de l’Union européenne et les faiblesses du système de l’EU-US Privacy Shield venu en remplacement du Safe Harbour.

Il a ensuite conclu sur les futures certifications et codes de conduite sous-traitants prévues par le RGPD et qui devraient renforcer l’émergence d’un cloud souverain européen.

Alain Bensoussan Avocats
Lexing Département conseil informatique

Programme des conférences.




Cloud computing et fintech, recommandations des autorités de tutelle

Cloud computing et fintech

Cloud computing et fintech : la sensibilité des données bancaires justifie que les autorités de tutelles s’y soient intéressées.

L’enjeu est d’abord celui de la sécurité et de la confidentialité des données bancaires, financières et assurantielles, cible privilégiée des pirates informatiques. Or, il n’existe pas de fintech sans cloud. C’est donc au plus haut niveau que la problématique a été envisagée.

L’Autorité de contrôle prudentiel et de résolution (ACPR) en juillet 2013 (1) a publié ses recommandations dans la foulée de celles de la Cnil en juin 2012 (2).

Beaucoup plus récemment, le 20 décembre 2017, l’Autorité bancaire européenne (ABE), après une large consultation, a émis son rapport final (3). Les recommandations qu’elle émet devant avoir un effet contraignant au 1er juillet 2018 pour les institutions qu’elle contrôle.

Cloud computing et fintech : recommandations de l’ACPR

L’ACPR retient trois principaux risques sur le cloud computing et fintech :

  • la confidentialité des données ;
  • la disponibilité des données, notamment en cas de réversibilité de sorte de se prémunir de ce qu’elle qualifie d’un « enfermement » ;
  • pouvoir disposer de la preuve de la correcte exécution des prestations du prestataire de cloud et le contrôle de ce dernier.

Pour l’ACPR, ces risques s’encadrent d’abord et avant tout par un contrat adapté avec des engagements « impératifs ». Ce contrat doit notamment prévoir :

  • la faculté pour le client mais aussi l’ACPR d’auditer les services fournis et contrôler les engagements souscrits ;
  • prévoir des engagements de service avec une garantie de continuité d’exploitation ;
  • les conditions de réversibilité des services ;
  • des engagements au titre de la sécurité des systèmes et, en particulier, le chiffrement lors du transport et du stockage des données.

Cloud computing et fintech : recommandations de l’ABE

Toutes les recommandations de l’ACPR se retrouvent dans les travaux de l’ABE qui y ajoute :

  • la transparence du prestataire de cloud sur la localisation des données ;
  • la nécessité pour le prestataire de cloud computing et fintech de reporter les exigences contractuelles pesant sur lui vers ses propres sous-traitants en mode « back to back » (même chose pour les sous-traitants de rang ultérieur) ;
  • des plan de reprise et continuité d’activité mais aussi de réversibilité en fin de contrat.

Les exigences de l’ACPR et de l’ABE ne diffèrent pas fondamentalement des exigences de l’article 28 du Règlement général sur la protection des données (RGPD) (4). A ce titre, il y a convergence des exigences et il ne serait pas inopportun, pour une fintech, de mettre la gestion de toutes ses données dans le cloud (et pas uniquement celles à caractère personnel) au niveau de protection exigé par le RGPD.

Eric Le Quellenec
Lexing Informatique conseil

(1) Rapport ACP, « Risques associés au cloud computing », Analyse et synthèses n° 16, juillet 2017.
(2) Recommandations Cnil pour les entreprises qui envisagent de souscrire à des services de Cloud computing, Cnil, juin 2012.
(3) ABE Final report: Recommendations on outsourcing to cloud service providers, EBA/REC/2017/03, 20 December 2017.
(4) « Contrat cloud : les impacts du RGPD sur la sous-traitance »,  Post du 30 janvier 2017.




Serverless computing, enjeux juridiques de l’avenir du cloud

Serverless ComputingLe serverless computing présenté comme l’avenir du cloud computing pose des questions juridiques particulières.

Cette notion peut toutefois être déceptive. Elle ne repose pas sur une absence de serveurs. L’état de l’art ne le permet pas encore. En revanche, la promesse de ce nouveau service c’est de libérer totalement le développeur des contraintes liées aux serveurs, leur puissance, capacité et performance. Pour l’entreprise cliente d’un tel service, l’intérêt est de pouvoir disposer d’une plateforme scalable sur laquelle pouvoir librement développer des outils métiers.

