NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS _EF
Correct misalignment Corrected by catherine.gentil on 10/8/2019 1:38:39 PM Original version Change languages order
NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS V1909103.docx (English)NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS V1909104.docx (French)
V.19-09103V.19-09103
Notes on the Main Issues of Cloud Computing Contracts (prepared by the secretariat of the United Nations Commission on International Trade Law, 2019)Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019)
PrefacePréface
UNCITRAL considered the topic of contractual aspects of cloud computing at its forty-seventh to fiftieth sessions, in 2014 to 2017, respectively, on the basis of proposals by Canada (A/CN.9/823 and A/CN.9/856), progress reports of Working Group IV (Electronic Commerce) and oral reports by the Secretariat.La Commission des Nations Unies pour le droit commercial international a examiné la question des aspects contractuels de l’informatique en nuage de sa quarante-septième à sa cinquantième session, tenues entre 2014 à 2017, en se fondant sur des propositions du Canada (A/CN.9/823 et A/CN.9/856), des rapports d’activité du Groupe de travail IV (Commerce électronique) et des rapports oraux du Secrétariat.
At those sessions, UNCITRAL requested the Secretariat and the Working Group to conduct preparatory work on the topic.À ces sessions, elle a prié le Secrétariat et le Groupe de travail de mener des travaux préparatoires sur le sujet.
The Working Group considered the topic in detail at its fifty-fifth session (New York, 24–28 April 2017) on the basis of a note by the Secretariat (A/CN.9/WG.IV/WP.142) and at its fifty-sixth session (New York, 16–20 April 2018) on the basis of a draft checklist on contractual aspects of cloud computing prepared with the input of experts, including during an expert group meeting convened by the Secretariat in Vienna on 20 and 21 November 2017 (A/CN.9/WG.IV/WP.148).Le Groupe de travail a examiné la question en détail à ses cinquante-cinquième (New York, 24-28 avril 2017) et cinquante-sixième sessions (New York, 16-20 avril 2018), en se fondant respectivement sur une note du Secrétariat (A/CN.9/WG.IV/ WP.142) et sur un projet de liste récapitulative sur les aspects contractuels de l’informatique en nuage établi avec le concours d’experts, notamment lors d’une réunion de groupe d’experts organisée par le Secrétariat à Vienne les 20 et 21 novembre 2017 (A/CN.9/WG.IV/WP.148).
Following its decision at its fifty-first session to review the draft notes on the main issues of cloud computing contracts prepared by the Secretariat before their publication, UNCITRAL, at its fifty-second session in 2019, approved the publication of the notes as amended at the session as Secretariat notes in the six official languages of the United Nations in the form of an online reference tool and a paper and electronic booklet.À la suite de la décision prise à sa cinquante et unième session d’examiner le projet d’aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage établi par le Secrétariat avant sa publication, la Commission a approuvé à sa cinquante-deuxième session, en 2019, la publication de l’aide-mémoire, tel que modifié durant la session, en tant qu’aide-mémoire du Secrétariat dans les six langues officielles de l’Organisation des Nations Unies, sous la forme d’un outil de référence en ligne et d’un livret papier et numérique.
This publication reproduces the Notes on the Main Issues of Cloud Computing Contracts as approved by UNCITRAL for publication in 2019.La présente publication reproduit l’Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage, tel qu’approuvé en 2019 par la Commission en vue de sa publication.
IntroductionIntroduction
1.1.
The present Notes address the main issues of cloud computing contracts between business entities where one party (the provider) provides to the other party (the customer) one or more cloud computing services for end use.Le présent aide-mémoire aborde les principales questions liées aux contrats d’informatique en nuage conclus entre des entités commerciales dans lesquels une partie (le fournisseur) fournit à l’autre partie (le client) un ou plusieurs services d’informatique en nuage à des fins d’utilisation finale.
Contracts for resale or other forms of further distribution of cloud computing services are excluded from the scope of the Notes. Also excluded from the scope of the Notes are contracts with cloud computing service partners and other third parties that may be involved in the provision of cloud computing services to the customer (e.g., contracts with subcontractors and Internet service providers).Les contrats prévoyant la revente ou d’autres formes de redistribution de ces services sont exclus de la portée de l’aide-mémoire, de même que les contrats conclus avec des partenaires de services d’informatique en nuage ou d’autres tiers qui peuvent participer à la fourniture de ces services au client (par exemple, contrats passés avec des sous-traitants ou des fournisseurs de services Internet).
2.2.
Cloud computing contracts may be qualified under the applicable law as a service, rental, outsourcing, licensing, mixed or other type of contract.Selon la loi applicable, les contrats d’informatique en nuage pourront être qualifiés de contrat de service, de location, de sous-traitance, de licence, de contrat mixte ou autre.
Statutory requirements as regards its form and content may vary accordingly.Les exigences légales relatives à la forme et au contenu de ces contrats peuvent varier en conséquence.
In some jurisdictions, parties themselves may qualify their contract as a contract of a particular type if legislation is silent or vague on that issue;Dans certains pays, les parties peuvent elles-mêmes qualifier le type de leur contrat, lorsque la législation est muette ou reste vague à ce sujet.
the court would take such qualification into account in interpreting the terms of the contract unless this would contradict the law, court practice, the actual intention of the parties, the factual situation or business customs or practices.Les tribunaux tiendraient compte de cette qualification pour interpréter les termes du contrat, à moins que cela ne soit contraire à la législation, à la pratique judiciaire, à la véritable intention des parties, à la situation de fait ou aux coutumes ou pratiques commerciales.
3.3.
These Notes address issues that may arise from cloud computing contracts regardless of the type of cloud computing services (e.g., infrastructure as a service (IaaS), platform as a service (PaaS) or software as a service (SaaS)), their deployment model (e.g., public, community, private or hybrid) and payment terms (with or without remuneration).Le présent aide-mémoire aborde des questions qui peuvent se poser en relation avec des contrats d’informatique en nuage, indépendamment du type de services d’informatique en nuage (par exemple, infrastructure en tant que service (IaaS), plateforme en tant que service (PaaS) ou logiciel en tant que service (SaaS)), du modèle de déploiement (par exemple, public, communautaire, privé ou hybride) et des conditions de paiement (contre ou sans rémunération).
The primary focus of the Notes is on contracts for the provision of public SaaS-type cloud computing services for remuneration.L’aide-mémoire met avant tout l’accent sur les contrats d’informatique en nuage publics de type SaaS prévoyant une rémunération.
4.4.
The ability to negotiate cloud computing contract clauses would depend on many factors, in particular on whether the contract involves standardized commoditized multi-subscriber cloud solutions or an individual tailor-made solution, whether a choice of competing offers exists, and on the bargaining positions of the potential parties.La capacité de négocier des clauses contractuelles d’informatique en nuage dépendra de nombreux facteurs, en particulier de la question de savoir si le contrat prévoit des solutions d’informatique en nuage normalisées pour multiabonnés ou des solutions individuelles sur mesure, de l’existence ou non d’offres concurrentes, et du pouvoir de négociation des éventuelles parties.
The ability to negotiate the terms of a contract, in particular clauses on unilateral suspension, termination or modification of the contract by the provider, as well as liability clauses, may be an important factor in choosing the provider where the choice exists. Although prepared primarily for parties negotiating a cloud computing contract, the Notes may also be useful for customers reviewing standard terms offered by providers to determine whether those terms sufficiently address the customer’s needs.La capacité de négocier les termes d’un contrat, en particulier les clauses relatives à la suspension, à la résiliation ou à la modification unilatérale du contrat par le fournisseur, ainsi que les clauses de responsabilité, peut représenter un facteur important dans le choix d’un fournisseur, lorsqu’un tel choix existe. S’il a été établi principalement à l’intention des parties négociant un contrat d’informatique en nuage, l’aide-mémoire pourrait aussi être utile aux clients qui examinent les conditions générales proposées par des fournisseurs pour déterminer si elles correspondent véritablement à leurs besoins.
5.5.
The Notes should not be regarded as an exhaustive source of information on drafting cloud computing contracts or as a substitute for obtaining any legal and technical advice and services of professional advisers.L’aide-mémoire ne devrait pas être considéré comme une source exhaustive d’informations pour la rédaction de contrats d’informatique en nuage, ni comme un substitut à l’obtention de conseils et de services juridiques et techniques auprès de conseillers professionnels.
The Notes suggest issues for consideration by potential parties before and during contract drafting, including shared responsibility for security measures, without intending to convey that all of those issues must always be considered.Il vise plutôt à présenter les aspects que d’éventuelles parties devraient prendre en considération avant et pendant la rédaction d’un contrat, notamment la responsabilité partagée pour ce qui concerne les mesures de sécurité, sans toutefois donner à entendre que l’ensemble de ces aspects doit systématiquement être examiné.
The various solutions discussed in the Notes will not govern the relationship between the parties unless they expressly agree upon such solutions, or unless the solutions result from provisions of the applicable law.Les différentes solutions proposées dans l’aide-mémoire ne régiront pas la relation entre les parties, à moins que celles-ci n’en conviennent expressément, ou que ces solutions ne résultent de dispositions de la loi applicable.
Headings and subheadings used in the Notes and their sequence are not to be regarded as mandatory or as suggesting any preferred structure or style for a cloud computing contract.Le libellé, ainsi que l’ordre dans lequel apparaissent les titres et sous-titres utilisés dans l’aide-mémoire, ne doivent pas être considérés comme étant obligatoires, ni comme indiquant une préférence de structure ou de style pour les contrats d’informatique en nuage.
The form, content, style and structure of cloud computing contracts may vary significantly, reflecting various legal traditions, drafting styles, legal requirements and parties’ needs and preferences.La forme, le contenu, le style et la structure des contrats d’informatique en nuage peuvent sensiblement varier en fonction des traditions juridiques, des styles rédactionnels, des exigences légales et des besoins et préférences des parties.
6.6.
Lastly, the Notes are not intended to express the position of the United Nations Commission on International Trade Law (UNCITRAL) or its secretariat on the desirability of concluding cloud computing contracts.Enfin, l’aide-mémoire n’entend pas refléter une quelconque position de la Commission des Nations Unies pour le droit commercial international (CNUDCI), ou de son secrétariat, en ce qui concerne l’opportunité de conclure des contrats d’informatique en nuage.
7.7.
The Notes consist of two parts and a glossary: part one addresses the main pre-contractual aspects that potential parties may wish to consider before entering into a cloud computing contract;L’aide-mémoire se présente en deux parties, suivies d’un glossaire. La première partie porte sur les principaux aspects précontractuels que les parties voudront peut-être examiner avant de conclure un contrat d’informatique en nuage.
part two addresses the main contractual issues that negotiating parties may face while drafting a cloud computing contract;La seconde porte sur les principales difficultés contractuelles que les parties peuvent rencontrer lorsqu’elles rédigent un tel contrat.
and the glossary describes some technical terms used in the checklist, to facilitate understanding.Quant au glossaire, il décrit certains termes techniques utilisés dans l’aide-mémoire afin d’en faciliter la compréhension.
Part One.Première partie.
Main pre-contractual aspectsPrincipaux aspects précontractuels
A.A.
Verification of mandatory law and other requirementsVérification des dispositions de droit impératif et autres exigences
8.8.
The legal framework applicable to the customer, the provider or both may impose conditions for entering into a cloud computing contract.Le cadre juridique applicable aux clients, aux fournisseurs ou aux uns et aux autres peut imposer des conditions pour la conclusion d’un contrat d’informatique en nuage.
Such conditions may also stem from contractual commitments, including intellectual property (IP) licences.Ces conditions peuvent aussi provenir d’engagements contractuels, comme des licences de propriété intellectuelle.
The parties should in particular be aware of laws and regulations related to personal data, consumer protection, cybersecurity, export control, customs, tax, trade secrets, IP-specific and sector-specific regulation that may be applicable to them and their future contract.Les parties devraient en particulier avoir connaissance des lois et règlements relatifs aux données personnelles, à la protection des consommateurs, à la cybersécurité, au contrôle des exportations, aux douanes, aux impôts et aux secrets commerciaux, ainsi que des règlements relatifs à la propriété intellectuelle et des règlements sectoriels qui peuvent leur être applicables, ainsi qu’à tout contrat qu’elles pourront conclure.
Non-compliance with mandatory requirements may have significant negative consequences, including invalidity or unenforceability of a contract or part thereof, administrative fines and criminal liability.La non-observation de conditions impératives peut avoir de graves conséquences, comme la nullité ou le caractère non-exécutoire de tout ou partie d’un contrat, des pénalités administratives ou la responsabilité pénale.
9.9.
Conditions for entering into a cloud computing contract may vary by sector and jurisdiction.Les conditions de conclusion d’un contrat d’informatique en nuage peuvent varier selon le secteur et le pays concernés.
They may include requirements to take special measures for the protection of data subjects’ rights, to deploy a particular model (e.g., private cloud as opposed to public cloud), to encrypt data placed in the cloud and to register with State authorities a transaction or a software used in the processing of personal data.Elles peuvent notamment concerner l’obligation de prendre des mesures spéciales pour assurer la protection des droits des sujets de données, de déployer un modèle particulier (par exemple, nuage privé plutôt que public), de chiffrer les données placées dans le nuage et d’enregistrer auprès des autorités publiques une transaction ou un logiciel utilisé dans le traitement de données personnelles.
They may also include data localization requirements, as well as requirements regarding the provider.Elles peuvent aussi comprendre des exigences en matière de localisation des données, ainsi que des exigences concernant le fournisseur.
Data localizationLocalisation des données
10.10.
Data localization requirements may arise in particular from the law applicable to personal data, accounting data, as well as public sector data and export control laws and regulations that may restrict the transfer of certain information or software to or from particular countries or a region.Les exigences en matière de localisation des données peuvent en particulier découler de la loi applicable aux données personnelles, aux données comptables et aux données du secteur public, de la législation sur le contrôle des exportations et des règlements susceptibles de limiter le transfert de certains logiciels ou informations en provenance ou à destination de certains pays ou régions.
Compliance with data localization requirements set forth in the applicable law would be of paramount importance for the parties.Il est essentiel, pour les parties, de se conformer aux exigences en matière de localisation des données énoncées dans la loi applicable.
The contract would not be able to override those requirements.Le contrat ne pourra pas ne pas en tenir compte.
11.11.
Data localization requirements may also arise from contractual commitments (e.g., IP licences that require the licensed content to be stored on the user’s own secured servers).Les exigences en matière de localisation des données peuvent aussi découler d’engagements contractuels (par exemple de licences de propriété intellectuelle prévoyant que le contenu sous licence soit stocké sur les serveurs sécurisés de l’utilisateur).
Data localization may be preferred for purely practical reasons, for example to reduce latency, which may be especially important for real-time operations, such as stock exchange trading.La localisation des données peut en outre être privilégiée à des fins purement pratiques, par exemple pour diminuer le temps de latence, ce qui est surtout important pour les opérations en temps réel comme le négoce en bourse.
(On contractual data localization safeguards, see part two, paras. 74–75 and 78.)(En ce qui concerne les garanties contractuelles relatives à la localisation des données, voir deuxième partie, par. 74, 75 et 78).
Choice of a contracting partyChoix d’une partie contractante
12.12.
The choice of a contracting party may be restricted, in addition to market conditions, by statutory requirements.Le choix d’une partie contractante peut être limité non seulement par les conditions du marché mais également par des exigences légales.
There may be a statutory prohibition on entering into a cloud computing contract with foreign persons, persons from certain jurisdictions or persons not accredited/certified with competent State authorities.Ainsi, la législation peut interdire de conclure un contrat d’informatique en nuage avec des personnes étrangères, des ressortissants de certains pays ou des personnes non accréditées/certifiées auprès des autorités publiques compétentes.
There may be a requirement for a foreign person to form a joint venture with a national entity or to acquire local licenses and permissions, including export control permissions, for the provision of cloud computing services in a particular jurisdiction.Elle peut exiger qu’une personne étrangère crée une coentreprise avec une entité nationale ou acquière des licences et autorisations locales, y compris des autorisations d’exportation, pour fournir des services d’informatique en nuage dans un pays donné.
Data localization requirements (see paras. 10–11 above) as well as statutory obligations on either party to disclose or provide access to the data and other content to foreign State authorities may also influence the choice of a contracting party.Le choix d’une partie contractante peut aussi être influencé par les exigences en matière de localisation des données (voir par. 10 et 11 ci-avant), ainsi que par les obligations légales qui imposent à chaque partie de communiquer des données et autres contenus, ou de donner accès à ceux-ci, aux autorités publiques d’autres États.
B.B.
Pre-contractual risk assessmentÉvaluation précontractuelle des risques
13.13.
The applicable mandatory law may require a risk assessment as a precondition to entering into a cloud computing contract.Les dispositions de droit impératif peuvent exiger qu’il soit procédé à une évaluation des risques avant la conclusion d’un contrat d’informatique en nuage.
Even in the absence of statutory requirements, the parties may decide to undertake a risk assessment that might help them to identify risk mitigation strategies, including the negotiation of appropriate contractual clauses.Même en l’absence d’exigences légales, les parties peuvent décider de procéder à une telle évaluation en vue de définir une stratégie de réduction des risques, y compris la négociation de clauses contractuelles adéquates.
14.14.
Not all risks arising from cloud computing contracts would be cloud-specific.Tous les risques inhérents à un contrat d’informatique en nuage ne sont pas spécifiquement liés au nuage.
Some risks would be handled outside a cloud computing contract (e.g., risks arising from online connectivity interruptions) and not all risks could be mitigated at an acceptable cost (e.g., reputational damage).Certains seront abordés en dehors d’un contrat d’informatique en nuage (par exemple, les risques liés à une interruption de la connectivité en ligne) et tous ne pourront pas être limités à un coût acceptable (par exemple, une atteinte à la réputation).
In addition, risk assessment would not be a one-off event before concluding a contract.De plus, l’évaluation des risques ne se résume pas à une étape unique avant la conclusion d’un contrat.
Risk assessment could be ongoing throughout the duration of the contract, and risk assessment outcomes may necessitate amendment or termination of the contract.Elle peut se poursuivre pendant la durée d’existence du contrat, et ses résultats peuvent entraîner la modification, voire la résiliation du contrat.
Verification of information about a specific cloud computing service and a selected contracting partyVérification des informations relatives à un service d’informatique en nuage particulier et à la partie contractante sélectionnée
15.15.
The following information may be relevant to the parties when they consider employing a specific cloud computing service and selecting a contracting party:Les informations suivantes peuvent être pertinentes pour les parties lorsqu’elles envisagent de recourir à un service d’informatique en nuage particulier et de sélectionner une partie contractante :
(a)a)
IP licenses required for using a specific cloud computing service;Les licences de propriété intellectuelle requises pour utiliser un service d’informatique en nuage particulier ;
(b)b)
The privacy, confidentiality and security policies in place, in particular as regards prevention of unauthorized access, use, alteration or destruction of the data during processing, transit or transfer using the cloud computing infrastructure;La politique existante en matière de protection de l’information, de confidentialité et de sécurité, en particulier en ce qui concerne la prévention des accès non autorisés, l’utilisation, l’altération ou la destruction des données pendant leur traitement, leur transit ou leur transfert au moyen de l’infrastructure d’informatique en nuage ;
(c)c)
Measures in place to ensure the ongoing access to metadata, audit trails and other logs demonstrating security measures;Les mesures mises en place pour assurer l’accès continu aux métadonnées, aux journaux d’audit et à d’autres journaux attestant des mesures de sécurité ;
(d)d)
The existing disaster recovery plan and notification obligations in the case of a security breach or system malfunction;Le plan existant de reprise après sinistre et les obligations de notification en cas d’atteinte à la sécurité ou de dysfonctionnement du système ;
(e)e)
Policies in place as regards migration-to-the-cloud and end-of-service assistance as well as interoperability and portability;Les politiques adoptées en ce qui concerne la migration vers le nuage et l’assistance à la fin du contrat, ainsi que l’interopérabilité et la portabilité ;
(f)f)
The existing measures for vetting and training of employees, subcontractors and other third parties involved in the provision of the cloud computing services;Les mesures existantes pour effectuer des vérifications au sujet des employés, sous-traitants et autres tiers impliqués dans la fourniture des services d’informatique en nuage, ainsi que les former ;
(g)g)
Statistics on security incidents and information about past performance with disaster recovery procedures;Des statistiques relatives aux incidents de sécurité et des informations relatives aux expériences faites avec les procédures de reprise après sinistre ;
(h)h)
Certification by an independent third party on compliance with technical standards;La certification de conformité aux normes techniques par un tiers indépendant ;
(i)i)
Information indicating regularity and extent of audit by an independent body;Des informations concernant la régularité et la portée des audits effectués par un organe indépendant ;
(j)j)
Financial viability;La viabilité financière ;
(k)k)
Insurance policies;Les polices d’assurance ;
(l)l)
Possible conflicts of interest;D’éventuels conflits d’intérêts ;
(m)m)
Extent of subcontracting and layered cloud computing services;Le volume de la sous-traitance et des services d’informatique en nuage en couches ;
(n)n)
Extent of isolation of data and other content in the cloud computing infrastructure;La mesure dans laquelle est assuré l’isolement des données et autres contenus dans l’infrastructure d’informatique en nuage ;
andet
(o)o)
Expected reciprocal roles and shared responsibilities of the parties for security measures.Les attentes en matière de réciprocité et de responsabilités partagées en ce qui concerne les mesures de sécurité.
IP infringement risksRisques d’atteinte à la propriété intellectuelle
16.16.
IP infringement risks may arise if, for example, the provider is not the owner or developer of the resources that it provides to its customers, but rather uses them under an IP licence arrangement with a third party.Il peut exister des risques d’atteinte à la propriété intellectuelle lorsque, par exemple, le fournisseur n’est ni le propriétaire ni le concepteur des ressources fournies à ses clients, qu’il utilise en vertu d’un contrat de licence de propriété intellectuelle conclu avec un tiers.
IP infringement risks may also arise if the customer is required, for the implementation of the contract, to grant to the provider a licence to use the content that the customer intends to place in the cloud.De tels risques peuvent aussi survenir lorsque le client est tenu, pour l’exécution du contrat, d’octroyer au fournisseur une licence d’utilisation du contenu qu’il souhaite placer dans le nuage.
In some jurisdictions, storage of the content on the cloud even for backup purposes may be qualified as a reproduction and require prior authorization from the IP rights owner.Dans certains pays, le stockage de contenu dans le nuage, même à des fins de sauvegarde, peut être qualifié de reproduction et exiger une autorisation préalable du propriétaire des droits de propriété intellectuelle.
17.17.
It is in the interests of both parties to ensure before the conclusion of the contract that the use of the cloud computing services would not constitute an infringement of IP rights and a cause for the revocation of the IP licences granted to either of them.Il est de l’intérêt des deux parties de s’assurer, avant la conclusion du contrat, que l’utilisation des services d’informatique en nuage ne portera pas atteinte aux droits de propriété intellectuelle et ne constituera pas un motif de retrait des licences de propriété intellectuelle qui leur auront été accordées.
Costs of IP infringement may be very high.Le coût d’une atteinte à la propriété intellectuelle peut être très élevé.
The right to sublicense may need to be arranged, or a direct licence arrangement may need to be concluded with the relevant third-party licensor under which the right to manage the licences will be granted.Il faudra peut-être prévoir le droit de conclure une sous-licence, ou envisager une licence directe avec le donneur de licence concerné, qui conférera le droit de gestion des licences.
The use of open source software or other content may necessitate obtaining an advance consent from third parties and disclosing the source code with any modifications made to open source software or other content.Pour pouvoir utiliser des logiciels ou autres contenus libres, il peut être nécessaire d’obtenir au préalable le consentement des tiers concernés et de révéler le code source avec toute modification apportée au logiciel ou autre contenu libre.
Risks to data security, integrity, confidentiality and privacyRisques en matière de sécurité, d’intégrité, de confidentialité et de protection des données
18.18.
Migration of all or part of data to the cloud leads to the customer’s loss of exclusive control over that data and of the ability to deploy the necessary measures to guarantee data integrity and confidentiality or to verify whether data processing and retention are being handled adequately.Avec la migration de tout ou partie de ses données vers le nuage, le client perd le contrôle exclusif sur ces données et sa capacité de déployer les mesures nécessaires pour garantir leur intégrité et leur confidentialité, ou pour vérifier si elles sont traitées et conservées de manière adéquate.
The extent of the loss of control will depend on the type of cloud computing service.La portée de cette perte de contrôle dépend du type de service d’informatique en nuage concerné.
19.19.
Inherent features of cloud computing services such as broad network access, multi-tenancy and resource pooling may require from the parties more precautions to prevent interception of communications and other cyberattacks that may lead to the loss or compromise of credentials for access to cloud computing services, data loss and other security breaches.En raison de certaines caractéristiques inhérentes aux services d’informatique en nuage, comme le large accès via le réseau, l’architecture multilocataire et la mutualisation des ressources, les parties pourront devoir prendre plus de précautions pour empêcher l’interception des communications et autres cyberattaques, qui peuvent entraîner la perte ou la compromission des identifiants permettant d’accéder aux services d’informatique en nuage, une perte de données et d’autres atteintes à la sécurité.
Adequate isolation of resources and data segregation and robust security procedures are especially important in a shared environment such as cloud computing.Des mesures adéquates d’isolement des ressources et de ségrégation des données, ainsi que des procédures de sécurité efficaces sont particulièrement importantes dans un environnement partagé comme l’informatique en nuage.
20.20.
Security measures will be the shared responsibility of the parties in the cloud computing environment regardless of the type of cloud computing services employed. Pre-contractual risk assessment provides a good opportunity for the parties to eliminate any ambiguity in defining their roles and responsibilities related to data security, integrity, confidentiality and privacy.Dans un environnement d’informatique en nuage, les mesures de sécurité sont la responsabilité partagée des parties, indépendamment du type de services utilisés. L’évaluation précontractuelle des risques est l’occasion pour les parties de définir, sans aucune ambiguïté, leurs rôles et responsabilités en ce qui concerne la sécurité, l’intégrité, la confidentialité et la protection des données.
Contractual clauses will play an important role in reflecting the agreement of the parties on the mutual allocation of risks and liabilities related to those and other aspects of the provision of cloud computing services (see part two, paras. 125–137).Les clauses contractuelles jouent un rôle important en ce qu’elles traduisent l’accord des parties au sujet de la répartition mutuelle des risques et des responsabilités liés à ces aspects, et à d’autres aspects de la fourniture de services d’informatique en nuage (voir deuxième partie, par. 125 à 137).
Those clauses will not be able to override mandatory provisions of law.Ces clauses ne sauraient toutefois primer sur les règles de droit impératives.
Penetration tests, audits and site visitsTests d’intrusion, audits et inspections physiques
21.21.
Steps may be taken at the pre-contractual stage to verify the adequacy of isolation of resources, data segregation, identification procedures and other security measures.Des mesures peuvent être prises au stade précontractuel pour vérifier si l’isolement des ressources, la ségrégation des données, les procédures d’identification et les autres mesures de sécurité sont adéquats.
They should aim at identifying possible additional precautions that may need to be taken by the parties to prevent data security breaches and other malfunctions in the provision of the cloud computing services to the customer.Ces vérifications devraient viser à déterminer si les parties doivent prendre des précautions supplémentaires pour prévenir les atteintes à la sécurité des données et d’autres dysfonctionnements dans la fourniture des services d’informatique en nuage au client.
22.22.
