L'APPORT DU DROIT DE L'UNION EUROPÉENNE EN DROIT DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING

YOANNMUNARI

Mémoire de Master 2 Droit européen des affaires

Sous la direction de

M^meBLANDINEde CLAVIÈRE

Professeur à l'Université Jean Moulin Lyon 3

UNIVERSITÉ JEAN MOULIN LYON 3 - FACULTÉ DE DROIT

SOUTENU À LYON, LE 13 JUILLET2016

L'APPORT DU DROIT DE L'UNION EUROPÉENNE EN DROIT DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING

YOANNMUNARI

Mémoire de Master 2 Droit européen des affaires

Sous la direction de

M^meBLANDINEde CLAVIÈRE

Professeur à l'Université Jean Moulin Lyon 3

UNIVERSITÉ JEAN MOULIN LYON 3 - FACULTÉ DE DROIT

SOUTENU À LYON, LE 13 JUILLET 2016REMERCIEMENTS

Je tiens à remercier sincèrement ma directrice de mémoire, Madame le Professeur Blandine de Clavière pour son soutien et ses conseils, essentiels à la réalisation de ce travail de recherche.

Je tiens également à remercier Monsieur le Professeur Jean-Sylvestre Bergé pour avoir accepté de faire partie de mon jury.

Mes remerciements vont aussi àMonsieur Éric Carpano, Directeur du Master II de droit européen des affaires, ainsi qu'à Messieurs Vincent Gautrais et Karim Benyekhlef, professeurs à l'Université de Montréal, dont les enseignements ont, chacun, alimenté ma réflexion.

Un grand merci également à Hélène, mes Amis et ma Famille pour leur soutien.

SOMMAIRE

INTRODUCTION 11

CHAPITRE 1 - L'INADAPTATION DU DROIT ACTUEL AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 23

SECTION 1 - L'ÉTAT DU DROIT APPLICABLE AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 23

SECTION 2 - LES DÉFAUTS DU DROIT APPLICABLE AUX CONTRATS INTERNATIONAUX DE CLOUDCOMPUTING 46

CHAPITRE 2 - L'APPORT DU DROIT DE L'UNION EUROPEENNE EN DROIT DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 69

SECTION 1 - L'APPORT POTENTIEL D'UN DROIT DE L'UNION EUROPÉENNE DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 69

SECTION 2 - L'INTÉRÊT DE L'UNION EUROPÉENNE POUR LES NORMATIVITÉS ALTERNATIVES EN MATIERE DE CLOUD COMPUTING 92

CONCLUSION 116

ABRÉVIATIONS

BCR Binding corporate rules

CEPD Contrôleur européen de la protection des données

CES Conseil économique et social

CNIL Commission Nationale de l'informatique et des libertés

CNUCED Conférence des Nations unies sur le commerce et le développement

C-SIG Cloud select industry group

CJCE Cour de justice des Communautés européennes

CJUE Cour de justice de l'Union européenne

DCEV Droit commun européen de la vente

G29 Groupe de l'article 29

IaaS Infrastructure as a Service

PaaS Platform as a Service

PME Petites et moyennes entreprises

RDCO Revue des contrats (Lextenso)

RGPD Règlement général sur la protection des données

RLDA Revue Lamy droit des affaires

RLDI Revue Lamy droit de l'immatériel

SaaS Software as a Service

SLA Service Level Agreement

TUE Traité sur l'Union européenne

TFUE Traité sur le fonctionnement de l'Union européenne

TPE Très petites entreprises

UE Union européenne

VPN Virtual private network

INTRODUCTION

« Plaisante justice qu'une rivière borne, vérité en-deçà des Pyrénées, erreur au-delà »

B. PASCAL, les Pensées.

Dans la conception moderne du droit^1(*), l'État souverain dispose, sur son territoire, du monopole de la production normative. Cette vision d'un droit enclavé dans des frontières étatiques est particulièrement questionnée par le développement des nouvelles technologies de l'information et de la communication^2(*). Ces dernières permettent l'usage de techniques caractérisées par l'ubiquité^3(*) et suscitent l'adaptation des cadres juridiques nationaux. Le droit des contrats, le cloud computing et le droit de l'Union européenne sont tous trois symptomatiques du phénomène précité. Si le droit des contrats est propre à chaque État membre,le cloudest quant à lui,une technique internationale par essence. Ainsi, le caractère supranational de l'Union européenne devrait êtreplus adapté que les droits nationaux afin de règlementer les activités transnationales de cloud computing. Partant de ce postulat, il paraît particulièrement opportun de se questionner sur l'apport du droit de l'Union européenne en droit des contrats de cloud computing.

Lecloud computing recouvre une réalité complexe et ne fait pas l'objet d'une définition uniforme, que ce soit sur le plan technique^4(*) ou juridique^5(*). D'ailleurs, sa seule traduction en langue française fait l'objet d'approches divergentes.

Si outre-Atlantique, l'Office québécois de la langue française a proposé dès 2009 diverses traductions officielles parmi lesquelles celles d' « infonuagique » (la plus utilisée), d' « informatique nuagière », d' « informatique intranuage » ou d' « informatique en nuage »^6(*), c'est cette dernière seulement qui a été retenue, en France, par la Commission générale de terminologie et de néologie^7(*)par un avis du 6 juin 2010^8(*). Dans leurs travaux officiels, les institutions européennes, à l'instar de la Commission européenne, confirment cette tendance. La communication formulant l'intention originelle de la Commission d'intervenir en droit des contrats de cloud computing, entend « exploiter le potentiel de l'informatique en nuage en Europe »^9(*). Mais, en pratique, cette traduction française est largement mise à mal par l'utilisation d'anglicismes. Cela est le cas dans la jurisprudence française comme celle de la Cour d'appel de Nancy^10(*) ou du Tribunal de Grande Instance de Nanterre^11(*). Il s'agit également d'une tendance qu'on observe dans la doctrine française, comme en témoigne l'usage qu'en fait Jean-Marc Sauvé, vice-président du Conseil d'État, dans son discours d'ouverture du colloque de la Société de législation comparée du 11 octobre 2013^12(*). Plus encore, dans leur pratique contractuelle, les opérateurs économiques approuvent cette préférence pour l'expression anglaise puisque les contrats sont eux-mêmes intitulés : « de cloud computing »^13(*). Aussi, l'usage du terme anglais permettrait de se distancier de l'illusion, de l'aspect immatériel, que sous-tend l'expression poétique d' « informatique en nuage ». En effet, on ne désigne par lenuage qu'un « ensemble de câbles et de machines»^14(*). Il ne faut cependant pas donner trop d'importance à ces précisions linguistiques. C'est en ce sens qu'ici, il pourra être fait alternativement référence aux versions anglaise et française, tout en préférant l'emploi de l'anglais correspondant davantage à la pratique contractuelle. De toutes manières, ces expressions seront employées, à chaque fois, dans l'objectif de désigner une seule et même technique.

Pour définir le cloudcomputing, il est généralement fait référence au National Institut of Standards and Technology américain. Il consisterait pour cette institution en « l'accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables »^15(*). Pour la Commission Nationale de l'Informatique et des Libertés française (ci-après « CNIL »), l'informatique en nuage consiste en « la forme la plus évoluée d'externalisation, dans laquelle le client ou l'utilisateur dispose d'un service en ligne dont l'administration et la gestion opérationnelle sont effectuées par un sous-traitant (externe ou interne). Le cloud se caractérise également par une facturation à la demande et une disponibilité quasi-immédiate des ressources»^16(*). Aussi différentes que puissent être formulées ces définitions, il est possible de s'accorder sur cinq caractéristiques essentielles au cloud computing^17(*) : l'accès via un réseau de télécommunication,la flexibilité d'un libre-service à la demande,la mutualisation des ressources,la virtualisation des ressources etle paiement à l'usage.

Cette technique recoupe plusieurs modèles de services. Ceux là se nomment « Infrastructure as a Service » (ci-après « IaaS »), « Plateform as a Service » (ci-après « PaaS »)  et « Software as a Service » (ci-après « SaaS »). Tous correspondent à un niveau différent de prestation^18(*). Successivement, il s'agira pour le fournisseur de mettre à disposition de l'utilisateur soit l'infrastructure informatique composée de machines virtuelles (« IaaS »), soit une plateforme informatique fonctionnelle pouvant servir de base au codage et au développement informatique (« PaaS »), soit une application ou un logiciel destinés aux utilisateurs finaux (« SaaS »). Chacun de ces modèles de cloud computing peut également se décliner en différents modes de gestion du service : privé, public, communautaire ou hybride. Le cloud est dit « privé » lorsque le service fourni est dédié à une organisation ou à un utilisateur unique. Celui-ci peut être interne ou externe selon que le service soit fourni par un tiers prestataire ou géré par l'utilisateur lui-même. Le cloud « public » consiste, pour sa part, en la mutualisation des ressources informatiques que sont a minima les serveurs, le réseaux et la capacité de stockage, lesquels sont donc partagés entre plusieurs utilisateurs. Le cloud « communautaire » regroupe plusieurs cloud privés alors que le cloudest dit « hybride » lorsqu'il se compose de services de cloud à la fois privés et publics. Ce dernier consiste par exemple, pour l'entreprise n'exploitant pas toutes les capacités de son infrastructure interne, d'en proposer l'exploitation à des tiers. Une telle présentation du cloud computing permet d'en saisir l'aspect protéiforme et la diversité des usages dont il peut faire l'objet : du service de messagerie au développement d'applications, en passant par les réseaux sociaux, les coffres-forts en ligne, les logiciels de solutions de gestion comptable ou de ressources humaines.Ces caractéristiques en rendent l'étude et la réglementation complexes. On retiendra finalement que par l'expression de cloud on désigne généralement la technique informatique qui permet à un utilisateur d'avoir accès, via un réseau de télécommunication comme internet, à des capacités informatiques modulables selon ses besoins et qui lui sont distantes et gérées par un prestataire.

La relation qui vient d'être décrite entre l'utilisateur et le prestataire de services de cloud se formalise juridiquement par le contratde cloudcomputing. Le droit français définissait jusqu'ici le contrat comme toute « convention par laquelle une ou plusieurs personnes s'obligent, envers une ou plusieurs autres, à donner, à faire ou à ne pas faire quelque chose »^19(*). Mais le contrat se définira, à compter du 1^er octobre 2016, comme « un accord de volontés entre deux ou plusieurs personnes destiné à créer, modifier, transmettre ou éteindre des obligations »^20(*). En droit européen, le projet de cadre commun de référence définit le contrat comme « an agreement which is intended to give rise to a binding legal relationship or to have some other legal effect. It is a bilateral or multilateral juridical act »^21(*). Respectant l'esprit général de ces définitions, nous retiendrons principalement que le contrat procède d'un « accord de volonté entre deux ou plusieurs personnes destiné à produire un effet de droit quelconque » et l'on désignera par là «  l'acte dans son ensemble par opposition aux clauses et stipulations qui le composent »^22(*).