Serverless computing : le cadre technique

Il n’existe pas de norme définissant le serverless computing. Techniquement, le serverless computing et encore moins de loi. Ce service rapproche plutôt d’une plateforme d’exécution en complément d’un espace d’hébergement dans le cloud. Comparé à un service de type Plateform as a Service (« PaaS »), le serverless computing permet directement de mettre en production l’application ou la fonctionnalité métier développée avec mise en production souple, rapide et sereine.

Les problématiques d’exécution et de montée en charge (« ramp up ») sont sous la responsabilité du prestataire serverless computing. Le management des serveurs et la gestion de leur capacité ne sont pas visibles du développeur utilisateur de la plateforme (1). On peut donc parler d’un service PaaS grandement amélioré.

Serverless computing : localisation des serveurs et protection des données personnelles

Le serverless computing ne fait pas exception aux exigences du RGPD incombant à tout responsable du traitement et du sous-traitant.

L’article 28 §3 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement (2).

Pour le serverless computing, la gestion des flux transfrontières de données, donc de leur localisation est cruciale car exclusivement sous la responsabilité du prestataire.

Dans la mesure où le prestataire serverless computing est seul décisionnaire des moyens alloués au traitement, il y aurait légitimement une réflexion à mener sur la qualification de responsable conjoint du traitement (3).

Serverless computing : trois clauses clés

Trois clauses doivent être particulièrement traitées dans le contrat cloud de type serverless computing : les garanties, la collaboration et la clause prix.

Au titre des garanties, le contrat pour un tel service doit prévoir une garantie de scalabilité et d’évolutivité, des garanties de performance et disponibilité de la plateforme en lien avec des SLA et pénalités associées.

La collaboration avec le partenaire doit être encadrée par une comitologie adaptée dans le sens où si la scalabilité est le point fort des offres de ce type, il n’en demeure pas moins qu’une montée en charge fulgurante nécessite, en mode projet, un minimum d’anticipation.

Le modèle économique du serverless computing repose principalement sur le code exécuté. Si cette métrique peut paraître claire, il n’en demeure pas moins qu’elle peut, dans son application, donner lieu à diverses interprétations pouvant conduire à de mauvaises surprises. Une vision claire et en temps réel du consommé par un outil de supervision facilement accessible doit être contractuellement organisée avec la faculté pour le client de discuter de la facturation en comité dédié.

Eric Le Quellenec
Lexing Droit de l’informatique

(1) Article wikipedia « serverless computing »
(2) Contrat cloud : les impacts du RGPD sur la sous-traitance, Post du 30-1-2017
(3) Contrats cloud : les impacts du RGPD et la cotraitance, Post du 2-32017




Contrats spéciaux : publication d’un avant-projet de réforme

Contrats spéciauxL’Association Henri Capitant a publié un avant-projet de réforme du droit des contrats spéciaux le 26 juin 2017.
Cet avant-projet s’inscrit dans le mouvement de modernisation du droit des contrats.

Mouvement de modernisation

Avec la réforme du droit des contrats, du régime général de la preuve et des obligations (1), le chantier de modernisation des dispositions du Code civil n’est pas achevé.

Le Code civil devrait, à terme, être réformé sur trois autres volets :

  • la responsabilité civile, pour laquelle la Chancellerie a initié une consultation publique (2) ;
  • les sûretés, pour laquelle la Chancellerie a sollicité les travaux de l’Association Henri Capitant (3) ; et
  • les contrats spéciaux.

Contrairement au droit de la responsabilité civile ou au droit des sûretés, aucune initiative n’a officiellement été lancée pour réformer le droit des contrats spéciaux. L’Association Henri Capitant s’est donc emparée de la question en proposant, le 26 juin 2017, un avant-projet de réforme du droit des contrats spéciaux.