Laws and regulations may require audits, penetration tests and physical inspection of data centres involved in the provision of the cloud computing services, in particular to ascertain that their location complies with statutory data localization requirements (see paras. 10–11 above).Les lois et règlements peuvent exiger la tenue d’audits, de tests d’intrusion et l’inspection physique des centres de données impliqués dans la fourniture des services d’informatique en nuage, afin en particulier de déterminer si leur emplacement satisfait bien aux exigences légales en matière de localisation des données (voir par. 10 et 11 ci-dessus).
The parties would need to agree on conditions for undertaking those activities, including their timing, allocation of costs and indemnification for any possible damage caused by those activities.Les parties devront convenir des conditions relatives à ces vérifications, notamment en ce qui concerne le moment où elles seront entreprises, la répartition des coûts et l’indemnisation si elles provoquaient des dommages.
Lock-in risksRisques de verrouillage
23.23.
Avoiding or reducing lock-in risks, often arising from the lack of interoperability and portability, may be one of the most important considerations for the parties.La capacité d’éviter ou de réduire les risques de verrouillage, qui sont souvent liés au manque d’interopérabilité et de portabilité, est peut-être l’une des considérations les plus importantes pour les parties.
Higher lock-in risks may arise from long-term contracts and from automatically renewable short- and medium-term contracts.Ces risques pourront être plus importants avec des contrats à long terme ou avec des contrats à court ou moyen terme automatiquement renouvelables.
24.24.
Risks of application and data lock-ins are especially high in SaaS and PaaS.Les risques de verrouillage des applications et des données sont particulièrement élevés pour les modèles SaaS et PaaS.
Data may exist in formats specific to one cloud system that will not be usable in other systems.Les données peuvent exister dans des formats spécifiques à un système d’informatique en nuage, qui ne seront pas utilisables dans d’autres systèmes.
In addition, a proprietary application or system used to organize data may require adjustment of licensing terms to allow operation in a different network.De plus, l’utilisation d’une application ou d’un système propriétaire pour l’organisation des données pourra nécessiter que l’on ajuste les conditions de licence pour permettre l’exploitation dans un autre réseau.
Programs to interact with the application programming interfaces (API) may need to be rewritten to take into account the new system’s API.Il pourra être nécessaire de réécrire les programmes d’interaction avec les interfaces de programmation d’applications (API) pour tenir compte de l’API du nouveau système.
High switching costs may also arise from the need to retrain end users.La mise à niveau des connaissances des utilisateurs finaux peut aussi s’avérer coûteuse.
25.25.
In PaaS, there could also be runtime lock-in since runtimes (i.e., software designed to support the execution of computer programs written in a specific programming language) are often heavily customized (e.g., aspects such as allocating or freeing memory, debugging, etc.).Dans le modèle PaaS, il y a aussi des risques de verrouillage des logiciels d’exécution puisque ces derniers (à savoir les logiciels conçus pour permettre l’exécution de programmes informatiques écrits dans un langage de programmation spécifique) sont souvent fortement personnalisés (par exemple, pour des aspects tels que l’allocation ou la libération de mémoire, le débogage, etc.).
In IaaS, lock-in varies depending on the specific infrastructure services consumed.Dans le modèle IaaS, les risques de verrouillage varient en fonction des services d’infrastructure consommés.
Like in PaaS, some infrastructure services may lead to application lock-in if the service depends on specific policy features (e.g., access controls).Tout comme dans le modèle PaaS, certains services d’infrastructure peuvent entraîner le verrouillage des applications si le service dépend de certaines caractéristiques de la politique du fournisseur (par exemple, les contrôles d’accès).
Some infrastructure services may also lead to data lock-in if more data are moved to the cloud for storage.D’autres services d’infrastructure peuvent aussi entraîner le verrouillage des données si des données supplémentaires sont déplacées vers le nuage à des fins de stockage.
26.26.
At the pre-contractual stage, tests could be run to verify whether data and other content can be exported to another system and made usable there.Au stade précontractuel, il est possible d’effectuer des essais pour vérifier si les données et autres contenus peuvent être exportés vers un autre système et y être utilisés.
Synchronization between cloud and in-house platforms and replication of data elsewhere may be needed.Il peut être nécessaire d’assurer la synchronisation entre le nuage et les plateformes internes et la reproduction des données en un autre lieu.
Transacting with more than one party and opting for a combination of various types of cloud computing services and their deployment models (i.e., multi-sourcing), although possibly with cost and other implications, may be an important part of the mitigating strategy against lock-in risks.La négociation avec plusieurs parties et le choix d’une combinaison de divers types de services d’informatique en nuage, avec leur propre modèle de déploiement (par exemple, sources d’approvisionnement multiples), peuvent être des éléments clefs de la stratégie visant à atténuer les risques de verrouillage, même s’ils peuvent entraîner des coûts et d’autres conséquences.
Contractual clauses may also assist with mitigating lock-in risks (see part two, in particular, paras. 84–86 and 144).Les clauses contractuelles peuvent aussi contribuer à limiter ces risques (voir deuxième partie, en particulier par. 84, 86 et 144).
Business continuity risksRisques concernant la continuité des opérations
27.27.
The parties may be concerned about business continuity risks not only in anticipation of the scheduled termination of the contract, but also of its possible unilateral suspension or earlier termination, including when either party may no longer be in business.Les parties pourront se préoccuper de la continuité des opérations en relation non seulement avec la fin programmée du contrat, mais aussi une éventuelle suspension unilatérale ou résiliation anticipée, notamment si l’une ou l’autre partie cesse ses activités.
The law may require putting in place in advance an appropriate strategy to ensure business continuity, in particular in order to avoid the negative impact of termination or suspension of the cloud computing services on end users. Contractual clauses may also assist with mitigating business continuity risks (see part two, paras. 109-111, 114–115, 153, 173 and 182).La législation pourra exiger la mise au point, en amont, d’une stratégie appropriée pour assurer la continuité des opérations, et notamment pour éviter les incidences négatives de la cessation ou de la suspension des services sur les utilisateurs finaux. L’élaboration de clauses contractuelles pourra aussi contribuer à limiter les risques en la matière (voir deuxième partie, par. 109 à 111, 114 et 115, 153, 173 et 182).
Exit strategiesStratégies de retrait
28.28.
For successful exit strategies, parties may need to clarify from the outset: (a) the content that will be subject to exit (e.g., only the data that the customer entered in the cloud or also cloud service-derived data);Pour garantir le succès de la stratégie de retrait, les parties pourront devoir déterminer dès le début : a) le contenu à retirer (par exemple, uniquement les données que le client aura entrées dans le nuage ou aussi les données dérivées des services en nuage) ;
(b) any amendments that would be required to IP licenses to enable the use of that content in another system;b) les modifications qu’il conviendra d’apporter aux licences de propriété intellectuelle pour pouvoir continuer d’utiliser ledit contenu dans un autre système ;
(c) control of decryption keys and access to them;c) le contrôle des clefs de déchiffrement et l’accès à ces dernières ;
and (d) the time period required to complete the exit.et d) le délai requis pour achever le retrait.
End-of-service contractual clauses usually reflect the agreement of the parties on those issues (see part two, paras. 157–167).Les clauses contractuelles relatives à la fin du contrat traduisent généralement l’accord des parties sur ces points (voir deuxième partie, par. 157 à 167).
C.C.
Other pre-contractual issuesAutres questions précontractuelles
Disclosure of informationObligations d’information
29.29.
The applicable law may require the parties to a contract to provide to each other information that would allow them to make an informed choice about the conclusion of the contract. The absence, or the lack of clear communication to the other party, of information necessary to make the object of the obligation determined or determinable prior to contract conclusion may make a contract or part thereof null and void or entitle the aggrieved party to claim damages.La loi applicable peut exiger des parties à un contrat qu’elles se fournissent mutuellement les informations nécessaires pour décider en toute connaissance de cause si elles souhaitent ou non conclure ledit contrat. L’absence de communication, ou en tout cas de communication claire, à l’autre partie des informations indispensables pour satisfaire à cette obligation avant la conclusion d’un contrat peut entraîner la nullité, en tout ou en partie, du contrat ou fonder la partie lésée à réclamer des dommages-intérêts.
30.30.
In some jurisdictions, pre-contractual information may be considered an integral part of the contract.Dans certains pays, les informations précontractuelles peuvent être considérées comme faisant partie intégrante du contrat.
In such cases, the parties would need to ensure that such information is appropriately recorded and that any mismatch between that information and the contract itself is avoided.Dans ce cas, les parties devront veiller à ce que celles-ci soient correctement enregistrées et que toute incohérence entre ces informations et le contrat même soit évitée.
The parties would also need to deal with concerns over the impact of pre-contractually disclosed information on flexibility and innovation at the contract implementation stage.Elles devront aussi se préoccuper des incidences des informations ainsi communiquées avant la conclusion du contrat en matière de souplesse et d’innovation pendant la phase d’exécution du contrat.
ConfidentialityConfidentialité
31.31.
Some information disclosed at the pre-contractual stage may be considered confidential, in particular as regards security, identification and authentication measures, subcontractors and the location and type of data centres (which in turn may identify the type of data stored there and access thereto by local or foreign State authorities).Certaines des informations communiquées avant la conclusion du contrat peuvent être jugées confidentielles, en particulier celles ayant trait aux mesures de sécurité, d’identification et d’authentification, aux sous-traitants et à l’emplacement et au type de centres de données (qui peuvent permettre d’identifier le type de données qui y sont enregistrées et les modalités d’accès des autorités publiques, qu’elles soient locales ou étrangères).
The parties may agree that certain information disclosed at the pre-contractual stage should be treated as confidential.Les parties peuvent convenir que certaines informations communiquées avant la conclusion du contrat doivent être traitées comme des données confidentielles.
Written confidentiality undertakings or non-disclosure agreements may be required also from third parties involved in pre-contractual due diligence (e.g., auditors).Des engagements écrits de confidentialité ou des accords de non-obligation d’information pourront également être exigés des tiers intervenant dans les vérifications précontractuelles (par exemple, auditeurs).
Migration to the cloudMigration vers le nuage
32.32.
Before migration to the cloud, the customer would usually be expected to classify data to be migrated to the cloud and secure it according to its level of sensitivity and criticality and inform the provider about the level of protection required for each type of data.Avant d’effectuer la migration vers le nuage, le client devra généralement classer les données à migrer et les protéger en fonction de leur caractère sensible ou critique, et indiquer au fournisseur le niveau de protection exigé pour chaque type de données.
The customer may also be expected to supply to the provider other information necessary for the provision of the services (e.g., the customer’s data retention and disposition schedule, user identity and access management mechanisms and procedures for access to the encryption keys if necessary).Il sera peut-être aussi censé lui communiquer d’autres informations nécessaires pour la fourniture de services (par exemple, le calendrier de conservation et d’élimination de ses données, les mécanismes de gestion des identités et des accès et les procédures d’accès, le cas échéant, aux clefs de déchiffrement).
33.33.
In addition to the transfer of data and other content to the provider’s cloud, migration to the cloud may involve installation, configuration, encryption, tests and training of the customer’s staff and other end users.Outre le transfert des données et autres contenus vers le nuage du fournisseur, la migration vers le nuage peut aussi impliquer des opérations d’installation, de configuration, de chiffrement, des tests et la formation du personnel et des autres utilisateurs finaux du client.
Those aspects may be part of the customer contract with the provider or be the subject of a separate agreement of the customer with the provider or third parties, such as cloud computing service partners.Ces aspects peuvent faire partie du contrat passé avec le fournisseur ou faire l’objet d’un accord distinct passé avec le fournisseur ou des tiers, notamment des partenaires de services d’informatique en nuage.
Extra costs may arise.Des dépenses supplémentaires peuvent être engagées.
Parties involved in the migration would normally agree on their roles and responsibilities during migration, terms of their engagement, the format in which the data or other content is to be migrated to the cloud, timing of migration, an acceptance procedure to ascertain that the migration was performed as agreed and other details of the migration plan.Les parties impliquées dans la migration s’entendront généralement sur leurs rôles et responsabilités respectifs pendant la migration, les conditions de leur engagement, le format dans lequel les données et autres contenus seront migrés vers le nuage, le calendrier de la migration, une procédure d’acceptation pour attester de sa bonne exécution et d’autres détails relatifs au plan de migration.
Part two.Deuxième partie.
Drafting a contractRédaction d’un contrat
A.A.
General considerationsConsidérations générales
Freedom of contractLiberté contractuelle
34.34.
The widely recognized principle of freedom of contract in business transactions allows parties to enter into a contract and to determine its content.Le principe de la liberté contractuelle, largement reconnu dans les relations commerciales, permet aux parties de conclure un contrat et d’en déterminer le contenu.
Restrictions on freedom of contracts may stem from legislation on non-negotiable terms applicable to particular types of contract or rules that sanction abuse of rights and harm to public order, morality and so forth. The consequences of non-compliance with those restrictions may range from unenforceability of a contract or part thereof to civil, administrative or criminal liability.Cette liberté peut être restreinte par la législation relative aux conditions non négociables applicable à certains types de contrats ou par des règles qui sanctionnent l’abus de droits et les atteintes à l’ordre public, à la moralité, etc. Les conséquences du non-respect de ces restrictions peuvent aller du caractère non exécutoire de tout ou partie d’un contrat à une responsabilité civile, administrative ou pénale.
Contract formationFormation du contrat
35.35.
The concepts of offer and acceptance have traditionally been used to determine whether and when the parties have reached an agreement as regards their respective legal rights and obligations that will bind them over the duration of the contract.Les concepts d’offre et d’acceptation de l’offre sont traditionnellement utilisés pour déterminer si et à quel moment les parties se sont entendues sur leurs droits et obligations respectifs, qui les lieront pendant toute la durée du contrat.
The applicable law may require certain conditions to be fulfilled for a proposal to conclude a contract to constitute a final binding offer (e.g., the proposal is to be sufficiently definite as regards the covered cloud computing services and payment terms).La loi applicable peut exiger que certaines conditions soient remplies pour que la proposition de conclusion du contrat constitue une offre définitive et irrévocable (par exemple, exiger que cette proposition indique de manière suffisamment précise les services d’informatique en nuage couverts et les conditions de paiement).
36.36.
The contract is concluded when the acceptance of the offer becomes effective.Le contrat est conclu lorsque l’acceptation de l’offre devient effective.
There could be different acceptance mechanisms (e.g., for the customer clicking a check box on a web page, registering online for a cloud computing service, starting to use cloud computing services or paying a service fee;Il peut exister divers mécanismes d’acceptation (par exemple, le client coche une case sur une page Web, il s’enregistre en ligne pour un service d’informatique en nuage, ou il commence à utiliser un service ou à payer une commission ;
for the provider starting or continuing to provide services;le fournisseur commence ou continue de fournir des services ;
and for both parties signing a contract online or on paper).les deux parties signent un contrat en ligne ou sur papier).
Material changes to the offer (e.g., as regards liability, quality and quantity of the cloud computing services to be delivered or payment terms) may constitute a counteroffer that requires acceptance by the other party for a contract to be concluded.Lorsque des modifications importantes sont apportées à l’offre (par exemple, concernant les responsabilités, la qualité et la quantité de services à fournir ou les conditions de paiement), cela peut constituer une contre-offre, qui devra être acceptée par l’autre partie pour que le contrat soit conclu.
37.37.
Standardized commoditized multi-subscriber cloud solutions are as a rule offered through interactive applications (e.g., “click-wrap” agreements).Les solutions d’informatique en nuage normalisées pour multiabonnés sont généralement offertes par le biais d’applications interactives (par exemple, accords par clic).
There may be no or very little room for negotiating and adjusting the standard offer.Dans ce cas, il y aura souvent très peu, voire pas, de marge de manœuvre pour négocier et ajuster l’offre standard.
Clicking “I accept”, “OK” or “I agree” is the only step expected to be taken to conclude the contract.Pour conclure un tel contrat, il suffit de cliquer sur une mention comme « J’accepte », « Oui » ou « Je suis d’accord ».
Where negotiation of a contract is involved, contract formation may consist of a series of steps, including preliminary exchange of information, negotiations, delivery and acceptance of an offer and the contract’s preparation.Lorsqu’un contrat est négocié, la formation du contrat peut résulter d’une série d’étapes, notamment un échange préliminaire d’informations, des négociations, la remise et l’acceptation d’une offre et la préparation du contrat.
Contract formForme du contrat
38.38.
Cloud computing contracts are typically concluded online.Les contrats d’informatique en nuage sont généralement conclus en ligne.
They may be called differently (a cloud computing service agreement, a master service agreement or terms of service (TOS)) and may comprise one or more documents such as an acceptable use policy (AUP), a service level agreement (SLA), a data processing agreement or data protection policy, security policy and license agreement.Ils peuvent revêtir diverses appellations (accords de services d’informatique en nuage, accords-cadres de services, ou conditions de service) et comprendre un ou plusieurs documents, comme une politique d’utilisation acceptable, un accord de niveau de service, un accord de traitement des données ou une politique de protection des données, une politique en matière de sécurité et un accord de licence.
39.39.
The legal rules applicable to cloud computing contracts may require that the contract be in writing, especially where personal data processing is involved, and that all documents incorporated by reference be attached to the master contract.Les règles législatives applicables aux contrats d’informatique en nuage peuvent exiger que le contrat soit conclu par écrit, surtout lorsqu’il implique le traitement de données personnelles, et que tous les documents qui y sont mentionnés soient joints au contrat-cadre.
Even when written form is not required, for ease of reference, clarity, completeness, enforceability and effectiveness of the contract, the parties may decide to conclude a contract in writing with all ancillary agreements incorporated thereto.Même lorsque la forme écrite n’est pas requise, les parties peuvent décider, par souci de commodité, de clarté et d’exhaustivité, et aussi pour en assurer l’exécution et l’efficacité, de conclure le contrat par écrit, en lui incorporant tous les accords accessoires.
40.40.
The signing of a contract on paper may be required under the applicable law for specific purposes such as tax purposes, although that type of requirement is becoming rare in an increasingly paperless environment.La loi applicable peut exiger la signature du contrat sur papier à des fins spécifiques, notamment fiscales, même si la dématérialisation croissante de l’environnement fait que ce type d’exigence se rencontre de plus en plus rarement.
Definitions and terminologyDéfinitions et terminologie
41.41.
Due to the nature of cloud computing services, cloud computing contracts contain by necessity many technical terms.Compte tenu de la nature des services d’informatique en nuage, les contrats y relatifs contiennent nécessairement de nombreux termes techniques.
The glossary of terms may be included in the contract, as may definitions of main terms used throughout the contract, to avoid ambiguities in their interpretation.On pourra inclure un glossaire dans le contrat, ainsi que des définitions des principaux termes qui y sont utilisés, afin d’éviter toute ambiguïté dans leur interprétation.
The parties may wish to consider using internationally established terminology for the purpose of ensuring consistency and legal clarity.Les parties voudront peut-être envisager d’utiliser la terminologie établie à l’échelle internationale pour assurer la cohérence et la clarté juridique du texte.
Usual contract contentContenu habituel du contrat
42.42.
A contract normally: (a) identifies the contracting parties;Habituellement, tout contrat : a) désigne les parties contractantes ;
(b) defines the scope and object of the contract;b) définit son objet et sa portée ;
(c) specifies rights and obligations of the parties, including payment terms;c) précise les droits et obligations des parties, y compris les conditions de paiement ;
(d) establishes the duration of the contract and conditions for its termination and renewal;d) établit sa durée et ses conditions de résiliation et de renouvellement ;
(e) identifies remedies for breach and exemptions from liability;e) prévoit des recours en cas de rupture ainsi que des exemptions de responsabilité ;
and (f) specifies the effects of termination of the contract.et f) prévoit les effets de sa résiliation.
It also usually contains clauses on dispute resolution and choice of law and choice of forum.Il contient aussi généralement des clauses relatives au règlement des litiges et au choix de la loi et du for.
The content, style and structure of contracts may vary significantly, reflecting various legal traditions, drafting styles, legal requirements and parties’ needs and preferences.Le contenu, le style et la structure des contrats peuvent varier sensiblement en fonction des traditions juridiques, des styles rédactionnels, des exigences légales et des besoins et préférences des parties.
B.B.
Identification of contracting partiesDésignation des parties contractantes
43.43.
The correct identification of contracting parties may have a direct impact on the formation and enforceability of the contract.La désignation correcte des parties au contrat peut avoir des incidences directes sur la formation et l’exécution de celui-ci.
The applicable law would specify the information needed to ascertain the legal personality of a business entity and its capacity to enter into a contract.La loi applicable précisera les informations requises pour déterminer la personnalité juridique d’une entité commerciale et sa capacité de conclure un contrat.
The law may require additional information for specific purposes, for example, an identification number for tax purposes or power of attorney to ascertain the power of a natural person to sign and commit on behalf of a legal entity.Elle pourra exiger des renseignements supplémentaires à des fins spécifiques, par exemple un numéro d’identification fiscal ou une procuration pour déterminer la capacité d’une personne physique de signer et de s’engager pour le compte d’une personne morale.
C.C.
Defining the scope and the object of the contractDéfinition de l’objet et de la portée du contrat
44.44.
Objects of cloud computing contracts vary substantially in their type and complexity given the range of cloud computing services.Les contrats d’informatique en nuage varient sensiblement, de par le type et la complexité de leur objet, compte tenu de la diversité des services d’informatique en nuage concernés.
Within the duration of a single contract, the object may change: some cloud computing services may be cancelled and other services may be added.Cet objet peut changer au cours de la durée d’un contrat : certains services pourront être annulés et d’autres ajoutés.
The object of the contract may comprise the provision of core, ancillary and optional services.Il peut prévoir la fourniture de services de base, auxiliaires et optionnels.
45.45.
The description of the object of the contract usually includes a description of a type of cloud computing services (SaaS, PaaS, IaaS or a combination thereof), their deployment model (public, community, private or hybrid), their technical, quality and performance characteristics and any applicable technical standards.L’indication de l’objet du contrat contient généralement une description du type de services d’informatique en nuage (SaaS, PaaS, IaaS ou combinaison de ceux-ci), de leur modèle de déploiement (public, communautaire, privé ou hybride), de leurs caractéristiques techniques, en termes de qualité et de performance et de toute norme technique applicable.
Several documents comprising the contract may be relevant for determining the object of the contract (see para. 38 above).Plusieurs documents qui constituent le contrat peuvent entrer en ligne de compte pour en déterminer l’objet (voir par. 38 ci-avant).
Service level agreementAccord de niveau de service
46.46.
The service level agreement (SLA) contains performance parameters against which the delivery of the cloud computing services, the extent of the contractual obligations and possible contractual breaches of the provider will be measured.L’accord de niveau de service définit les paramètres de performance à l’aide desquels la fourniture des services d’informatique en nuage et la portée des obligations contractuelles et d’une éventuelle rupture du contrat par le fournisseur seront mesurées.
Information technology specialists are normally involved in the formulation of the performance parameters.Des informaticiens interviennent normalement dans la formulation des paramètres de performance.
47.47.
Quantitative performance parameters usually relate to capacity (a specified capacity of data storage or specified amount of memory available to the running program), downtime or outages, latency, persistency of data storage, uptime, support services (e.g., during the customer’s operating hours or 24/7), and incident and disaster management and recovery plans.Les paramètres de performance quantitatifs concernent généralement la capacité (capacité donnée de stockage de données ou quantité donnée de mémoire disponible pour le programme en cours), les temps d’arrêt ou d’interruption, les temps de latence, la pérennité du stockage de données, les temps de disponibilité, les services d’assistance (par exemple, pendant les horaires de bureau du client ou 24 heures sur 24 et 7 jours sur 7) et les plans de gestion des incidents et des sinistres et plans de reprise.
The latter may include the maximum incident resolution time, the maximum first response time, recovery point objectives and recovery time objectives.Ces derniers peuvent comprendre le temps maximum de résolution des incidents, le temps maximum de réaction initiale, l’objectif de point de reprise et l’objectif de délai de reprise.
48.48.
Qualitative performance parameters may relate to data deletion, data localization requirements, portability, security and data protection/privacy.Les paramètres de performance qualitatifs peuvent concerner la suppression des données, les exigences en matière de localisation des données, la portabilité, la sécurité et la protection des données/confidentialité.
Some aspects of service may be measured against both qualitative and quantitative performance parameters.Certains aspects des services peuvent être mesurés à l’aune de paramètres de performance tant qualitatifs que quantitatifs.
For example, elasticity and scalability may be defined with reference to both the maximum available resources within a specified minimum period and the quality and security of the measures that may need to be adapted to the varying degrees of sensitivity of the stored customer data.Ainsi, l’élasticité et l’extensibilité peuvent être définies par rapport soit aux ressources maximales disponibles pendant une période minimum spécifiée, soit à la qualité et à la sécurité des mesures susceptibles d’être adaptées aux différents niveaux de sensibilité des données client stockées.
Encryption may be expressed as a defined bit value at rest, in transit and in use.Le chiffrement peut être exprimé sous la forme d’un nombre donné de bits pour les données au repos, en transit et en utilisation.
In addition to or instead of such a quantitative parameter, encryption may be measured against a qualitative parameter (e.g., the provider is to ensure that customer data are encrypted whenever they are transported over a public communication network and whenever they are at rest in data centres used by the provider).En plus ou à la place de ce paramètre quantitatif, on peut aussi mesurer le chiffrement à l’aune d’un paramètre qualitatif (par exemple, le fournisseur doit s’assurer que les données des clients sont chiffrées lorsqu’elles sont transportées par un réseau de communication public et lorsqu’elles sont au repos dans des centres de données utilisés par le fournisseur).
49.49.
Different commitments (i.e., obligations of result or of best efforts) could be agreed upon depending in particular on the terms of payment and whether standardized commoditized multi-subscriber solutions are provided.On pourra convenir de divers engagements (par exemple, obligations de résultats ou de moyens) en fonction, notamment, des conditions de paiement et de l’existence ou non de solutions normalisées pour multiabonnés.
The type of commitment would have implications, including for the burden of proof in case of dispute.Le type d’engagement aura des implications, notamment en ce qui concerne la charge de la preuve en cas de litige.
Performance measurementMesure de la performance
50.50.
The parties may include in the contract a measurement methodology and procedures, specifying in particular a reference period for the measurement of services (daily, weekly, monthly, etc.), service delivery reporting mechanisms (i.e., the frequency and form of such reporting), the role and responsibilities of the parties and metrics to be used (e.g., metrics at the point of provision or at the point of consumption of services).Les parties peuvent prévoir dans le contrat une méthode et des procédures de mesure, et définir en particulier la période de référence choisie pour mesurer les services (quotidienne, hebdomadaire, mensuelle, etc.), les mécanismes de communication d’informations relatives à la fourniture des services (c’est-à-dire la fréquence et la forme de cette communication), les rôles et responsabilités des parties et le type de mesures à effectuer (par exemple, mesure au moment de la fourniture ou de la consommation des services).
The parties may agree on an independent measurement of performance and how the related costs are to be allocated.Elles pourront s’entendre sur un mécanisme indépendant de mesure de la performance et la répartition des frais y relatifs.
51.51.
The customer is normally interested in measuring services during peak hours, i.e., when they are most needed.Le client s’intéresse normalement aux mesures effectuées pendant les heures de pointe, c’est-à-dire au moment où les services sont le plus nécessaire.
