Successfully reported this slideshow.

Checklist Contrat de Cloud Computing (version française - droit belge)

785 views

Published on

Checklist Contrat de Cloud Computing (version française - droit belge)

Published in: Law
  • Be the first to comment

  • Be the first to like this

Checklist Contrat de Cloud Computing (version française - droit belge)

  1. 1. Erkelens Law Rue des Chevaliers 24 box 1 – 1050 Bruxelles - Belgique Tel: +32 2 274 50 50 - Fax: +32 2 274 50 55 - www.erkelenslaw.com Checklist: Contrats de Cloud Computing 24 juillet 2017 | Version 1.6 Johan Vandendriessche | Partner Johan est spécialisé en en droit des nouvelles technologies de l’information et de la communication, vie privée et propriété intellectuelle. Il combine une excellente connaissance du secteur des technologies avec une expérience approfondie en matière de projets et acquisitions informatiques, d’outsourcing, de compliance et de protection des données et de la vie privée. Johan.Vandendriessche@erkelenslaw.com | +32 486 36 62 34 Isaure de Villenfagne | Junior Associate Isaure est spécialisée en droit des nouvelles technologies de l’information et de la communication. Son expertise couvre notamment le droit au respect de la vie privée et la protection des données, le commerce électronique et les contrats informatiques, ainsi que le droit de propriété intellectuelle. Isaure.de.Villenfagne@erkelenslaw.com | + 32 2 274 50 52 Introduction et instructions Cette checklist donne un aperçu général des problématiques rencontrées lors de la rédaction, de l’examen ou de la négociation de contrats de cloud computing. Pour rendre cette checklist applicable à toutes les formes de cloud computing, certaines problématiques liées à des services cloud spécifiques ont été omises. Le présent document ne peut donc pas être considéré comme exhaustif.
  2. 2. 2 • Général • Titre du contrat (le titre est seulement indicatif) • Identification des parties o Nom et forme juridique o Adresse, siège social o Numéro d’identification de la société (0xxx.xxx.xxx) (numéro de registre de commerce ou autre identifiant unique pour une société étrangère, si disponible) o Registre des personnes morales o Numéro de TVA (TVA BE0xxx.xxx.xxx) • Identification du signataire o Nom o Titre, qualité o Vérification du pouvoir de représentation • Préambule o Présentation des parties o Description du contexte et des objectifs des parties • Signature ou acceptation du contrat o Vérifier le mécanisme d’acceptation des conditions contractuelles : signature ou acceptation par un « click » ▪ Signature • Vérifier l’identité du signataire, la signature et la date • Signature d’autant d’exemplaires originaux que de parties (et mention du nombre d’originaux) • Vérifier la numérotation des pages (continue) • Paraphes ou initiales sur chaque page ne sont pas obligatoires, mais sont utiles (cela confirme que chaque page a été lue et acceptée et protège de tout échange) ▪ Acceptation par « click » • Mécanisme d’acceptation • Problèmes de preuve de l’acceptation • Définitions et interprétation • Définitions o Vérifier l’usage des définitions ▪ Toutes les définitions sont utilisées ▪ Tous les termes en majuscule sont utilisés correctement ▪ Éviter les références superflues ou circulaires entre les définitions o Définitions spécifiques ▪ Les définitions peuvent valablement déroger au sens usuel d’un mot (un mot peut donc se voir attribuer un autre sens en le définissant)
  3. 3. 3 o Références à des glossaires (par exemple : définitions ITIL) ▪ Vérifier l’exactitude de la référence (par exemple, la version du glossaire) • Règles d’interprétation • Hiérarchie des documents contractuels o Principes o Exceptions • Champ d’application du contrat • Description du périmètre du contrat o Modèle de déploiement du Cloud ▪ Cloud privé ▪ Cloud publique ▪ Cloud Hybride ▪ Cloud Communautaire o Services Cloud ▪ IaaS (Infrastructure as a service) ▪ PaaS (Platform as a service) ▪ SaaS (Software as a service) ▪ Certains fournisseurs de services Cloud (CSPs) donnent des descriptions additionnelles (ex. SECaas – Security as a service, BaaS – Back-up as a service, …) • Bénéficiaires (par exemple, un groupe de sociétés) ? o Détermination des bénéficiaires o Adhésion formelle de chaque bénéficiaire ? o Conditions spécifiques pour l’application multi-territoriale du contrat ? o Responsabilité séparée ou solidaire ? • Durée et fin du contrat • Durée du contrat o Date de signature ou date d’entrée en vigueur o Déterminée ou indéterminée o Conditions spécifiques pour les contrats-cadres et les commandes • Conditions suspensives / conditions résolutoires • Modalités de résolution / résiliation o Résiliation pour convenance ▪ Par le client • Indemnisation • Délai de préavis ▪ Par le fournisseur • Indemnisation • Délai de préavis