Esprit de l’avant-projet de réforme des contrats spéciaux

La réforme des contrats spéciaux est présentée par l’Association comme nécessaire (4), compte tenu :

  • du défaut d’intelligibilité des textes actuels, ceux-ci n’ayant que peu, voire pas, été retouchés depuis 1804 ;
  • de leur manque d’accessibilité et de leur incomplétude, puisqu’il ne reflète pas l’état de la jurisprudence ;
  • des objectifs d’attractivité du droit français et de sécurisation des échanges économiques, qui motivaient déjà la réforme du droit des contrats, du régime général de la preuve et des obligations.

Cet avant-projet de réforme des contrats spéciaux comporte ainsi des dispositions :

  • relatives aux « droits ou obligations spéciaux », applicables à plusieurs catégories de contrats spéciaux. (ex : obligation de délivrance, concernant la vente, le bail ou les prestations de services) ;
  • communes à des grandes catégories de contrats spéciaux (ex : contrat de prestation de services) ; et
  • spécifiques applicables à des contrats « très spéciaux » (ex : contrat de prestation de services de fabrication de meuble).

Cet avant-projet de réforme – très concis – semble à cet égard constituer un premier document de travail. L’Association invite d’ailleurs toute personne à communiquer ses observations et à participer à la prochaine journée nationale de l’Association consacrée à l’étude de l’avant-projet (Grenoble, le vendredi 17 novembre 2017).

Reste à déterminer si cet avant-projet est susceptible d’avoir une incidence en matière de contrats informatiques.

Contrats spéciaux et secteur informatique

Dans le secteur de l’informatique, les principaux contrats BtoB se résument aux suivants : prestation de services (art. 1779 et s. du Code civil), vente (art. 1582 et s.), location (art. 1709 et 1713) de matériels informatiques et mandat (art. 1984 et s.).

A l’exception de la vente, les dispositions du Code civil applicables à ces contrats spéciaux sont actuellement limitées. Par exemple, il n’existe pas de dispositions spécifiques en matière de location mobilière (5).

A ces contrats s’ajoutent également d’autres contrats très spéciaux (ex : contrat de distribution, de cession ou de licence de droits d’auteur). Ils sont exclus de cet avant-projet de réforme.

L’avant-projet de réforme apporte des précisions et compléments aux dispositions issues de la réforme du droit des obligations. Tel est notamment le cas concernant le transfert de propriété (6).

Certaines dérogations au régime général du droit des contrats sont également proposées. A titre d’exemple, en matière de location, l’avant-projet prévoit une dérogation à l’article 1216-1 du Code civil. Le locataire cédant son contrat serait ainsi libéré pour l’avenir envers son bailleur. Il ne serait donc pas tenu avec le nouveau locataire de manière solidaire.

Des innovations sont par ailleurs à noter en matière de contrats de prestation de services, ce qui intéresse particulièrement le secteur informatique.

Quelles nouveautés pour les contrats spéciaux de prestation de services ?

L’avant-projet de réforme définit le contrat de prestation de services comme celui par lequel le prestataire doit accomplir un travail de manière indépendante au profit du client (Avant-projet de réforme du droit des contrats spéciaux, art. 69).

Il rappelle également les règles déjà existantes. Ainsi, le contrat est formé dès que les parties sont convenues du travail à accomplir (Avant-projet précité, art. 70). Le prix n’est pas une condition de validité. Il pourra être fixé ultérieurement de manière unilatérale par le prestataire à charge pour lui d’en justifier le montant (C. civ. art. 1165).

 L’avant-projet comporte également des innovations, en introduisant notamment :

  • concernant le régime de responsabilité :
  • des règles spécifiques en matière de contrats conclus à titre gratuit. La responsabilité du prestataire ne pourrait être engagée qu’en cas de faute intentionnelle, dolosive ou lourde (Avant-projet, art. 73) ;
  • un principe de solidarité en cas de cotraitance (Avant-projet, art. 75) ;
  • concernant le bien résultat des prestations :
  • un transfert de propriété du bien au moment de sa réception (Avant-projet, art. 83) ;
  • un droit de rétention du bien en l’absence de paiement par le client (Avant-projet, art. 72) ;
  • une révision judiciaire du prix lorsqu’il est manifestement dérisoire ou excessif et a été fixé d’un commun accord entre les parties (sauf forfait) (Avant-projet, art. 72).