Le droit des contrats de cloud computing,qui fera l'objet de la présente étude, doit être perçu comme l'ensemble des règles juridiques, de droit interne ou de l'Union européenne, qui régissent ou influencent la conclusion de ces contrats. C'est-à-dire comme le droit applicable aux contrats de cloudcomputing. Pour sa part, le droit de l'Union européenne désigne « l'ensemble des règles matérielles uniformes applicables dans les États membres de l'Union dont la source primaire est constituée par les Traités d'institution et la partie dérivée par les règles établies par les institutions communautaires en application des traités »^23(*).

Enfin, étudier dans quelle mesure ledit droit peut constituer un « apport » au droit des contrats de cloudcomputing, suppose la recherche d'une « contribution positive »^24(*)à la régulation actuelle des activités contractuelles portant sur l'informatique en nuage par le droit de l'Union.

Ainsi défini, le sujet pourrait prétendre couvrir un champ d'étude trop important. Il dépend donc de la clarté et de la pertinence du propos d'en délimiter les contours.

Pour cela, le choix a tout d'abord été fait de privilégier l'étude des contrats conclus entre professionnels, sous-entendu entre un prestataire de service de cloud et une entreprise privée. Seront donc exclus les contrats où l'une des parties est une personne physique agissant hors de son activité professionnelle. Cela se justifie particulièrement car les enjeux de la souscription à un service d'informatique en nuage sont décuplés et transversaux pour les entreprises privées. D'ailleurs, un tel angle d'approche n'élude pas l'examen du régime juridique de protection des données à caractère personnel qui bénéficie pourtant davantage aux personnes privées. Celui-ci affecte en effet les rapports entre le responsable de traitement et le prestataire de cloud, voire leurs potentiels sous-traitants. Il serait également réducteur de limiter notre étude à la protection des données à caractère personnel. En effet, l'utilisation du cloud par les professionnels peut conduire à la gestion en ligne de nombreuses autres données pouvant être qualifiées de sensibles^25(*), comptables, confidentielles, couvertes par le secret professionnel ou stratégiques.

L'intérêt principal de l'étude du droit des contrats en matière de cloud computing réside également dans la capacité du contrat à prévenir les défaillances du service, la sécurité des données et, le cas échéant, d'en prévoir les conséquences. Le contrat sera alors étudié en tant qu'outil de gestion des risques d'une relation d'affaire entre professionnels.C'est pour cela d'ailleurs que ne seront invoqués que subsidiairement le champ du droit des contrats relatif aux conditions propres à la formation et la validité du contrat, pour se focaliser essentiellement sur les effets du contrat. Cela mènera à l'étude des obligations incombant aux contractants de services de cloud computing ainsi qu'au régime de responsabilité applicable en cas de défaillance d'une des parties.

Puisque l'étude d'espèce concerne précisément l'apport du droit de l'Union européenne, la référence aux contrats de cloud computing désignera donc bien davantage les contrats internationaux ou, a minima, ceux ayant une dimension européenne et transfrontière. Néanmoins, cela n'évincera pas de possibles références, à titre d'exemple, aux contrats conclus dans une situation purement interne.

Pour en venir au fait, formellement, la Commission européenne a fait part de son intérêt pour le cloud computingdans une communication du 27 septembre 2012^26(*). Celle-ci intervient un peu moins d'une année après que le Comité Economique et Social européen (ci-après « CES ») ait fait savoir que « pour l'Europe, le [cloud computing] est l'opportunité de s'engager dans un marché prometteur, majeur et stratégique»^27(*).

Partant, les institutions européennes se sont attachées à mettre en exergue les avantages du cloud computing. Ceux-là sont avant tout économiques. Faisant l'objet d'un usage croissant^28(*), cette technique serait source d'investissement, de création de richesses et d'emplois. À l'appui de cet argument, la Commission renvoie à une étude de l'International Data Protection prévoyant un gain pour le PIB européen de 957 milliards euros et la création de 3,8 millions d'emplois d'ici 2020^29(*). La pertinence de cette projection a pu être critiquée par le CES qui « s'interroge pour savoir si ces chiffres ne sont pas inatteignables et déconnectés de la réalité du terrain informatique »^30(*). Les avantages seraient également environnementaux. À cet égard la Commission entend favoriser l'utilisation de « matériels plus efficaces » comme des « serveurs à faible consommation d'énergie et de l'énergie verte »^31(*) et met en avant des estimations qui prévoiraient une économie de consommation d'énergie chiffrable à plus de 12 milliards de dollars par an si les grandes entreprises américaines adoptaient l'informatique en nuage^32(*). Ces arguments ont encore une fois pu être critiqués, l'organisation Green Peace estime par exemple que le manque de transparence des principaux acteurs du cloud sur leur consommation d'énergie ne permet pas d'affirmer incontestablement le bénéfice de cette technique pour l'environnement^33(*). Enfin, et principalement, les avantages seraient d'ordre pratique : la flexibilité et la disponibilité des services de cloud computing seraient au service de l'innovation et de l'entreprenariat. Ils permettent en effet la mobilité des acteurs, par la portabilité des données, et réduisent leurs investissements. Les principaux bénéficiaires de ces services seraient d'ailleurs les plus petites entreprises et les particuliers. Néanmoins, ces avantages sont contrebalancés par de nombreuses inquiétudes. Celles-ci sont principalement relatives aux problématiques de dépossession et de sécurité des données déployées sur le nuage. Bon nombre de questions que se posent les utilisateurs de cloud restent sans réponses : où sont stockées les données ? Quel usage en est-il fait ? Qui y a accès ? De quelles protections les serveurs font-ils l'objet ? Qu'est-ce qui les prémunit de la perte des données et qu'est-ce qui garantit leur récupération? Or, dans ce contexte, il apparaît qu'on ne saurait développer le cloud computing sans que les utilisateurs aient pleinement confiance en son utilisation.

C'est alors que le contratdevrait permettre aux utilisateursde sécuriser l'usage du cloud computing. Cela dit, la Commission relève des défauts propres aux contrats actuellement conclus et qui seraient de nature à dissuader les opérateurs économiques à y souscrire. Ceux-là sont souvent complexes et prévoiraient des clauses de non-responsabilité du prestataire ou de modification unilatérale du contrat. Ils seraient également ambigus sur les questions essentielles de la réversibilité et de la propriété des données, tout en étant souvent conclus sous la forme de contrats d'adhésions, rendant la négociation du contenu contractuel impossible. En somme, les relations contractuelles entre un prestataire de cloud et son client seraient souvent déséquilibrées^34(*). À tout ces éléments qui dissuaderaient la conclusion de ces contrats s'en ajoute un autre, propre aux contrats internationaux : celui du droit applicable. La Commission constate à cet égard qu'en l'absence de droit européen unifié, les contrats de cloud peuvent être soumis à nombre de droits nationaux. De cela émaneraient des doutes quant aux modalités de désignation du droit applicable à ces contrats, et, le cas échant, la méconnaissance des droits nationaux. Ainsi, la Commission conclut que la diversité des droits potentiellement applicables a un effet de « morcellement du marché unique numérique »^35(*). Consciente de la nuisance de ces éléments au bon développement du cloud computing à l'échelle européenne, la Commission se propose donc d'agir. Trois actions générales sont avancées : « mettre de l'ordre dans le chaos des normes»^36(*) , définir « des clauses et des conditions contractuelles sûres et équitables »^37(*) ainsi qu'« investir le secteur public d'un rôle moteur grâce à un partenariat européen en faveur de l'informatique en nuage »^38(*). C'est ainsi que nous nous proposons d'étudier les possibilités qui se présentent à la Commission en vue de l'établissement de « normes communes et de contrats précis »^39(*), projet également soutenu par la Commission des affaires juridiques du Parlement européen^40(*).

Le problème juridique qui se pose en l'espèce est, en somme, celui de savoir comment est-ce que le droit de l'Union européenne pourrait régler plus efficacement que les droits nationaux les enjeux posés par le droit des contrats applicable aux activités decloud computing.

Un tel sujet s'inscrit au coeur de problématiques contemporaines que sont celles de la stratégie de développement du marché unique numérique, de l'élaboration d'un droit commun européen des contrats et plus généralement de la capacité du droit moderne à réglementer les activités numériques.

Tout d'abord, l'éventuel apport du droit européen en droit des contrats de cloud computing s'inscrit pleinement dans la stratégie européenne du marché unique numérique. Celle-ci trouve son origine dans une communication de la Commission de 2010^41(*) et découle d'une des sept initiatives de la Stratégie Europe 2020^42(*). Dans cet esprit, plusieurs projets européens ont été menés, sont en cours ou sont à prévoir. Ils concernent par exemple le haut débit^43(*), le marché unique des télécommunications^44(*) ou les plus récents projets relatifs au droit d'auteur^45(*) et la portabilité transfrontière des contenus numériques^46(*). La Commission européenne qualifie d'ailleurs le projet relatif au cloud computing de « nouvelle étape du marché unique numérique »^47(*). Il s'agit en fait d'employer les principes issus du droit du marché intérieur au bénéfice du développement de l'économie numérique européenne et, ainsi, de lever les obstacles juridiques qui s'opposent à l'unification des marchés nationaux en un seul et même marché unique numérique. Au-delà de l'Union européenne un tel projet s'inscrit également dans une dynamique internationale. On constate à cet égard l'élaboration de stratégies pour le développement de l'informatique en nuage menées par les États de l'OCDE parmi lesquels les États-Unis, le Japon, le Canada et l'Australie font partie^48(*). À l'inverse, il est intéressant de constater à quel point « exploiter les avantages de l'informatique en nuage ne va pas sans difficultés pour les pays en développement », comme l'indiquait la Conférence des Nations Unies sur le commerce et le développement (« CNUCED ») dans un communiqué de presse présentant le rapport de 2013 sur l'économie de l'information^49(*).