  4. 4. 4 o Résolution pour faute ▪ Par le client • Quelles causes ? • Quelles conditions ? • Quelles formalités ? ▪ Par le fournisseur • Quelles causes ? • Quelles conditions ? • Quelles formalités ? • Conséquences de la fin du contrat o En principe, pas d’impact sur les droits et acquisitions acquis avant la fin du contrat o Survie de certaines obligations ? o Restitution ou destruction des données du client o Assistance / re-transition ? ▪ Définie ? ▪ Paiement ? • Services • Description des services o Spécifications ? o Standards ? o Qualité des services • Nature des obligations o Obligations de moyens ▪ Moyens raisonnables ▪ Obligations de moyens renforcée ▪ Description spécifique des moyens à mettre en œuvre ? o Obligations de résultat o Règles d’interprétation spécifiques concernant la nature des obligations ? • Niveaux de service (SLA) o Terminologie ▪ Claire ? ▪ Référence à des définitions standard (ex. glossaire ITIL) ▪ Description claire et mesurable des indicateurs de qualité (‘KPI’) ▪ Périodes de référence (par jour, semaine, mois, etc.) o Nature des obligations de niveaux de services ▪ Obligations de moyens ▪ Obligations de résultats o Reporting ▪ Fréquence et forme ▪ Accès aux données sous-jacentes ? o Crédits de services ▪ Portée des crédits ▪ Compensation proactive ? ▪ ‘seule compensation’ ?
  5. 5. 5 • Utilisation des services o Limites imposées à l’usage des services o Usage interne aussi ? o Finalités ? o ‘Acceptable use policy’ ? (AUP) • Evolution des services (particulièrement important dans le cas du SaaS) • Support et maintenance ? o Intervalle o Modalités • Suspension des obligations (‘exceptio non adimpleti contractus’) o Unilatérale ou réciproque ? o Conditions ? ▪ Nature de la faute • Faute substantielle • Toute obligation ou certaines obligations seulement ? • Proportionnalité ? ▪ Formalités préalables ? • Avec ou sans mise en demeure ? • Délai de grâce ? o Explicitement exclue ? ▪ Si rien n’est mentionné, les principes du droit commun s’appliquent. o Impact financier ▪ Pas d’impact sur la facturation ? ▪ Coûts engendrés par la levée de la suspension ? • Prix et paiements • Fixation du prix o Coûts ponctuels (ex. configuration ou transition) o Coûts récurrents – comment sont-ils déterminés ? o Coûts pour des services additionnels : régie ou forfait ? • Taxes • Modalités de facturation o Mentions obligatoires (ex : numéro de commande) ? o Sanctions en cas d’information manquante ? o Facturation électronique • Modalités de paiement o Moyens de paiement o Délai o Sanctions en cas de retard de paiement ▪ Intérêts de retard ▪ Dommages et intérêts ▪ Suspension du contrat ? ▪ Formalités ?
  6. 6. 6 • Évolution des prix o Modification unilatérale par le fournisseur (avec option de résiliation) ? o Mécanisme de révision du prix (ex : indexation) ▪ Benchmarking (faisable en pratique ?) • Sécurité et confidentialité de l’information, données à caractère personnel • Confidentialité o Obligations de confidentialité et limitation des finalités pour lesquelles les informations confidentielles peuvent être utilisées o Obligation de sécurité o Notification en cas de faille de sécurité o Divulgation interne/externe des informations confidentielles o ‘Propriété’ des informations confidentielles • Obligations de sécurité spécifiques pour certaines informations/données ? • Protection des données à caractère personnel o Contrat écrit ou électronique o Description générale des activités de traitement des données ▪ Objet du traitement ▪ Durée du traitement ▪ Nature et finalité du traitement ▪ Type de données à caractère personnel et catégories des personnes concernées ▪ Obligations et droits du responsable du traitement o Limitation des traitements autorisés ▪ Instruction documentée du responsable du traitement • Exception : obligation légale de traiter les données à caractère personnel imposée au sous-traitant • Information préalable, sauf interdiction légale ▪ Obligation d’informer le responsable du traitement si le sous- traitant considère les instructions illégales (RGPD et autre législation relative à la protection des données) o Choix du sous-traitant ? o Limitations concernant la désignation de sous-sous-traitants ▪ Nécessité d’une autorisation spécifique écrite préalable ▪ Autorisation générale écrite • Obligation d’information (ajout ou remplacement de sous- sous-traitants) • Possibilité de s’opposer aux changements prévus o Conséquences ? ▪ Obligation de soumettre les sous-sous-traitants aux mêmes obligations que le sous-traitant initial (chaine contractuelle ininterrompue) o Obligations de sécurité o Mise en œuvre des obligations de confidentialité contractuelles ou légales vis-à-vis de toutes les personnes intervenant dans les activités de traitement