The customer is usually able to measure (or verify the measurements provided by the provider or third parties) only those metrics that are based on performance at the point of consumption, but not those based on system performance at the point of provision of services.Il est généralement à même de mesurer (ou de vérifier les mesures fournies par le fournisseur ou un tiers) uniquement les données chiffrées reflétant la performance du système au moment de la consommation, et non celles reflétant la performance au moment de la fourniture des services.
The customer may be able to evaluate the performance at the point of provision of services based on reports provided by the provider or third parties.Il pourra peut-être évaluer ces dernières à partir des rapports sur la performance communiqués par le fournisseur ou un tiers.
The provider may agree to provide the customer with performance reports on demand, either periodically (daily, weekly, monthly, etc.) or following a particular incident.Le fournisseur pourra accepter de fournir de tels rapports à la demande du client, soit à un rythme régulier (quotidien, hebdomadaire, mensuel, etc.) soit à la suite d’un incident particulier.
Alternatively, the provider may agree to grant the customer the right to review the provider’s records related to the service-level measurements.Il pourra aussi autoriser le client à examiner ses données relatives à l’évaluation du niveau de service.
Some providers enable customers to monitor data on service performance in real time.Certains fournisseurs autorisent leurs clients à suivre les données relatives à la performance du service en temps réel.
52.52.
The contract may oblige either or both parties to maintain records about the provision and consumption of services for a certain time.Le contrat pourra obliger l’une des parties, voire les deux, à conserver les données relatives à la fourniture et à la consommation de services pendant une certaine durée.
Such information may be useful in negotiating any amendments to the contract and in case of disputes.Ces informations peuvent être utiles pour négocier tout changement à apporter au contrat ou en cas de litige.
Acceptable use policyPolitique d’utilisation acceptable
53.53.
An acceptable use policy (AUP) sets out conditions for use by the customer and its end users of the cloud computing services covered by the contract.La politique d’utilisation acceptable définit les conditions de l’utilisation, par le client et ses utilisateurs finaux, des services d’informatique en nuage visés par le contrat.
It aims at protecting the provider from liability arising out of the conduct of their customers and customers’ end users.Elle entend protéger le fournisseur contre toute responsabilité découlant de la conduite de ses clients et de leurs utilisateurs finaux.
Any potential customer is expected to accept such a policy, which will form part of the contract with the provider.Tout client potentiel devra accepter cette politique, qui fera partie du contrat passé avec le fournisseur.
The vast majority of standard AUPs prohibit a consistent set of activities that providers consider to be improper or illegal uses of cloud computing services.La grande majorité des politiques standard interdisent toute une série d’activités dont les fournisseurs considèrent qu’elles constituent une utilisation abusive ou illégale des services d’informatique en nuage.
AUP may restrict not only the type of content that may be placed on the cloud but also the customer’s right to give access to data and other content placed on the cloud to third parties (e.g., nationals of certain countries or persons included in sanctions lists).Les politiques d’utilisation acceptable peuvent restreindre non seulement le type de contenus susceptibles d’être placés dans le nuage, mais aussi le droit du client de donner accès aux données et autres contenus envoyés dans le nuage à des tiers (par exemple, des ressortissants de certains pays ou des personnes figurant sur des listes de sanctions).
The parties may agree to remove some prohibitions to accommodate specific business needs of the customer to the extent that such removal would be permissible under law.Les parties peuvent convenir d’écarter certaines interdictions pour tenir compte des besoins commerciaux spécifiques du client, dans les limites autorisées par la loi.
54.54.
It is usual for provider’s standards terms to require that customer’s end users also comply with AUP and to oblige the customer to use its best efforts or commercially reasonable efforts to ensure such compliance.Les conditions générales du fournisseur prévoient habituellement que les utilisateurs finaux du client doivent aussi observer la politique d’utilisation acceptable et que le client doit déployer ses meilleurs efforts ou des efforts commercialement raisonnables pour en assurer le respect.
Some providers may require customers to affirmatively prevent any unauthorized or inappropriate use by third parties of the cloud computing services offered under the contract.Certains fournisseurs peuvent exiger des clients qu’ils empêchent activement tout usage non autorisé ou abusif par des tiers des services d’informatique en nuage offerts au titre du contrat.
The parties may agree on limited obligations, for example, that the customer will communicate AUP to known end users, not authorize or knowingly allow such uses, and notify the provider of all unauthorized or inappropriate uses of which it becomes aware.Les parties pourront s’entendre sur des obligations limitées, par exemple en prévoyant que le client communique la politique d’utilisation acceptable aux utilisateurs finaux connus, n’autorise pas, ni ne permet en connaissance de cause, de tels usages, et notifie au fournisseur tout usage non autorisé ou abusif dont il aura connaissance.
55.55.
In a few jurisdictions, the law could impose duties on the provider as regards the content hosted on its cloud computing infrastructure, e.g., the duty to report illegal material to public authorities.Dans un petit nombre de pays, la loi peut imposer au fournisseur des devoirs en ce qui concerne les contenus hébergés sur son infrastructure d’informatique en nuage, par exemple l’obligation de signaler la présence de contenus illicites aux autorités publiques.
Those duties may be non-transferrable to the customer or to end users by AUP or otherwise.Il se peut que ces obligations ne puissent pas être transférées au client ou aux utilisateurs finaux par la politique d’utilisation acceptable ou autrement.
They might have privacy and other ramifications and would be among factors considered in choosing a suitable provider (see part one, para. 12).Elles peuvent avoir des incidences sur la confidentialité, entre autres, et comptent parmi les facteurs à prendre en compte pour choisir un fournisseur adéquat (voir première partie, par. 12).
Security policyPolitique de sécurité
56.56.
Security of the system, including customer data security, involves shared responsibilities of the parties.La sécurité du système, y compris celle des données du client, implique le partage des responsabilités entre les parties.
The contract would need to specify reciprocal roles and responsibilities of the parties as regards security measures, reflecting obligations that may be imposed by mandatory law on either or both parties.Le contrat devrait préciser les rôles et responsabilités de chaque partie en ce qui concerne les mesures de sécurité, en traduisant les obligations qui peuvent leur être imposées par les dispositions de droit impératif.
57.57.
Usually, the provider will follow its security policies.Habituellement, le fournisseur suit sa propre politique en matière de sécurité.
In some cases, although not in standardized commoditized multi-subscriber solutions, it might be possible to reach an agreement that the provider will follow the customer’s security policies.Dans certains cas, il sera peut-être possible de s’accorder pour qu’il suive la politique du client en la matière. Ceci n’est toutefois pas possible pour les solutions d’informatique en nuage normalisées pour multiabonnés.
The contract may specify security measures (e.g., requirements for sanitization or deletion of data in the damaged media, the storage of separate packages of data in different locations, the storage of the customer’s data on specified hardware that is unique to the customer).Le contrat pourra prévoir des mesures de sécurité précises (par exemple, exigences de nettoyage ou de suppression des données dans un support endommagé, stockage de paquets de données séparés à différents endroits, stockage des données du client sur du matériel spécifique qui lui est propre).
Excessive disclosure of security information in the contract may, however, be risky.La communication excessive d’informations concernant la sécurité dans le contrat peut toutefois poser un risque.
58.58.
Some security measures do not presuppose the other party’s input but rely exclusively on the relevant party’s routine activities, such as inspections by the provider of the hardware on which the data is stored and on which the services run, and effective measures to ensure controlled access thereto.Certaines mesures de sécurité portent exclusivement sur les activités habituelles de la partie concernée, par exemple les inspections, par le fournisseur, du matériel sur lequel les données sont stockées et les services sont fournis, et la prise de mesures efficaces pour assurer un accès contrôlé à celui-ci ; elles ne nécessitent donc aucune contribution de la part de l’autre partie.
In other cases, allowing the party to perform its duties or evaluate and monitor the quality of security measures delivered may presuppose the input of the other party.Dans d’autres cas, pour permettre à la partie concernée de remplir ses obligations ou d’évaluer et de contrôler la qualité des mesures de sécurité mises en œuvre, l’intervention de l’autre partie pourra être nécessaire.
The customer, for example, would be expected to update lists of users’ credentials and their access rights and inform the provider of changes in time to ensure the proper identity and access management mechanisms.Ainsi le client devra-t-il mettre à jour la liste des identifiants des utilisateurs et de leurs droits d’accès et communiquer tout changement au fournisseur en temps utile pour garantir le bon fonctionnement des mécanismes de gestion des identités et des accès.
The customer would also be expected to inform the provider about the level of security to be allocated to each category of data.Il devra aussi lui indiquer le niveau de sécurité à attribuer à chaque catégorie de données.
59.59.
Some threats to security may be outside the contractual framework between the customer and the provider and may require the terms of the cloud computing contract to be aligned with other contracts of the provider and the customer (e.g., with Internet service providers).Certaines menaces à la sécurité peuvent se situer en dehors du cadre contractuel liant le client et le fournisseur, et exiger l’alignement des conditions du contrat d’informatique en nuage sur d’autres contrats passés par le fournisseur et le client (par exemple, avec des fournisseurs de services Internet).
Data integrityIntégrité des données
60.1.
Providers’ standard contracts may contain a general disclaimer that the ultimate responsibility for preserving the integrity of the customer’s data lies with the customer.Les contrats standard du fournisseur peuvent contenir une clause de non-responsabilité générale prévoyant que la responsabilité finale en ce qui concerne la préservation de l’intégrité des données incombe au client.
61.2.
Some providers may be willing to undertake data integrity commitments (for example, regular backups), possibly for an additional payment.Certains fournisseurs accepteront peut-être de prendre un engagement concernant l’intégrité des données (par exemple, par le biais de sauvegardes régulières), éventuellement moyennant paiement.
Regardless of the contractual arrangements with the provider, the customer may wish to consider whether it is necessary to secure access to at least one usable copy of its data outside the provider’s and its subcontractors’ control, reach or influence and independently of their participation.Indépendamment de l’arrangement contractuel passé avec le fournisseur, le client pourra se demander s’il serait utile de garantir l’accès à au moins une copie utilisable de ses données placée hors du contrôle, de la portée et de l’influence du fournisseur et de ses sous-traitants, et n’impliquant pas leur participation.
Confidentiality clauseClause de confidentialité
62.3.
The provider’s willingness to commit to ensuring the confidentiality of customer data depends on the nature of services provided to the customer under the contract, in particular whether the provider will be required to have unencrypted access to data for the provision of those services.La volonté du fournisseur de s’engager à garantir la confidentialité des données client dépend de la nature des services qu’il fournit au titre du contrat et, en particulier, de la question de savoir s’il aura besoin d’avoir un accès non chiffré aux données pour fournir lesdits services.
Some providers may not be in a position to offer a confidentiality or non-disclosure clause and may expressly waive any duty of confidentiality regarding customer data. Other providers may be willing to assume liability for confidentiality of data disclosed by the customer during contract negotiations, but not for data processed during service provision.Certains fournisseurs pourraient ne pas être en mesure de proposer une clause de confidentialité ou de non-obligation d’information et ainsi expressément écarter toute obligation de confidentialité en ce qui concerne les données client. D’autres pourront être disposés à assumer une responsabilité pour la confidentialité des données communiquées par le client lors de la négociation du contrat, mais pas pour les données traitées dans le cadre de la fourniture des services.
Some standard confidentiality clauses offered by providers may not be sufficient to ensure compliance with applicable law.Certaines clauses standard de confidentialité offertes par les fournisseurs ne seront pas suffisantes pour assurer le respect de la loi applicable.
63.4.
In the absence of contractual commitments and statutory obligations on the provider to maintain confidentiality, the customer may have full responsibility for keeping data confidential (e.g., through encryption).En l’absence d’engagements contractuels et d’obligations légales auxquels le fournisseur peut être soumis pour ce qui est d’assurer la confidentialité, le client pourra devoir assumer l’entière responsabilité de la confidentialité des données (par exemple au moyen du chiffrement).
Where it is not possible to negotiate a general confidentiality clause applicable to all customer data placed in the cloud, the parties may agree on confidentiality commitments as regards some sensitive data (with a separate liability regime for breach of confidentiality of such data).Lorsqu’il est impossible de négocier une clause générale de confidentialité applicable à toutes les données client placées dans le nuage, les parties peuvent prendre un engagement de confidentialité pour certaines données sensibles (avec un régime de responsabilité distinct en cas de violation de la confidentialité de ces dernières).
The customer may in particular be concerned about its trade secrets, know-how and information that it is required to keep confidential under law or commitments to third parties.Le client pourra en particulier s’inquiéter de la protection de ses secrets commerciaux, de son savoir-faire et des informations dont il doit assurer la confidentialité conformément à la législation ou à des engagements pris auprès de tiers.
The parties may agree to restrict access to such data to a limited set of personnel and to require individual confidentiality commitments from them, in particular from those with high-risk roles (e.g., system administrators, auditors and persons dealing with intrusion detection reports and incident response).Les parties peuvent convenir de limiter l’accès à ces données à un nombre limité de membres du personnel, dont elles exigeront des engagements de confidentialité à titre individuel, en particulier de ceux qui exercent une fonction à risque (par exemple, administrateurs de système, auditeurs et personnes s’occupant des dispositifs de détection des intrusions et de la réponse aux incidents).
In those cases, the customer would normally specify to the provider such information, the required level of protection, any applicable law or contractual requirements and any changes affecting such information, including any changes in the applicable law.Dans ces cas, le client indiquera normalement au fournisseur les informations concernées, le niveau de protection requis, toute loi ou exigence contractuelle applicable et tout changement concernant ces informations, y compris tout changement apporté à la loi applicable.
64.5.
In some cases, the disclosure of customer data may be necessary for the fulfilment of the contract.Dans certains cas, la communication des données du client sera nécessaire aux fins de l’exécution du contrat.
In other cases, the disclosure may be mandated by law, for example, under the duty to provide information to competent State authorities (see para. 82 below).Dans d’autres, elle sera exigée par la loi, par exemple au titre de l’obligation de fournir des informations aux autorités publiques compétentes (voir par. 82 ci-après).
Appropriate exceptions to confidentiality clauses would thus be warranted.Il sera alors nécessaire de prévoir des exceptions appropriées aux clauses de confidentialité.
65.6.
The provider may in turn impose on the customer the obligation not to disclose information about the provider’s security arrangements and other details of services provided to the customer under the contract or law.Le fournisseur pourra, de son côté, imposer au client l’obligation de ne pas communiquer d’informations au sujet de ses mesures de sécurité, ni d’autres détails concernant les services qu’il lui fournit, au titre du contrat ou de la loi.
Data protection/privacy policy or data processing agreementProtection des données/politique de confidentialité ou accord de traitement des données
66.7.
Personal data are subject to special protection by law in many jurisdictions.Les données personnelles font l’objet d’une protection particulière en vertu de la loi dans de nombreux pays.
Law applicable to personal data processing may be different from the law applicable to the contract.La loi applicable au traitement de ces données peut différer de la loi applicable au contrat.
It will override any non-compliant contractual clauses.Elle prévaudra sur toute clause contractuelle non conforme.
67.8.
The contract may include a data protection or privacy clause, data processing agreement or similar type of agreement, although some providers may agree only to the general obligation to comply with applicable data protection laws.Le contrat peut contenir une clause relative à la protection des données ou à la confidentialité ou un accord de traitement des données ou autre type d’accord similaire, même si certains fournisseurs s’engageront uniquement de manière générale à respecter la loi applicable en matière de protection des données.
In some jurisdictions, such general commitment may be insufficient: the contract would need to stipulate at a minimum the subject matter and the duration, nature and purpose of the personal data processing, the type of personal data and categories of data subjects and the obligations and rights of the data controller and the data processor.Dans certains pays, un tel engagement général pourrait être insuffisant et le contrat devra énoncer au minimum l’objet et la durée, la nature et l’objectif du traitement des données personnelles, le type de données et les catégories de sujets de données, et les droits et obligations du responsable du contrôle des données et du responsable du traitement des données.
Where it is not possible to negotiate a data protection clause in the contract, the customer may wish to review standard terms to determine whether the provisions give the customer sufficient guarantees of lawful personal data processing and adequate remedies for damages.Lorsqu’il est impossible de négocier une clause de protection des données dans le contrat, le client souhaitera peut-être examiner les conditions générales pour déterminer si celles-ci lui donnent des garanties suffisantes quant au traitement licite des données personnelles et prévoient des recours en dommages-intérêts adéquats.
68.9.
The customer will likely be the data controller and will assume responsibility for compliance with the data protection law in respect of personal data collected and processed in the cloud.Le client jouera probablement le rôle de responsable du contrôle des données et assumera la responsabilité du respect de la législation relative à la protection des données en ce qui concerne les données personnelles réunies et traitées dans le nuage.
The parties may agree on contractual clauses aimed at ensuring compliance with the applicable data protection regulations, including requests related to the data subjects’ rights.Les parties peuvent convenir de clauses contractuelles visant à assurer le respect des règles applicables en matière de protection des données, y compris les demandes liées aux droits des sujets de données.
The parties may also agree on separate remedies should those clauses be breached, including unilateral termination of the contract and compensation for damages.Elles peuvent aussi convenir de voies de droit distinctes en cas de violation de ces clauses, notamment la résiliation unilatérale du contrat et l’indemnisation.
69.10.
Providers’ standard contracts usually stipulate that the provider does not assume any data controller role.Les contrats standard des fournisseurs prévoient généralement que ceux-ci n’assument aucun rôle de responsable de contrôle des données.
The provider will likely act as the data processor only when it processes the customer’s data according to instructions of the customer for the sole purpose of providing the cloud computing services.Normalement, le fournisseur agit en tant que responsable du traitement des données uniquement lorsqu’il traite les données du client conformément à ses instructions, dans le seul but de lui fournir des services d’informatique en nuage.
In some jurisdictions, the provider may, however, be regarded as the data controller, regardless of contractual clauses, when it further processes data for its own purposes or upon instructions of State authorities and could thus assume full responsibility for personal data protection in respect of that further personal data processing (see para. 125 below).Dans certains pays, il pourra toutefois être considéré comme assumant le rôle de responsable du contrôle des données, indépendamment des clauses contractuelles, lorsqu’il traite plus avant les données à ses propres fins ou selon les instructions des autorités publiques, et pourrait par conséquent assumer la pleine responsabilité de la protection des données personnelles pour ce qui est de ce traitement supplémentaire (voir par. 125 ci-après).
Obligations arising from data breaches and other security incidentsObligations découlant d’une violation des données et d’autres incidents de sécurité
70.11.
The parties may be required under law or contract (or both) to notify each other immediately of a security incident of relevance to the contract or any suspicion thereof that becomes known to them.Les parties peuvent être tenues, de par la loi ou les dispositions contractuelles (voire les deux), de se notifier mutuellement tout incident de sécurité ayant un lien avec le contrat ou tout soupçon en la matière qui vient à leur connaissance.
That obligation may be in addition to general notification of a security incident that may be required under law to inform all relevant stakeholders (including data subjects, insurers and State authorities, or the public at large) in order to prevent or minimize the impact of security incidents.Cette obligation peut s’ajouter à l’obligation générale, qui peut être prévue par la loi, de notifier tout incident de sécurité aux parties prenantes concernées (y compris les sujets de données, les assureurs et les autorités publiques, ou le grand public), afin de prévenir les incidents ou d’en minimiser l’impact.
71.12.
The law may contain specific security incident notification requirements, including the timing of notification, and identify the persons responsible for complying with them.La loi peut prévoir des exigences spécifiques en matière de notification d’un incident de sécurité, et préciser notamment le moment où celle-ci doit être donnée et les personnes responsables de ce faire.
Subject to those mandatory provisions, the parties may specify in the contract the notification period (e.g., one day after the party becomes aware of the incident or threat), the form and content of the security incident notification.Sous réserve de ces dispositions obligatoires, les parties peuvent préciser dans le contrat le délai de notification (par exemple, un jour après la prise de connaissance, par la partie, de l’incident ou de la menace), la forme et le contenu de la notification relative à l’incident de sécurité.
The latter usually includes circumstances and the cause of the incident, type of affected data, the steps to be taken to resolve the incident, the time at which the incident is expected to be resolved and any contingency plan to employ while the incident is being resolved.Cette dernière indique généralement les circonstances et la cause de l’incident, le type de données touchées, les mesures à prendre pour résoudre l’incident, le moment où celui-ci devrait être résolu et le plan d’urgence, le cas échéant, à mettre en œuvre en attendant qu’il soit réglé.
It may also include information on failed breaches, attacks against specific targets (per customer user, per specific application, per specific physical machine), trends and statistics.Elle peut également comporter des informations sur les tentatives de violations et les attaques contre des cibles spécifiques (par utilisateur client, par application donnée, par appareil spécifique), ainsi que des tendances et des statistiques.
Any notification requirements normally take into account the need not to disclose any sensitive information that could lead to the compromise of the affected party’s system, operations or network.Toute exigence en matière de notification tient normalement compte de la nécessité de ne pas communiquer d’informations sensibles susceptibles de nuire au système, aux opérations ou au réseau de la partie affectée.
72.13.
The provider, the customer, or both, including by involving a third party, may be required by law or contract to take measures after a security incident (so-called “post-incident steps”), including the isolation or quarantine of affected areas, the performance of root cause analysis and the production of an incident analysis report.Le fournisseur ou le client (ou les deux) peuvent être tenus, de par la loi ou le contrat, de prendre des mesures à la suite d’un incident de sécurité (« mesures postincident »), y compris en faisant intervenir un tiers. Ces mesures peuvent comprendre l’isolement ou la mise en quarantaine des zones touchées, l’analyse des causes profondes et l’élaboration d’un rapport d’analyse de l’incident.
The incident analysis report may be produced by the affected party or by the affected party jointly with the other party or by an independent third party.Ce dernier peut être établi par la partie touchée, seule ou conjointement avec l’autre partie, ou par un tiers indépendant.
Post-incident steps may vary depending on the categories of data stored in the cloud and other factors.Ces mesures peuvent varier en fonction des catégories de données stockées dans le nuage et d’autres facteurs.
73.14.
A serious security incident resulting in, for example, a loss of data may lead to the termination of the contract.Un incident de sécurité grave entraînant par exemple la perte de données pourra déboucher sur la résiliation du contrat.
Data localization requirementsExigences en matière de localisation des données
74.15.
Providers’ standard terms may expressly reserve the right of the provider to store customer data in any country in which the provider or its subcontractors operate.Dans ses conditions générales, le fournisseur peut expressément se réserver le droit de stocker les données client dans tout pays dans lequel lui-même ou ses sous-traitants exercent des activités.
Such a practice will most likely be followed even in the absence of an explicit contractual right, since it is implicit in the provision of cloud computing services that they are provided, as a general rule, from more than one location (e.g., backup and antivirus protection may be remote, and support may be provided in a global “follow-the-sun” model).Le plus souvent, une telle pratique sera suivie même en l’absence d’un droit contractuel explicite, car il est clair que les services d’informatique en nuage sont, de par leur nature, généralement fournis à partir de plus d’un endroit (par exemple, la sauvegarde et la protection antivirus peuvent être assurées à distance, et l’assistance être offerte depuis le monde entier, selon un modèle ajusté aux fuseaux horaires (modèle « follow the sun », c’est-à-dire que le soutien suit littéralement le soleil).
That practice may not comply with data localization requirements applicable to either or both parties (see part one, paras. 10–11).Cette pratique ne sera peut-être pas conforme aux exigences en matière de localisation des données applicables à l’une ou l’autre partie, voire aux deux (voir première partie, par. 10 et 11).
75.16.
Safeguards ensuring compliance with data localization requirements may be included in the contract, such as a prohibition on moving data and other content outside the specified location or a requirement of prior approval of such moves by the other party.Des garanties visant à assurer le respect des exigences en matière de localisation des données peuvent être incluses dans le contrat, comme l’interdiction de déplacer les données et autres contenus en dehors de l’emplacement prévu, ou l’obligation d’obtenir l’approbation préalable de l’autre partie.
For example, an SLA qualitative performance parameter may be included to ensure that the customer data (including any copy, metadata and backup thereof) would be stored exclusively in data centres physically located in the jurisdictions indicated in the contract and owned and operated by entities established in those jurisdictions.Ainsi, on pourra inclure un paramètre de performance qualitatif dans l’accord de niveau de service pour garantir que les données client (y compris toute copie, métadonnée et sauvegarde) seront exclusivement stockées dans des centres de données physiquement situés dans les pays indiqués dans le contrat et détenus et exploités par des entités établies dans ces pays.
Alternatively, the parameter may specify, for example, that data should never be moved outside a specific country or region but may be duplicated in a particular third country or elsewhere, but never in a specific country.Autrement, on pourra prévoir par exemple que les données ne doivent jamais sortir d’un certain pays ou d’une certaine région, mais peuvent être copiées dans un pays tiers donné ou ailleurs, mais en aucun cas dans tel autre pays qui sera expressément mentionné.
D.D.
Rights to customer data and other contentDroit d’accéder aux données client et à d’autres contenus
Provider rights to customer data for the provision of servicesDroit du fournisseur d’accéder aux données client pour la fourniture des services
76.17.
Providers usually reserve the right to access customer data on a “need-to-know” basis.Les fournisseurs se réservent généralement le droit d’accéder aux données client conformément au principe du « besoin d’en connaître ».
That arrangement would allow access to customer data by the provider’s employees, subcontractors and other third parties (e.g., auditors) where necessary for the provision of the cloud computing services (including maintenance, support and security purposes) and for monitoring compliance with applicable AUP, IP licences, SLA and other contractual documents.Avec une telle disposition, les employés, sous-traitants et autres tiers (par exemple, auditeurs) peuvent accéder aux données du client lorsqu’ils en ont besoin pour fournir les services d’informatique en nuage (y compris à des fins de maintenance, d’assistance et de sécurité) ou pour vérifier le respect de la politique d’utilisation acceptable, de licences de propriété intellectuelle, d’un accord de niveau de service et d’autres documents contractuels.
The parties may agree on circumstances when the provider’s access to customer data would be allowed and measures that would ensure confidentiality and integrity of customer data.Les parties peuvent convenir des circonstances dans lesquelles le fournisseur sera autorisé à accéder aux données client et de mesures permettant d’assurer la confidentialité et l’intégrité de ces données.
77.18.
Certain rights to access customer data can be considered to be implicitly granted by the customer to the provider by requiring a certain service or feature: without those rights, the provider would not be able to perform the services.On peut considérer que le client octroie implicitement au fournisseur certains droits d’accès à ses données lorsqu’il demande qu’un certain service lui soit fourni. Sans ces droits, le fournisseur ne pourrait en effet pas fournir le service en question.
For example, if the provider is required to regularly back up customer data, the fulfilment of that task necessitates the right to copy the data.Par exemple, si le fournisseur a pour instruction de sauvegarder régulièrement les données du client, il devra pour s’acquitter de cette tâche se voir conférer le droit de copier celles-ci.
Likewise, if subcontractors are to handle customer data, the provider must be able to transfer the data to them.De même, si des sous-traitants doivent traiter les données du client, le fournisseur doit être en droit de les leur transférer.
78.19.
The contract may explicitly indicate which are the rights concerning data required for the performance of the contract that the customer grants to the provider, whether and to what extent the provider is entitled to transfer those rights to third parties (e.g., its subcontractors) and the geographical and temporal extent of the granted or implied rights.Le contrat peut préciser quels droits liés aux données requises pour l’exécution du contrat le client octroie au fournisseur, la mesure dans laquelle ce dernier est autorisé à les transférer à des tiers (par exemple, à ses sous-traitants) et la portée dans le temps et dans l’espace des droits accordés de manière implicite ou explicite.