Ensuite, le sujet questionne également la capacité de l'Union européenne à harmoniser les droits nationauxet plus particulièrement le droit des contrats, sempiternel projet européen. En effet, le projet de droit européen des contrats de cloud s'inscrit dans une volonté plus générale d'harmonisation du droit des contrats par l'Union européenne. Loin de faire l'objet d'un dessein certain, cette volonté se traduit dans la succession de projets menés par la Commission. En réalité, l'Europe a connu l'émergence d'intentions d'unification du droit des contrats bien avant l'avènement des Communautés économiques européennes. En ce sens, le Doyen Carbonnier rappelle par exemple à quel point le Code Napoléon avait une « aspiration à l'universel »et dont la demande de traduction en latin visait à « en faire le jus commune d'un Occident sans frontières »^50(*). Au XX^ème siècle, l'idée d'un rapprochement des droits civils a principalement été la source de volontés privées : en 1916 Vittorio Scialoja était à l'initiative d'un projet de code des obligations franco-italien, projet dont la poursuite a ensuite été évoquée par les membres de l'Association Henry Capitant à Pavie en 1953^51(*), mais qui n'a jamais été consacré en droit positif. Pour ce qui nous intéresse davantage, c'est à la fin du XX^ème siècle qu'à l'échelle de l'Union européenne l'unification du droit des contrats a été sérieusement projetée. Cela intervient après qu'en 1986 les États membres de la Communauté aient décidé de l'établissement, avant le 31 décembre 1992, d'un marché unique sans frontières intérieures. Le contrat, instrument essentiel aux rapports de marché, était alors soumis à des droits qui faisaient l'objet de « profondes différences intrinsèques »^52(*) ce qui pouvait dissuader les opérateurs économiques de conclure des transactions transfrontières^53(*). Dans la foulée, le Parlement européen a adopté une résolution appelant à un effort de rapprochement du droit privé des États membres^54(*). Plusieurs initiatives ont alors émergé, dont le projet de « Code européen des contrats »^55(*), dit également « Code Gandolfi », ainsi que les principes de la Commission Lando^56(*). Ces deux travaux ont eu le soutien de la Commission qui a communiqué en 2001 quatre options envisageables concernant le droit européen des contrats^57(*). Il s'agissait soit de ne pas agir au niveau communautaire (option I)^58(*), soit de concevoir des principes communs devant renforcer la convergence des droits nationaux (option II)^59(*), soit d'améliorer la qualité des dispositions européennes existantes çà et là (option III)^60(*) ou encore d'adopter une législation complète au niveau communautaire (option IV)^61(*). Partant, la Commission européenne a ensuite communiqué un plan d'action^62(*) suivi d'une révision de l'acquis^63(*), qui semblent témoigner plus d'intérêt à la seconde option précitée. Ainsi insistait-elle sur l'opportunité d'établir un Cadre commun de référence, dont l'intérêt se limiterait à « aider les institutions communautaires à assurer une plus grande cohérence de l'acquis actuel et futur dans le domaine du droit européen des contrats »^64(*). Deux projets de Cadre Commun de Référence ont alors été établis^65(*) et un groupe d'experts a été créé en vue d'en établir une proposition définitive^66(*). Par la suite, la Commission a finalement préféré explorer la piste d'un outil optionnel de droit des contrats. En ce sens, le 11 octobre 2011, une proposition de règlement relatif au droit commun européen de la vente a été avancée^67(*). Bien qu'ayant été amendée au Parlement européen^68(*), elle semble avoir été abandonnée depuis. En effet, c'est sans avis d'intention que ce projet a disparu de l'agenda de la Commission qui ne le mentionne plus dans son programme de travail pour l'année 2015^69(*). À l'inverse, depuis, deux propositions de directives concernant les contrats numériques ont été avancées. Ainsi serait donc privilégiée l'harmonisation par voie de directive des « contrats de vente en ligne et de toute autre vente à distance de biens »^70(*) ainsi que « certains aspects des contrats de fourniture de contenu numérique»^71(*) . Au final, ce qui était un projet de droit commun des contrats ne concerne finalement plus que le commerce électronique. C'est donc dans un tel contexte de spécialisation des projets de droit européen des contrats que se révèlerait l'intérêt d'un projet relatif au droit des contrats applicables aux contrats internationaux de cloud computing.

Enfin, le sujet abordé intéresse plus généralement l'histoire et l'essence de la norme à travers la problématique de la capacité du droit moderne à réglementer les activités numériques. Selon l'adage latin ubi jus ibi societas, ubi societas ibi jus :là où il y a une société, il y a un droit. Or, ce lien intrinsèque unissant une société au droit qui la régit, témoigne quelquefois de l'aspect « réactif » dudit droit, s'adaptant aux évolutions sociales. Concernant le cloud, il est intéressant d'observer que M. Serres et P. Musso avancent tout deux que le numérique est à l'origine d'une révolution culturelle et cognitive^72(*)ainsi que d'une redéfinition des rapports sociaux^73(*). Or, dans ce contexte, quid de l'adaptation du droit à ces changements affectant nos sociétés ? Si l'on se réfère aux thèses sur la postmodernité, le cyberespace serait révélateur des changements qu'appelle la mondialisation. Dans cet esprit, la conception moderne d'un droit exclusivement produit par l'État souverain serait alors mise en cause. Promouvant l'exercice d'activités transnationales, les techniques portées par les nouvelles technologies de l'information et de la communication appelleraient des réponses elles-aussi transnationales. Le schéma normatif actuel, se composant surtout de réglementations nationales disparates et, le cas échéant, harmonisées par les engagements internationaux des États, apparaîtrait sensiblement mal adapté aux nécessités actuelles. Celles-ci ne se concevraient en fin de compte que par le dépassement du cadre normatif étatique. Pour les penseurs de la postmodernité, l'Union européenne représente la transcendance des souverainetés nationales et est particulièrement révélatrice des changements augurés par la postmodernité. Aussi, l'Union constituerait le cadre propice à l'émergence de modes de régulations transnationales et d'une globalisation du droit.

C'est donc dans l'ensemble de ce contexte que la question de la régulation par le droit de l'Union européenne des activités internationales d'informatique en nuage révèle tout son intérêt.

Il ressort de notre étude que traiter de l'apport du droit de l'Union européenne en matière de contrats internationaux de cloud computing conduit avant tout à observer que le droit actuellement applicable recèle de nombreux défauts susceptibles de dissuader les opérateurs économiquesrésidantdans différents États membres de l'Union à contracter entre eux. Dans cette perspective on pourrait estimer qu'une intervention de l'Union européenne serait légitime. Il faudrait principalement éclaircir le cadre juridique actuellement flou dans le but ultime d'établir un climat de confiance entre les opérateurs européens. Cela serait une condition sine qua non au développement du cloud computingen Europe. Peut-être serait-il opportun d'opérer un rapprochement des législations nationales, voire de les unifier ? Or, il n'y a actuellement aucune garantie assurant que de tels projets ne puissent un jour aboutir concernant les contrats conclus entre professionnels. Au contraire, l'étude des pratiques actuelles démontre que des formes de normativités alternatives aux droits nationaux modernes sont de plus en plus privilégiées en matière de cloud computing. C'est donc plutôt par des méthodes de corégulation que la Commission semble promouvoir le développement des services decloud computing au sein le marché intérieur de l'Union européenne.

Finalement, le présent mémoire se propose de définir par quelles voies juridiques le droit de l'Union européenne pourrait influencer le droit applicable aux contrats internationaux de cloud computing (Chapitre 2). Or, l'opportunité d'une intervention normative européenne ne peut être pertinemmentétablie qu'après avoir démontré l'inadaptation du droit actuel aux enjeux entourant les contrats internationaux de cloud computing (Chapitre 1).

CHAPITRE 1 - L'INADAPTATION DU DROIT ACTUEL AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING

Il serait vain de se questionner sur les moyenspar lesquelsle droit de l'Union européennepourrait influencer le droit des contrats de cloud computing sans avoir préalablement appréhendé l'état actuel du droit qui s'y applique. De même, toute critique du droit actuel, ne peut être justement établie sans qu'un portrait de celui-ci n'ait été dressé.Une étude de l'état du droit applicable aux contrats internationaux de cloud computing (Section 1) est donc nécessaire à la mise en exergue de plusieurs de ses défauts (Section 2).

SECTION 1 - L'ETAT DU DROIT APPLICABLE AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING

En admettant que l'exhaustivité ne soit pas, seule,nécessaire à la bonne compréhension des enjeux entourant le droit des contrats de cloud, la présente partie sera dédiée à la présentation de quelques-uns des traits qui sont, pour leur part, indispensables à cette compréhension.La description de l'état du droit matériel applicable aux contrats internationaux de cloud(§ 1), en ce qu'il est principalement soumis aux droits nationaux,soulève des remarques qui appellent l'étude des règles de droit international privé applicables (§ 2).

§1 - Le droit substantiel applicable aux contrats internationaux de cloud computing

Le droit substantiel, est celui qui « régit directement le fond du droit, à la différence de la règle conflictuelle, qui détermine seulement la loi applicable d'après le système juridique propre à l'État saisi »^74(*). L'absence de droit substantiel de l'Union européennedestiné à régir spécifiquement les contrats de cloud computing conclus entre opérateurs actifs sur le marché intérieur européen a pour conséquenceque ceux-làsoient encore régis par les droits nationaux. Cela dit, le droit de l'Union européenne exerce une certaine influencesur le régime juridique applicable aux contrats de cloudconclus entre professionnels. Bien que cette influence soit limitée, elle paraît essentielle à la compréhension du sujet. C'est ainsi que seront étudiés successivement le droit de l'Union européenne (A) et les droits nationaux (B) applicables aux contrats internationaux de cloud computing. Bien qu'une une vue d'ensemble serait nécessaire, l'examen des droits nationaux concernera principalement le droit français.

A - L'influence du droit de l'Union européenne sur le droit applicable aux contrats internationaux de cloud computing

L'influence qu'exerce le droit substantiel de l'Union européenne sur le droit applicable aux contrats internationaux de cloud computingest relative mais certaine. Elle peut être décrite tant en droit primaire qu'en droit dérivé. La combinaison de l'effet direct et de la primauté du droit de l'Union européenne sur les droits nationaux rend l'étude de ce droit d'autant plus incontournable. Cela est le cas même si l'essentiel du sujet entend concerner le droit des contrats, principalement régi par les droits nationaux. Dans ce contexte, si le droit de l'Unioneuropéenne pose un cadre promouvant la conclusion de contrats transnationaux(1), il influence également le régime juridique de ces contrats à travers leur qualification et la définition de quelques-unes des obligations incombant aux prestatairesde cloud (2).

1 - L'influence du droit du marché intérieur sur la conclusion des contrats transfrontières de cloud computing

Le droit primaire de l'Union européenne contribue à l'établissement d'un marché «sans frontières intérieures dans lequel la libre circulation des marchandises, des personnes, des services, et des capitaux est assurée »^75(*). Ces libertés de circulations ne s'exercent bien souvent que par la conclusion de contrats transfrontières. À titre d'exemple, la circulation de marchandises d'un vendeurétabli en France à destination d'un acheteurétabli enLettoniesupposerait, par exemple, la conclusion de contrats de vente, de transport et d'assurance.Il en va de même pour les prestations de service de cloud computing, fournies après conclusion de contrats entre le prestataire et l'utilisateur. En garantissant les libertés de circulation et l'irrégularité de toute entrave injustifiée, le droit du marché intérieur devrait alors instaurer l'environnement nécessaire à la conclusion de ces contrats entre des opérateurs économiques européens.