  7. 7. 7 o Mise en place des mesures adéquates pour assister le responsable du traitement dans l’exécution de son obligation de donner suite aux demandes des personnes concernées ▪ A titre gratuit ou sujet à rémunération ? o Assistance raisonnable au responsable du traitement en lien avec les obligations du responsable du traitement ▪ A titre gratuit ou sujet à rémunération ? o Obligation notification de toute violation de données à caractère personnel ▪ Notification au responsable du traitement ▪ Dans les meilleurs délais o Obligation de tenir et de donner accès au registre des activités de traitement o Transferts internationaux de données o Loi applicable aux traitements de données à caractère personnel ▪ Peut différer de la loi applicable au contrat ▪ Impact ? o ‘Propriété’ des données et obligations de restitution ▪ Choix du responsable du traitement : suppression ou restitution de toutes les données à caractère personnel ▪ Suppression de toutes les copies existantes, sauf obligation légale contraire o Audit ▪ Obligation de mettre à la disposition du responsable du traitement toutes informations nécessaires pour démontrer le respect du RGPD • A titre gratuit ou onéreux ? ▪ Obligation de contribuer à des audits du responsable du traitement ou des autorités de contrôle • A titre gratuite ou onéreux ? • Droits d’audit / obligations de certification o Droits d’audit ? ▪ Périmètre ▪ Récurrence ▪ Formalités ▪ Coûts o Certification ▪ Obligations de certification ? • Périmètre ? • Possibilité de vérification • Certificat ▪ Procédure de certification (audits de re-certification récurrents)
  8. 8. 8 • Responsabilité et assurances • Régime de responsabilité o Pas de clause de (limitation de) responsabilité = responsabilité illimitée o Unilatéral ou réciproque o Limitations identiques (ou non) pour les deux parties ? • Limitations de responsabilité o Nature des fautes o Montant des dommages o Nature des nommages • Exclusion des dommages indirects o Définition o Liste o Liste de dommages qualifiés de directs • Cas de responsabilité illimitée o Violation des obligations de confidentialité o Violation des droits intellectuels o Violation des obligations de protection des données personnelles o Autres ? • Période limitée pour introduire une plainte o Unilatérale ou bilatérale • Indemnisation pour les demandes et plaintes de tiers • Obligations d’assurance o Montant minimal ou montant « raisonnable » indéterminé o Exigences de qualité de la compagnie d’assurance o Preuve de la couverture (à première demande) o Notification de tout changement de la couverture d’assurance o Renonciation au recours de la compagnie d’assurance ? • Circonstances imprévisibles • Force majeure o Champ d’application ▪ Définition, liste ou référence au droit commun et la jurisprudence ? ▪ Notion large ou limitée o Obligation de notification o Possibilité de résiliation ▪ Délai ▪ Par quelle partie ? o Obligation de limiter les conséquences • Clause de ‘Hardship’
  9. 9. 9 • Garanties générales • Fournisseur o Aptitude à l’emploi prévu o Spécifications du client (documentées) o Spécifications ou standards juridiques / techniques o Conformité aux obligations fiscales et sociales (LIMOSA,…) o Conformité aux lois et règlements applicables o Propriété ou licence sur les outils et équipements utilisés pour fournir les services o Absence de code malveillant (virus, cheval de Troie, time-bomb...) o Limitations ou exclusions spécifiques ? • Client o Utilisation des services conformément aux lois applicables o Utilisation conforme aux attentes raisonnables o Utilisation conforme avec les politiques d’usage (Acceptable Use Policy) ▪ Contenu des politiques ? ▪ Compatibilité avec les obligations légales du client ? o Garanties relatives aux données personnelles o Absence de code malveillant • Sanctions o Réparation ▪ Devoir absolu ▪ Devoir relatif (‘substantiellement conforme’) o Remboursement o Résolution du contrat o ‘Seule compensation’ ou autres sanctions • Notifications • Forme • Langue • Destinataires • Règles de preuve ? • Clauses de style • Non-sollicitation o Unilatérale ou réciproque o Champ d’application o Durée o Indemnités o Exceptions ?
  10. 10. 10 • Clause de divisibilité o Conséquences si une clause est annulée ? o Obligation de négociation ? o Obligation de remplacement ? • Contrat personnel (intuitu personae) • Cession du contrat et sous-traitance o Autorisés ? o Formalités ? o Responsabilité solidaire o Régime spécifique pour les opérations intragroupe o Régime spécifique en cas de fusions / acquisitions • Publicité et références o Autorisées ? o Formalités o Usage des marques et logos • Capacité des parties • Clause ‘des 4 coins’ – intégralité de l’accord o Conditions générales ? o Documents précontractuels ? o La validité de ce type de clause dépend largement du droit applicable et des tribunaux compétents • Non-renonciation • Avenants • Résolution des litiges, droit applicable et juridictions compétentes • Résolution des litiges o Procédure ‘d’escalade’ des litiges o Possibilité d’introduire des actions en justice pendant une procédure (amiable) de résolution des litiges ? • Décision liante de tiers (problèmes financiers et/ou techniques) • Droit applicable • Juridictions compétentes o Tribunaux o Mode alternatifs de résolution des litiges ▪ Médiation ▪ Arbitrage Tous droits réservés. Vous êtes autorisés à lire, télécharger et copier cette checklist pour votre usage personnel et à la transmettre à des tiers gratuitement, à condition de ne pas y apporter de modifications. Cette checklist est rédigée à des fins d’information générale et ne constitue pas un conseil juridique. Soyez attentifs au fait que les lois, règlements et jurisprudences peuvent avoir changé depuis la date de publication.

×