The geographical limitations could be particularly important when data cannot leave a certain country or region under law (see part one, paras. 10–11).Les restrictions géographiques peuvent être particulièrement importantes lorsque la loi interdit de sortir les données d’une région ou d’un pays particulier (voir première partie, par. 10 et 11).
Contracts typically state whether the customer is able to revoke granted or implied rights and if so, under what conditions.Les contrats précisent souvent si le client peut retirer un droit accordé de manière implicite ou explicite, et dans quelles conditions.
Since the ability to provide the services at the required level of quality may depend on the rights granted by the customer, the direct impact of revocation of certain rights could be the amendment or termination of the contract.Étant donné que la capacité de fournir des services, au niveau de qualité exigé, peut dépendre des droits accordés par le client, le retrait de certains droits peut avoir pour conséquence d’entraîner la modification ou la fin du contrat.
Provider use of customer data for other purposesUtilisation à d’autres fins des données client par le fournisseur
79.20.
Most jurisdictions do not grant the provider automatic rights to use the customer data for the provider’s own purposes.La plupart des pays ne confèrent pas au fournisseur le droit automatique d’utiliser les données client à ses propres fins.
The provider may request use of customer data for purposes other than those linked to the provision of the cloud computing services under the contract (e.g., for advertising, generating statistics, analytical or predictions reports, engaging in other data mining practice).Le fournisseur pourra demander d’utiliser ces données à d’autres fins que la fourniture des services d’informatique en nuage prévus dans le contrat (par exemple, à des fins publicitaires, pour l’établissement de statistiques, de rapports analytiques ou prévisionnels ou pour d’autres pratiques d’extraction de données).
The questions to consider in that context may include: (a) which information about the customer and its end users will be collected and the reasons for and purposes of its collection and use by the provider;Dans ce contexte, on examinera notamment les aspects suivants : a) la nature des informations concernant le client ou ses utilisateurs finaux qui seront réunies, ainsi que les raisons et le but de cette collecte et de leur utilisation par le fournisseur ;
(b) whether that information will be shared with other organizations, companies or individuals and if so, the reasons for doing so and whether this will be done with or without the customer’s consent;b) la question de savoir si ces informations seront partagées avec d’autres organisations, entreprises ou particuliers et, le cas échéant, pour quelles raisons, et si ce partage se fera avec ou sans le consentement du client ;
and (c) how compliance with confidentiality and security policies will be ensured if the provider shares that information with third parties.et c) la manière dont le respect des politiques en matière de confidentialité et de sécurité sera assuré si le fournisseur partage ces informations avec des tiers.
Where the provider’s use of customer data will affect personal data, the parties would normally be expected to carefully assess their regulatory compliance obligations under applicable data protection laws.Si l’utilisation par le fournisseur des données client concerne des données personnelles, on attendra généralement des parties qu’elles évaluent soigneusement leurs obligations en matière de respect des règlements au titre de la loi applicable relative à la protection des données.
80.21.
Where the contract gives the provider rights to use the customer data for the provider’s own purposes, the contract may also list permissible grounds for such use, include obligations regarding de-identification and anonymization of customer data to ensure compliance with any applicable data protection and other regulations and impose limits on reproduction of content and communication to public.Lorsqu’il confère au fournisseur le droit d’utiliser les données client à ses propres fins, le contrat peut aussi énumérer les motifs légitimes d’utilisation, prévoir des obligations en ce qui concerne la désidentification et l’anonymisation de ces données pour garantir le respect de toute réglementation relative à la protection des données ou autre réglementation applicable et imposer des limites à la reproduction des contenus et à la communication d’informations au public.
It is common to permit the provider to use customer data for its own purposes only as anonymized open data or in aggregated and de-identified form during the term of the contract or beyond.Souvent, le fournisseur est autorisé à utiliser ces données à ses propres fins uniquement sous forme de données ouvertes rendues anonymes, ou de données agrégées et désidentifiées, pendant la durée du contrat ou au-delà.
Provider use of customer name, logo and trademarkUtilisation par le fournisseur du nom, du logo et de la marque du client
81.22.
The providers’ standard terms may grant the provider the right to use customer names, logos and trademarks for the purposes of the provider’s publicity.Les conditions générales du fournisseur peuvent lui accorder le droit d’utiliser le nom, le logo et la marque du client à des fins publicitaires.
The parties may agree on the deletion or modification of such provisions, including limiting the permissible use to the customer’s name and requiring prior approval of the customer for the use of its name, logo and trademark.Les parties peuvent convenir de supprimer ou de modifier ces dispositions, y compris en limitant cette utilisation au nom du client, ou en exigeant l’approbation préalable de ce dernier pour l’utilisation de son nom, de son logo ou de sa marque.
Provider actions as regards customer data upon State orders or for regulatory complianceMesures prises par le fournisseur à l’égard des données client sur ordre de l’État ou aux fins du respect des règlements
82.23.
The providers’ standard terms may reserve the right for the provider, at its discretion, to disclose, or provide access to, customer data to State authorities (e.g., by including such wording as “when doing so will be in the best interests of the provider”).Dans ses conditions générales, le fournisseur peut se réserver le droit de communiquer, s’il le juge approprié, des données client aux autorités publiques ou de leur donner accès à celles-ci (par exemple, avec une formule du type « lorsque cela sert au mieux les intérêts du fournisseur »).
They also usually provide for the right of the provider to remove or block customer data immediately after the provider gains knowledge or becomes aware of illegal content or when it has to enforce the right of data subjects to be forgotten, in order to avoid liability under law (the “notice and take down” procedure (see para. 128 below)).Ces conditions prévoient aussi généralement le droit du fournisseur de supprimer ou de bloquer des données client dès qu’il prend connaissance ou conscience d’un contenu illégal, ou lorsqu’il doit mettre en œuvre le droit à l’oubli du sujet de données, afin d’éviter toute responsabilité prévue par la loi ((procédure « de notification et de retrait » voir par. 128 ci-après)).
The parties may agree to narrow down the circumstances in which the provider can perform those actions, for example when the provider faces an order from a court or other State authority to provide access to, or to delete or change, data.Les parties peuvent convenir de limiter les circonstances dans lesquelles le fournisseur peut prendre ce genre de mesures (par exemple lorsqu’il reçoit l’ordre d’un tribunal ou d’une autre autorité publique de fournir un accès aux données) ou de supprimer ou modifier celles-ci.
83.24.
The parties may agree, at a minimum, that the customer will be notified without delay of State orders or the provider’s own decisions as regards customer data with a description of the data concerned, unless such notification would violate law.Les parties pourront convenir, au minimum, que le client sera notifié sans délai de tout ordre reçu de l’État ou des décisions du fournisseur concernant ses données, avec des précisions relatives aux données concernées, à moins qu’une telle notification ne soit contraire à la loi.
Where the advance notification and involvement of the customer is not possible, the contract may require the provider to serve an immediate ex-post notification to the customer of the same information.Lorsque la notification préalable et l’intervention du client sont impossibles, le contrat peut exiger du fournisseur qu’il adresse une notification ex post immédiate au client contenant les mêmes informations.
The parties may also agree on provisions as regards keeping and providing customer access to and logs of all orders, requests and other activities as regards customer data.Les parties peuvent aussi convenir de dispositions concernant la conservation de tous les ordres, requêtes et autres activités concernant les données du client, et la fourniture à ce dernier d’un accès à ces informations et aux registres correspondants.
Rights to cloud service-derived dataDroits relatifs aux données dérivées des services en nuage
84.25.
The parties may agree on customer rights to cloud service-derived data and how such rights can be exercised during the contractual relationship and upon termination of the contract.Les parties peuvent s’entendre sur les droits du client relatifs aux données dérivées des services en nuage et la manière dont ces droits peuvent être exercés pendant la relation contractuelle et au terme du contrat.
IP rights protection clauseClause de protection des droits de propriété intellectuelle
85.26.
Some types of cloud computing contracts may result in the creation of objects of IP rights, either jointly by the provider and the customer (e.g., service improvements arising from the customer’s suggestions) or by the customer alone (new applications, software and other original work).Certains types de contrats d’informatique en nuage peuvent entraîner la création d’objets soumis à des droits de propriété intellectuelle, soit conjointement par le fournisseur et le client (par exemple, améliorations du service proposées par le client) soit par le client uniquement (nouvelles applications, nouveaux logiciels et autres œuvres originales).
The contract may contain an express IP clause that will determine which party to the contract owns IP rights to various objects deployed or developed in the cloud and the use that the parties can make of such rights.Le contrat pourra contenir une clause expresse relative à la propriété intellectuelle, qui déterminera la partie au contrat qui jouira des droits de propriété intellectuelle sur divers objets déployés ou développés dans le nuage et l’utilisation que les parties pourront faire de ces droits.
Where no option to negotiate exists, the customer may wish to review any IP clauses to determine whether the provider offers sufficient guarantees and allows the customer appropriate tools to protect and enjoy its IP rights and avoid lock-in risks (see part one, paras. 23–26).Lorsqu’il n’existe pas de possibilité de négociation dans ce domaine, le client pourra souhaiter examiner toute clause relative à la propriété intellectuelle pour déterminer si le fournisseur lui offre des garanties suffisantes et des moyens appropriés pour protéger ses droits et en jouir, et éviter tout risque de verrouillage (voir première partie, par. 23 à 26).
Interoperability and portabilityInteropérabilité et portabilité
86.27.
There may be no statutory requirements to ensure interoperability and portability.La loi n’exigera pas nécessairement que l’interopérabilité et la portabilité soient assurées.
The onus might be completely on the customer to create compatible export routines, unless the contract provides otherwise, for example, by including contractual commitments as regards interoperability and portability and assistance with the export of data upon termination of the contract (see para. 161 below).Il peut appartenir entièrement au client de créer des routines d’exportation compatibles, à moins que le contrat n’en dispose autrement, par exemple en prévoyant des engagements en ce qui concerne l’interopérabilité et la portabilité, et l’assistance pour l’exportation des données à la fin du contrat (voir par. 161 ci-dessous).
The contract may require the use of common, widely used standardized or interoperable export formats for data and other content or provide choice among available formats.Le contrat pourra exiger l’utilisation de formats d’exportation de données et autres contenus qui soient normalisés ou interopérables et couramment utilisés, ou permettre le choix parmi les formats disponibles.
Contractual clauses may also be included to address rights to joint products and applications or software, without which the use of the data and other content in another system may be impossible (see para. 85 above).On pourra également prévoir des clauses contractuelles concernant les droits aux produits communs et aux applications ou logiciels, sans lesquels l’utilisation des données et autres contenus dans un autre système risque d’être impossible (voir par. 85 ci-avant).
Data retrieval for legal purposesExtraction de données à des fins judiciaires
87.28.
Customers may need to be able to search and find data placed in the cloud in its original form in order to meet legal requirements (for example, in investigations).Les clients pourraient devoir être à même de rechercher des données placées dans le nuage sous leur forme initiale pour répondre à des exigences juridiques, notamment dans le cadre d’une enquête.
The electronic records may need to meet auditing and evidentiary standards.Les documents électroniques pourraient devoir satisfaire à des exigences en matière d’audit et de preuve.
Some providers may be in a position to offer customers assistance with the retrieval of data in the format required by law.Certains fournisseurs pourraient offrir une assistance aux clients en vue de l’extraction de données dans le format requis par la loi.
The contract may define the form and terms of such assistance.Le contrat pourra définir la forme et les conditions de cette assistance.
Data deletionSuppression des données
88.29.
Data deletion considerations may be applicable during the term of the contract, but particularly upon its termination (see para. 162 below).La question de la suppression des données pourra se poser pendant la durée du contrat, mais surtout à la fin de ce dernier (voir par. 162 ci-après).
For example, certain data may need to be deleted according to the customer’s retention plan.Ainsi, certaines données devront peut-être être supprimées conformément au plan de conservation du client.
Sensitive data may need to be destroyed at a specified time in its lifecycle (e.g., the destruction of hard disks at the end of the life of equipment on which such data was stored).Il faudra peut-être détruire les données sensibles à un moment donné (par exemple, destruction des disques durs à la fin de la durée de vie des supports sur lesquels ces données ont été stockées).
Data may also need to be deleted in order to comply with law enforcement deletion requests or after confirmed IP infringement cases (see para. 82 above).Les données devront peut-être aussi être détruites pour répondre à une demande de suppression émanant des services de police ou en cas d’atteinte avérée à la propriété intellectuelle (voir par. 82 ci-avant).
89.30.
The providers’ standard terms may contain only statements to delete customer data from time to time.Les conditions générales du fournisseur peuvent ne contenir que des déclarations concernant la suppression occasionnelle des données client.
The parties may agree on the deletion of data, its backups and metadata immediately, effectively, irrevocably and permanently, in compliance with the data retention and disposition schedules or other form of authorization or request communicated by the customer to the provider.Les parties pourront convenir de la suppression immédiate, effective, irrévocable et définitive des données, sauvegardes et métadonnées, conformément au calendrier de conservation et d’élimination ou à une autre forme d’autorisation ou de requête que le client aura communiqué au fournisseur.
The contract may address the time period and other conditions for data deletion, including obligations as regards a confirmation of the data deletion upon its completion and access to audit trails of the deletion activities.Le contrat pourra définir les délais et autres conditions relatifs à la suppression des données, y compris les obligations concernant la confirmation de la suppression des données et l’accès aux journaux d’audit y relatifs.
90.31.
Particular standards or techniques for deletion may be specified, depending on the nature and sensitivity of the data.Des normes ou techniques de suppression particulières pourront être définies, en fonction de la nature et du caractère sensible des données.
The provider may be required to delete data from different locations and media, including from subcontractors’ and other third-parties’ systems, with different levels of deletion, such as data sanitization ensuring confidentiality of the data until their complete deletion or hardware destruction.Le fournisseur pourra avoir obligation de supprimer des données stockées à différents emplacements et sur divers supports, y compris sur les systèmes des sous-traitants et d’autres tiers, avec des niveaux de suppression différents, allant du nettoyage des données pour en assurer la confidentialité jusqu’à leur suppression complète, voire à la destruction du matériel.
More secure deletion involving destruction rather than redeployment of equipment may be more expensive and may not always be possible (if, for example, data of other persons is stored on the same hardware).Une suppression plus sûre impliquant la destruction, plutôt que le redéploiement du matériel, risque d’être plus coûteuse et de ne pas toujours être possible (par exemple, si les données d’autres personnes sont stockées sur le même support).
Those aspects may trigger the inclusion of contractual requirements to use an isolated infrastructure for storing the customer’s particularly sensitive data.Par conséquent, on pourra souhaiter prévoir dans le contrat que le fournisseur doit utiliser une infrastructure isolée pour stocker les données les plus sensibles du client.
E.E.
Audits and monitoringAudits et suivi
Monitoring activitiesActivités de suivi
91.32.
The parties may need to monitor activities of each other to ensure regulatory and contractual compliance (e.g., compliance of the customer and its end users with AUP and IP licenses and compliance of the provider with SLA and data protection policy).Pour assurer le respect des règlements et des dispositions contractuelles (par exemple, respect par le client et ses utilisateurs finaux de la politique d’utilisation acceptable et des licences de propriété intellectuelle, et respect par le fournisseur de l’accord de niveau de service et de la politique de protection des données), les parties devront peut-être surveiller leurs activités respectives.
Some monitoring activities, such as those related to personal data processing, may be mandated by law.La loi peut rendre impératives certaines activités de suivi, liées notamment au traitement des données personnelles.
92.33.
The contract may identify periodic or recurrent monitoring activities, together with the party responsible for their performance and the obligations of the other party to facilitate monitoring.Le contrat pourra préciser les activités régulières ou périodiques de suivi et la partie qui sera chargée de les exécuter, ainsi que les obligations de l’autre partie pour ce qui est de faciliter ce suivi.
The contract may also anticipate any exceptional monitoring activities and provide options for handling them.Il pourra aussi anticiper toute activité de suivi exceptionnelle et prévoir les modalités d’exécution y relatives.
The contract may also provide for reporting requirements to the other party as well as any confidential undertakings in conjunction with such monitoring activities.Enfin, il pourra aussi prévoir l’obligation de communiquer des informations à ce sujet à l’autre partie, ainsi que tout engagement de confidentialité en relation avec ces activités de suivi.
93.34.
Excessive monitoring may affect performance and increase costs of services.Un suivi excessif peut avoir des conséquences négatives sur la performance et augmenter le coût des services.
The contract may provide for the requirement to suspend monitoring in certain circumstances, e.g., where monitoring is materially detrimental to the service performance.Le contrat pourra prévoir l’obligation de suspendre le suivi dans certaines circonstances, par exemple si celui-ci porte gravement atteinte à la prestation des services.
That concern may be present particularly in case of services requiring near real-time performance.Cette préoccupation pourra concerner particulièrement les services qui requièrent d’être exécutés en temps quasi réel.
Audit and security testsAudits et tests de sécurité
94.35.
Audit and security tests, in particular to check the effectiveness of security measures, are common.Les audits et tests de sécurité sont courants, surtout ceux qui visent à contrôler l’efficacité des mesures de sécurité.
Some audits and security tests may be mandated by law.Certains peuvent être exigés par la loi.
The contract may include clauses that address the audit rights of both parties, the scope of audits, recurrence, formalities and costs.Le contrat peut inclure des clauses relatives aux droits en matière d’audit des deux parties, à la portée et au rythme de ces audits, ainsi qu’aux formalités et coûts y relatifs.
It may also oblige the parties to share with each other the results of the audits or security tests that they commission.Il peut aussi obliger les parties à partager les résultats des audits ou tests de sécurité qu’elles font réaliser.
The contractual rights or statutory obligations for audit and security tests may be complemented in the contract with corresponding obligations of the other party to facilitate the exercise of such rights or fulfilment of those obligations (e.g., to grant access to the relevant data centres).Dans le contrat, on pourra mettre en regard d’une part les droits contractuels ou obligations légales en matière d’audits et de tests de sécurité, et d’autre part l’obligation de l’autre partie de faciliter l’exercice de ces droits ou l’exécution de ces obligations (par exemple, en donnant accès aux centres de données concernés).
95.36.
Parties may agree that audits or security tests may be performed only by professional organizations or that the provider or the customer may choose to have the audit or security test performed by a professional organization.Les parties pourront convenir que les audits et les tests de sécurité peuvent uniquement être réalisés par des organisations professionnelles, ou que le fournisseur ou le client peuvent choisir de les confier à une telle organisation.
The contract may specify qualifications to be met by the third party and conditions for their engagement, including allocation of costs.Le contrat pourra prévoir les qualifications requises du tiers concerné et les conditions de son engagement, y compris la répartition des coûts.
Special arrangements may be agreed upon by the parties for audits or security tests subsequent to an incident and depending on the severity and type of the incident (for example, the party responsible for the incident may be obliged to partially or fully reimburse costs).Les parties pourront convenir de dispositions particulières concernant la réalisation d’audits ou de tests de sécurité à la suite d’un incident, en fonction de la gravité et du type d’incident (par exemple, la partie responsable de l’incident pourra être tenue de rembourser partiellement ou intégralement les coûts).
F.F.
Payment termsConditions de paiement
Pay-as-you-goFacturation à l’usage
96.37.
Price is an essential contractual term, and failure to include the price or a mechanism for determining the price in the contract may render the contract unenforceable.Le prix est une condition essentielle du contrat. Ainsi, le fait de ne pas inclure le prix ou un mécanisme de fixation du prix dans le contrat peut en entraîner la nullité.
97.38.
The on-demand self-service characteristic of cloud computing services is usually reflected in the pay-as-you-go billing system.Dans des services d’informatique en nuage caractérisés par le libre-service à la demande, la facturation se fait généralement à l’usage.
It is common for the contract to specify the price per unit for the agreed volume of supply of the cloud computing services (e.g., for a specified number of users, number of uses or time used).Il arrive couramment que le contrat précise le tarif à l’unité pour le volume convenu de services fournis (par exemple, pour un nombre défini d’utilisateurs, d’utilisations ou en fonction du temps utilisé).
Price scales or other price adjustments, including volume discounts, may be designed as incentives or penalties for either of the parties.Les barèmes ou autres ajustements de prix, y compris les rabais de volume, peuvent être conçus comme des mesures incitatives ou dissuasives pour l’une ou l’autre des parties.
Free trials are common. It is also common not to charge for some services. Although there could be many variations for price calculation, a clear and transparent price clause, understood by both parties, may avoid conflict and litigation.Les essais gratuits sont courants, de même que la fourniture de certains services à titre gracieux. S’il peut y avoir de nombreuses options en matière de calcul des prix, une clause claire et transparente dans ce domaine, bien comprise par les deux parties, peut permettre d’éviter des conflits et des litiges.
Licensing feesFrais de licence
98.39.
The parties may wish to clarify in the contract whether the payment for the cloud computing services encompasses licensing fees for any licences the provider may grant to the customer as part of the services.Les parties voudront peut-être préciser dans le contrat si le coût des services d’informatique en nuage englobe les frais pour toute licence que le fournisseur peut accorder au client en relation avec ces services.
SaaS, in particular, often involves the use by the customer of software licensed by the provider.Les contrats de type SaaS, en particulier, prévoient souvent l’utilisation, par le client, de logiciels donnés en licence par le fournisseur.
99.40.
The licensing fees may be calculated on a per-seat or per instance basis and fees may vary depending on the category of users (e.g., professional users, as opposed to non-professional users, may fall in one of the most expensive categories).Les frais de licence peuvent être calculés par poste ou par instance et varier en fonction de la catégorie d’utilisateurs (par exemple, les utilisateurs professionnels, par opposition aux utilisateurs non professionnels, pourront entrer dans l’une des catégories les plus chères).
Different payment structures may have different implications.Des structures de paiement différentes peuvent avoir des incidences différentes.
For example, a customer’s licence costs may increase exponentially if software is charged on a per instance basis each time a new machine is connected, even though the customer is using the same number of machine instances for the same duration.Ainsi, les frais de licence d’un client peuvent considérablement augmenter si le logiciel est facturé par instance, chaque fois qu’une nouvelle machine est reliée, même si le client utilise le même nombre d’instances de machines pour la même durée.
100.41.
The contract may identify the total number of potential users of software covered by the licence arrangement, the number of users in each category (e.g., employees, independent contractors and suppliers) and the rights to be granted to each category of users.Le contrat pourra préciser le nombre total d’utilisateurs potentiels du logiciel couvert par l’accord de licence, le nombre d’utilisateurs dans chaque catégorie (par exemple, employés, entrepreneurs indépendants et fournisseurs) et les droits à accorder à chaque catégorie.
The contract may also identify access and use rights that will be included in the scope of the licence and cases of access and use by the customer and its end users that may lead to an expanded scope of the license and consequently to increased licensing fees.Il pourra aussi préciser les droits d’accès et d’utilisation qui entreront dans la portée de la licence, ainsi que les cas d’accès et d’utilisation par le client et ses utilisateurs finaux qui nécessiteront l’élargissement de cette portée et entraîneront par conséquent une hausse des frais de licence.
Additional costsCoûts supplémentaires
101.42.
The price may cover also one-off costs (e.g., configuration and migration to the cloud (see part one, paras. 32–33)).Le prix peut comprendre également les coûts non récurrents (par exemple, pour la configuration et la migration vers le nuage (voir première partie, par. 32 et 33)).
There could also be additional services offered by the provider against separate payment (e.g., support after business hours charged per time or provided for a fixed price).On peut également envisager des services supplémentaires proposés par le fournisseur et facturés séparément (par exemple, assistance après les heures de bureau, facturée au temps passé ou de manière forfaitaire).
102.43.
Cloud computing services may fall within the category of taxable services or goods in some jurisdictions.Dans certains pays, les services d’informatique en nuage entrent dans la catégorie des biens ou services imposables.
The parties may wish to address in the contract the impact of taxes on payment terms.Les parties pourront souhaiter aborder, dans le contrat, la question de l’impact fiscal sur les conditions de paiement.
Other payment termsAutres conditions de paiement
103.44.
Payment terms may cover invoicing modalities (e.g., e-invoicing) and the form and content of the invoice, which may be important for tax compliance.Les conditions de paiement peuvent prévoir les modalités de facturation (par exemple, facturation électronique), ainsi que la forme et le contenu des factures, aux fins notamment du respect des obligations fiscales.
Tax authorities of some jurisdictions may not accept electronic invoices (although this is becoming rare in an increasingly paperless environment) or may require a special format, including that any tax applicable to the cloud computing services may need to be stated separately.Les autorités fiscales de certains pays pourront ne pas accepter les factures électroniques (même si cela devient peu courant au fil de l’avancée de la dématérialisation), ou exiger qu’elles se présentent sous une forme particulière, et notamment qu’elles indiquent séparément les taxes applicables aux services d’informatique en nuage.
104.45.
The parties may wish to include, among other payment terms, payment due date, currency, the applicable exchange rate, manner of payment, sanctions in case of late payment and procedures for resolving disputes over payment claims.Les parties pourront souhaiter préciser, parmi les conditions de paiement, les échéances, la monnaie, le taux de change applicable, les modalités de paiement, les sanctions en cas de retards de paiement et les procédures de règlement des litiges relatifs à des demandes de paiement.
G.G.
Changes in servicesModification des services
105.46.
Cloud computing services are by nature flexible and fluctuating. The elasticity, scalability and on-demand self-service characteristics of cloud computing services are usually enabled through many contractual options that the customer may use to adjust the consumption of services according to its needs.Les services d’informatique en nuage sont par nature souples et variables. les nombreuses options contractuelles permettent au client de tirer parti de certaines caractéristiques de ces services, à savoir l’élasticité, l’extensibilité et le libre-service à la demande, afin d’ajuster sa consommation en fonction de ses besoins.
This prevents the need for renegotiation of the contract each time the customer requires a change in the consumption of services.Cela lui évite d’avoir à renégocier le contrat à chaque fois qu’il souhaite modifier sa consommation.
106.47.
The provider in turn may reserve the right to adjust its service portfolio at its discretion.De son côté, le fournisseur peut se réserver le droit d’ajuster son portefeuille de services selon qu’il le juge approprié.
Different contractual treatment may be appropriate depending on whether changes concern the core services or ancillary services and support aspects.Il pourra être nécessaire de traiter différemment, dans le contrat, les changements concernant les services de base et ceux qui concernent les services auxiliaires et les aspects relatifs à l’assistance.
Different contractual treatment may also apply to changes that might negatively affect services as opposed to changes that lead to service improvements (e.g., a switch from a standard offering to an enhanced cloud computing offering with higher security levels or shorter response times).Il faudra peut-être également distinguer les changements qui pourraient avoir une incidence négative sur les services de ceux qui apportent une amélioration (par exemple, le passage d’une offre classique à une offre améliorée comportant des niveaux de sécurité plus élevés ou des délais de réponse plus courts).
The consequences of some unilateral changes of the terms and conditions of the contract by the provider may be severe for the customer, in particular translating into high costs of migration to another system.Certaines modifications unilatérales apportées aux clauses et conditions contractuelles par le fournisseur peuvent avoir de graves conséquences pour le client et se traduire, en particulier, par des frais élevés de migration vers un autre système.
Changes in priceModification du prix
107.48.
The provider may reserve the right to unilaterally modify the price or price scales.Le fournisseur peut se réserver le droit de modifier unilatéralement le prix ou les barèmes de prix.
The parties may agree to specify in the contract the pricing methodology (e.g., how frequently the provider can increase prices and by how much).Les parties peuvent convenir de définir dans le contrat la méthode de fixation des coûts (par exemple, la fréquence et l’ampleur des éventuelles augmentations).