En ce sens, rien ne semble s'opposer juridiquement à ce que les prestataires de cloud offrent leurs services à des clients installés dans tout autre État membre de l'Union européenne :l'article 56 du Traité sur le Fonctionnement de l'Union européenne (ci-après « TFUE »), produisant des effets directs^76(*), interdit d'ailleurs les restrictions à la libre prestation de servicesau sein du marché intérieur. Au sens du droit de l'Union européenne, la notion de service se définie comme toute prestation fournie contre une rémunération^77(*) à condition qu'elle constitue une « activité économique non salariée »^78(*) exercée par des ressortissants des États membres de l'Union, que ce soient des personnes physiques ou morales^79(*).Cette définition n'exclut manifestement pas les activités de cloud computing. Au contraire, la libre prestation de services de la société d'information bénéficie d'un régime spécial consacré par la directive relative au commerce électronique^80(*).

L'intérêt de cette directive estavant tout de nous renseigner sur la qualification juridique des activités de cloud computing. La directive s'applique matériellement aux « services de la société de l'information ». Pour les définir il est fait référence à deux directives de 1998 qui entendent par là : tout « service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services »^81(*).Compte tenu de la définition donnée en introduction, aucune difficulté ne s'oppose à ce que le cloudrépondeaux critères généraux du service de la société de l'information. Cette activité est donc concernée par les dispositions de la directive relative au commerce électronique.Or, l'apport principal de cette directive consiste à confirmer que les activités relevant du commerce électronique bénéficient pleinement des règles du marché intérieur^82(*). Autrement dit, les opérateurs de cloud peuvent se prévaloir de l'application des libertés de circulation de prestations de serviceset d'établissement sur le marché intérieur. Les autorités publiques nationales ne pourront donc opposer à ces prestationsque des limites strictement proportionnelles à des objectifs qui seront jugéslégitimes^83(*).

C'est ainsi que le droit primaire et plus particulièrement le régime de liberté de circulation des services de l'information participe déjà au développement des services transfrontières de cloud computing. Si le droit de l'Union pose généralement un cadre favorable à la prestation transfrontière deces services, d'autresdispositions influencentplus concrètement le régime juridique descontrats decloud.

2 - L'influence du droit de l'Union européenne sur le régime juridique applicable aux contrats internationaux de cloud computing

Le droit de l'Union européenne a eu une influence particulière surl'adaptation du droit aux services de la société de l'information, ce dontil résulte une relative harmonisation des législations à l'échelle européenne^84(*). Cependant, si aucune disposition n'a été édictée spécifiquement pour le cloud, quelques-unes le concernent par extension. Sans prétendre être exhaustif, on examinera ici plus précisément la reconnaissance du principe de l'autonomie de la volontéen droit de l'Union,ainsi que son influencesur les contrats de cloud conclus par voie électronique,sur la responsabilité des opérateurs qualifiés d'intermédiaires avant d'aborder, enfin, l'influence du régime de protection des données à caractère personnel sur les contrats de cloud entre professionnels.

L'autonomie de la volonté en droit de l'Union européenne

On entend généralement par « autonomie de la volonté » le principe selon lequel les contractants jouissent d'une triple liberté : celle de décider de s'engager ou non, celle de choisir leur cocontractant et celle de déterminer le contenu du contrat. Le droit de l'Union européenne ne régissant pas le droit général applicable aux contrats, il pourrait paraître inadéquat d'admettre qu'il garantisse le principe de liberté contractuelle. On dénombre néanmoins quelques références explicites au principe d'autonomie de la volonté dans la jurisprudence comme en droit prospectif de l'Union européenne. Ainsi, par exemple, la Cour de Justice a pu préciser à l'égard d'une modification de la date de conclusion du contrat par des contractants que « le droit des parties de modifier les contrats qu'elles ont conclus repose sur le principe de la liberté contractuelle » lequel ne peut « être limité en l'absence d'une réglementation communautaire instaurant des restrictions spécifiques à cet égard»^85(*) . Dans le même sens le projet de droit commun européen de la vente de 2011, prévoyait que « la liberté contractuelle devrait être le principe sur lequel repose [ce droit] » et que, partant, « l'autonomie des parties ne devrait être restreinte que lorsque et dans la mesure ouÌ ceci est indispensable, notamment pour protéger les consommateurs »^86(*). Ces deux exemples témoignent tant de la reconnaissance de la liberté dont jouissent les parties pour négocier le contenu du contrat que de la faculté pour les autorités européennes de l'encadrer lorsque les circonstances l'exigent. Les limites à cette liberté sont généralement établies au profit des parties les plus faibles que sont le consommateur, le salarié ou l'assuré^87(*). En revanche, entre professionnels, le principe demeurela liberté contractuelle. Le droit de l'Union laisse donc a priori la plus grande liberté contractuelle aux utilisateurs de service de cloud computing dans le cadre de leurs activités professionnelles.

Les contrats de cloud conclus par voie électronique

En l'état actuel, le droit de l'Union intéresse particulièrement les contrats de service conclus par voie électronique.La directive relative au commerce électronique a harmonisé les conditions de formation de ce type de contrat. Elle a tout d'abord permis d'autoriser et de faciliter leur conclusion dans tous les États membres en admettant la validité et l'effectivité des contrats électroniques^88(*).Cela témoigne d'une consécration en droit européen du principe d' « équivalence fonctionnelle » reconnu dans la loi-type CNUDCI relative au commerce électronique^89(*). Ce principe consiste à « rechercher les fonctions qu'un instrument juridique possède et à s'assurer qu'elles sont satisfaites quel que soit le support utilisé »^90(*). Ainsi le droit européen prévoit d'accorder aux contrats électroniques la même validité et les mêmes effets que l'on accordait préalablementaux contrats conclus sur support papier. Cela encourage donc le développement des activités commerciales en ligne. Cependant, le droit de l'Union demeure silencieux sur les obligations incombant aux contractants si chacun d'eux est un professionnel. En effet, la directive précitée n'impose des obligations précontractuelles d'information aux prestatairesque si leurs services s'adressent à des consommateurs^91(*).De ce fait, l'apport du droit européen à l'égarddes contrats de cloudconclus par voie électronique entre professionnels se limite à reconnaître leur validité et leurs effets lorsqu'ils sont conclus par voie électronique.

Le régime deresponsabilité du prestataire de cloud computing qualifié d'intermédiaire

La directive sur le commerce électronique prévoitun régime de responsabilité favorable aux prestataires de services de la société d'information qui ont la qualité d'intermédiaire. Les acteurs concernés sont les prestataires de transport d'information, de stockage automatique et d'hébergement. L'hébergement se définit comme l'activité « consistant à stocker des informations fournies par un destinataire du service »^92(*) et qui revêt« un caractère purement technique, automatique et passif »^93(*). Dans la fourniture de ce type de service, la directive prévoit que le prestataire n'est « pas responsable des informations stockées à la demande d'un destinataire du service »^94(*). Pour s'exonérer de sa responsabilité, le prestataire devra prouver qu'il respecte deux conditions : ne pas avoir eu connaissance de l'activité ou des informations illicites et, le cas échéant, qu'il ait agit promptement pour les retirer ou en rendre l'accès impossible.La Cour de Justice a précisé les conditions d'application de cette dérogation à la responsabilité de l'intermédiaire dans une affaire concernant le service de référencement Google AdWords^95(*). Dans cette affaire opposant Google à l'entreprise Vuitton, cette dernière souhaitait engager la responsabilité de Google pour avoir permis le référencement par des liens commerciauxde sites internet proposant des imitations de produits qu'elle commercialisait. La Cour de cassation française a posé une question préjudicielle en interprétationà la Cour de Justice dans l'objectif de préciser les conditions d'applicationde l'exonération de responsabilité des prestataires de services de la société d'information prévue à l'article 14 de la directive relative au commerce électronique. Il en ressort principalement que les services de référencement entrent dans le champ d'application de cette directive et répondent à la qualité de service d'hébergement^96(*). En ce sens, il a été considéré que l'exonération de responsabilitéest applicable même si le service est rémunéré, que le prestataire a donné des informations d'ordre général et fourni une assistance à l'utilisateur^97(*). Il faut néanmoins qu'ait été prouvé que le « prestataire n'a pas joué un rôle actif de nature à lui confier une connaissance ou un contrôle des données stockées»^98(*). Partant, il apparaîtrait tout à fait possible que des prestataires de cloud proposentdes services revêtant de tels caractères technique, automatique et passif. Cela serait par exemple le cas des prestatairesde service de messagerie électronique professionnelle ou de stockage de données en ligne. Dans ces cas, le prestataire de service pourrait s'exonérer de toute responsabilité du fait illicite exercé par son client via la messagerie ou l'espace de stockage fourni,en prouvant qu'en tant qu'intermédiaire, il ne pouvait avoir connaissance de ces activités. En pratique cela se traduit contractuellement par des dispositions précisant soit l'exonération de responsabilité du prestataire pour les activités exercées par son client via le service fourni, soit en mentionnant explicitement les types d'activités interdites par ledit service. De tout cela résulte un régime de responsabilité favorable aux opérateurs de services de la société d'information destiné à encourager le développement du commerce électronique.

L'influence du régime de protection des données à caractère personnelet sensible surles contrats de cloud computingconclus entre professionnels 

La directive 95/46/CE^99(*)prévoitun régime de protection des données à caractère personnel et sensible au bénéfice des particuliers, personnes physiques, conformément à leurs droits au respect de leur vie privée^100(*). En pratique, l'application de cette directivepourrait influencer le régime juridique applicable aux contrats de cloud conclus entre professionnels.

Sont considérées comme ayant un caractère personnel, les données quiconcernent « une personne physique identifiée ou identifiable [...] directement ou indirectement, notamment par [des éléments] propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale »^101(*). En revanche, si celles-ci contiennent des éléments sur l'« origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives aÌ la santeì et aÌ la vie sexuelle »^102(*), elles seront considérées comme sensibles. La directive garantit que ces données ne feront l'objet d'untraitementque sous certaines conditions. Le traitement en question désigne généralement toutes sortesd'opérations, automatisées ou non, telles que la « collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, [...]l'effacement ou la destruction»^103(*). En fin de compte,ce traitement ne sera possible que sila personne y a préalablementconsenti^104(*), qu'un droit d'accès aux données^105(*) et d'opposition au traitement^106(*) lui est octroyé, qu'un niveau de sécurité des données suffisant est garanti^107(*) et qu'il ait été déclaré à l'autorité de contrôle compétente^108(*). Le traitement des données à caractère sensible, même avec le consentement des individus visés peut, pour sa part, être soumis à des conditions plus strictes par les États membres.Ces obligations incombentau prestataire, qualifié de « responsable de traitement »^109(*) par la directive. Cette qualification en fera leresponsable présumé de tout traitement illicite de ces données à moins qu'il ne prouve que le dommage ne lui soit pas imputable^110(*). Dans la conception classique du traitement de données prévaut une relation bilatérale entre les clients et le responsable de traitement. Ce dernier n'est pas obligatoirement un prestataire de service de cloud, il peut s'agir par exemple d'une entreprise de distribution de biens de consommation dans sa gestiondes comptesde fidélité des clients ou des ressources humaines. Néanmoins,le progrès technologique a mené à ce que ces entreprises externalisent ces fonctions et aient, pour cela, de plus en plus souvent recours à des prestataires de service de cloud computingpour la gestion desdites données. La relation bilatérale décrite est aujourd'hui largement dépassée en pratique. C'est ainsi qu'alors qu'aucun lien contractuel ne lie les personnes physiques au prestataire de clouddu responsable du traitement, ce sont ces derniers seulement qui seront chargésde factodu traitement des données.La directive a pris en compte cette réalité en définissant le sous-traitant comme celui « qui traite des données à caractère personnel pour le compte du responsable du traitement »^111(*). Cependant, elle ne prévoit aucune obligation directe du sous-traitant envers la personne physique concernée. Il incomberaseulement au responsable du traitement de choisir un sous-traitant qui apporte des garanties suffisantes de sécuritédes données etde veiller à leur respect^112(*). C'est ainsi qu'en ce qui nous concerne, les relations contractuelles entre un responsable du traitement et son prestataire de clouddevront respecter le régime de protection des données à caractère personnel, voire même prévoir la répartition des responsabilités de chacun des opérateurs de la chaîne de sous-traitance en cas d'opération illicite effectuée sur des données personnelles.