L’avant-projet pose en outre certaines questions. A titre d’exemple, il est prévu que le prestataire puisse recourir à la sous-traitance. L’obligation d’obtenir un agrément préalable du sous-traitant par le client n’est cependant pas rappelée (7).

Enfin, il convient de s’interroger sur l’opportunité d’étendre le champ d’application de certaines dispositions de l’avant-projet relatives aux contrats de construction d’un immeuble. Les mécanismes opérationnels et contractuels en vigueur dans les secteurs de l’informatique et de la construction sont en effet similaires sur bien des plans. Tel est notamment le cas des dispositions relatives à la réception des livrables ou encore la réception judiciaire en cas de désaccord des parties.

Recommandations en matière de contrat de prestation de services informatiques.

Les propositions de réforme issues de cet avant-projet rappellent la nécessité d’encadrer de manière claire les droits et obligations du client et du prestataire informatique. Ceci contribue à la sécurité juridique des opérations.

A titre d’exemple, les parties pourront utilement définir :

  • le prix des prestations et ses modalités de détermination et d’évolution. Un prix ferme et forfaitaire et une dérogation expresse de la révision pour imprévision (C. civ. 1195) limite le risque d’immixtion « économique » du juge ;
  • les modalités de transfert de la propriété matérielle et immatérielle des livrables documentaires et informatiques réalisés par le prestataire : au fur et à mesure de leur création, de leur livraison, de leur recette ou de leur paiement ;
  • les modalités de la sous-traitance et le droit de regard ou d’opposition dont dispose le client à cet égard.

Sans aucun doute, un suivi attentif des travaux de l’Association est nécessaire, afin d’en anticiper les impacts sur la rédaction et la négociation des contrats informatiques.

Jean-François Forgeron
Sophie Duperray
Lexing Droit de l’Informatique

(1) Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations.
(2) Le droit de la responsabilité civile n’était pas compris dans la loi d’habilitation du gouvernement à réformer par ordonnance. Toute réforme impliquera donc le dépôt d’un projet de loi ou d’une proposition de loi, soumis à débat parlementaire. La Chancellerie, après avoir réalisé une consultation publique, a néanmoins déjà travaillé sur un projet de réforme de la responsabilité civile, publié le 13 mars 2017.
(3) L’Association Henri Capitant a été sollicité directement par la Chancellerie afin d’élaborer un nouvel avant-projet de réforme du droit des sûretés. Celui-ci a pour objectif de compléter la réforme intervenue en 2006 (principalement sur le cautionnement et les privilèges), d’ajuster les dispositions résultant de la réforme de 2006 (afin de lever des ambiguïtés d’interprétation) et d’assurer la cohérence du droit des sûretés avec les réformes ultérieures à 2006. Un avant-projet de réforme du droit des sûretés, très détaillé, a été publié le 14 septembre 2017.
(4) L’Association Henri Capitant a remis à la Chancellerie, le 26 juin 2017, un avant-projet de réforme du droit des contrats spéciaux qui s’inscrit dans l’entreprise de rénovation du droit privé français que celle-ci conduit de longue date.
(5) Ce qui a amené la jurisprudence à leur appliquer le régime des baux immobiliers pour autant qu’il soit compatible avec la nature des choses (Cass. civ. 1, 22-7-1968, Bull. Civ. 208).
(6) S’il est prévu au titre du régime général, que le transfert de propriété s’opère, par principe, lors de la conclusion du contrat (C. civ. art. 1196 nouveau) l’avant-projet de réforme prévoit que ce transfert interviendra « lorsque la chose vient à exister » en matière de vente de choses futures (Avant-projet de réforme du droit des contrats spéciaux, art. 24), et « lors de la réception » du bien mobilier en matière de contrat de prestation de services portant sur la réalisation d’un bien corporel ou incorporel (Avant-projet précité, art. 83).
(7) A cet égard, on peut s’interroger sur l’articulation de ces dispositions avec la loi n° 75-1334 du 31 décembre 1975. Cette loi prévoit une obligation d’agrément de la personne et des conditions de paiement du sous-traitant par le maître de l’ouvrage.