The prices may be capped to a specific consumer price index, to a set percentage or to the provider’s price list at a given moment.Les prix peuvent être liés à un indice des prix à la consommation particulier, limités à un pourcentage défini ou fixés selon le barème de prix du fournisseur à un moment donné.
The contract may provide for advance notice of a price increase and the consequences of non-acceptance of the price increase by the customer.Le contrat peut exiger la notification préalable de toute hausse de prix et prévoir les conséquences de la non-acceptation, par le client, d’une telle hausse.
UpgradesMises à niveau
108.49.
Although upgrades may be in the customer’s interests, they may also cause disruptions in the availability of cloud computing services since they could translate into relatively high downtime during normal working hours even if the service is to be provided on a 24/7 basis.Si elles peuvent être dans l’intérêt du client, les mises à niveau peuvent également perturber la disponibilité des services d’informatique en nuage, car elles peuvent se traduire par des temps d’arrêt relativement longs pendant les heures ouvrables normales, même si le service est censé être fourni 24 heures sur 24 et 7 jours sur 7.
The parties may agree on advance notification to the customer of pending upgrades and the implications thereof and that upgrades, as a rule, will take place during periods of little or no demand for the customer.Les parties peuvent convenir que le client doit être notifié à l’avance des mises à niveau prévues et de leurs implications, et que celles-ci doivent, en règle générale, être effectuées pendant des périodes de faible demande ou d’absence de demande pour le client.
The contract may also provide for procedures for reporting and solving possible problems.Le contrat peut aussi prévoir des procédures pour signaler et pour résoudre les problèmes éventuels.
109.50.
Upgrades may have other negative impacts, for example, requiring changes to customer applications or information technology systems or the retraining of customer users.Les mises à niveau peuvent avoir d’autres effets négatifs, par exemple exiger des modifications des applications ou des systèmes informatiques des clients, ou l’actualisation de la formation des utilisateurs.
The contract may provide for the allocation of the costs arising from upgrades.Le contrat peut prévoir la répartition des coûts découlant des mises à niveau.
The parties may also agree that the older version of the provided service should be retained in parallel with the new version for an agreed period of time in cases where significant changes are to be made to the previous version, in order to ensure the customer’s business continuity.Dans les cas où des modifications importantes doivent être apportées à une version en cours d’utilisation, les parties peuvent aussi convenir de maintenir en parallèle les ancienne et nouvelle versions pendant une période convenue, afin d’assurer au client la continuité de ses activités commerciales.
The contract may also address assistance that may be offered by the provider with changes to customer applications or information technology systems and with retraining of the customer’s end users, when required.Le contrat peut également prévoir l’assistance qui pourra être offerte par le fournisseur dans le contexte des modifications à apporter aux applications ou aux systèmes informatiques du client et, le cas échéant, de l’actualisation de la formation des utilisateurs finaux.
Degradation or discontinuation of servicesDégradation ou interruption des services
110.51.
Technological developments, competitive pressure or other causes may lead to the degradation of some cloud computing services or their discontinuation with or without their replacement by other services.Les développements technologiques, la pression concurrentielle et d’autres raisons peuvent entraîner la dégradation ou l’interruption de certains services d’informatique en nuage, avec ou sans remplacement par d’autres services.
The provider may reserve in the contract the right to adjust the service portfolio offering (e.g., by terminating a portion of the services).Dans le contrat, le fournisseur peut se réserver le droit d’adapter son offre (par exemple en mettant fin à une partie des services).
Discontinuation of even some cloud computing services by the provider may, however, expose the customer to liability to its end users.L’abandon de certains services par le fournisseur peut toutefois engager la responsabilité du client vis-à-vis de ses utilisateurs finaux.
111.52.
The contract may provide for an advance notification of those changes to the customer, the customer’s right to terminate the contract in the case of unacceptable changes and an adequate retention period to ensure the timely reversibility of any affected customer data or other content.Le contrat peut prévoir la notification préalable de tels changements au client, le droit de ce dernier de résilier le contrat en cas de changements inacceptables, ainsi qu’un délai de conservation adéquat pour garantir la réversibilité en temps utile des données ou d’autres contenus concernés du client.
Some contracts prohibit modifications that could negatively affect the nature, scope or quality of provided services, or limit permissible changes to “commercially reasonable modifications”.Certains contrats interdisent toute modification susceptible d’affecter négativement la nature, l’étendue ou la qualité des services fournis, ou limitent les changements autorisés aux « modifications commercialement raisonnables ».
Notification of changesNotification des modifications
112.53.
The providers’ standard terms may contain an obligation on the provider to notify the customer about changes in the terms of services.Aux termes de leurs conditions générales, les fournisseurs peuvent être tenus d’informer le client des modifications des conditions de service.
If not, customers may be required to check regularly whether there have been any changes in the contract.Dans le cas contraire, les clients seront peut-être censés vérifier régulièrement si des changements ont été apportés au contrat.
Documents forming the contract may be numerous (see para. 38 above).Le contrat peut être constitué par plusieurs documents (voir par. 38 ci-avant).
Some may incorporate by reference terms and policies contained in other documents, which may in turn incorporate by reference additional terms and policies, all of which may be subject to unilateral modification by the provider.Certains contrats peuvent renvoyer à des conditions et politiques contenues dans d’autres documents, lesquels peuvent aussi renvoyer à d’autres conditions et politiques, tous ces documents pouvant faire l’objet de modifications unilatérales de la part du fournisseur.
Those different documents may not necessarily be hosted in one place on the provider’s website. Changes introduced by the provider to the contract may therefore not be easy to notice.Ces différents documents ne seront pas nécessairement tous publiés au même endroit sur le site Internet du fournisseur, si bien qu’il sera parfois difficile de repérer les éventuels changements introduits par le fournisseur.
113.54.
Since the continued use of services by the customer is deemed to be acceptance of the modified terms, the parties may agree that the customer will be notified of changes in the terms of services sufficiently in advance of their effective date.La poursuite de l’utilisation des services par le client étant réputée valoir acceptation des conditions modifiées, les parties pourront convenir que le client sera notifié des changements destinés à être apportés aux conditions de service dans un délai suffisant avant leur date d’entrée en vigueur.
The parties may also agree that the customer will have access to audit trails concerning the evolution of services and that all agreed terms and the definition of the services by reference to a particular version or release will be preserved.Elles pourront aussi convenir que le client aura accès aux journaux d’audit relatifs à l’évolution des services et que toutes les conditions convenues et les services définis par référence à une version particulière seront conservés.
H.H.
Suspension of servicesSuspension des services
114.55.
The providers’ standard terms may contain the right of the provider to suspend services, at its discretion, at any time.Les conditions générales des fournisseurs peuvent leur octroyer le droit de suspendre les services à tout moment, s’ils le jugent opportun.
“Unforeseeable events” is a common justification for unilateral suspension of services by the provider. Such events are usually defined as broadly encompassing any impediments beyond the provider’s control, including failures of subcontractors, sub-providers and other third parties involved in the provision of the cloud computing services to the customer, such as Internet network providers.Pour justifier la suspension unilatérale des services, les fournisseurs invoquent souvent des « événements imprévisibles », qui sont habituellement définis comme englobant de manière générale tous les obstacles échappant au contrôle du fournisseur, y compris les défaillances de sous-traitants, de sous-fournisseurs et d’autres tiers impliqués dans la fourniture des services d’informatique en nuage au client, notamment les fournisseurs de réseaux Internet.
115.56.
The parties may agree that suspension of services may occur only in limited cases identified in the contract (e.g., in case of fundamental breach of the contract by the customer, for example, non-payment).Les parties peuvent convenir qu’une telle suspension pourra uniquement intervenir dans certains cas limités, indiqués dans le contrat (par exemple, en raison d’une violation fondamentale du contrat par le client, notamment en cas du non-paiement de sommes dues).
The right of suspension due to unforeseeable events may be conditioned on properly implementing a business continuity and disaster recovery plan.Le droit de suspension en raison d’événements imprévisibles peut être subordonné à la bonne mise en œuvre d’un plan de continuité des opérations et de reprise après sinistre.
The contract may require that such a plan contains protections against common threats to the provision of the cloud computing services and be submitted for comment and approval by the other party.Le contrat peut exiger que ce plan contienne des mesures de protection contre les facteurs qui menacent le plus fréquemment la prestation des services d’informatique en nuage et qu’il soit soumis aux commentaires et à l’approbation de l’autre partie.
Those protections may include a geographically separate disaster recovery site with seamless transition and the use of an uninterruptible power supply and backup generators.Parmi les mesures de protection, on mentionnera l’établissement, dans un lieu géographiquement distinct, d’un site de reprise après sinistre assurant une transition sans heurt, ainsi que l’utilisation d’une alimentation électrique sans coupure et de générateurs de secours.
I.I.
Subcontractors, sub-providers and outsourcingSous-traitants, sous-fournisseurs et externalisation
Identification of the subcontracting chainIdentification de la chaîne de sous-traitance
116.57.
Subcontracting, layered cloud computing services and outsourcing are common in cloud computing environment.La sous-traitance, les services d’informatique en nuage en couches et l’externalisation se rencontrent fréquemment dans l’environnement de l’informatique en nuage.
The providers’ standard terms may explicitly reserve the provider’s right to use third parties for the provision of the cloud computing services to the customer, or that right may be implicit because of the nature of services to be provided.Dans leurs conditions générales, les fournisseurs peuvent se réserver expressément le droit d’avoir recours à des tiers pour la prestation des services en nuage au client, ou alors ce droit peut être implicite du fait de la nature des services à fournir.
The provider may be interested in retaining as much flexibility as possible in that respect.Le fournisseur peut souhaiter conserver autant de latitude que possible à cet égard.
117.58.
The law may require the parties to identify in the contract any third parties involved in the provision of the cloud computing services.La loi pourra exiger que les parties désignent nommément dans le contrat tout tiers intervenant dans la fourniture des services d’informatique en nuage.
Such identification may also be beneficial to the customer for verification purposes, in particular of compliance of third parties with security, confidentiality, data protection and other requirements arising from the contract or law and of the absence of conflicts of interest on the part of third parties.Une telle identification pourra aussi être dans l’intérêt du client à des fins de vérification, entre autres pour s’assurer du respect, par les tiers, des exigences législatives ou contractuelles en matière notamment de sécurité, de confidentialité et de protection des données, et l’absence de conflit d’intérêt chez des tiers.
118.59.
That information may also be used for mitigation of risks of non-performance of the contract by the provider due to failures of third parties.Ces informations peuvent aussi servir à réduire les risques de non-exécution du contrat par le fournisseur en raison de défaillances des tiers.
For example, the customer may opt to contract directly with third parties instrumental to the performance of the cloud computing contract, in particular on such sensitive issues as confidentiality and personal data processing.Ainsi, le client peut choisir de conclure un accord directement avec les tiers qui interviennent dans l’exécution du contrat d’informatique en nuage, en particulier en ce qui concerne des questions sensibles telles que la confidentialité et le traitement des données personnelles.
The customer may also try to negotiate with key third parties obligations to step in if the provider fails to perform under the contract, including in case of the provider’s insolvency.Il peut également essayer de négocier avec les tiers les plus importants une obligation d’intervenir si le fournisseur n’exécute pas le contrat comme il se doit (notamment si ce dernier devient insolvable).
119.60.
The provider may be in a position to identify those third parties playing key roles but not all third parties.Le fournisseur pourra être en mesure d’identifier les tiers qui jouent un rôle important, mais pas nécessairement tous les tiers impliqués.
The pool of third parties involved in the provision of cloud computing services may change during the contract (see paras. 120–121 below).Le groupe de tiers qui interviennent dans la fourniture des services d’informatique en nuage peut varier pendant la durée du contrat (voir par. 120 et 121 ci-après).
Changes in the subcontracting chainModifications de la chaîne de sous-traitance
120.61.
Unilateral changes in the subcontracting chain are common.Les changements unilatéraux de la chaîne de sous-traitance sont fréquents.
The contract may specify whether changes in the subcontracting chain are permitted and if so, under which conditions (e.g., the customer may reserve the right to vet and veto any new third party involved in the provision of the cloud computing services to the customer before the change is implemented).Le contrat peut préciser si de tels changements sont autorisés et prévoir, le cas échéant, dans quelles conditions (par exemple en prévoyant que le client peut se réserver le droit d’effectuer des vérifications et d’opposer son veto à tout nouveau tiers intervenant dans la fourniture des services d’informatique en nuage, avant que cette intervention ne devienne effective).
Alternatively, the contract may include the list of third parties pre-approved by the customer, from which the provider can choose when the need arises.Une autre solution est d’inclure dans le contrat une liste de tiers préalablement approuvés par le client, à laquelle le fournisseur pourra se référer en cas de besoin.
Another option is to subject the change to subsequent approval by the customer, in the absence of which services would need to continue with the previous or other pre-approved third party or with another third party to be agreed by the parties.On peut également soumettre les changements à l’approbation, à posteriori, par le client. En l’absence de cette approbation, les services continuent d’être fournis par le tiers précédent ou un autre tiers préalablement approuvé, ou par un autre tiers choisi d’un commun accord par les parties.
Otherwise, the contract may be terminated.Dans les autres cas, le contrat peut être résilié.
121.62.
Mandatory applicable law may stipulate circumstances in which changes in a provider’s subcontracting chain may require termination of the contract.La loi impérative applicable peut prévoir des circonstances dans lesquelles des modifications de la chaîne de sous-traitance d’un fournisseur peuvent entraîner la résiliation du contrat.
Alignment of contract terms with linked contractsHarmonisation des conditions du contrat avec les contrats liés
122.63.
The law or the contract may require the parties to align the terms of the contract with existing or future linked contracts to ensure confidentiality and compliance with data localization and data protection requirements.La loi ou le contrat même peuvent exiger des parties qu’elles harmonisent les conditions dudit contrat avec les contrats existants ou futurs qui lui sont liés afin d’assurer la confidentialité et le respect des exigences en matière de localisation et de protection des données.
The contract may oblige parties to supply each other with copies of linked contracts for verification purposes.Le contrat peut obliger les parties à se communiquer mutuellement des copies des contrats liés à des fins de vérification.
Liability of subcontractors, sub-providers and other third partiesResponsabilité des sous-traitants, des sous-fournisseurs et d’autres tiers
123.64.
Although third parties instrumental to the performance of the cloud computing contract may be listed in the contract, they would not be parties to the contract between the provider and the customer.Bien qu’ils puissent être désignés dans le contrat, les tiers qui jouent un rôle dans l’exécution du contrat d’informatique en nuage ne sont pas eux-mêmes parties au contrat entre le fournisseur et le client.
They would be liable for obligations under their contracts with the provider.Les obligations qu’ils sont tenus d’exécuter sont celles qui découlent de leurs propres contrats avec le fournisseur.
The creation of third-party beneficiary rights for the benefit of the customer in linked contracts, or making the customer a party to linked contracts, would allow the customer’s direct recourse against the third party in case of that third party’s non-performance under a linked contract.Le fait de créer des droits de tiers bénéficiaire au profit du client dans des contrats liés, ou de faire du client une partie à ces contrats, permettrait à celui-ci de se retourner directement contre le tiers dans le cas où ce dernier manquerait aux obligations lui incombant au titre d’un contrat lié.
124.65.
Under applicable law or contract, the provider may be held liable to the customer for any issue within the responsibility of any third party whom the provider involved in the performance of the contract.Conformément au contrat ou à la loi applicable, le fournisseur peut être tenu responsable envers le client de tout problème relevant de la responsabilité d’un tiers qu’il a fait intervenir aux fins de l’exécution du contrat.
In particular, the joint liability of the provider and its subcontractors may be established by law for any issues arising from personal data processing, depending on the extent of subcontractors’ involvement in processing.En particulier, la responsabilité conjointe du fournisseur et de ses sous-traitants peut être établie par la loi pour tout problème lié au traitement des données personnelles, selon le degré de participation des sous-traitants à ce traitement.
J.J.
LiabilityResponsabilité
Statutory limitations to contractual freedomDispositions légales limitant la liberté contractuelle
125.66.
While most legal systems generally recognize the right of contracting parties to allocate risks and liabilities and to limit or exclude liability through contractual provisions, this right is usually subject to various limitations and conditions.Si la plupart des systèmes juridiques reconnaissent généralement le droit des parties contractantes de répartir les risques et les responsabilités et de limiter ou d’exclure la responsabilité par le biais de dispositions contractuelles, ce droit est habituellement soumis à diverses limitations et conditions.
For example, an important factor in risk and liability allocation in personal data processing is the role that each party assumes as regards personal data placed in the cloud.Ainsi, le rôle que chaque partie assume en ce qui concerne les données personnelles placées dans le nuage constitue un facteur important pour la répartition des risques et des responsabilités dans le cadre du traitement des données personnelles.
The data protection law of certain jurisdictions imposes more liability on the data controller than on data processors of personal data.Dans certains pays, la législation sur la protection des données impose une plus grande responsabilité aux responsables du contrôle des données qu’aux responsables du traitement des données personnelles.
Notwithstanding contractual provisions, the factual handling of such data will generally determine the legal regime to which the party would be subject under applicable law.Nonobstant les dispositions contractuelles, c’est le maniement de ces données qui déterminera généralement le régime juridique auquel la partie serait soumise en vertu du droit applicable.
Data subjects who have suffered loss resulting from unlawful processing of personal data or any act incompatible with domestic data protection regulations may be entitled to compensation directly from the data controller.Les sujets de données qui ont subi une perte résultant du traitement illicite de données personnelles ou de tout acte incompatible avec les dispositions nationales relatives à la protection des données peuvent être fondés à être indemnisés directement par le responsable du contrôle des données.
126.67.
In addition, in many jurisdictions a total exclusion of liability for a person’s own fault is not admissible or is subject to limitations.En outre, dans de nombreux pays, l’exclusion totale de la responsabilité du fait personnel n’est pas admissible ou est sujette à des limitations.
It might not be possible to exclude altogether liability related to personal injury (including sickness and death) and for gross negligence, intentional harm, defects, breach of core obligations essential for the contract or non-compliance with applicable regulatory requirements.Il est parfois impossible d’exclure totalement la responsabilité liée aux dommages corporels (y compris la maladie et le décès) et à la négligence grave, aux dommages intentionnels, aux défauts, à la violation des obligations essentielles du contrat ou au non-respect des exigences réglementaires applicables.
Some types of limitation clauses, such as waiver of liability by the provider for security incidents in cases where the customer has no control or ability to effect security, may be found to be “abusive” and therefore invalid.On pourra juger abusives, et par conséquent nulles, certains types de clauses limitatives, comme une clause d’exonération de responsabilité du fournisseur pour les incidents de sécurité dans les cas où le client n’a aucun contrôle ni moyen d’assurer cette sécurité.
The terms of contracts of adhesion, which are typically not negotiated but pre-established by one of the parties, may be subject to particular scrutiny.Les conditions des contrats d’adhésion, qui ne sont généralement pas négociées mais préétablies par l’une des parties, pourront faire l’objet d’un examen plus poussé.
In addition, unlimited liability may flow from certain types of defects under law (e.g., defective hardware or software).Par ailleurs, la loi peut prévoir la responsabilité illimitée pour certains types de défauts (par exemple, matériels ou logiciels défectueux).
127.68.
The ability of public institutions to assume certain liabilities may be restricted by law, or public institutions would need to seek prior approval of a competent State body for doing so.La législation peut limiter la capacité qu’ont les institutions publiques d’assumer certaines responsabilités ou leur imposer d’obtenir l’approbation préalable d’un organe compétent de l’État pour ce faire.
They may also be prohibited from accepting exclusion or limitation of a provider’s liability altogether or for acts or omissions defined in law.Il peut aussi leur être interdit d’accepter l’exclusion ou la limitation de la responsabilité des fournisseurs soit de manière générale soit en ce qui concerne des omissions ou des actes définis dans la législation.
128.69.
The applicable law may, on the other hand, provide for exemption from liability if certain criteria are fulfilled by a party that would otherwise face a risk of liability.D’autre part, la loi applicable peut prévoir une exonération de responsabilité si certains critères sont remplis par une partie dont la responsabilité risquerait autrement d’être engagée.
For example, under the “notice and take down” procedure (see para. 82 above) in some jurisdictions, the provider will be released from liability for hosting the illegal content on its cloud infrastructure if it removed such content once it became aware of it.Par exemple, en vertu de la procédure dite de « notification et de retrait » (voir par. 82 ci-avant) qui a cours dans certains pays, le fournisseur sera dégagé de toute responsabilité relative à l’hébergement d’un contenu illicite sur son infrastructure en nuage s’il supprime ce contenu lorsqu’il en prend connaissance.
129.70.
In some jurisdictions, to be enforceable, the clauses containing disclaimers and limitations of liability agreed upon by the parties must be included in the contract.Dans certains pays, les clauses de non-responsabilité et de limitation de responsabilité convenues par les parties doivent être incluses dans le contrat pour être exécutoires.
The applicable law might impose form or other requirements for the validity and enforceability of those clauses.La loi applicable peut imposer des exigences, notamment de forme, pour que ces clauses soient valables et exécutoires.
Other considerations for drafting liability clausesAutres considérations à prendre en compte pour la rédaction de clauses de responsabilité
130.71.
The amount, if any, charged for the cloud computing services and the risks involved in the provision of the services would all be considered in negotiating the allocation of risks and liabilities.Dans la négociation relative à la répartition des risques et des responsabilités, on examinera tant le montant susceptible d’être facturé pour les services d’informatique en nuage que les risques liés à la prestation de ces services.
Although parties generally tend to exclude or limit liability as regards factors that they cannot control or can control only to a limited extent (e.g., behaviour of end users, actions or omissions of subcontractors), the level of control would not always be a decisive consideration.Bien que les parties tendent généralement à exclure ou à limiter leur responsabilité en ce qui concerne les facteurs sur lesquels elles n’ont pas ou que peu de contrôle (par exemple, le comportement des utilisateurs finaux, les actes ou les omissions des sous-traitants), le niveau de contrôle n’est pas toujours une considération décisive.
A party may be prepared to assume risks and liability for elements that it does not control in order to distinguish itself in the market place.Une partie peut être prête à assumer les risques et les responsabilités liés à certains éléments qu’elle ne contrôle pas afin de se distinguer sur le marché.
It is nevertheless likely that the party’s risks and liabilities would increase progressively in proportion to the components under its control.Il est néanmoins probable que les risques et les responsabilités de la partie augmentent progressivement en proportion des éléments qu’elle contrôle.
131.72.
For example, in SaaS involving the use of standard office software, it is likely that the provider would be responsible for virtually all resources provided to the customer, and liability of the provider could arise in each case of non-provision or malfunctioning of those resources.Par exemple, dans les modèles SaaS impliquant l’utilisation d’un logiciel de bureautique standard, il est probable que le fournisseur sera responsable de la quasi-totalité des ressources fournies au client et que sa responsabilité pourra être engagée en cas de non-fourniture ou de dysfonctionnements de ces ressources.
Nevertheless, even in those cases, the customer could still be responsible for some components of the services, such as encryption or backups of data under its control.Néanmoins, même dans ces cas, le client pourrait rester responsable de certains aspects des services, tels que le chiffrement ou la sauvegarde des données sous son contrôle.
The failure to ensure adequate backups might lead to the loss of the right of recourse against the provider in case of the loss of data.En cas de perte de données, le client qui n’aura pas effectué les sauvegardes de rigueur pourrait être privé de son droit de recours contre le fournisseur.
On the other hand, in IaaS and PaaS, the provider could be responsible only for the infrastructure or platforms provided (such as hardware resources, operating system or middleware), while the customer would assume responsibility for all components belonging to it, such as applications run using the provided infrastructure or platforms and data contained therein.En revanche, dans les modèles IaaS et PaaS, le fournisseur pourrait n’être responsable que de l’infrastructure ou des plateformes fournies (comme le matériel informatique, les systèmes d’exploitation ou les logiciels médiateurs) tandis que le client assumerait la responsabilité de tous les éléments lui appartenant (comme les applications exécutées au moyen de l’infrastructure ou des plateformes fournies et les données qu’elles contiennent).
Providers’ standard termsConditions générales du fournisseur
132.73.
Providers’ standard terms may exclude any liability under the contract and take the position that liability clauses are non-negotiable.Les conditions générales des fournisseurs peuvent exclure toute responsabilité découlant du contrat et faire valoir que les clauses de responsabilité ne sont pas négociables.
Alternatively, the provider may be willing to accept liability, including unlimited liability, for breaches controllable by the provider (e.g., a breach of IP licenses granted to the provider by the customer) but not for breaches that may occur for reasons beyond the provider’s control (e.g., unforeseeable events or leaks of confidential data).Une autre possibilité est que le fournisseur accepte d’engager sa responsabilité (même illimitée) pour des violations qu’il serait en mesure de contrôler (comme une violation des licences de propriété intellectuelle concédées au fournisseur par le client) mais pas pour celles qui pourraient survenir pour des raisons indépendantes de sa volonté (par exemple, des événements imprévisibles ou des fuites de données confidentielles).
133.74.
Providers’ standard terms generally exclude liability for indirect or consequential loss (e.g., loss of business opportunities following the unavailability of the cloud computing service).Les conditions générales des fournisseurs excluent généralement toute responsabilité pour des dommages indirects (par exemple, perte de chiffre d’affaires résultant de l’indisponibilité du service d’informatique en nuage).
Where liability is accepted generally or for certain specified cases, providers’ standard terms often limit the amount of losses that will be covered (per incident, per series of incidents or per period of time).Lorsque la responsabilité est acceptée de façon générale ou pour certains cas précis, elles limitent souvent le montant des pertes qui seront couvertes (par incident, par série d’incidents ou par période de temps).
In addition, providers often fix an overall cap on liability under the contract, which may be linked to the revenue expected to be received under the contract, to the turnover of the provider or insurance coverage.En outre, les fournisseurs fixent souvent un plafond global de responsabilité dans le cadre du contrat, qui peut être lié aux recettes attendues du contrat, au chiffre d’affaires du fournisseur ou à la couverture d’assurance.
134.75.
Providers’ standard terms usually impose liability on the customer for non-compliance with AUP.Les conditions générales des fournisseurs rendent généralement le client responsable en cas de non-respect de la politique d’utilisation acceptable.
Possible variations of standard termsModifications possibles des conditions générales
135.76.
Some events (e.g., personal data protection violations and IP rights infringement) could expose either party to the potentially high liability to third parties or give rise to regulatory fines.Certains événements (comme une violation de la protection des données personnelles ou une atteinte aux droits de propriété intellectuelle) peuvent exposer l’une ou l’autre partie à la responsabilité – potentiellement élevée – à l’égard des tiers ou donner lieu à des amendes réglementaires.
It is common to agree on a more stringent liability regime (unlimited liability or higher compensation) when those events occur due to the fault or negligence of the other party.Il arrive fréquemment que les parties conviennent d’un régime de responsabilité plus strict (responsabilité illimitée ou dédommagement plus élevé) pour les événements qui résultent d’une faute ou d’une négligence de l’autre partie.
136.77.
Liability of the parties for actions of third parties that they cannot control (e.g., of the customer for actions of end users or of the provider for actions of the customer or its end users) may be limited or excluded by contract or law.La responsabilité des parties pour des actes commis par des tiers qui échappent à leur contrôle (par exemple, responsabilité du client pour les actes des utilisateurs finaux ou du fournisseur pour des actes du client ou de ses utilisateurs finaux) pourra être limitée, voire exclue par le contrat ou par la loi.