Finallement, le droit de l'Union européenne permet, voire encourage,les prestataires de service decloud computingà fournir leurs services dans tous les États membres de l'Union européenne. C'est le sens que l'on peut donner aux libertés de circulation, au régime de responsabilité favorable aux prestataires de services de la société d'information ainsi qu'à la reconnaissance du principe de liberté contractuelle. Pour l'instant, le droit de l'Union consacrerait une seule limite effective à cette liberté contractuelle entre professionnels en soumettant le responsable du traitement à la protection des donnéesà caractère personnel des personnes physiques. On se rend ainsi compte du fait que les dispositions de droit européen intéressant les contrats internationaux de cloud computing sont relativement éparses et générales, ce qui explique en partieque ces contrats seront principalement régis par les droits nationaux.

B - L'application des droits nationaux aux contrats internationaux de cloud computing : l'exemple du droit français

En présence d'un contrat international et a fortiori de dimension européenne, l'inexistence d'un droit européen commun des contrats est palliée par la désignation d'un droit national qui y sera applicable.À cet égard, la Cour de cassation française considère de longue date que « tout contrat international est nécessairement rattaché à la loi d'un État »^113(*).Si les modalités relatives au choix du droit applicable à ces contrats seront décrites ultérieurement^114(*), il est intéressant d'étudier qu'au sein même des droits nationaux, des difficultés apparaissent dans la recherchedes dispositions applicables à ces contrats de cloud. Si l'examen du droit français applicable aux contrats de cloud computing semble le confirmer (1), cela s'imposerait en réalité comme une généralité dans le droit des États membres de l'Union européenne (2).

1- L'application du droit français aux contratsde cloud computing

L'exemple de l'application du droit français aux contrats de cloud computing est révélateur de la difficulté, pour les droits nationaux actuels, de s'adapter aux changements induits par le progrès technologique. Il ne s'agit pas ici de présenter exhaustivement toutes les dispositions de droit français pertinentes, mais de révéler plus précisément certaines caractéristiques qui retiennent particulièrement notre attention. Seront donc successivement étudiés : l'inexistence de dispositions spécialement applicables aux contrats de cloud computing, les débats autour de la qualification juridique de ces contrats, la reconnaissance du principe de liberté contractuelle, la jurisprudencepuis les règles matérielles éparses susceptibles d'intéresser les relations contractuelles de cloud entre professionnels.

L'inexistenced'un droit des contrats spéciaux concernant le cloud computing

Le constat qui préside l'étude du droit français à l'égard des contrats de cloud computing est celui de l'inexistence de dispositions qui leur sont spécifiquement applicables. Plus encore, en l'état actuel, le droit français méconnaît la notion de « cloud computing » ou d' « informatique en nuage ». Cela ne signifie pas pour autant qu'aucune disposition ne trouve à s'appliquer à ces contrats, mais seulement qu'aucune n'a été spécifiquement conçue pour eux. Dans ce cas le rattachement à des dispositions générales du droit français doit être établi. L'article 4 du Code civil français impose d'ailleurs indirectement un tel rattachement en interdisant au jugetout déni de justice « sous prétexte du silence, de l'obscurité ou de l'insuffisance de la loi ». Pour l'instant, l'occasion ne s'est pas encore présentée aux juges d'éclaircir réellement le droit français applicable aux contrats d'informatique en nuage. Il n'empêche que cela serait souhaitable, notamment au regard des doutes qui planent sur la question même de la qualification juridique du contrat.

Les débats sur la qualification juridique du contrat de cloud computing

En droit français prévaut généralementla distinction entre la théorie générale des obligations et le droit des contrats spéciaux. Cette distinction est purement conceptuelle au sens où, en réalité, chaque contrata descaractéristiques quilui sont propres et qu'a contrario aucun d'entre euxn'est purement« général ». Juridiquement, cette distinction traduit le fait qu'à chacun de ces contrats peut s'appliquer deux types de règles : les règles générales et celles propres aux contrats dits « spéciaux »^115(*). L'article 1107 du Code civil traduit bien cette réalité en disposant que les contrats« sont soumis à des règles générales » mais que « les règles particulières à certains contrats sont établies sous les titres relatifs à chacun d'eux ».Dans la catégorie des contrats spéciaux, il est possible de distinguer le contrat de vente^116(*)du contrat de louage d'ouvrage^117(*) également nommé contrat d'entreprise^118(*). Une autre distinction entre les contrats nommés et innomés peut être établie. Les contrats nommés sont généralement ceux faisant l'objet d'une réglementation spéciale, alors qu'à l'inverse seront innommés les contrats ne répondant à aucune catégorie juridique prédéfinie (et cela même si en pratique l'usage leur a déjà attribué un nom). Ainsi, les contrats innommés laisseraient plus de liberté aux parties dans la rédaction des contrats qui, de ce fait,sont généralement plus détaillés^119(*). Puisqu'ils ne font l'objet d'aucune réglementation spéciale^120(*), les contrats de cloud computing pourraient donc facilement tomber dans la catégorie de contrats innommés. Mais la tentation fût grande, en doctrine, de rattacher ces contrats à une catégorie juridique préexistante.

Tout d'abord, en se questionnant sur l'application du régime juridiquedes contrats de dépôt^121(*) aux contrats de stockage dans le cloud, G. Brunaux établit un double constat : le régime juridique des contrats de dépôts ne peut pas s'appliquer aux contrats de cloud, donc celui du contrat de fourniture de service doit être privilégié^122(*). En effet, le contrat de dépôt, dont l'origine remonte à l'Antiquité romaine^123(*), démontre les limites de l'adaptation du droit aux pratiques désormais permises par la technologie. L'intérêt d'appliquer ce régime juridique aux contrats de cloud aurait pu résider dans les obligations de conservation et de restitution de la chose déposée qui incombent au dépositaire^124(*).On comprend alors que, rapporté aux dépôts de données sur le cloud, il serait intéressant pour les utilisateurs de bénéficier de telles dispositions pour se prémunir des risques liés à la dépossession, ou à l'altération des données stockées sur le cloud. Cependant, les articles 1918 et 1919 du Code civilexcluraient de leur régime juridique les contrats de stockage sur le cloud, en prévoyant qu'ilsne concernentque ceuxayant pour objet la « remise réelle ou fictive »de« choses mobilières ». À cet égard G.Brunaux considère que la remise étant un acte matériel, elle ne peut être exercée qu'à l'égard d'un meuble corporel, ce qui exclut donc les données informatiques, dématérialisées par nature^125(*).Mais la doctrine n'est pas unanime à cet égard. Aussi, pour sa part, P.-Y. Gautier considèrequ'il n'existe pas d'obstacle déterminant à faire entrer lecloud computing dans ces contrats^126(*). Il parle d'ailleurs du cloud comme d'une « forme moderne de dépôt dématérialisé»^127(*). Considérer que le dépôt puisse porter sur une chose incorporelle ne reviendrait finalement qu'à adapter le droit positifau progrès technologique, même si il admet que cela « n'est pas un mince affaire, en doctrine civiliste »^128(*).

Ensuite, G. Brunaux propose, en alternativeà ses doutes relatifs à l'application du régime juridique des contrats de dépôt, de retenir la qualification de « contrat de fourniture de prestation de service »^129(*)qui,sous sa plume,n'est rien d'autre que le contrat de louage d'ouvrage précité. Cette qualification se retrouve d'ailleurs dans les travaux de la CNIL^130(*)et en pratique dans les contrats d'informatique en nuage dont l'objet est la fourniture d'un service précisément défini^131(*). Cette qualification générale serait aussi adaptée à la grande diversité de services qui peuvent être fournis par la technique de cloud computing.Néanmoins, ce statut ne permet pas, en soi, de répondre aux exigences de sécurité des données stockées sur le cloud, il incombera alors aux contractants de définir eux-mêmes le niveau de sécurité du service fourni. C'est pour cela que l'auteur appelle d'ailleurs à la création d'un régime particulier qui serait celui de la prestation générale de service à laquelle il conviendrait d'ajouterles obligations incombant au prestataire dans un contrat de coffre-fort, soit notamment la surveillance et l'accès restreint^133(*).

Enfin, d'autres ontentendu appliquer aux contrats decloud computing le régime juridique des contrats de location^134(*). C'est notamment le cas de P. Le Tourneau qui voit dans le cloud une « colocation à distance de système ou de logiciel dans les nuages »^135(*). Cela revient donc à l'apparenter au contrat de louage de choses, défini par le code civil comme « un contrat par lequel l'une des parties s'oblige à faire jouir l'autre d'une chose pendant un certain temps, et moyennant un certain prix que celle-ci s'oblige de lui payer »^136(*) et qui s'applique à « toute sortes de biens meubles ou immeubles»^137(*). Une telle qualification paraît davantage convenir aux prestations de cloud computing consistant à mettre à disposition de l'utilisateur l'usage de machines virtuelles, d'un espace de stockage sur un serveur distantque l'on a parfois pu qualifier de contrat d'hébergement^138(*)et qui correspond davantage aux servicesde cloudprestés en mode « IaaS » ou « PaaS ». Il s'agirait donc d'une location de matériel informatique entre plusieurs clients professionnels^139(*). Les entreprises y ont également recours dans le butd'externaliser leur service informatique, leur évitant ainsi l'investissement dans une infrastructure interne à l'entreprise. P. Le Tourneau constate également que les offres de cloud computing peuvent consister davantage en des offres générales de service que de location, et consent dans ce cas à la qualification générale de louage d'ouvrage. Il décrit d'ailleurs, dans un développement relatif aux contrats de services informatiques que le cloud peut consister en la fourniture d'applications hébergées. Il s'agira dans ce cas des prestations de cloud en mode « SaaS » dont l'objet du contrat est la mise à disposition du client de l'accès en ligne à des logiciels dontle prestataire lui autorise l'usage contre rémunération^140(*).