Inexécution contractuelle : un tiers peut-il s’en prévaloir ?

faute délictuelleLe manquement à une obligation contractuelle ne peut être simplement assimilé à une faute délictuelle et ainsi engager la responsabilité d’un contractant à l’égard de tiers, victimes de l’inexécution d’un contrat. En l’occurrence, le seul manquement à l’obligation de résultat, de livrer un ouvrage conforme et exempt de vices, est impropre à caractériser une faute délictuelle.

Ce principe résulte de l’arrêt de principe rendu par la 3ème chambre civile de la Cour de cassation du 18 mai 2017 (1).

Le rappel des faits

A la suite de travaux de chauffage dans un immeuble et un lot voisin, un lot de copropriété est affecté par une importante condensation. Le copropriétaire et le locataire des locaux affectés assignent en responsabilité civile délictuelle le syndicat de copropriétaires et le propriétaire du lot voisin, pour obtenir l’indemnisation de leur préjudice. Ces derniers, maîtres d’ouvrage, appellent en garantie l’un des entrepreneurs en charge des travaux et le cabinet d’étude.

La Cour d’appel d’Aix-en-Provence condamne l’entrepreneur appelé en garantie. Ce dernier était engagé solidairement, envers le locataire du lot voisin, à livrer un ouvrage conforme aux prévisions contractuelles et exempt de vices. En manquant à son obligation contractuelle, la Cour considère qu’il a commis une faute à l’origine de la condensation anormale. Il engage donc sa responsabilité délictuelle à l’égard des demandeurs, tiers au contrat.

La 3e chambre civile de la Cour de cassation casse et annule l’arrêt d’appel sur le fondement de l’ancien article 1382 du Code civil. En se contentant d’assimiler manquement à l’obligation contractuelle de résultat et faute délictuelle, la Cour d’appel a violé le texte susvisé.

Pas d’assimilation automatique du manquement à une obligation de résultat à une faute délictuelle

Pour obtenir l’indemnisation de son préjudice, le tiers ne peut se contenter d’invoquer le manquement par une partie au contrat à son obligation de résultat. Il doit engager sa responsabilité délictuelle et donc apporter la preuve de la faute de cette partie, sur un plan délictuel.

Le tiers au contrat ne pourrait donc pas bénéficier du renversement de la charge de la preuve et de la présomption de responsabilité. Ce régime probatoire associé à l’obligation de résultat, ne pourrait jouer qu’entre les parties au contrat, à l’exclusion des tiers.

Evolution de la notion de faute délictuelle

Cet arrêt du 18 mai 2017, rendu au visa général de l’article 1382 devenu 1240 du Code civil suite à la réforme du droit des obligations, est assorti d’une publication particulière. Outre sa publication au Bulletin, il figurera dans le rapport annuel de la Cour de cassation.

Il semble donc constituer un véritable arrêt de principe, se démarquant de l’arrêt du 6 octobre 2006 de l’Assemblée plénière de la Cour de cassation (2).

Pour rappel, l’Assemblée plénière avait posé le principe suivant : « Le tiers à un contrat peut invoquer, sur le fondement de la responsabilité délictuelle, un manquement contractuel dès lors que ce manquement lui a causé un dommage ». Compte tenu de la généralité des termes employés, une partie de la doctrine avait conclu à une assimilation du manquement contractuel à la faute délictuelle.

Tel n’est manifestement pas le cas. Reste que la portée de l’arrêt du 18 mai 2017 est encore à préciser.

Un arrêt à la portée incertaine

En effet, cet arrêt marque-t-il la fin de l’assimilation des faits générateurs de la responsabilité civile contractuelle et délictuelle ? Ou doit-on simplement considérer que cette assimilation est exclue lorsque le manquement dont se prévaut le tiers est relatif à une obligation de résultat ?

Rien ne permet de se prononcer. Les termes employés par la Cour de cassation semblent relativement mesurés et ne n’excluent pas nécessairement toute assimilation entre manquement contractuel et faute délictuelle.

D’ailleurs, malgré la généralité du principe posé par l’Assemblée plénière en 2006, les tribunaux n’avaient pas systématisé le principe selon lequel une inexécution contractuelle constituait nécessairement une faute délictuelle (3). Bien au contraire, l’application du principe restait très limitée (4).