Liability insuranceAssurance responsabilité
137.78.
The contract may contain insurance obligations for both or either party, in particular as regards quality requirements for an insurance company and the minimum amount of insurance coverage sought.Le contrat peut prévoir des obligations en matière d’assurance visant l’une ou l’autre partie, voire les deux, notamment en ce qui concerne les exigences de qualité que les compagnies d’assurance doivent remplir et le montant minimal de la couverture d’assurance demandée.
It may also require parties to notify changes to the insurance coverage or provide copies of current insurance policies to each other.Il peut également préciser que les parties doivent s’aviser mutuellement de toute modification apportée à la couverture d’assurance ou se communiquer des copies des polices d’assurance en vigueur.
K.K.
Remedies for breach of the contractRecours en cas de violation du contrat
Types of remediesTypes de recours
138.79.
The parties are free to select remedies within the limits of applicable law.Les parties sont libres de choisir des recours dans les limites de la loi applicable.
Remedies may include in-kind remedies aimed at providing the aggrieved party with the same or equivalent benefit expected from contract performance (e.g., replacement of the defective hardware), monetary remedies (e.g., service credits) and termination of the contract.Parmi les recours figurent les demandes de réparations en nature, qui visent à fournir à la partie lésée le même avantage ou un avantage équivalent à celui attendu de l’exécution du contrat (entre autres le remplacement du matériel défectueux), les demandes de réparations pécuniaires (par exemple, les crédits de service) ou le recours en résiliation du contrat.
The contract could differentiate between types of breaches and specify corresponding remedies.Le contrat pourrait établir une distinction entre les types de violations et préciser les recours correspondants.
Suspension or termination of servicesSuspension ou résiliation des services
139.80.
Suspension or termination of the provision of the cloud computing services is a usual remedy of the provider for the customer’s breach of a contract or violation of AUP by the customer’s end users.La suspension ou la résiliation de la prestation des services d’informatique en nuage constitue un recours habituel du fournisseur en cas de rupture de contrat de la part du client ou de violation de la politique d’utilisation acceptable par les utilisateurs finaux du client.
The contract may include safeguards against broad suspension or termination rights.Le contrat peut prévoir des garanties contre des droits étendus de suspension ou de résiliation.
For example, the right of the provider to suspend or terminate the provision of the cloud computing services to the customer may be limited to cases of fundamental breach of the contract by the customer, significant threats to the security or integrity of the provider’s system and cases stated in the applicable law.Par exemple, le droit du fournisseur de suspendre ou de résilier la prestation des services d’informatique en nuage au client pourra être limité aux cas de violations fondamentales du contrat par le client et de menaces sérieuses pour la sécurité ou l’intégrité des systèmes du fournisseur, et aux cas énoncés dans la loi applicable.
The provider’s right to suspend or terminate may also be restricted only to those services that are affected by the breach, where such a possibility exists.Le droit de suspension ou de résiliation dont bénéficie le fournisseur pourra aussi être limité aux services affectés par la violation, lorsque cette possibilité existe.
Service creditsCrédits de service
140.81.
An often-used mechanism to compensate the customer for non-performance by the provider is the system of service credits.Le système des crédits de service est un mécanisme souvent utilisé pour indemniser le client lorsque le fournisseur ne remplit pas ses obligations.
Those credits take the form of a reduced fee for the services to be provided under the contract in the following measured period.Ces crédits se présentent sous la forme d’une baisse du prix des services fournis conformément au contrat au cours de la période mesurée suivante.
A sliding scale may apply (i.e., a percentage of reduction may depend on the extent to which the provider’s performance under the contract falls short of the performance parameters identified in SLA or other parts of the contract).Un barème dégressif peut s’appliquer, c’est-à-dire qu’un pourcentage de la réduction du prix peut dépendre de l’écart entre la performance effective du fournisseur au titre du contrat et les paramètres définis dans l’accord de niveau de service ou dans d’autres parties du contrat.
An overall cap for service credits may also apply.Un plafond global en matière de crédits de service peut également s’appliquer.
Providers may limit the circumstances in which service credits are given to those, for example, where failures arise from matters under the provider’s control or where credits are claimed within a certain period of time.Les fournisseurs peuvent limiter les circonstances dans lesquelles des crédits de service sont accordés, par exemple aux cas où les défaillances sont dues à des aspects qu’ils contrôlent, ou limiter les délais dans lesquels les clients peuvent utiliser ces crédits.
Some providers may also be willing to offer a refund of fees already paid or an enhanced service package in the following measured period (e.g., free information technology consultancy).Certains fournisseurs peuvent aussi être disposés à rembourser des frais déjà payés ou à fournir un ensemble de services amélioré au cours de la période mesurée suivante (comportant par exemple un soutien informatique gratuit).
If a range of options exists, providers’ standard terms may stipulate that any remedy for provider non-performance will be at the choice of the provider.S’il existe un éventail d’options, les conditions générales des fournisseurs peuvent préciser que toute réparation en cas d’inexécution de la part du fournisseur sera laissée au choix de ce dernier.
141.82.
Fixing service credits as the sole and exclusive remedy against the provider’s non-performance of its contractual commitments may limit the customer’s rights to other remedies, including suing for damages or terminating the contract.Le fait de prévoir des crédits de service comme seul et unique recours contre un fournisseur qui ne remplit pas ses obligations contractuelles peut limiter le droit du client de se prévaloir d’autres recours, y compris des actions en réparation ou en résiliation du contrat.
In addition, service credits in the form of fee reduction or an enhanced service package in the following measured period may be useless if the contract is terminated.En outre, il peut être inutile de proposer des crédits de service sous la forme d’une baisse du coût ou d’un ensemble de services amélioré au cours de la période mesurée suivante si le contrat est résilié.
Excessive service credits may be unenforceable if they have been considered as an unreasonable approximation of harm at the outset of the contract. Other measures, such as penalties (where admissible) or liquidated damages, may provide more appropriate incentives for ensuring contractual compliance.Par ailleurs, la mise en œuvre de crédits excessifs peut être impossible si ceux-ci sont considérés comme une approximation déraisonnable du préjudice lors de la formation du contrat. D’autres mesures, comme l’imposition de pénalités (lorsqu’il s’agit d’une mesure admissible) ou le paiement de dommages et intérêts forfaitaires, seront peut-être mieux à même d’assurer le respect des obligations contractuelles.
Formalities to be followed in case of the breach of the contractFormalités à observer en cas de violation du contrat
142.83.
The contract may set forth procedures to be followed in cases of breach. For example, the contract could require a party to notify the other party when any terms of the contract are deemed to be violated and to provide a chance to remedy such asserted violation.Le contrat peut prévoir des procédures à suivre en cas de violation, par exemple exiger d’une partie qu’elle notifie l’autre partie en cas de violation présumée d’une de ses clauses et qu’elle lui donne l’occasion de remédier à la violation invoquée.
Time limits for claiming remedies may also be set.Des délais de recours peuvent également être fixés.
L.L.
Term and termination of the contractDurée et résiliation du contrat
Effective start date of the contractDate d’entrée en vigueur du contrat
143.84.
The effective start date of the contract may be different from the signature date, the date of acceptance of the offer or the date of acceptance of configuration and other actions required for the customer to migrate to the cloud.La date d’entrée en vigueur du contrat peut différer de la date de signature, de la date d’acceptation de l’offre ou de la date d’acceptation de la configuration et d’autres actions requises pour que le client migre ses données vers le nuage.
The date when the cloud computing services are made available to the customer by the provider, even if they are not actually used by the customer, may be considered the effective start date of the contract.On peut considérer que la date d’entrée en vigueur du contrat est celle à laquelle le fournisseur met les services d’informatique en nuage à la disposition du client, même si ce dernier ne les utilise pas effectivement.
The date of the first payment by the customer for the cloud computing services, even if they are not yet made available to the customer by the provider, may also be considered the effective start date of the contract.Il est également possible de considérer que le contrat entre en vigueur le jour où le client effectue le premier paiement correspondant aux services d’informatique en nuage, même si le fournisseur ne les a pas encore mis à sa disposition.
For those reasons and to avoid uncertainties, the parties may indicate in the contract its effective start date.Pour ces raisons, et pour éviter toute incertitude, les parties pourront indiquer dans le contrat la date d’entrée en vigueur de celui-ci.
Duration of the contractDurée du contrat
144.85.
The duration of the contract could be short, medium or long.Le contrat peut être de durée courte, moyenne ou longue.
It is common in standardized commoditized multi-subscriber cloud solutions to provide for a fixed initial duration (short or medium), with automatic renewals unless terminated by either party.Dans le cadre des solutions d’informatique en nuage normalisées pour multiabonnés, il est fréquent de prévoir une durée initiale fixe (courte ou moyenne), avec des renouvellements automatiques, à moins de résiliation par l’une ou l’autre partie.
The provider may agree to serve the customer an advance notification of the upcoming expiration of the term of the contract.Le fournisseur peut convenir de notifier à l’avance au client la prochaine expiration du contrat.
Various considerations, including risks of being lock-in and missing better deals, may impact a decision on renewal.Différentes considérations pourront influer sur la décision de renouvellement d’un contrat, notamment le risque de verrouillage et le risque de passer à côté d’une offre plus intéressante.
Earlier terminationRésiliation anticipée
145.86.
Contracts usually address reasons for termination other than upon expiration of its fixed term, such as for convenience, breach or other reasons.Les contrats mentionnent généralement les motifs de résiliation autres que l’expiration de la durée fixe, comme la résiliation pour convenance ou pour violation, entre autres.
The contract may provide modalities for earlier termination, including requirements for a sufficiently advance notice, reversibility and other end-of-service commitments (see paras. 157–167 below).Le contrat peut prévoir des modalités de résiliation anticipée, y compris l’obligation d’un préavis suffisant, la réversibilité et d’autres engagements de fin de contrat (voir par. 157 à 167 ci-après).
Termination for convenienceRésiliation pour convenance
146.87.
Providers’ standard terms, especially for provision of standardized commoditized multi-subscriber cloud solutions, usually reserve the right of the provider to terminate the contract at any time without customer default.En particulier dans le cadre des solutions d’informatique en nuage normalisées pour multiabonnés, les fournisseurs se réservent généralement le droit, dans leurs conditions générales, de résilier le contrat à tout moment sans qu’il y ait défaillance du client.
The parties may agree to limit the circumstances under which such a right could be exercised and oblige the provider to serve the customer with sufficiently advance notice of termination.Les parties peuvent convenir de limiter les circonstances dans lesquelles ce droit pourra s’exercer et d’obliger le fournisseur à signifier au client un préavis de résiliation suffisamment long.
147.88.
The customer’s right to terminate the contract for convenience (i.e., without the default of the provider) is especially common in public contracts.Le droit du client de résilier le contrat pour convenance (c’est-à-dire sans qu’il y ait de défaillance du fournisseur) se rencontre surtout dans les contrats publics.
The provider may demand payment of early termination fees in such cases. Payment of early termination fees by public entities may however be restricted by law.Dans ce cas, le fournisseur peut exiger le paiement d’indemnités de résiliation anticipée, paiement que la législation peut toutefois limiter dans le cas des entités publiques.
In contracts of indefinite duration, providers may be more inclined to accept termination by the customer for mere convenience without compensation, but that might also lead to a higher contract price.Dans les contrats à durée indéterminée, les fournisseurs peuvent être plus enclins à accepter la résiliation pour convenance par le client sans demander de compensation, mais peuvent pour cela demander un tarif plus élevé dans le contrat.
Termination for breachRésiliation pour violation
148.89.
Fundamental breach usually justifies termination of the contract.La violation fondamentale du contrat en justifie généralement la résiliation.
To avoid ambiguities, the parties may define in the contract the events that constitute a fundamental breach of the contract.Afin d’éviter toute ambiguïté, les parties peuvent définir dans le contrat les événements qui en constitueront une violation fondamentale.
Fundamental breach of the contract by the provider may include data loss or misuse, personal data protection violations, recurrent security incidents (e.g., more than a certain number of times per any measured period), confidentiality leaks and non-availability of services at certain time points or for a certain period of time.Parmi les violations fondamentales commises par le fournisseur, on mentionnera la perte ou l’utilisation abusive de données, les infractions à la protection des données personnelles, les incidents de sécurité récurrents (à savoir plus d’un certain nombre de fois par période mesurée), les violations de confidentialité et l’indisponibilité des services à certains moments ou pendant une certaine durée.
Non-payment by the customer and violation of AUP by the customer or its end users are among the most common reasons for termination of the contract by the provider.Le défaut de paiement par le client et la violation de la politique d’utilisation acceptable par le client ou ses utilisateurs finaux sont les motifs les plus fréquents de résiliation du contrat par le fournisseur.
The party’s right to terminate the contract may be conditional on serving a prior notice, holding good faith consultations and providing a possibility to remedy the situation.Le droit d’une partie de résilier le contrat peut être subordonné à la notification d’un préavis, à la tenue de consultations de bonne foi et à la possibilité de remédier à la situation.
The party may be obliged under the contract to restore contract performance within a certain number of days after remedial action has been taken.Cette partie peut être tenue, conformément au contrat, de rétablir l’exécution du contrat dans un certain délai après que des mesures correctives ont été prises.
149.90.
The contract may address the provider’s end-of-service commitments that would survive the customer’s fundamental breach of the contract, including the reversibility of customer data and other content (see paras. 157–167 below).Le contrat pourra évoquer les engagements de fin de contrat du fournisseur qui survivraient à une violation fondamentale de celui-ci par le client, y compris la réversibilité des données et autres contenus du client (voir par. 157 à 167 ci-après).
Termination due to unacceptable modifications of the contractRésiliation pour cause de modifications inacceptables du contrat
150.91.
Certain modifications to the contract by one party may not be acceptable to the other party and may justify termination of the contract.Certaines modifications apportées au contrat par une partie pourront être jugées inacceptables par l’autre partie et justifier la résiliation du contrat.
Those modifications might include modifications to data localization requirements or subcontracting terms.Il peut s’agir de changements portant sur les exigences en matière de localisation des données ou sur les conditions de sous-traitance.
The contract may provide for the customer’s right to terminate the entire contract if modifications to the contract due to the restructuring of the provider’s service portfolio lead to termination or replacement of some services (see paras. 105–124 above and para. 155 below).Le contrat peut conférer le droit au client de le résilier dans son intégralité si des modifications découlant de la restructuration du portefeuille de services du fournisseur entraînent la cessation ou le remplacement de certains services (voir par. 105 à 124 ci-avant et par. 155 ci-après).
Termination in case of insolvencyRésiliation pour cause d’insolvabilité
151.92.
Risks of insolvency may be identified during the risk assessment (see part one, para. 15(j)) and during the contract, for example, if periodic reporting about the financial condition of the parties is required under the contract.Les risques d’insolvabilité peuvent être identifiés lors de l’évaluation des risques (voir première partie, par. 15 j)) et pendant la durée du contrat, par exemple dans le cas où ce dernier exige la communication périodique d’informations au sujet de la situation financière des parties.
Clauses allowing termination of the contract in the event of insolvency of either party are common. Mandatory provisions of insolvency law may override those clauses.On rencontre fréquemment des clauses prévoyant la résiliation du contrat en cas d’insolvabilité de l’une des parties, clauses qui peuvent toutefois être primées par les dispositions impératives du droit de l’insolvabilité.
152.93.
An insolvent customer may need to continue using the cloud computing services while resolving its financial difficulty.Un client insolvable aura peut-être besoin de continuer à utiliser les services d’informatique en nuage pendant qu’il résout ses difficultés financières.
The parties may restrict the right to invoke the insolvency as the sole ground for termination of the contract in the absence of, for example, the customer’s default in payment under the contract.Les parties peuvent limiter le droit d’invoquer l’insolvabilité comme seul motif de résiliation du contrat en l’absence, par exemple, de défaut de paiement des montants dus au titre du contrat par le client.
153.94.
The parties may specify in the contract, or the law may provide for, mechanisms for the retrieval of customer data in case of the provider’s insolvency (e.g., an automatic release of the source code or key escrow allowing access to the customer data and other content).Les parties peuvent préciser dans le contrat, ou la loi prévoir, des mécanismes permettant de récupérer les données client en cas d’insolvabilité du fournisseur (par exemple, libération automatique du code source ou des clefs sous séquestre permettant d’accéder aux données et autres contenus du client).
Otherwise, the customer may face difficulties and delays with retrieval of its data and other content from the insolvent provider’s cloud infrastructure.Autrement, le client pourra avoir des difficultés à récupérer ses données et autres contenus hébergés sur l’infrastructure en nuage du fournisseur insolvable.
Where a mass exit and withdrawal of content occurs due to a crisis of confidence in the provider’s financial position, the insolvent provider or an insolvency representative may limit the amount of content (data and application code) that can be withdrawn in a given time period or decide that end-of-service commitments should proceed on a “first come, first served” basis.Lorsqu’une crise de confiance dans la situation financière du fournisseur provoque des sorties et des retraits de contenus à grande échelle, le fournisseur insolvable ou un représentant de l’insolvabilité peuvent limiter les quantités de contenus (données et code applicatif) susceptibles d’être retirées dans un délai donné, ou décider de remplir les engagements de fin de contrat dans l’ordre des demandes (« premiers venus, premiers servis »).
Termination in case of change of controlRésiliation en cas de changement de contrôle
154.95.
The change of control may, for example, involve a change in the ownership or the capacity to determine, directly or indirectly, the operating and financial policies of the provider, which may lead to changes in the provider’s service portfolio.Le changement de contrôle peut impliquer, par exemple, un changement de propriété ou des changements dans la capacité de déterminer, directement ou indirectement, les politiques opérationnelles et financières du fournisseur, ce qui peut entraîner des modifications du portefeuille de services de ce dernier.
The change of control may also involve the assignment or novation of the contract, with rights and obligations or only rights under the contract transferred to a third party.Il peut également entraîner la cession ou la novation du contrat, avec transfert à un tiers soit uniquement des droits, soit des droits et des obligations découlant du contrat.
As a result, an original party to the contract may change, or certain aspects of the contract, for example payments, may need to be performed to a third party.En conséquence, une partie initiale au contrat peut être remplacée, ou certains aspects du contrat, par exemple les paiements, peuvent devoir être accomplis par un tiers.
155.96.
The applicable law may require termination of the contract if as a result of the change of control, mandatory requirements of law (e.g., data localization requirements or prohibition to deal with certain entities under international sanctions regime or because of national security concerns) cannot be fulfilled.La loi applicable peut imposer la résiliation du contrat si, du fait du changement de contrôle, il devient impossible de remplir certaines dispositions législatives impératives (concernant notamment les exigences en matière de localisation des données ou l’interdiction de traiter avec certaines entités placées sous un régime de sanctions internationales ou constituant une menace à la sécurité nationale).
Public contracts may, in particular, be affected by statutory restrictions on the change of control.Les contrats publics en particulier peuvent être affectés par des limitations réglementaires en matière de changement de contrôle.
In addition, the parties may agree about termination of the contract in case of change of control, in particular if, as a result of such change, the provider or the contract is taken over by the customer’s competitor or if the takeover leads to discontinuation of, or significant changes in, the service portfolio.De plus, les parties peuvent convenir de résilier le contrat en cas de changement de contrôle en particulier si, en raison de ce changement, le fournisseur ou le contrat sont repris par un concurrent du client ou si la reprise entraîne l’abandon ou la transformation du portefeuille des services.
Requiring an advance notice of an upcoming change of control and its expected impact on the contract is common.Il est courant d’exiger la notification préalable d’un changement de contrôle à venir et des incidences prévues sur le contrat.
Inactive account clauseClause relative à l’inactivité du compte
156.97.
Customer inactivity for a certain time period specified in the contract may be a ground for unilateral termination of the contract by the provider.L’absence d’activité de la part du client pendant une période précisée dans le contrat peut justifier la résiliation unilatérale de ce dernier par le fournisseur.
The inactive account clause is unusual in business-to-business cloud computing contracts provided for remuneration.Les contrats portant sur la fourniture, contre rémunération, de services d’informatique en nuage d’entreprise à entreprise comportent toutefois rarement de telles clauses relatives à l’inactivité du compte.
M.M.
End-of-service commitmentsEngagements de fin de contrat
157.98.
End-of-service commitments may raise not only contractual but also regulatory issues.Les engagements de fin de contrat peuvent soulever des questions non seulement contractuelles mais également réglementaires.
The parties may be concerned about achieving a balance between the customer’s interest in continuous access to its data and other content, including during the transition period, and the provider’s interest in ending any obligation towards the former customer as soon as possible.Les parties pourront chercher à parvenir à un équilibre entre les intérêts du client, qui souhaite continuer à avoir accès à ses données et autres contenus (notamment pendant la période de transition) et ceux du fournisseur, à qui il importe de mettre fin, le plus rapidement possible, à toutes ses obligations à l’égard de son ancien client.
158.99.
End-of-service commitments may be the same regardless of the cause of termination of the contract or may be different depending on whether termination is for breach of contract or other reasons.Les engagements de fin de contrat peuvent être identiques quelle que soit la cause de résiliation du contrat, ou être différents selon que la résiliation découle d’une violation du contrat ou d’autres raisons.
The following paragraphs discuss issues that parties may wish to address in the contract.Sont examinées dans les paragraphes ci-après diverses questions que les parties pourront souhaiter aborder dans leur contrat.
Time frame for exportDélais d’exportation
159.100.
The parties may specify in the contract a time frame for export, which may need to be sufficiently long to ensure a smooth export by the customer of its data and other content to another system.Les parties peuvent préciser dans le contrat un délai d’exportation, qui sera suffisamment long pour permettre au client d’effectuer dans de bonnes conditions la migration de ses données et autres contenus vers un autre système.
Customer access to the content subject to exportAccès du client aux contenus faisant l’objet de l’exportation
160.101.
The contract would specify data and other content subject to export and ways of gaining customer access thereto, including any decryption keys that may be held by the provider or third parties (see part one, para. 28).Le contrat précisera les données et autres contenus qui sont susceptibles d’être exportés ainsi que les modalités d’accès des clients à ces données, y compris les éventuelles clefs de déchiffrement qui pourraient être détenues par le fournisseur ou des tiers (voir première partie, par. 28).
To facilitate the export of the customer’s data with the minimal involvement of the provider, the parties may agree on an escrow arrangement (i.e., involvement of a third party authorized to automatically release to the customer the source code, decryption keys or other elements allowing access to the customer data and other content upon occurrence of certain events, such as termination of the contract (see also para. 153 above)).Pour faciliter cette exportation et limiter au maximum l’intervention du fournisseur, les parties peuvent convenir d’un arrangement de séquestre (c’est-à-dire l’intervention d’un tiers autorisé à remettre automatiquement au client le code source, les clefs de déchiffrement ou d’autres éléments lui donnant accès à ses données et autres contenus en cas de survenue de certains événements, notamment la résiliation du contrat (voir aussi par. 153 ci-avant)).
The contract may also specify export options, including their formats and processes, to the extent possible, recognizing that they may change over time.Le contrat précise également, autant que possible, les options d’exportation (notamment les formats et les processus), tout en reconnaissant la possibilité qu’elles changent au fil du temps.
Export assistance by the providerAide à l’exportation apportée par le fournisseur
161.102.
The provider may not always agree to be actively involved in assisting the customer with exporting its data to another system, but it may be expected under law to ensure that such export is possible and simple.Le fournisseur ne sera peut-être pas toujours disposé à aider activement le client à exporter ses données vers un autre système, mais il pourra être tenu, de par la loi, de veiller à ce que cette exportation soit possible et simple.
Where the parties agreed on the provider’s involvement in the export of customer data to another system, the contract may specify details, such as the extent, procedure and time period for export assistance.Lorsque les parties conviennent de l’intervention du fournisseur dans l’exportation des données client, le contrat peut préciser les détails, comme la portée, la procédure et la durée de cette assistance.
The provider may require separate payment for the provision of export assistance.Le fournisseur pourra exiger d’être payé séparément pour les frais relatifs à l’assistance à l’exportation.
In such case, the parties may fix the amount of the payment in the contract or agree to refer to the provider’s price list at a given time.Dans ce cas, les parties pourront fixer le prix de cette assistance dans le contrat ou convenir de se reporter à la liste des tarifs du fournisseur à un moment donné.
Alternatively, the parties may agree that such assistance is included in the contract price or that no extra payment will be charged if the contract termination follows the provider’s breach of contract.Autrement, elles peuvent convenir qu’une telle assistance fait partie du prix du contrat et qu’aucun frais supplémentaire ne sera facturé si la résiliation du contrat résulte d’une violation par le fournisseur.
Data deletionSuppression de données
162.103.
The contract may need to specify rules for data deletion from the provider’s cloud infrastructure upon export or expiration of the period specified in the contract for export.Le contrat pourra devoir préciser les règles relatives à la suppression des données de l’infrastructure en nuage du fournisseur lors de l’exportation ou à l’expiration de la période prévue dans le contrat pour l’exportation.
The data deletion may be done automatically by the provider, for example, upon occurrence of certain events, expiration of time periods that were agreed upon by the parties or as required by law.Cette suppression pourrait être effectuée automatiquement par le fournisseur, par exemple en cas de survenue de certains événements, à l’expiration de délais convenus par les parties ou lorsque la loi l’exige.
Alternatively, data may be deleted only upon a specific customer’s request and instructions.Selon une autre possibilité, les données ne peuvent être supprimées qu’à la demande du client et suivant ses instructions spécifiques.
The parties may agree that the customer will be notified about the upcoming data deletion and will be served with an attestation, report or statement of data deletion, including data deletion from third parties’ systems.Les parties peuvent convenir que la suppression de données à venir sera notifiée au client et que ce dernier se verra remettre une attestation, un rapport ou une déclaration confirmant que les données ont été supprimées, notamment des systèmes des tiers.
Post-contract retention of dataConservation de données après la fin du contrat
163.104.
The provider might be required to retain customer data by law, in particular a data protection law, which may also address a time period during which the data must be retained.Le fournisseur peut être tenu de conserver les données client par la loi, en particulier la législation sur la protection des données, cette dernière pouvant par ailleurs préciser une durée de conservation.
Specific issues and requirements may arise from the need to retain and store digital signature certificates, especially in the cross-border context.La nécessité de conserver et de stocker les certificats de signature numérique, en particulier dans un contexte transfrontalier, peut poser des problèmes et des exigences spécifiques.
The parties may agree on the retention of customer data by the provider after the termination of the contract.Les parties peuvent convenir de la conservation des données client par le fournisseur après la fin du contrat.
Some providers may offer a post-contract retention period at additional cost.Certains fournisseurs peuvent proposer, contre rémunération, de les conserver pendant une certaine période après la fin du contrat.
164.105.
The parties may include special requirements as regards data that are not or cannot be returned to the customer and whose deletion would not be possible.Les parties peuvent prévoir des exigences particulières concernant les données qui ne sont pas ou ne peuvent pas être retournées au client et dont la suppression ne serait pas possible.
For example, the contract may specify that all personal information must be de-identified and that the data are to be retained in an encrypted form or in a usable and interoperable format to allow its retrieval when required.Par exemple, le contrat peut prévoir que toutes les informations personnelles doivent être désidentifiées et que les données doivent être conservées sous forme chiffrée, ou dans un format utilisable et interopérable permettant leur extraction si besoin est.
The parties may also agree on their respective responsibilities for post-contractual retention of the data in the specified format.Les parties peuvent aussi convenir de leurs responsabilités respectives en ce qui concerne la conservation des données dans le format spécifié après la fin du contrat.