Il en découle que la qualification juridique du contrat de cloud computing en droit français sera fonction de l'objet du contrat mais est d'ores-et-déjà susceptible de donner lieu à des divergences d'interprétation.Il est intéressant également de rappeler que le régime de responsabilité contractuelle applicable à ces contrats dépend résolument des obligations définies dans le contrat. Or, à ce titre, précisons qu'il revient toujours aux parties contractantes professionnelles d'aménager le contenu contractuel en fonction de leurs besoins.

La consécration de l'autonomie de la volonté en droit français

Il est d'usage, en droit français, de reconnaître le principe de l'autonomie de la volonté en matière contractuelle à travers les articles 6 et 1134 du Code civil. Si le premier interdit de « déroger, par des conventions particulières, aux lois qui intéressent l'ordre public et les bonnes moeurs », le second dispose en revanche que « les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites ». Celles-ci ne pourront être révoquées que par le consentement mutuel des parties ou « pour les causes que la loi autorise ». Ces dispositions sous-tendent des enjeux similaires à ceux décrits dans l'étude de l'autonomie de la volonté en droit européen, à savoir que dans des cas spécifiques, la liberté contractuelle peut être encadrée par la loi. Tout comme le droit de l'Union européenne, le droit français encadre davantage les rapports entre un commerçant et des consommateurs que ceux entre professionnels. Plus généralement nous verrons que le juge français a brièvement eu l'occasion de se prononcer sur des questions intéressant de près ou de loin les contrats de cloud computing et que le recours à ces services par des professionnels, demeure restreint par quelques dispositions juridiques éparses.

La jurisprudence intéressant les contrats de cloud computing

À ce jour, très peu d'affaires concernant le cloud computingont été portées devant lesjuridictions françaises. L'affaire la plus illustre à cet égard opposait la société américaine Oracle au parti politique l'UMP^141(*). Ce dernier avait souscrit auprès d'Oracle un service de cloud de type « SaaS » consistant en la gestion et l'hébergement de données.Le contrat avait été signé le 30 décembre 2010 pour une durée de deux ans.C'est en souhaitant opérer un transfert de ses données afin de changer de prestataire que, le 21 septembre 2012, l'UMPa été confrontée à un dysfonctionnement dudit service. Le prestataire s'était alors engagé à trouver une solution audit problème. Or, la date de fin d'exécution du contrat approchant, l'UMP mit en demeure la société au début du mois de novembre 2012 et l'assigna en référé pour inexécution du contrat près le Tribunal de Grande Instance de Nanterre.La société Oracle opposait notamment au parti politique qu'il n'était victime d'aucun dommage et qu'aucune disposition contractuelle n'avait étéméconnue par elle. À cet égard, le juge des référés rappelaitque la société Oracle s'était engagée conventionnellement à maintenir la fonction d'exportation des données, sans frais, pendant une période de 60 jours après la fin du contrat. Or, rien n'assurait pour autant à l'UMP de pouvoir bénéficier de la récupération de ses données avant cette date. À ce titre, en dépit d'une clause contractuelle par laquelle Oracle entendait limiter sa responsabilité en cas d'erreur ou d'interruption du service, le juge des référés a conclu que celle-ci manquerait incontestablement à ses obligations contractuelles « si elle ne permettait pas à l'UMP de bénéficier en temps utile de ses données pour permettre à son nouveau prestataire de les exploiter et d'être opérationnel dès la fin de sa propre prestation ». Oracle fut alors condamnée àassurer les moyens techniques nécessaires à l'UMP pour changer de prestataire et récupérer ses données et à étendre gratuitement l'accès au service au-delà de la date initialement prévue, le tout sous astreinte de 5 000 euros par jour de retard. Ce jugement en référé semble témoigner d'une interprétation des obligations contractuelles favorable aux clients de services de cloudnotamment en terme de réversibilité des données stockées sur le cloud et d'interopérabilité du service^142(*).

Des règles de droit matériel éparses

La liberté de contracter des services decloud pour les professionnels est encadrée par quelques dispositions éparses et sectorielles. Certaines interdictions ou contraintes sont en réalité spécifiques à certains types de données nécessitant une protection supérieure, comme c'est le cas des données de santé, des données fiscales et des données couvertes par le secret professionnel.

Tout d'abord, la loi dite « informatique et libertés »^143(*)a transposé en droit français la directive 95/46/CE relative aux données à caractère personnel et sensible. À ce titre les données de santé y sont définies comme ayant un caractère sensible et ne pourront faire l'objet d'un traitement par les professionnels de santé que s'ils respectentcertainesconditions^144(*). Ces conditions affectent particulièrement la relation entre le professionnel de santé et le prestataire de service de cloud auquel il peut avoir recourt. Le Code de la santé publique prévoit quele traitement de ces données est conditionné à, outre l'information et le consentement à recueillir de la part du patient, l'obtention d'un agrément par le prestataire de service^145(*). Le professionnel de santé ne pourra alors sous-traiter la gestion des données de santé qu'à un hébergeur ayant été agréé par le ministère de la Santé. Les conditions de l'agrément, qui sont fixées par décret du Conseil d'État^146(*) après avis de la CNIL, ont vocation à garantir un degré de sécurité technique particulièrement élevé de ces données et leur conservation pour une durée de vingt anspar le prestataire.

Ensuite, des règles fiscales françaises encadrent également le recours au cloud computingpar les entreprises. Il en va de la sorte pour les obligations relatives à la conservation de certaines factures transmises par voie électronique. Ainsi, le Livre des procédures fiscales dispose en son article L102C que « les assujettis ne peuvent stocker les factures transmises par voie électronique dans un pays non lié àla France par une convention prévoyant une assistance mutuelle ainsi qu'un droit d'accès en ligne immédiat, le téléchargement et l'utilisation de l'ensemble des données concernées » et qu'ils « sont tenus de déclarer, en même temps que leur déclaration de résultats ou de bénéfices, le lieu de stockage de leurs factures ainsi que toute modification de ce lieu lorsque celui-ci est situé hors de France ».Il est en revanche admis que les serveurs puissent être localisés dans un autre État membre de l'Union européenne^147(*). De telles obligations découlent de la nécessité, pour les autorités fiscales françaises, de se voir garantirl'accessibilité des données fiscales de leurs assujettis. On conçoit alors que les contribuables souscrivant à une solution cloud de gestion de leur comptabilité, ou que la dématérialisation des fiches de paies, doive se faire dans le strict respect de ces obligations. Cela impose pour l'utilisateur de connaître la localisation des serveurs sur lesquels le prestataire stockera ses données fiscales, et pour le prestataire de ne sous-traiter la gestion de ces donnéesqu'à un prestataire répondant également à ces obligations légales.

Enfin, certains professionnels sont soumis à des obligations spécifiques qui impactent directement leur accès aux services de cloud computing. C'est le cas par exemple de la confidentialité des données de l'avocat couvertes par le secret professionnel^148(*). L'article 226-13 du Code pénal punit d'ailleurs d'un an d'emprisonnement et de 15 000 euros d'amende toute révélation d'une information à caractère personnel. Or, la pratique révèlerait un abime entre les comportements physique et numérique des avocats utilisant des services non sécurisés, comme Gmail et Google drive, pour communiquer avec leurs clients et partager des fichiers sensibles^149(*). Pour que la profession puisse pleinement bénéficier des avantages de cette technologie tout en respectant les obligations de sécurité qui leur incombe, M^e A. Bensoussan encourage, par exemple, à souscrire des solutions de cloud privé^150(*). C'est dans ce même esprit encore que le Conseil National des Barreaux a souscrit auprès du prestataire SFR businessle service de « cloud privé des avocats ». Il s'agit d'une infrastructure mise à dispositiondes avocats leur offrant un service de messagerie et de stockage en ligne d'une capacité de base de 50 Go, le tout étant sécurisé et chiffré^151(*).

C'est ainsi qu'en droit français la qualification juridique du contrat de cloudest relativement incertaine mais que nombre de contraintes légales éparses peuvent influencer l'utilisationdes services de cloud, par les professionnels. À en croire la Commission et l'étude comparée des contrats de cloud qu'elle a commandé, ces remarques propres au droit français se retrouveraient également dans les droits des autres États membres de l'Union européenne.

2 - La diversité des droits nationaux applicables aux contrats de cloud computing

Le droit français est un exemple parmi tant d'autres du droit national pouvant être désigné pour régir les relations contractuelles portant sur des services d'informatique en nuage. Il est donc intéressant de mettre en relief ce qui vient d'être présenté sur quelques unes des caractéristiques du droit français avec les travaux présentés par la Commission européenne sur l'ensemble des droits nationaux applicables aux contrats de cloud computing.

Après sa communication initiale de 2012, la Commission européenne acommandé une étude comparative des droits applicables aux contrats de cloud computing. Celle-ci a été menée par le cabinet d'avocats DLA Piper UK LLP et a abouti à un rapportfinal en mars 2015^152(*). Cette étude avait pour but de « comprendre dans quelle mesure les législations, jurisprudences et orientations administratives existantes s'appliquent aux contrats de cloud computing »^153(*). Le travail a été effectué par des professionnels du droit des nouvelles technologies de chacundes États faisant l'objet d'une étude, à savoir tous les États membres de l'Union européenne (à l'exception de la Croatie) et les États-Unis. Trois « Work Package » (ci-après « WP ») ont été réalisés. Le premier consistait en la présentation générale des législations applicables aux contrats de cloud^154(*) ; le second en l'élaboration d'un panel représentatif des États selon des critères juridiques et économiques^155(*) ; le troisième recoupait les deux premiers travaux en comparant les législations nationales des pays composant l'échantillon sélectionné^156(*).

La méthodologie employée pour les premier et dernier travaux est celle du questionnaire. À titre d'exemple, l'étude comparative du WP3 a été réalisée sur 15 questions divisées en 8 parties :

1. Accord de niveau de service (« Service Level Agreement ») ;

2. Politique d'utilisation acceptable (« Acceptable Use Policy ») ;

3. Protection des données ;

4. Droits de propriété intellectuelle ;

5. Responsabilité directe et indirecte ;

6. Fin du contrat ;

7. Modification du contrat ;

8. Sécurité, Protection et perte des données.

La sélection de l'échantillon représentatif des États s'est basée sur des critères légaux tels que le niveau d'avancée de la législation sur le cloud, la loi la plus souvent choisie dans les contrats de cloud, les différentes traditions juridiques européennes et sur des critères économiques tels que la composition des marchés nationaux dans le domaine numérique, la taille des marchés de cloud public ou plus généralement le développement des nouvelles technologies. Ainsi, ont été sélectionnées 8 États : le Royaume-Uni, les États-Unis, l'Allemagne, la France, les Pays-Bas, la Suède, l'Italie et la Pologne^157(*) ; classés selon leurs traditions juridiques respectives^158(*).