Une clarification apparait nécessaire, notamment au regard des enjeux assurantiels. Celle-ci pourrait être réalisée directement par le législateur dans le cadre d’une prochaine réforme du droit de la responsabilité civile.

Que dit le projet de réforme ?

Le Projet de réforme de la responsabilité civile prévoit d’encadrer le recours des tiers lorsqu’ils subissent un dommage du fait de l’inexécution d’un contrat.

Par principe, le tiers ne pourra demander réparation à l’une des parties au contrat, auteur du dommage, que sur le fondement de la responsabilité extracontractuelle. Il devra donc apporter la preuve d’une faute délictuelle, d’un dommage et un lien de causalité entre les deux (5). Cette faute délictuelle peut consister en la violation d’une prescription légale ou en un manquement au devoir général de prudence ou de diligence. Elle peut aussi résulter du fait des choses corporelles que l’on a sous sa garde (Projet, art. 1242 et 1243). Dans ce cas, la victime du dommage pourra obtenir l’entière réparation du préjudice subi.

Pour autant, le projet de réforme innove en prévoyant que certains tiers peuvent également agir en responsabilité contractuelle si un manquement contractuel leur a causé un dommage.

Seul le tiers ayant un intérêt légitime à la bonne exécution du contrat est concerné (Projet, art. 1234 al 2). Dans ce cas, les conditions et limites de la responsabilité qui s’appliquent dans les relations entre les contractants lui sont opposables. Le tiers devra donc établir un manquement contractuel. Pour autant, les clauses qui limitent la responsabilité d’un contractant à l’égard des tiers sont, dans ce cas, réputées non écrites, de sorte que le tiers semble pouvoir se prévaloir d’une réparation intégrale de son préjudice.

Ces propositions prennent en compte les résultats de la consultation publique menée, qui a permis de recueillir plus de cent contribution. Elles feront, en tout état de cause, l’objet d’un débat parlementaire, sous réserve qu’un projet de loi soit déposé par le nouveau gouvernement, comme l’appelait de ses vœux l’ancien Garde des Sceaux, Jean-Jacques Urvoas (6).

Recommandations

En conséquence, il est recommandé aux professionnels du secteur de l’Informatique de revoir leurs conditions générales de vente et de prestations de service. Les clauses limitatives ou exclusives de réparation doivent ainsi anticiper le risque d’action de tiers « intéressés » au contrat.

A titre d’exemple, ces clauses peuvent préqualifier en dommages indirects la réparation des dommages subis par des tiers au contrat, ou inclure des mécanismes de garanties. Bien que non opposables aux tiers au contrat, de telles clauses sont opposables au cocontractant, et pourraient limiter les actions récursoires des tiers.

Jean-François Forgeron
Sophie Duperray
Lexing Droit de l’Informatique

(1) Cass. 3e civ., 18-5-2017, n° 16-11203, Bull. civ. III.
(2) Cass., Ass. plén., 6-10-2006, n°05-13255.
(3) Dimitri Houtcieff, « Toute faute contractuelle n’est pas nécessairement délictuelle à l’égard des tiers », Recueil Dalloz 2017, p. 1225.
(4) A titre d’exemple : Cass. 1e civ., du 15-12-2011, n°10-17691 (le manquement d’un agent immobilier à son devoir de conseil envers son client ne constitue pas une faute quasi-délictuelle à l’égard de la banque, tiers au contrat).
(5) Projet de réforme de la responsabilité civile présenté le 13 mars 2017, par Jean-Jacques Urvoas, garde des sceaux, ministre de la Justice suite à la consultation publique menée d’avril à juillet 2016, art. 1234.




Cloud Computing et droit : retour sur une année d’actualité

Cloud Computing et droit : retour sur une année d'actualitéCloud Computing et droit : une année d’actualité avec Eric Le Quellenec et 3 collaborateurs du département Informatique conseil d’Alain Bensoussan Avocats Lexing®, Arthur Benchetrit, Daniel Korabelnikov.

La Revue Lamy Droit de l’Immatériel sort une étude très riche qui passe au crible l’ensemble des dispositions qui ont impactées les contrats de coud computing durant l’année qui s’est écoulée, de la réforme du droit des contrats, à la normalisation en passant par le règlement européen sur la protection des données personnelles.