Post-contract confidentiality clauseClause de confidentialité après la fin du contrat
165.106.
The parties may agree on a post-contract confidentiality clause.Les parties peuvent convenir d’une clause de confidentialité applicable après la fin du contrat.
Confidentiality obligations may survive the contract for a specified number of years after the contract is terminated (e.g., five or seven years), or may continue indefinitely, depending on the nature of the customer data and other content that was placed in the provider’s cloud infrastructure.Les obligations de confidentialité peuvent survivre après la résiliation du contrat pendant un nombre d’années spécifié (par exemple, cinq ou sept ans) ou se poursuivre indéfiniment, en fonction de la nature des données et autres contenus des clients qui ont été placés dans l’infrastructure en nuage du fournisseur.
Post-contract auditsAudits après la fin du contrat
166.107.
Post-contract audits may be agreed by parties or imposed by law.Les audits à réaliser après la fin du contrat peuvent être convenus par les parties ou imposés par la loi.
The parties may agree on terms for carrying out such audits, including the time frame and allocation of costs.Les parties peuvent s’entendre sur les conditions d’exécution de ces audits, y compris pour ce qui est du calendrier et de la répartition des coûts.
Leftover account balanceReliquats de compte
167.108.
The parties may agree on conditions for the return to the customer of leftover amounts on its account or for the offset of those amounts against any additional payments that the customer would need to make to the provider, including for end-of-service activities or to compensate damage.Les parties peuvent s’entendre sur les conditions de restitution au client du reliquat de son compte ou sur la déduction du montant de ce reliquat des sommes qui resteraient éventuellement dues au fournisseur, notamment pour les activités de fin de contrat ou pour régler des dommages-intérêts.
N.N.
Dispute resolutionRèglement des litiges
Methods of dispute settlementMéthodes de règlement des litiges
168.109.
The parties may agree on the method to settle their contractual disputes.Les parties peuvent convenir du mode de règlement des éventuels différends contractuels.
Dispute settlement methods include negotiation, mediation, online dispute resolution (ODR), arbitration and judicial proceedings.Parmi ces méthodes figurent la négociation, la médiation, le règlement des litiges en ligne, l’arbitrage et les procédures judiciaires.
Different types of dispute may justify different dispute resolution procedures.Différents types de litiges peuvent justifier la mise en œuvre de diverses procédures de règlement.
Disputes over financial and technical issues, for example, may be referred to a binding decision by a third-party expert (individual or body), while some other types of disputes may be more effectively dealt with through direct negotiations between the parties.Ainsi, les litiges portant sur des questions financières et techniques peuvent être soumis à la décision contraignante d’un tiers expert (qu’il s’agisse d’un particulier ou d’un organisme) tandis que des négociations directes entre les parties peuvent s’avérer plus efficaces pour résoudre d’autres types de différends.
In case of smaller claims, ODR-assisted negotiations or mediation may offer fast and cost-effective methods for the parties to reach consensual agreement online.Pour les litiges de faible montant, les négociations assistées ou la médiation en ligne peuvent constituer des méthodes rapides et économiques permettant aux parties de parvenir à un accord en ligne.
For higher-level claims, cloud sector-specific ODR may offer a competent specialized forum and be helpful for judicial processes.Pour les litiges portant sur un montant plus élevé, le règlement des litiges en ligne spécifique à l’informatique en nuage peut offrir une plateforme spécialisée compétente et faciliter les procédures judiciaires.
The law of some jurisdictions may prescribe certain alternative dispute resolution mechanisms that the parties would need to exhaust before being able to refer a dispute to a court.La législation de certains pays peut imposer aux parties d’épuiser certains mécanismes alternatifs de règlement des litiges avant de pouvoir saisir la justice.
Arbitral proceedingsProcédures arbitrales
169.110.
Disputes that are not amicably settled may be referred to arbitral proceedings if the parties opted for it.Si les parties en sont convenues, les différends qui ne sont pas réglés à l’amiable peuvent être soumis à l’arbitrage.
Not all issues may, however, be referred to arbitration;Toutes les questions ne peuvent toutefois pas être réglées par cette voie ;
some may be reserved by law for adjudication by a court.certaines doivent, de par la loi, être tranchées par un tribunal.
The parties may therefore wish to verify the arbitrability of their disputes before opting for arbitration.Les parties pourront par conséquent souhaiter vérifier l’arbitrabilité de leur différend avant d’opter pour ce mode de règlement.
An arbitration clause in a contract would usually refer to a set of arbitration rules to govern arbitral proceedings.La clause d’arbitrage contenue dans un contrat renverra généralement à un règlement d’arbitrage destiné à régir toute procédure arbitrale.
A contract can include a standard dispute resolution clause referring to the use of internationally recognized rules for the conduct of dispute resolution proceedings (e.g., the UNCITRAL Arbitration Rules).Le contrat peut comprendre une clause type faisant référence à l’utilisation d’un règlement internationalement reconnu pour la conduite des procédures de règlement des différends (par exemple, le Règlement d’arbitrage de la CNUDCI).
In the absence of such specification, the arbitral proceedings will normally be governed by the procedural law of the State where the proceedings take place or, if an arbitration institution is chosen by the parties, by the rules of that institution.À défaut d’une telle précision, la procédure arbitrale est normalement régie par le droit procédural de l’État où l’arbitrage se déroule ou, si une institution arbitrale est choisie par les parties, par le règlement de cet organisme.
Online dispute resolutionRèglement des litiges en ligne
170.111.
The parties may opt for an ODR mechanism for some or all categories of disputes arising from their contract subject to limitations imposed by law.Les parties peuvent opter pour un mécanisme de règlement des litiges en ligne pour certaines, voire toutes les catégories de litiges découlant de leur contrat, sous réserve des limites imposées par la loi.
The contract may specify the scope of issues subject to ODR and the ODR platform and rules to be used in the proceedings.Le contrat pourra préciser la nature des questions soumises à ce type de règlement, la plateforme utilisée et les règles à appliquer dans la procédure.
In some cases, ODR could be embedded in the cloud service package offered by the provider with an opt-out possibility.Dans certains cas, le règlement des litiges en ligne peut faire partie intégrante de l’ensemble de services en nuage offert par le fournisseur, avec la possibilité d’une exclusion expresse.
171.112.
The ODR process usually consists of: (a) negotiation conducted between the parties via the ODR platform;La procédure de règlement des litiges en ligne comprend généralement les étapes suivantes : a) négociation menée entre les parties par l’intermédiaire de la plateforme de règlement des litiges en ligne ;
(b) facilitated settlement, where a neutral is appointed and communicates with the parties to try to achieve a settlement;b) règlement assisté par un tiers neutre désigné qui communique avec les parties pour tenter de parvenir à un accord ;
and (c) a final stage, in which the ODR administrator or a neutral informs the parties of the nature of the final stage, and of its form.et c) dernière étape, lors de laquelle l’administrateur de la procédure de règlement des litiges en ligne ou le tiers neutre présente aux parties la nature de la dernière étape et la forme que celle-ci pourrait prendre.
The result of ODR may be non-binding on the parties unless the contract or the applicable law states otherwise.Le résultat de la procédure n’est pas contraignant pour les parties, à moins que le contrat ou la loi applicable n’en disposent autrement.
Judicial proceedingsProcédure judiciaire
172.113.
If judicial proceedings are to take place, due to the nature of cloud computing services, several States might claim jurisdiction.Si une procédure judiciaire doit avoir lieu, plusieurs États pourront se déclarer compétents en raison de la nature particulière des services d’informatique en nuage.
Where possible, parties may agree on a jurisdiction clause under which they are obligated to submit disputes to a specific court (see paras. 175–181 below).Dans la mesure du possible, les parties peuvent convenir d’une clause attributive de compétence les obligeant à soumettre tout litige à un tribunal particulier (voir par. 175 à 181 ci-après).
Retention of dataConservation des données
173.114.
During the dispute resolution phase, continued access by the customer to its data, including metadata and other cloud service-derived data, may be vital, apart from for business continuity, for the customer’s participation in dispute resolution proceedings (e.g., to substantiate a claim or counterclaim).Pendant la phase de règlement du litige, il peut être essentiel pour le client de continuer d’accéder à ses données, notamment aux métadonnées et autres données dérivées des services en nuage, non seulement aux fins de la continuité de ses opérations, mais aussi aux fins de sa participation à la procédure de règlement (par exemple, pour étayer une demande ou une demande reconventionnelle).
The contract may specifically provide that, in case of disputes between the parties, the customer’s data will be retained by the provider and the customer will have access to its data for a reasonable period of time, regardless of the nature of the dispute.Le contrat peut prévoir expressément qu’en cas de différend opposant les parties, les données du client sont conservées par le fournisseur et le client peut y avoir accès pendant une période de temps raisonnable, indépendamment de la nature du litige.
The parties may also agree on an escrow arrangement (see para. 160 above).Les parties peuvent aussi convenir d’un arrangement de séquestre (voir par. 160 ci-avant).
Limitation period for complaintsDélais de prescription pour les demandes
174.115.
The parties may specify in the contract the limitation period within which claims may be brought.Les parties peuvent préciser dans le contrat les délais de prescription applicables aux demandes.
Limitation periods stipulated in the law may be applicable and will override non-compliant terms of the contract.Les délais de prescription prévus dans la loi peuvent être applicables et, le cas échéant, l’emporteront sur les conditions non conformes du contrat.
O.O.
Choice of law and choice of forum clausesDispositions relatives au choix de la loi et du for
175.116.
Freedom of contract (see para. 34 above) usually allows parties to choose the law that will be applicable to their contract and the jurisdiction or forum where disputes will be considered.En règle générale, la liberté contractuelle (voir par. 34 ci-avant) permet aux parties de choisir la loi qui s’appliquera à leur contrat ainsi que la juridiction ou le for qui connaîtra des différends.
The mandatory law (e.g., data protection law) may, however, override the choice of law and the choice of forum clauses made by the contracting parties, depending on the subject of the dispute.Selon l’objet du litige, la législation impérative (sur la protection des données, par exemple) peut cependant l’emporter sur les clauses relatives au choix de la loi applicable et du for convenues par les parties contractantes.
In addition, regardless of the choice of law and choice of forum, more than one mandatory law (e.g., data protection law, insolvency law), including from different jurisdictions, may be applicable to the contract.En outre, indépendamment du choix de la loi et du for, plusieurs lois impératives (loi sur la protection des données, loi sur l’insolvabilité, par exemple), qui peuvent émaner de plusieurs territoires ou pays, peuvent être applicables au contrat.
Considerations involved in choosing the applicable law and forumConsidérations relatives au choix de la loi et du for
176.117.
The choice of law and choice of forum clauses are interconnected.Les clauses relatives au choix de la loi applicable et du for sont liées.
Whether the selected and agreed-upon law will ultimately apply depends on the forum in which the choice-of-law clause is presented to a court or another adjudicating body, e.g., an arbitral tribunal. It is the law of that forum that will determine whether the clause is valid and whether the forum will respect the choice of applicable law made by the parties.La question de savoir si la loi choisie par les parties s’appliquera en fin de compte dépendra du for où la clause de choix de loi sera présentée à un tribunal ou à un autre organe juridictionnel, par exemple un tribunal arbitral. C’est la loi de ce for qui déterminera si la clause est valide et si le for respecte le choix de la loi applicable fait par les parties.
Because of the importance of the forum law for the fate of the choice of law clause, a contract with such a clause usually also includes a choice of forum clause.En raison de l’importance de la loi du for pour la clause de choix de loi, tout contrat comportant une telle clause comporte généralement aussi une clause d’élection de for.
177.118.
In choosing the forum, the parties usually consider the impact of the chosen or otherwise applicable law and the extent to which a judicial decision made in that forum would be recognized and enforceable in the countries where enforcement would likely be sought.Pour choisir le for, les parties tiennent habituellement compte de l’incidence de la loi choisie ou autrement applicable et de la mesure dans laquelle une décision judiciaire rendue dans ce for serait reconnue et exécutoire dans les pays où l’exécution serait probablement demandée.
Preserving flexibility in enforcement options may be an important consideration, especially in the cloud computing settings where many factors that parties usually take into account in formulating choice of law and choice of forum clauses may be uncertain, including the location of assets involved in the provision of services and the location of the provider and the customer.Il peut être important de préserver une certaine souplesse dans les options d’exécution, en particulier s’agissant d’un environnement d’informatique en nuage où de nombreux facteurs habituellement pris en compte dans la formulation des clauses relatives au choix de la loi applicable et du for peuvent être incertains, notamment l’emplacement des actifs intervenant dans la prestation des services, et le lieu de situation du fournisseur et du client.
Mandatory law and forumLoi et for obligatoires
178.119.
The law and the forum of a particular jurisdiction may be mandatory on various grounds, for example:La loi et le for d’un pays donné peuvent être obligatoires pour divers motifs, par exemple :
(a)a)
The accessibility of the cloud computing services in the territory of a particular State may be sufficient for the application of the data protection law of that State;Le fait que les services d’informatique en nuage soient accessibles sur le territoire d’un État donné peut être suffisant pour que s’applique la législation de cet État en matière de protection des données ;
(b)b)
The nationality or residence of the affected data subject or the contracting parties, in particular the data controller, may trigger the application of the law of that data subject or the party;La nationalité ou le lieu de résidence du sujet de données ou des parties contractantes, en particulier du responsable du contrôle des données, peuvent déclencher l’application de la loi dont relève ce sujet ou la partie concernée ;
andet
(c)c)
The law of the place in which the activity originated (the location of the equipment) or to which the activity is directed for the purpose of extracting benefits may trigger the application of the law of that place. The use of a given country top-level domain associated with a particular place, a local language in the website, pricing in local currency and local contact points are among the factors that might be taken into account in making such determination.Le lieu d’origine de l’activité (l’emplacement du matériel) ou le lieu auquel cette activité est destinée à des fins de profit peut déclencher l’application de la loi de ce lieu. L’utilisation d’un domaine national de premier niveau associé à un lieu particulier, d’une langue locale pour le site Web, la tarification en monnaie locale et l’existence de points de contact locaux comptent parmi les facteurs qui peuvent être pris en compte pour cette détermination.
Provider or customer home law and forumLoi et for du lieu d’établissement du fournisseur ou du client
179.120.
Contracts for standardized commoditized multi-subscriber cloud solutions often specify that they are governed by the law of the provider’s principal place of business or place of establishment.Les contrats relatifs à des solutions d’informatique en nuage normalisées pour multiabonnés précisent souvent qu’ils sont régis par le droit du lieu où le fournisseur a son établissement principal.
They typically grant the courts of that country exclusive jurisdiction over any disputes arising out of the contract.En règle générale, ils accordent aux tribunaux de ce pays la compétence exclusive pour connaître de tous les litiges qui pourraient découler du contrat.
The customer may prefer the law and jurisdiction of its own country.Le client peut préférer la loi et la compétence de son propre pays.
Public institutions would face significant restrictions on their ability to consent to the law and jurisdiction of foreign countries.Ainsi, la capacité d’institutions publiques de consentir à l’application de la loi et à la compétence de pays étrangers serait très limitée.
Providers that operate in multiple jurisdictions may be flexible as regards accepting the choice of the law and forum of the country where the customer is located.Les fournisseurs qui sont actifs dans plusieurs pays peuvent faire preuve de souplesse s’agissant d’accepter le choix de la loi et du for du pays où le client est situé.
Multiple optionsOptions multiples
180.121.
The parties may also specify various choice of law and forum options for different aspects of the contract.Les parties peuvent également préciser diverses options pour le choix de la loi et du for pour différents aspects du contrat.
They may also opt for a defendant’s jurisdiction to eliminate the home forum advantage for a plaintiff and thus encourage informal resolution of disputes.Elles peuvent aussi opter pour la juridiction du défendeur afin d’éliminer l’avantage dont bénéficie le demandeur quand le for est celui de son pays de domicile et de favoriser ainsi le règlement informel des différends.
No choice of law or forumAbsence de choix de loi ou d’élection de for
181.122.
The parties may prefer no choice of law or forum clause in their contract, leaving the question open for later discussion if and when needed.Les parties peuvent préférer ne pas inclure, dans leur contrat, de clause relative au choix de la loi applicable et du for, laissant la question ouverte à un examen ultérieur, le cas échéant.
That might be considered the only viable solution in some cases.Dans certains cas, il pourrait s’agir de la seule solution viable.
ODR may also be part of the solution for the questions of jurisdiction and applicable law (see paras. 170–171).Le règlement des litiges en ligne peut aussi faire partie de la solution pour les questions de compétence et de droit applicable (voir par. 170 et 171).
P.P.
NotificationsNotifications
182.123.
Notification clauses usually address the form, language, recipient and means of notification, as well as when the notification becomes effective (upon delivery, dispatch or acknowledgment of receipt).Les clauses de notification portent généralement sur la forme, la langue, le destinataire et les moyens de notification, ainsi que sur le moment d’entrée en vigueur de la notification (lors de la remise, de l’expédition ou de l’accusé de réception).
In the absence of any mandatory legislative provisions, parties may agree upon formalities for notification, which could be uniform or vary depending on the importance and urgency and other considerations.En l’absence de dispositions législatives contraignantes, les parties peuvent convenir des formalités de notification, qui peuvent être uniformes ou varier en fonction de l’importance, de l’urgence et d’autres considérations.
More stringent requirements may be made applicable, for example, in case of suspension or unilateral termination of the contract, as compared to routine notifications.Elles pourront convenir d’exigences plus strictes que pour les notifications de routine, par exemple, en cas de suspension ou de résiliation unilatérale du contrat.
The parties may agree on the deadlines, keeping in mind reversibility and business continuity needs.Les parties peuvent convenir des délais, en tenant compte de la nécessité d’assurer la réversibilité et la continuité des opérations.
The contract may contain references to any notifications and deadlines imposed by law.Le contrat peut contenir des références aux notifications et délais imposés par la loi.
183.124.
The parties may opt for written notification to be served at the physical or electronic address of the contact persons specified in the contract.Les parties peuvent opter pour que les notifications écrites soient remises à l’adresse physique ou électronique des personnes de contact indiquées dans le contrat.
The contract may specify the legal consequences of a failure to notify and of a failure to respond to a notification that requires such a response.Le contrat peut préciser les conséquences juridiques d’un manquement à l’obligation de notification et de l’absence de réponse à une notification qui en exige une.
Q.Q.
Miscellaneous clausesDispositions diverses
184.125.
Parties often group under miscellaneous clauses provisions that do not fall under other parts of the contract.Les parties regroupent souvent sous l’intitulé « divers » les dispositions qui ne relèvent pas d’autres parties du contrat.
Some of them may contain a standard text appearing in all types of commercial contracts (so called “boilerplate provisions”).Certaines d’entre elles peuvent contenir un texte normalisé figurant dans tous les types de contrats commerciaux (en quelque sorte des « dispositions standard »).
Examples include a severability clause allowing the removal of invalid provisions from the contract or a language clause identifying a certain language version of the contract as prevailing in case of conflicts in interpretation of various language versions.Il peut s’agir, par exemple, d’une clause de sauvegarde permettant de supprimer les dispositions invalides du contrat tout en conservant le reste ou d’une clause linguistique identifiant une certaine version linguistique du contrat comme faisant foi en cas de conflit d’interprétation entre différentes versions linguistiques.
Placing contractual clauses among miscellaneous provisions does not diminish their legal significance.Le fait de placer des clauses contractuelles au sein de ces dispositions diverses n’enlève rien à leur signification juridique.
Some of them may be tailored by the parties to the specifics of cloud computing services.Les parties pourront adapter certaines d’entre elles aux spécificités des services d’informatique en nuage.
R.R.
Amendment of the contractModification du contrat
185.126.
Amendments to the contract could be triggered by either party.L’une ou l’autre des parties pourra souhaiter apporter des modifications au contrat.
The contract would address the procedure for introducing amendments and making them effective.Ce dernier précisera la procédure à suivre pour introduire des modifications et les rendre effectives.
The contract may also need to address the consequences of rejection of amendments by either party.Il pourra également aborder les conséquences du rejet des modifications par l’une ou l’autre partie.
186.127.
In the light of the nature of cloud computing services, it might be difficult to differentiate changes that would constitute amendment of the contract from those changes that would not.Compte tenu de la nature des services d’informatique en nuage, il peut être difficile de distinguer les changements qui constituent une modification du contrat de ceux qui n’en constituent pas.
For example, the customer’s use of any options made available from the outset in the contract would not necessarily constitute an amendment of the initial contract, nor would changes in services resulting from routine maintenance and other activities of the provider covered by the contract (see paras. 105–106 above).Par exemple, l’utilisation par le client de n’importe quelle option mise à sa disposition dès l’entrée en vigueur du contrat ne constituerait pas nécessairement une modification du contrat initial, pas plus que des changements des services qui résulteraient de l’entretien ordinaire et d’autres activités du fournisseur prises en compte dans le contrat (voir par. 105 et 106 ci-avant).
The addition of features not covered by the originally agreed terms and thus justifying changes in price may, on the other hand, constitute amendment of the contract.En revanche, l’ajout d’éléments non couverts dans les conditions initialement convenues et justifiant ainsi des modifications de prix peut constituer une modification du contrat.
Any updates leading to material changes to previously agreed terms and policies may also constitute an amendment of the contract.Toute mise à jour entraînant des changements importants des conditions et politiques convenues antérieurement peut également constituer une modification du contrat.
187.128.
The extent of permissible modifications to public contracts may be limited by public procurement rules that usually restrict the freedom of parties to renegotiate terms of a contract that were subject to public tendering proceedings.L’ampleur des modifications susceptibles d’être apportées aux contrats publics peut être limitée par les règles de passation des marchés publics, qui restreignent généralement la liberté des parties de renégocier les clauses d’un marché ayant fait l’objet d’une procédure d’adjudication publique.
188.129.
In the light of frequent modifications of the originally agreed terms, each party may wish to independently store the complete set of the originally agreed terms and their modifications.Compte tenu des modifications fréquentes des conditions initialement convenues, chaque partie pourra souhaiter conserver sa propre copie de l’ensemble de ces conditions initialement convenues et leurs modifications.
GlossaryGlossaire
Acceptable use policy (AUP): Part of the cloud computing contract between the provider and the customer that defines the limits of use by the customer and its end users of the cloud computing services covered by the contract.Accord de niveau de service : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont indiqués les services d’informatique en nuage couverts par le contrat et le niveau de service attendu ou à atteindre aux termes du contrat (voir les paramètres de performance).
Audit: The process of examining compliance with contractual and statutory requirements or technical standards.Audit : Processus consistant à examiner le respect des exigences légales et contractuelles ou des normes techniques.
It may cover technical aspects, such as the quality and security of hardware and software;Il peut couvrir des aspects techniques (tels que la qualité et la sécurité du matériel et des logiciels) ;
compliance with any applicable industry standards;le respect de toute norme sectorielle applicable ;
and the existence of adequate measures, including isolation, to prevent unauthorized access to and use of the system and to assure data integrity. The audit may be internal or external or be done by an independent third party appointed by either the provider, the customer or both. The service level agreement (SLA) may contain specific performance parameters related to audit, e.g., that the services provided under the contract are certified at least annually by an independent auditor against a security standard identified in the contract.et l’existence de mesures appropriées, y compris l’isolement, pour empêcher l’accès non autorisé au système et son utilisation et pour garantir l’intégrité des données. L’audit peut être interne ou externe ou être effectué par un tiers indépendant nommé par le fournisseur ou par le client, ou par les deux parties. L’accord de niveau de service peut contenir des paramètres de performance spécifiques en matière d’audit, par exemple prévoir que les services fournis au titre du contrat doivent être certifiés au moins une fois par an par un auditeur indépendant, à l’aide de la norme de sécurité prévue dans le contrat.
Cloud computing services: online services characterized by: (a) Broad network access, meaning that services can be accessed over the network from any place where the network is available (e.g., through the Internet), using a wide variety of devices, such as mobile phones, tablets and laptops;Données dérivées des services en nuage : Données placées sous le contrôle du fournisseur qui sont dérivées de l’utilisation, par le client, des services d’informatique en nuage proposés par ce fournisseur.
(b) Metered delivery, allowing usage of the resources to be monitored and charged by reference to level of usage (on a pay-as-you-go basis); (c)Il s’agit notamment des métadonnées et de toutes autres données enregistrées générées par les fournisseurs, qui indiquent l’identité des utilisateurs des services, les dates et heures d’utilisation des services, ainsi que les fonctions et les types de données concernés.
Multi-tenancy, meaning that physical and virtual resources are allocated to multiple users whose data are isolated and inaccessible to one another; (d)Elles peuvent également englober des renseignements sur les utilisateurs autorisés, leurs identifiants, et les configurations, personnalisations et modifications éventuelles.
On-demand self-service, meaning that services are used by the customer as needed, automatically or with minimal interaction with the provider;Données personnelles : Données à caractère sensible ou non qui peuvent servir à identifier la personne physique à laquelle elles se rapportent.
(e) Elasticity and scalability, meaning the capability for rapidly scaling up or down the consumption of services according to the customer’s needs, including large-scale trends in resource usage (e.g., seasonal effects); (f)Dans certains pays, la définition des données personnelles peut englober toutes les données ou informations directement ou indirectement liées ou relatives à une personne identifiée ou identifiable (voir le sujet de données). Droits des sujets de données : Droits associés aux données personnelles des sujets de données.
Resource pooling, meaning that physical or virtual resources can be aggregated by the provider in order to serve one or more customers without their control or knowledge over the processes involved; (g) A wide range of services from the provision and use of simple connectivity and basic computing services (such as storage, emails and office applications) to the provision and use of the whole range of physical information technology infrastructure (such as servers and data centres) and virtual resources needed for the customer to build its own information technology platforms, or deploy, manage and run customer-created or customer-acquired applications or software.En fonction de la législation, les sujets de données peuvent bénéficier du droit d’être informés de toutes les informations importantes relatives à leurs données personnelles, notamment l’emplacement de ces données, leur utilisation par des tiers, et d’éventuelles fuites et autres violations. Ils peuvent également disposer du droit d’accéder à tout moment à ces données personnelles, du droit à l’effacement (conséquence du droit à l’oubli), du droit d’en limiter le traitement et du droit à la portabilité de ces données. Écrit ou par écrit : Informations accessibles de façon à pouvoir être utilisées ultérieurement à des fins de référence.
Infrastructure as a service (IaaS), platform as a service (PaaS) or software as a service (SaaS) are types of cloud computing services.Le terme s’applique aux informations disponibles sur papier ou contenues dans une communication électronique.
Cloud computing service partners (e.g., cloud auditors, cloud service brokers and system integrators): Persons engaged in support of, or auxiliary to, activities of either the provider or the customer or both.Le mot « accessible » signifie que les informations se présentant sous la forme de données informatisées doivent pouvoir être lues et interprétées et que le logiciel qui pourrait être nécessaire pour assurer cette lisibilité doit être conservé.
Cloud auditors conduct an audit of the provision and use of cloud computing services.Les mots « être utilisées » visent tant l’usage par des personnes que le traitement informatique.