La présente étude de droit comparé peut être critiquée, tant dans son procédé scientifique que dans ses résultats et questionne sur la place que la Commission lui octroieradans ses travaux préparatoires^159(*). Néanmoins, elleaurait pour intérêt de révéler des caractéristiques communes aux droit nationaux des États membres : aucun droit spécial régissant les contrats de cloud n'a été élaboré dans les droits nationaux, ces contrats sont tantôt régis par le droit commun des obligations tantôt par des règles relatives à des contrats nommés, le droit de l'Union européenne en matière de protection des données personnelles a harmonisé les législations nationales selon un degré élevé de protection, très peu d'affaires dédiée intégralement au cloud n'ont encore été tranchées par les tribunaux des États membres mais de nombreusesinitiatives sectorielles pourraient concerner, à l'avenir, le cloud^160(*).

C'est ainsi qu'on se rend compte, à travers cette brève présentation des travaux de comparaison des droits nationaux de la Commission, que ce qu'on a décrit plus longuement concernant le droit français pouvait se retrouver dans d'autres droits des États membres. Partant, le rattachement des contrats internationaux de cloud à un droit national impose qu'un choix soit opéré à travers la multitude de droits potentiellement applicables. Les règles de droit international privé permettent de gérer cette diversité et méritent alors d'être présentées.

§2 - Les règles de droit international privé applicables aux contrats internationaux de cloud computing

Un contrat est dit « international » lorsqu'il « présente des contacts avec le droit de plusieurs États ou le droit international »^161(*). Il doit donc comporterun ou plusieurs éléments d'extranéité, c'est-à-dire des points de rattachement de fait ou de droit qui « lient une situation à un État déterminé »^162(*). Cela peut se déduire dela nationalité des cocontractants, de leur lieu de résidence, du lieu de conclusion ou d'exécution du contrat, des langues du contratetc. Les contrats de cloud computing sont susceptibles d'être, par nature, internationaux.La localisation des données, des serveurs, la nationalité ou le lieu de résidence des prestataires et des utilisateurs tout commeles lieux d'accès au service peuvent induire son internationalité. Lorsque tous les éléments dudit contrat sont localisés sur le territoire des États membres de l'Union européenne, à défaut de régime contractuel unifié, la loi applicable est nécessairement celle d'un droit national. La technique des règles de conflit de lois permet alors de rattacher le contrat à un droit étatique. La question se pose en des termes identiques en ce qui concerne la désignation de la juridiction compétente en cas de litige. Au final, que ce soit pour la détermination du droit applicable ou du juge compétent, on se réfère à des règles de conflit qui peuvent être tant de source internationale que nationale. En la matière, l'européanisation des sources est d'ailleurs patente^163(*). La pratique veut qu'il convienne de procéder d'abord à la désignation de la juridiction compétente (A) avant de désigner ensuite la loi applicable(B).

A -Les règles de conflit de juridictionsapplicables aux contrats internationaux de cloud computing

Les règles de conflit de juridictions en matière civile et commerciale ont fait l'objet d'une uniformisation entre les États membres des Communautés européennespar la Convention de Bruxelles de 1968^164(*). Ce n'est que dans les années 2000 que le droit communautaire s'est emparé du sujet, avec le règlement dit « Bruxelles 1»^165(*)  récemment révisé et désormais nommé « Bruxelles 1bis »^166(*). En ce qui concerne le champ d'application de ce règlement, celui-ci est applicable depuis le 10 janvier 2015^167(*),à condition que le défendeur ait son domicile sur le territoire de l'Union européenne^168(*) et que soit viséela « matière civile et commerciale »^169(*),ce qui inclut les contrats^170(*). La Cour de Justice a plus précisément fait de la « matière contractuelle » une notion autonome du droit de l'Union supposant un « engagement librement assuméd'une partie envers une autre »^171(*). Pour en venir au fait, le règlement Bruxelles 1bis prévoit comme principe la compétence du tribunal de l'État du lieu du domicile^172(*) du défendeur^173(*). Or, ce principe estsoumis à plusieurs exceptions comme à des règles d'application exclusive^174(*) ou alors, pour ce qui nous intéresse plus particulièrement, au choix formulé par les parties(1) etauxdispositions d'application spéciale à la matière contractuelle (2).

1-La clause attributive de juridiction

Le droit de l'Union européenne permet aux parties à un contrat international de choisir conventionnellement le tribunal qui sera compétent en cas de litige les concernant. L'article 25 permet en effet de prendre en compte les clauses d'electio fori, sous le vocable de « prorogation de compétence ». L'autonomie des parties à cet égard est quelque peu limitée. En effet celles-ci ne peuvent choisir que des juridictions d'un État membre de l'Union, les clauses d'attribution demeurent soumises aux conditions de validité du droit de l'État membre choisi et elles ne seront pas applicablesau détriment des parties faibles que représentent l'assuré^175(*), leconsommateur^176(*) ou le travailleur^177(*). Aussi, les parties peuvent effectuer ce choix « sans considération de leur domicile »^178(*), ce qui étend le régime du règlement à des parties domiciliées dans des États non membres de l'Union européenne.

C'est ainsi que deux professionnels qui seraient parties à un contrat de cloud peuvent valablement choisir le juge qui sera compétent en cas de litiges les opposant. Or,à défaut d'un tel choix, il faudra se référer aux règles spéciales prévues à l'article 7 du règlement Bruxelles 1bis.

2-La juridiction compétente à défaut de choix des parties

Le règlement prévoit des règles spéciales dédiées à la désignation du for compétent en matière contractuelle. L'article 7 dispose en ce sens qu'une personne domiciliée sur le territoire d'un État membre peut être attraite « devant la juridiction du lieu d'exécution de l'obligation qui sert de base à la demande ». Lorsque l'objet du contrat est la fourniture d'une prestation de service, cela devrait désigner, le « lieu d'un État membre où, en vertu du contrat, les services ont été ou auraient du être fournis ». Ces dispositions ont été clarifiées par la Cour de Justice. On apprend ainsi que si plusieurs obligations sont en cause dans le contrat, celle qui « sert de base à la demande » s'entend plus précisémentde l'obligation « principale»^179(*) et du lieu de la « fourniture principale des services»^180(*) pour les contrats de prestation de service. Cela dit, comme nous l'étudierons plus loin, l'application de ces critères de rattachement aux activités par internet peut s'avérer particulièrement délicate du fait de leur accessibilité par voie de télécommunication^181(*).

C'est ainsi que, répondant à la qualification de contrat de prestation de service, les contrats de cloudseront nécessairement soumis à ces dispositions. Cela étant, la désignation du juge compétent ne présage pas celle du droit applicable au contrat litigieux qui dépend de règles de conflits qui lui sont propres.

B - Les règles de conflit delois applicables aux contrats internationaux de cloud computing

En ce qui concerne la désignation du droit applicable aux contrats internationaux de cloud computing, il faut se référer au règlement Rome I sur la loi applicable aux obligations contractuelles (1). Néanmoins, en ce qui concerne les services de la société de l'information,la question s'est posée de savoir si la directive relative au commerce électronique ne dispose pas, elle-même d'une règle de conflit de loi spéciale(2).

1-Le règlement Rome I sur la loi applicable aux obligations contractuelles

À l'instar des règles de conflit de juridictions, les règles de conflit de lois applicables aux obligations contractuelles ont fait l'objet d'une uniformisation par la voie conventionnelle dès 1980^182(*). Cet acquis a ensuite été intégré en droit de l'Union européenne avec le règlement n°593/2008^183(*) dit règlement « Rome I ».

Ce règlement est applicable aux contratsayant pour objet la matière civile et commerciale^184(*) conclus postérieurement au 17 décembre 2009, il est également d'application universelle en ce sens qu'il s'applique même si la loi désignée n'est pas celle d'un État membre de l'Union^185(*). Il permettrait ausside choisir un droit non étatique, international ou européen^186(*). Ce règlements'appliqueradonc inéluctablement aux contrats internationaux de cloud computing. Comme le règlement Bruxelles 1 bis, le règlement Rome I fait une distinction entre la situation où les parties ont elles-mêmes choisies le droit applicable au contrat et celle où un tel choix n'a pas été effectué.

D'une part, le principe en matière contractuelle est celui de la loi d'autonomie, conférant une liberté de choix aux contractants. Ce choix doit être exprès et peut concerner tout ou partie d'un contrat^187(*), ce qui admet donc que les contractantsdésignentplusieurs lois applicablesà différentes parties du contrat. L'autonomie des parties au contrat est néanmoins susceptible de se heurter à des dispositions d'intérêt public^188(*) auxquelles on ne saurait déroger. Il convient de différencier deux situations : celle où le contrat de cloud conclu entre professionnels ne présente pas d'élément d'extranéité mais désigne une loi étrangère, et celle où le contrat est international. Dans le premier cas, il est prévu que la loi désignée par les parties ne pourra pas permettre de déroger àl'ordre public de l'État avec lequel le contrat a des liens étroits^189(*). Dans le second cas, le choix de loi ne pourra pas déroger aux lois de police du for^190(*). Une telle liberté de choix est également limitée par des rattachements spéciaux destinés à la protection des parties faibles que sont le consommateur^191(*), la personne transportée^192(*), l'assuré^193(*) et le salarié^194(*). Les dispositions visant les consommateurs s'appliqueraient dans un contrat de cloud où l'une des parties est une personne physique agissant hors de ses activités professionnelles. Dans ce cas, le choix du droit applicable est limité à la loi du pays où le consommateur a sa résidence habituelle. Cette disposition protectrice des consommateurs est soumise à des limites pratiques : le consommateur peut en effet accepter l'application d'un droit étranger - a fortiori celui choisi par le prestataire - s'il démarche activement un professionnel qui n'exerce pas habituellement son activité de l'État de résidence du consommateur, ou ne dirige pas son activité vers celui-ci. Or, l'application de ce critère aux activités par internet a pu donner lieu à des difficultés d'interprétation.On s'est interrogé sur le fait de savoir si la seule accessibilité du site internet d'un commerçant dans plusieurs États impliquait que celui-ci ait entendu diriger son activité vers chacun d'entre eux^195(*). La Cour a considéré que cela n'était pas systématique^196(*) mais qu'un faisceau d'indices permettait de le déterminer. Le commerçant actif sur internet sera donc considéré comme ayant manifesté la volonté de dirigerson activité vers l'État d'un consommateur s'il est possible d'établir une expression manifeste de démarchage, un engagement de dépense dans un service de référencement à l'attention du marché de cet État, mais également en fonction du nom de domaine et de la possibilité de choisir plusieurs langues ou monnaies^197(*). Or, même dans un tel cas, le choix de loi ne peut porter atteinte aux dispositions impératives du droit de l'État sur lequel le consommateur a sa résidence habituelle^198(*).