Le contrat cloud est susceptible d’entrer dans le cercle très fermé des contrats nommés pour les prestations de cloud computing concernant des données personnelles, sous l’effet du règlement européen sur la protection des données personnelles (1).

Par ailleurs, les normes internationales, européennes ou nationales s’imposent peu à peu pour donner un référentiel commun aux offres cloud ; la multiplicité de ces normes et leur prise en compte très partielle par les principaux acteurs conduisant paradoxalement à un repli « souverainiste », ce dont la Commission européenne s’est déjà inquiété. Au vu de ces éléments, il est inutile de souligner le grand intérêt de la présente étude.

Revue Lamy Droit de l’Immatériel, Nº 138 – 1er juin 2017.

(1) Voir notre Post du 2-3-2017.




Contract management : fin de contrat et préavis raisonnable

préavis raisonnableLe contract manager doit être très précautionneux dans la fixation du préavis raisonnable pour rompre un contrat.

Le préavis raisonnable et suffisant est devenu en matière commerciale l’équivalent de ce qu’il peut être en matière de baux d’habitation ou de licenciement. Comme dans ces deux domaines, on assiste aujourd’hui à un contentieux de masse.

Préavis raisonnable : prescriptions légales et jurisprudentielles

L’article L.442-6, I, 5° du Code de commerce sanctionne la rupture brutale des relations commerciales établies entre professionnels, lorsqu’elle est prononcée « sans préavis écrit tenant compte de la durée de la relation commerciale et respectant la durée minimale de préavis déterminée, en référence aux usages du commerce, par des accords interprofessionnels ».

Sur le fondement de ces dispositions, les juridictions apprécient la durée du préavis qui aurait dû être raisonnablement respecté. En l’absence d’usage ou d’accord interprofessionnel, la durée du préavis raisonnable qui aurait dû être accordé est fixée en considérant deux critères définis par la jurisprudence : l’ancienneté des relations commerciales et le degré de dépendance économique (1).

Le principal préjudice réparé en cas de rupture brutale correspond à la marge brute (chiffre d’affaires moins coûts de revient directs) que la société aurait réalisé dans le cadre de la relation avec son partenaire, pendant la durée du préavis raisonnable qui aurait dû être respecté.

Préavis raisonnable : bonnes pratiques

L’analyse chiffrée et systématique de nombreuses décisions de justice (2) dans le domaine permet d’établir que la durée raisonnable d’un préavis est d’un mois par année d’ancienneté de la relation commerciale établie.

Le contract manager sera donc bien inspiré de confronter le texte de la clause « durée » ou « résiliation » d’un contrat à ces règles qu’il faut considérer comme étant d’ordre public. Car, en effet, si le contrat ne prévoit pas une durée de préavis raisonnable (exemple : 3 mois seulement alors que la relation avec un fournisseur existe depuis une douzaine d’années), alors il faudra dans le courrier de rupture appliquer non pas la lettre du contrat mais un préavis plus long (presque un an dans le cas précité).

Fort heureusement, les dispositions du Code de commerce ne font pas obstacle à une rupture pour faute si le cocontractant n’exécute pas correctement le contrat, ni même à l’application de période de préavis plus courte si la relation n’est pas « établie » mais bel et bien précaire (3). Pour le contract manager, la meilleure pratique semble être bien de ne pas installer dans les esprits et dans les faits une relation commerciale établie mais bien des rapports commerciaux soumis à réexamen régulier, aux moyens de clauses de benchmark et d’engagements à durée déterminée et lancement régulier d’appels d’offres.

Enfin, il semblerait qu’avec la réforme du droit des contrats, dans le cas de contrats d’adhésion (C. civ. 1171) (c’est-à-dire imposés par une partie sans négociation possible), le préavis trop court puisse être considéré comme porteur d’un déséquilibre significatif. Le juge pourrait écarter une telle clause et c’est bien un préavis raisonnable qu’il devrait appliquer. Cette analyse vaudrait alors non seulement entre commerçants mais aussi entre artisans, professionnels agricoles et libéraux ; autrement dit, autant de terrains sur lesquels le contract manager se devra d’être encore plus vigilant.