Cloud service brokers or system integrators assist parties with a wide range of issues, e.g., with finding the right cloud solution, negotiating acceptable terms and migrating the customer to the cloud. Cloud service-derived data: Data under the control of the provider that are derived as a result of the use by the customer of the cloud computing services of that provider. It includes metadata and any other log data generated by the provider containing records of who used the services, at what times, which functions and which types of data are involved.Exigences en matière de localisation des données : Exigences relatives à l’emplacement des données et d’autres contenus, des centres de données ou des fournisseurs. Elles peuvent interdire que certaines données (notamment des métadonnées et sauvegardes) soient stockées dans certains territoires ou pays, ou passent par ceux-ci, ou exiger pour ce faire l’autorisation préalable d’une instance publique compétente. Elles sont fréquemment énoncées dans des lois et règlements relatifs à la protection des données, lesquels sont susceptibles d’interdire en particulier que les données personnelles soient stockées ou passent dans des pays qui ne respectent pas certaines normes en matière de protection des données personnelles.
It can also include information about authorized users, their identifiers and any configuration, customization and modification.Incident de sécurité : Événement indiquant que l’intégrité du système ou des données a été compromise ou que les mesures adoptées pour protéger ceux-ci n’ont pas été efficaces.
Data controller: A person that determines the purposes and means of the processing of personal data.Un incident de sécurité perturbe le fonctionnement normal.
Data deletion: A sequence of operations designed to irreversibly erase data, including its backups and metadata, and other content from the cloud computing infrastructure (physical and virtual).On mentionnera comme exemples une tentative d’accès de sources non autorisées aux systèmes ou aux données, une perturbation non planifiée des services ou un déni de service, le traitement ou le stockage non autorisés de données et l’introduction de changements non autorisés dans l’infrastructure du système.
In some cases, data deletion may require the destruction of the physical infrastructure (e.g., the servers) on which the data were stored. The service level agreement (SLA) may contain a specific performance parameter related to data deletion, e.g., that the provider ensures that the customer’s data are effectively, irrevocably and permanently deleted wherever requested by the customer within a certain time period identified in the contract and in compliance with the standard or method identified in the contract.Infrastructure en tant que service (IaaS) : Types de services d’informatique en nuage par le biais desquels le client peut obtenir et utiliser des ressources liées au traitement, au stockage et aux réseaux. Le client ne gère ni ne contrôle les ressources physiques ou virtuelles sous-jacentes, mais il contrôle les systèmes d’exploitation, les espaces de stockage et les applications déployées qui font usage de ces ressources. Il peut également exercer un contrôle restreint sur certaines composantes des réseaux (par exemple, les pare-feu hôtes).
Data localization requirements: Requirements relating to the location of data and other content or data centres or the provider.Interopérabilité : Capacité de deux ou plusieurs systèmes ou applications à échanger des informations et à utiliser mutuellement les informations échangées.
They may prohibit certain data (including metadata and backups) from residing in or transiting into or out of a certain area or jurisdictions or require that prior approval be obtained from a competent State body for that.Licence de propriété intellectuelle : Contrat conclu entre un titulaire de droits de propriété intellectuelle (donneur de licence) et une personne autorisée à utiliser ces droits (preneur de licence).
They are often found in data protection law and regulations, which may in particular prohibit personal data from residing in or transiting into jurisdictions that do not adhere to certain standards of personal data protection.Ces contrats imposent habituellement des restrictions et des obligations quant à la portée du contrat et à la manière dont le preneur de licence ou les tiers peuvent utiliser le bien sous licence.
Data processor: A person that processes the data on behalf of the data controller. Data subject: A natural person who can be identified, directly or indirectly, by data, including by reference to such identifiers as name, an identification number, location and any factors specific to the physical, genetic, mental, economic, cultural or social identity of the person.Par exemple, les logiciels et les contenus visuels (modèles, mises en page et images) peuvent faire l’objet d’une licence en vue d’une exploitation spécifique, ne permettant pas la copie, la modification ou l’amélioration, et être limités à un support donné. Les licences peuvent être limitées à un marché particulier (par exemple, marché national ou (sous-)régional), à un nombre d’utilisateurs ou d’appareils donné, ou être limitées dans le temps. Les accords de sous-licence peuvent être interdits.
In a number of jurisdictions, data subjects enjoy under data protection or data privacy regulations certain rights with respect to the data that can identify them.Le donneur de licence peut exiger que le titulaire des droits de propriété intellectuelle soit mentionné chaque fois que ceux-ci sont utilisés.
Those regulations may trigger the inclusion in the service level agreement (SLA) of data protection-specific performance parameters, such as that the services provided under the contract are certified at least annually by an independent auditor against the data protection/privacy standard identified in the contract. (See also data subject’s rights and personal data).Logiciel en tant que service (SaaS) : Types de services d’informatique en nuage par le biais desquels le client peut utiliser les applications du fournisseur dans le nuage. Métadonnées : Informations de base sur les données (comme l’auteur, la date de création, la date de modification et la taille du fichier). Elles contribuent à faciliter la recherche et l’utilisation des données et peuvent être requises pour garantir l’authenticité des données enregistrées.
Data subjects’ rights: Rights associated with data subjects’ personal data.Elles peuvent être générées par le client ou par le fournisseur.
Data subjects under law may enjoy the right to be informed about all significant facts related to their personal data, including data location, use by third parties and data leaks or other data breaches.Modèle ajusté aux fuseaux horaires (« Follow-the-sun ») : Modèle dans lequel la charge de travail est répartie entre plusieurs sites géographiques de façon à mieux équilibrer les ressources et la demande.
They may also have the right to access their personal data at any time, the right to erasure of their personal data (pursuant to the right to be forgotten), the right to restrict processing of their personal data and the right to portability of their personal data.Ce modèle peut viser à fournir des services 24 heures sur 24 et à minimiser la distance moyenne entre les serveurs et les utilisateurs finaux pour essayer de limiter les temps de latence et de maximiser la vitesse de transmission des données entre appareils (taux de transfert des données ou débit).
Deployment models: The various ways in which cloud computing services are organized, based on the control and sharing of physical or virtual resources:Modèles de déploiement : Différentes manières d’organiser les services d’informatique en nuage en fonction du contrôle et du partage des ressources physiques ou virtuelles :
(a)a)
Public cloud, where cloud computing services are potentially available to any interested customer and resources are controlled by the provider;Nuage public : Les services d’informatique en nuage sont susceptibles d’être proposés à n’importe quel client et les ressources sont contrôlées par le fournisseur ;
(b)b)
Community cloud, where cloud computing services exclusively support a specific group of related customers with shared requirements and resources are controlled by at least one member of that group;Nuage communautaire : Les services d’informatique en nuage sont mis à la disposition exclusive d’un groupe donné de clients liés les uns aux autres et ayant des exigences communes, et les ressources sont contrôlées par au moins un membre de ce groupe ;
(c)c)
Private cloud, where cloud computing services are used exclusively by a single customer and resources are controlled by that customer;Nuage privé : Les services d’informatique en nuage sont mis à la disposition exclusive d’un seul client, qui contrôle les ressources ;
(d)d)
Hybrid cloud, where at least two different cloud deployment models are used.Nuage hybride : Solution faisant intervenir au moins deux modèles de déploiement différents.
Downtime or outages: The time when the cloud computing services are not available to the customer.Objectif de délai de reprise : Délai dans lequel tous les services d’informatique en nuage et les données doivent être rétablis à la suite d’une interruption imprévue.
That time is excluded from the calculation of uptime or availability. Time for maintenance and upgrades is usually included in downtime.Objectif de point de reprise : Durée maximale précédant une interruption de service imprévue pendant laquelle les modifications apportées à des données risquent d’être perdues.
It may be defined in the service level agreement (SLA) as a number of permissible outages of a specified time duration for a given period, e.g., not more than one outage of one hour per day and not between 8:00 and 17:00.Si le contrat précise par exemple un objectif de point de reprise équivalent à deux heures avant l’interruption des services, cela signifie que toutes les données devraient être accessibles après la reprise dans la forme où elles existaient deux heures avant l’interruption.
First response time: The time between when the customer reports an incident and the provider’s initial response to it.Paramètres de performance : Paramètres quantitatifs (objectifs chiffrés, indicateurs ou fourchette de performance) ou qualitatifs (assurance de la qualité des services).
Follow-the-sun: A model in which the workload is distributed among different geographical locations to more efficiently balance resources and demand.Ils peuvent mesurer la conformité aux normes applicables, y compris la date d’expiration de toute certification de conformité (par exemple, le fournisseur doit avoir mis en œuvre une politique de gestion des clefs conforme à la norme internationale définie dans le contrat).
The purpose of the model may be to provide round-the-clock services and to minimize the average distance between servers and end users in an effort to reduce latency and maximize the speed with which data can be transmitted from one device to another (data transfer rate (DTR) or throughput).Pour être significatifs, les paramètres devraient permettre au client de mesurer, de manière simple et vérifiable, les performances qui revêtent de l’importance pour lui. Ils peuvent varier en fonction des risques encourus et des besoins de l’entreprise (par exemple, la criticité de certains services, données ou applications et la priorité correspondante en matière de reprise).
Infrastructure as a service (IaaS): Types of cloud computing services with which the customer can obtain and use processing, storage or networking resources.Par exemple, un système non essentiel conçu pour utiliser le nuage à des fins d’archivage n’aura pas besoin du même temps de disponibilité ou d’autres conditions de l’accord de niveau de service que des opérations essentielles ou en temps réel.
The customer does not manage or control the underlying physical or virtual resources, but does have control over operating systems, storage and deployed applications that use the physical or virtual resources.Partenaires de services d’informatique en nuage (notamment auditeurs de services en nuage, courtiers de services en nuage et intégrateurs de système) : Personnes qui mènent des activités de soutien ou auxiliaires à celles des fournisseurs, des clients ou des deux.
The customer may also have limited ability to control certain networking components (e.g., host firewalls).Les auditeurs de services en nuage procèdent à des audits de la prestation et de l’utilisation de services d’informatique en nuage.
Insolvency representative: A person or body authorized in insolvency proceedings to administer the reorganization or the liquidation of the assets of the insolvent debtor that are subject to the insolvency proceedings.Les courtiers de services en nuage ou les intégrateurs de système apportent leur assistance aux parties à divers égards, par exemple pour trouver la meilleure solution en matière de nuage, négocier des conditions acceptables et organiser la migration du client vers le nuage.
Interoperability: The ability of two or more systems or applications to exchange information and to mutually use the information that has been exchanged.Pérennité du stockage de données : Probabilité que les données stockées dans le nuage ne soient pas perdues pendant la durée du contrat.
Intellectual property (IP) licences: Agreements between an IP rights owner (the licensor) and a person authorized to use those IP rights (the licensee). They usually impose restrictions and obligations on the extent and manner in which the licensee or third parties may use the licenced property.Elle peut être exprimée dans le contrat sous la forme d’une cible mesurable par rapport à laquelle le client évaluera les mesures prises par le fournisseur pour assurer cette pérennité (par exemple, données intactes/données intactes + données perdues pendant un délai spécifié (par exemple, un mois calendaire)).
For example, software and visual content (designs, layouts and images) may be licensed for specific use, not allowing copying, modification or enhancement, and be restricted to a certain medium.Il faudra définir dans cette formule le type de données (par exemple, fichiers, bases de données, codes, applications) et l’unité de mesure (nombre de fichiers, longueur de bit).
The licences may be limited to a particular market (e.g., national or (sub)regional), a number of users or a number of devices, or may be time-bound. Sub-licensing may not be permitted. The licensor may require reference to be made to the IP rights owner each time the IP rights are used.Plateforme en tant que service (PaaS) : Types de services d’informatique en nuage par le biais desquels le client peut déployer, gérer et exploiter dans le nuage des applications ou des logiciels qu’il a créés ou acquis en utilisant un ou plusieurs langages de programmation et environnements d’exécution existants pris en charge par le fournisseur.
Latency: The delay between a user’s request and a provider’s response to it. It affects how usable the cloud computing services actually are. In the service level agreement (SLA), the latency is usually expressed in milliseconds.Politique d’utilisation acceptable : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont définies les limites de l’utilisation par le client et ses utilisateurs finaux des services d’informatique en nuage couverts par le contrat.
Layered cloud computing services: Where the provider is not the owner of all or any computing resources that it uses for the provision of the cloud computing services to its customers but is itself the customer of all or some cloud computing services.Portabilité : Capacité de transférer facilement des données, des applications et d’autres contenus d’un système à un autre (c’est-à-dire à faible coût, avec un minimum de perturbations et sans avoir à ressaisir les données, à réorganiser les processus ou à reprogrammer les applications).
For example, the provider of platform as a service (PaaS) or software as a service (SaaS) types of service may use storage and server infrastructure (data centres, data servers) owned or provided by another entity. As a result, one or more sub-providers may be involved in providing the cloud computing services to the customer.La portabilité est assurée s’il est possible de récupérer les données dans le format accepté dans un autre système ou par une transformation simple et directe à l’aide d’outils couramment disponibles. L’accord de niveau de service peut contenir des paramètres de performance liés à la portabilité, par exemple un paramètre selon lequel le client peut récupérer ses données par le biais d’un seul lien de téléchargement ou d’une interface de programmation d’applications (API) bien documentée ;
The customer may not know which layers are involved in the provision of services at a given time, which makes identification and management of risks difficult.ou selon lequel le format de données est structuré et documenté de manière suffisante pour permettre au client de le réutiliser ou de le restructurer dans un format différent s’il le désire.
Layered cloud computing services are common in SaaS in particular. Lock-in: Where the customer is dependent on a single provider because the costs of switching to another provider are substantial. Costs in this context are to be understood in the broadest sense as encompassing not only monetary expenses but also effort, time and relational aspects.Règlements sectoriels : Règlements relatifs aux finances, à la santé ou au secteur public, ou à d’autres secteurs ou professions particuliers (par exemple, en ce qui concerne le secret professionnel auquel sont tenus les avocats et les professionnels de santé) et règles relatives au traitement des informations classifiées (c’est-à-dire, au sens large, les informations dont la loi ou un règlement limitent l’accès à certaines catégories de personnes).
Metadata: Basic information about data (such as author, when the data were created, when they were modified and file size).Représentant de l’insolvabilité : Personne ou organe habilité à administrer le redressement ou la liquidation des biens du débiteur insolvable dans le cadre d’une procédure d’insolvabilité.
It makes finding and using the data easier and may be required to ensure the authenticity of the record.Responsable du contrôle des données : Personne qui décide de l’objet et des moyens du traitement des données personnelles.
It can be generated by the customer or the provider.Responsable du traitement des données : Personne qui traite les données pour le compte du responsable du contrôle des données.
Performance parameters: Quantitative parameters (numerical targets or metrics or a performance range) or qualitative parameters (service quality assurances). They may refer to conformity with applicable standards, including the date of expiry of any conformity certification (e.g., that the provider has implemented a key management policy in compliance with the international standard identified in the contract). To be meaningful, the parameters should allow the customer to measure performance that is important to the customer in an easy and auditable way.Réversibilité : Processus permettant au client d’extraire ses données, applications et autres contenus connexes du nuage, et au fournisseur de supprimer les données du client et autres contenus connexes après une période convenue. Services d’informatique en nuage en couches : Dans ce cadre, le fournisseur n’est pas le propriétaire de l’ensemble, ou d’une partie, des ressources informatiques qu’il utilise pour fournir des services d’informatique en nuage à ses clients ; il est lui-même le client de tout ou partie des services d’informatique en nuage.
They could be different depending on the risks involved and business needs (e.g., the criticality of certain data, services or applications and the corresponding priority for recovery).Par exemple, le fournisseur de services de type PaaS ou SaaS peut utiliser les infrastructures de stockage et de serveur (centres de données, serveurs de données) dont une autre entité est propriétaire ou qu’elle fournit.
For example, a non-mission critical system that is designed to use the cloud for archival purposes will not need the same uptime or other service level agreement (SLA) terms as mission critical or real-time operations.Par conséquent, un ou plusieurs sous-fournisseurs peuvent intervenir dans la prestation des services d’informatique en nuage au client. Ce dernier ne saura pas nécessairement quelles couches participent à la prestation de services à un moment donné, ce qui complique l’identification et la gestion des risques.
Persistency of data storage: The probability that data stored in the cloud will not be lost during the contract period.Les services d’informatique en nuage en couches sont fréquents dans le modèle SaaS en particulier. Services d’informatique en nuage : Services en ligne caractérisés par : a)
It can be expressed in the contract as a measurable target against which the customer will measure steps taken by the provider to ensure persistency of data storage (e.g., intact data/intact data + lost data during an identified period of time (e.g., a calendar month)).Un large accès via le réseau, ce qui signifie qu’il est possible d’accéder aux services par l’intermédiaire du réseau à partir de tout endroit où celui-ci est disponible (par exemple, par Internet), au moyen de divers appareils tels que téléphones portables, tablettes et ordinateurs portables ;
The type of data (e.g., files, databases, codes, applications) and the unit of measurement (the number of files, bit length) would need to be defined in that formula.b) Le service mesuré, caractéristique qui permet de contrôler l’utilisation des ressources et de facturer le client en conséquence (facturation à l’usage) ; c)
Personal data: Sensitive and non-sensitive data that can be used to identify the natural person to whom such data relate.L’architecture multilocataire, c’est-à-dire l’allocation des ressources physiques et virtuelles à de multiples utilisateurs dont les données sont conservées séparément et inaccessibles aux autres ;
The definition of personal data in some jurisdictions may encompass any data or information directly or indirectly linked or relating to an identified or identifiable individual (see the data subject).d) Le libre-service à la demande, ce qui signifie que le client utilise les services selon ses besoins, automatiquement ou moyennant une interaction minime avec le fournisseur ; e)
Personal data processing: The collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction of personal data.L’élasticité et l’extensibilité, c’est-à-dire la capacité d’adaptation rapide à la hausse ou à la baisse de la consommation de services selon les besoins du client, y compris pour s’adapter aux tendances à grande échelle de l’usage de ressources (par exemple, variations saisonnières) ; f)
Platform as a service (PaaS): Types of cloud computing services with which the customer can deploy, manage and run in the cloud customer-created or customer-acquired applications using one or more existing programming languages and execution environments supported by the provider. Portability: The ability to easily transfer data, applications and other content from one system to another (i.e., at low cost, with minimal disruption and without being required to re-enter data, re-engineer processes or re-program applications). This might be achieved if it is possible to retrieve the data in the format that is accepted in another system or with a simple and straightforward transformation using commonly available tools.La mutualisation des ressources, c’est-à-dire la possibilité qu’a le fournisseur de regrouper les ressources physiques ou virtuelles pour servir un ou plusieurs clients, sans que ceux-ci contrôlent les processus en jeu ou en aient connaissance ; g) Une large gamme de services, allant de la fourniture et de l’utilisation de services de connectivité et d’informatique de base (comme le stockage, les courriers électroniques et les applications bureautiques) à la fourniture et à l’utilisation de l’ensemble des infrastructures informatiques physiques (par exemple, serveurs et centres de données) et des ressources virtuelles nécessaires pour que le client puisse créer sa propre plateforme informatique, ou déployer, gérer et exploiter des applications ou des logiciels créés ou acquis par le client. L’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) ou le logiciel en tant que service (SaaS) sont des types de services d’informatique en nuage.
The service level agreement (SLA) may contain performance parameters related to portability, e.g., the customer data is retrievable by the customer via a single download link or documented application programming interfaces (API);Solutions d’informatique en nuage normalisées pour multiabonnés : Services d’informatique en nuage fournis à un nombre illimité de clients en tant que ressource ou produit de masse, à des conditions standard non négociables déterminées par le fournisseur.
or the data format is structured and documented in a sufficient manner to allow the customer to re-use it or to restructure it into a different data format if desired.Dans ce type de solutions, on trouve fréquemment des clauses de non-responsabilité générales et d’exonération de responsabilité du fournisseur.
Recovery point objectives (RPOs): The maximum time period prior to an unplanned interruption of services during which changes to data may be lost as a consequence of recovery.Le client pourra comparer différents fournisseurs et les contrats qu’ils proposent et choisir celui qui correspondra le mieux à ses besoins, mais il ne pourra pas négocier son contrat.
If RPO is specified in the contract as two hours before the interruption of services, that would mean that all data would be accessible after recovery in the form those data existed two hours before the interruption occurred.Sujet de données : Personne physique qui peut être identifiée, directement ou indirectement, par des données, notamment des identifiants tels que le nom, un numéro d’identification, un emplacement et tout facteur se rapportant à l’identité physique, génétique, mentale, économique, culturelle ou sociale de la personne.
Recovery time objectives (RTO): The time period within which all cloud computing services and data must be recovered following an unplanned interruption.Dans un certain nombre de pays, les sujets de données jouissent, en vertu des règles de protection des données ou de confidentialité, de certains droits relatifs aux données susceptibles de les identifier.
Reversibility: The process for the customer to retrieve its data, applications and other related content from the cloud and for the provider to delete the customer data and other related content after an agreed period. Sector-specific regulations: Financial, health, public sector or other specific sector or profession regulations (e.g., attorney-client privilege, medical professional secrecy) and rules for handling classified information (broadly understood as information to which access is restricted by law or regulation to particular classes of persons). Security incident: An event that indicates that the system or data have been compromised or that measures put in place to protect them have failed.Ces règles peuvent encourager l’inclusion, dans l’accord de niveau de service, de paramètres de performance se rapportant spécifiquement à la protection des données, par exemple un paramètre selon lequel les services fournis au titre du contrat doivent être certifiés au moins une fois par an par un auditeur indépendant qui applique la norme de protection des données/confidentialité prévue dans le contrat. (Voir aussi les définitions des droits des sujets de données et des données personnelles.) Suppression des données : Série d’opérations visant à supprimer de manière irréversible des données, y compris les sauvegardes et métadonnées correspondantes, et autres contenus de l’infrastructure d’informatique en nuage (physique et virtuelle).
A security incident disrupts normal operations. Examples of security incidents include attempts from unauthorized sources to access systems or data, unplanned disruption to a service or denial of a service, unauthorized processing or storage of data and unauthorized changes to system infrastructure. Service level agreement (SLA): Part of the cloud computing contract between the provider and the customer that identifies the cloud computing services covered by the contract and the level of service expected or to be achieved under the contract (see the performance parameters).Dans certains cas, la suppression des données exige la destruction de l’infrastructure physique (par exemple, serveurs) sur laquelle celles-ci sont stockées. L’accord de niveau de service peut contenir un paramètre de performance spécifique lié à la suppression des données, par exemple selon lequel le fournisseur doit veiller à ce que les données du client soient supprimées de manière effective, irrévocable et définitive à la demande de celui-ci dans un certain délai précisé dans le contrat et conformément à la norme ou méthode prévue dans le contrat. Temps d’arrêt ou d’interruption : Période pendant laquelle les clients n’ont pas accès aux services d’informatique en nuage. Cette période est exclue du calcul du temps de disponibilité ou de fonctionnement sans interruption.
Software as a service (SaaS): Types of cloud computing services with which the customer can use the provider’s applications in the cloud.On inclut généralement dans le temps d’arrêt le temps nécessaire pour la maintenance et les mises à jour.
Standardized commoditized multi-subscriber cloud solutions: Cloud computing services provided to an unlimited number of customers as a mass product or commodity on non-negotiable standard terms of the provider.Dans l’accord de niveau de service, cette période peut être définie comme le nombre d’interruptions d’une durée limitée acceptables pendant une certaine période de temps, par exemple pas plus d’une interruption d’une heure par jour, celle-ci ne pouvant intervenir entre 8 heures et 17 heures.
Broad disclaimers and waivers of the provider’s liability are common in this type of solution.Temps de disponibilité : Période pendant laquelle les services d’informatique en nuage sont accessibles et susceptibles d’être utilisés.
The customer may be in a position to compare different providers and their contracts and select among those available on the market the most suitable for its needs, but not to negotiate a contract.Elle peut être exprimée en tant que quantité ou pourcentage, en tant que formule détaillée ou encore en tant que dates ou jours et heures spécifiques pendant lesquels le service d’une application particulière doit absolument être disponible.
Uptime: The time when the cloud computing services are accessible and usable.Temps de latence : Temps qui s’écoule entre la demande du client et la réponse du fournisseur.
It may be expressed as the amount or percentage, a detailed formula or specific dates or days and time when availability of the service of a particular application is critical.Ce temps, qui affecte l’exploitabilité pratique des services d’informatique en nuage, est généralement exprimé en millisecondes dans l’accord de niveau de service.
Written or in writing: Information accessible so as to be usable for subsequent reference.Temps de réaction initiale : Délai qui s’écoule entre le moment où un client signale un incident et la première réaction du fournisseur.
It encompasses information on paper and in an electronic communication. “Accessible” means that information in the form of computer data should be readable and interpretable and that the software that might be necessary to render such information readable should be retained. “Usable” covers both human use and computer processing.Traitement des données personnelles : Collecte, enregistrement, organisation, stockage, adaptation ou altération, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, blocage, effacement ou destruction de données personnelles. Verrouillage : Situation dans laquelle le client dépend d’un fournisseur unique parce que les coûts liés à un changement de prestataire sont considérables. Dans ce contexte, la notion de coût s’entend au sens large comme englobant non seulement les dépenses monétaires, mais aussi l’effort, le temps et les aspects relationnels.
[1]1
Official Records of the General Assembly, Sixty-ninth Session, Supplement No. 17 (A/69/17), para. 150;Documents officiels de l’Assemblée générale, soixante-neuvième session, Supplément no 17 (A/69/17), par. 150 ;
ibid., Seventieth Session, Supplement No. 17 (A/70/17), para. 358;ibid., soixante-dixième session, Supplément no 17 (A/70/17), par. 358 ;
and ibid., Seventy-first Session, Supplement No. 17 (A/71/17), para. 229.et ibid., soixante et onzième session, Supplément no 17 (A/71/17), par. 229.
[2]2
Ibid., Seventy-first Session, Supplement No. 17 (A/71/17), paras. 235 and 353;Ibid., soixante et onzième session, Supplément no 17 (A/71/17), par. 235 et 353 ;
and ibid., Seventy-second Session, Supplement No. 17 (A/72/17), para. 127.et ibid., soixante-douzième session, Supplément no 17 (A/72/17), par. 127.
[3]3
Ibid., Seventy-third Session, Supplement No.17 (A/73/17), para. 150.Ibid., soixante-treizième session, Supplément no 17 (A/73/17), par. 150.
[4]4
Ibid., Seventy-fourth Session, Supplement No. 17 (A/74/17), para. 151.Ibid., soixante-quatorzième session, Supplément no 17 (A/74/17), par. 151.
15
For UNCITRAL texts addressing electronic signatures, see the United Nations Convention on the Use of Electronic Communications in International Contracts (New York, 2005), the UNCITRAL Model Law on Electronic Commerce (1996) and the UNCITRAL Model Law on Electronic Signatures (2001).Pour les textes de la CNUDCI portant sur les signatures électroniques, voir la Convention des Nations Unies sur l’utilisation de communications électroniques dans les contrats internationaux (New York, 2005), la Loi type de la CNUDCI sur le commerce électronique (1996) et la Loi type de la CNUDCI sur les signatures électroniques (2001).
See also an explanatory text prepared by the UNCITRAL secretariat entitled “Promoting confidence in electronic commerce: legal issues on international use of electronic authentication and signature methods (2007)”, available at https://uncitral.un.org/en/texts/ecommerce.Voir également le texte explicatif élaboré par le secrétariat de la Commission intitulé « Promouvoir la confiance dans le commerce électronique : questions juridiques relatives à l’utilisation internationale des méthodes d’authentification et de signature électroniques (2007) » disponible à l’adresse https://uncitral.un.org/fr/texts/ecommerce.