Eric Le Quellenec
Lexing Informatique Conseil

(1) Cass. com. 15-6-2010, n° 09-66761.
(2) Bertrand Thoré, L’indemnisation de la rupture brutale des relations commerciales, Alain-Bensoussan.com 08-06-2012.
(3) DGCCRF, Rupture des relations commerciales : menace de rupture et rupture brutale, Fiche pratique 30-1-2017.




Juristendances Informatique et Télécoms n°180-2017

Juristendances Informatique et Télécoms n°180-2017A retenir dans la Lettre Juristendances Informatique et Télécoms du mois de juin : nos petits-déjeuners à venir (Programmes et inscriptions).

A signaler également ce mois-ci la parution nos deux ouvrages Informatique Télécoms Internet (6e éd.), Ed. Francis Lefebvre 2017 et Droit des objets connectés et télécoms, Ed. Larcier (Collection Minilex).

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et télécoms figurent également :

ARTICLES JURISTENDANCES :

(…)

INTERVIEWS ET VIE DU CABINET

FORMATIONS :

Pour recevoir tous les mois notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et télécoms n°180, Juin 2017




Quelle marge de négociation pour le contrat cloud ?

Quelle marge de négociation pour le contrat Cloud ?

Eric Le Quellenec a été interrogé par le site ZDNet.fr sur la meilleure stratégie de négociation en matière de contrat cloud, souvent considéré comme contrat d’adhésion et sur lequel porte pourtant des contraintes réglementaires en matière de protection des données personnelles de plus en plus fortes.

De quelle marge de négociation contractuelle dispose une entreprise qui s’apprête à confier tout ou partie de ses données à un prestataire de cloud ? En principe aucune souligne Xavier Bizeul dans l’article qu’il consacre à la stratégie cloud, publié sur le site ZDNet.fr le 3 mai 2017, puisqu’ « A la base, un contrat cloud est un contrat d’adhésion », un contrat-type « à prendre ou à laisser ».

Toutefois, la situation évolue : « La pression concurrentielle aidant, indique le journaliste, les offreurs font du respect de normes telles que ISO 27001 et 27018 dédiées à la sécurisation des données un argument commercial ». La jurisprudence – et notamment un arrêt du Conseil d’Etat du 30 décembre 2015 rappelant le responsable de traitement de données à caractères personnelles à ses obligations (conclusion d’un contrat cloud et audit de sécurité, notamment) – a également modifié la donne.

Mais c’est surtout Règlement européen sur la protection des données à caractère personnel (RGPD) du 27 avril 2016, directement applicable dans tous les Etats membres le 25 mai 2018, qui va impacter la matière et modifier en profondeur les règles applicables à l’environnement digital des entreprises. Comme le souligne Eric Le Quellenec, avocat, directeur du département Informatique conseil du cabinet Lexing Alain Bensoussan Avocats, ce texte « indique tout ce qui doit se trouver dans un contrat cloud », et en particulier l’obligation faite au client d’informer son prestataire de la finalité du traitement et de la nature des données. Au sous-traitant de mettre en regard les ressources techniques et organisationnelles ad hoc pour en assurer la protection.

Le RGPD pose notamment comme principes la nécessité d’intégrer les concepts de protection des données personnelles dès la conception et par défaut, ainsi que prendre en compte le principe d’accountabiliy qui impose aux entreprises d’être en mesure de justifier de l’ensemble des dispositifs de contrôle et d’encadrement mis en place pour assurer la conformité.

Le RGPD introduit surtout une coresponsabilité de la sanction financière entre les parties sur laquelle peut jouer le contractant. Or, les sanctions financières encourues peuvent aller jusqu’à 4 % de son chiffre d’affaires mondial ou 20 millions d’euros.

Comme l’indique Xavier Bizeul, « une entreprise en position de force peut aussi inclure une clause audit » avant de tempérer : « Difficile à obtenir, elle peut être limitée à une visite annuelle du datacenter à date fixe ». A défaut, Eric Le Quellenec suggère de renforcer les pénalités financières en cas de manquement aux engagements qualité (SLA).

Interview d’Eric Le Quellenec pour ZDNet.fr « Que doit contenir un contrat cloud « idéal » ? », le 3 mai 2017

Eric Bonnet
Directeur du Département Communication juridique