D'autre part, en l'absence de choix des parties, le règlement Rome I prévoit huit options dans son article 4. Le contrat de prestation de service est régi par la seconde qui désigne la loi du pays dans lequel le prestataire de services a sa résidence habituelle. Dans le cadre de contrats complexes, ce même article renvoi alors à la loi du pays de résidence habituelle de la partie fournissant la prestation caractéristique^199(*)et, à défaut, la loi de l'État avec lequel « le contrat présente des liens manifestement plus étroits »^200(*). Le principe, à défaut de choix des parties,est donc que le contrat de cloud conclu entre professionnels est régi par la loi de l'État de résidence habituelle du prestataire. Bien qu'étant défini à l'article 19 du règlement, la détermination du lieu de la résidence habituelle du prestataire pourra cependant donner lieu à des difficultés d'interprétation^201(*).

Au-delà du règlement Rome I, la question s'est posée de savoir si la directive relative au commerce électronique comportait, elle aussi une règle spéciale de conflit de lois.

2 - La clause « marché intérieur » de la directive relative au commerce électronique

Le premier paragraphe de l'article 3 de la directive relative au commerce électronique, appelé « clause marché intérieur », dispose que « chaque État membre veille à ce que les services de la société de l'information fournis par un prestataire établi sur son territoire respectent les dispositions nationales applicables dans cet État membre relevant du domaine coordonné »^202(*). Une telle mesure met un point d'honneur à ce que les règles de droit international privé des États membres ne s'opposent pas aux libertés de circulation en soumettant le prestataire aux lois des États d'origine de chacun de ses clients^203(*). La question pourrait donc se poser dans ce cas de savoir si une telle clause aurait pour effet de déroger à la loi d'autonomie des contrats de la société de l'information pour soumettre ipso facto l'activité des professionnels de cloud à la loi de leur pays d'origine^204(*). En principe cette directive ne devrait pas influencer les règles de droit international privé comme l'établit explicitement son article 1§4^205(*). Néanmoins la lecture de l'article 3 précité peut étonner et aurait pour effet de soumettre l'application d'une loi autre que celle du lieu de résidence habituelle du prestataire à « un test de compatibilité avec l'exercice des libertés extérieures »^206(*). Compte tenu des doutes qui peuvent exister sur l'interprétation de cet article, la Cour de Justice a eu l'occasion de se prononcer à l'occasion des affaires jointes eDateet Martinez^207(*). Dans ces affaires, la Cour de Justice de l'Union a été saisie de questions préjudicielles posées par le Bundesgerichtshof et le Tribunal de Grande Instance de Paris à l'occasion d'une action en responsabilité du fait de la publication illicite d'informations et de photos sur internet. eDate était une société autrichienne opposée à un demandeur allemand, M.X.. La question se posait de savoir si les deux premiers paragraphes de l'article 3 de la directive sur le commerce électronique devaient être interprétés comme une règle de conflit écartant l'application des règles nationales contraires. Si la Cour conclut rapidement qu'une telle mesurene dispose pas d'une règle de conflit de lois^208(*), elle rappelle ensuite que « les États membres d'accueil sont en principe libres de désigner, en vertu de leur droit international privé, les règles matérielles applicables pour autant qu'il n'en résulte pas une restriction de la libre prestation des services du commerce électronique »^209(*). À cela, la Cour ajoute que dans tous les cas on ne doit pas imposer au prestataire de service « des exigences plus strictes que celles prévues par le droit matériel applicable dans l'État membre d'établissement »^210(*), ce qui, pour J.Sénéchal, a pour effet de considérer la clause marché intérieur comme un correctif a porteriori^211(*), permettant de contrôler si le choix du droit applicable effectué par les parties n'impose pas au prestataire technique des obligations plus strictes que celles prévues dans le droit de son État d'origine. De la sorte, le droit européen participe à la promotion des activités numériques en permettant aux prestataires de se conformer à leur seule loi nationale. Cela leur évitede devoir s'adapter nécessairement aux lois de leurs différents clients, en présumantde l'équivalence desexigences des législations des États membres.

On remarque donc que les règles de conflit de lois applicables aux contrats internationaux laissent aux parties le soin de désigner le droit applicable à leur relation contractuelle mais qu'à défaut, ce sera la loi du pays du lieu de résidence habituelle du prestataire qui sera applicable. Si des questions se posent pour savoir si la directive relative au commerce électronique pourrait être à l'origine d'une règle de conflit de lois qui permettrait aux prestataires de bénéficier d'une application impérative du droit de leur État d'origine, la Cour de Justice répond par la négative mais renvoie à la libre capacité des États membres d'interpréter ladite directive.

C'est ainsi que les contrats internationaux de cloud computing sont soumis à l'influence d'une pluralité de règles juridiques éparses. Si le droit de l'Union européenne pose un cadre général destiné à promouvoir la fourniture transfrontière de ces services, c'est plus précisément les droits nationaux qui régiront le droit des contrats qui y est applicable. Au sein-même des droits nationaux, des questions se posent sur le fait de savoir quelles dispositions seront réellement appliquées aux contrats de cloud. L'absence de décision de justice de référence et de législation spécifiquement dédiées à ce service de la société de l'information en témoignent. Néanmoins, une des particularités de la conclusion transfrontière de contrats de cloud réside surtout dans la nécessité de désigner une loi qui leur est applicable parmi la multitude de choix que l'internationalité de cette technique permettrait de réaliser. Sur ce point, le droit international privé de source européenne a déjà participé à l'harmonisationdes règles de conflit entre États membres. Malgré tout, ces caractéristiques du droit actuellement applicable aux contrats de cloud sont sujettes à critiques. En effet, alors qu'en principe rien ne s'oppose juridiquement à ce que les opérateurs et les utilisateurs professionnels de services de cloud puissent contracter librement entre eux sur le marché européen, la Commission observe tout de même en pratique le « morcellement du marché unique numérique »^212(*). Une étude des défauts du droit des contrats applicable aux contrats internationaux de cloud est donc nécessaire afin de révéler l'origine de la fragmentation du marché et, par extension, comprendre quel pourrait être l'apport du droit de l'Union européenne en la matière.

SECTION 2 - LES DÉFAUTS DU DROIT APPLICABLE AUX CONTRATS INTERNATIONAUX DE CLOUDCOMPUTING

Rechercher les défauts du droit actuellement applicable aux contrats internationaux de cloudcomputing est une étape nécessaire afin de comprendre pourquoi et comment le droit de l'Union pourrait s'emparer du sujet. On entendra désigner par « défaut » ce qui est « imparfait, insuffisant ou mauvais »^213(*). Il s'agit en fin de compte de démontrer que le droit actuel est inadapté au développement activités de clouden Europe. Une telle approche suppose un jugement de valeur, une critique du droit, qui ne peut être effectué qu'en comparaison à un idéal, un objectif à atteindre. Le droit étant le vecteur d'une politique, l'étude critique du droit doit alors démontrer quelles insuffisances entravent les objectifs d'une politique donnée. Or, des difficultés structurelles sont inhérentes à l'objet d'étude que constitue une politique. En effet, le programme de la Commission, qui sert ici de base à l'analyse, ne constitue qu'une déclaration d'intention partiale et chronophage. Une prise de hauteur dans l'étude de l'apport du droit de l'Unionen droit des contrats de cloud computing devra alors être privilégiée. Pour l'essentiel, nous retiendrons que les objectifs généraux de la Commission sont l'achèvement du marché intérieur, le développement de l'économie numérique européenne et l'approfondissement de l'intégration européenne. On comprend donc qu'il faudra révéler les caractéristiques du droit actuel qui sont susceptibles de dissuader les opérateurs européens à contracter entre eux, à fournir des services de cloud transfrontières ou y souscrire et à préférer l'externalisation à la gestion interne des services informatiques. Il s'agit,en fin de compte, d'identifier les obstacles qui s'opposent au développement des activités internationales de cloud.

Si l'examen des défauts du droit a une forte dimension politique, son intérêt n'en reste pas moins juridique. L'inadaptation du droit peut se traduire par plusieurs phénomènes, tant en droit national qu'en droit de l'Union européenne. L. Siorat distinguait plusieurs types de défauts du droit international dont les lacunes, les obscurités et les carences^214(*). Ces défauts sont dus à la relativité, temporelle et spatiale du droit, et à son caractère faillible, car issu d'une volonté humaine^215(*). Suivant ses considérations, le droit est dit lacunaire lorsqu'il ne prévoit pas de solution à un cas d'espèce. La lacune désignerait donc le silence de la règlementation^216(*). Pour F. Viangalli, qui désigne également les « lacunes » comme le caractère incomplet d'un droit^217(*), celles-ci sont intrinsèques au droit de l'Union européenne mais plus rares en droitnational qui a, lui, vocation à régir toute sorte de situations^218(*). En tant qu'organisation internationale, l'Union ne dispose que de compétences qui lui sont attribuées^219(*). Cela l'empêche donc, par nature, de produire un droit complet. Il désigne ensuite comme « fausse lacune » le caractère du droit qui n'a pas spécialement été conçu pour être appliqué à une situation donnée et qui conduit à une solution « manifestement inadaptée [qui] heurte le sens commun »^220(*). À l'expression de fausse lacune, L. Siorat préfère celle de « carence »^221(*). Aussi, selon lui, la carence du droit se « manifeste [...] chaque fois que le développement logique de la règle juridique ne s'adapte plus aux conditions sociales nouvelles »^222(*). Enfin, ce même auteur qualifie d' « obscurité » les doutes sur le sens du droit à appliquer à un cas d'espèce^223(*), ce que F. Viangalli nomme lui de « lacune de sens »^224(*). Le caractère de la carence, insistant sur l'inadaptation du droit aux évolutions sociales, est particulièrement intéressant en ce qui concerne les nouvelles technologies et donc le cloud computing. Mais à bien des égards nous verrons que le droit actuel peut alternativement être lacunaire, carencé et obscur dans son application aux contrats internationaux de cloud computing. Ces défauts caractérisent d'ailleurs tant le droit substantiel (§ 1) que le droit international privé (§ 2) applicables.

§1 - Les défauts du droit substantiel applicableaux contrats internationaux de cloud computing

Le cloud computing, par ses caractéristiques dont la nature est transnationale, questionne nos régimes juridiques actuels (A). Le cadre légal régissant les contrats de cloud computing apparaît particulièrement flou, incertain et fragmenté, ce qui témoigne des difficultés de son adaptation à la fourniture transfrontière de ces services (B).

A - Les difficultés d'appréhension des activités internationales de cloud computing par le droit actuel

Alors que la Commission souhaite exploiter les capacités de l'informatique en nuage, son constat part de l'existence d'un certain nombre de problèmes révélés par la pratique et non solutionnés par le droit actuel. Ces problèmes freineraient le développement des services transfrontières de cloud. C'est donc avant tout la nature même du cloud computing, (1), qui révèle la mauvaise adaptation du droit actuel (2).

1 - Les difficultés pratiques inhérentes au cloud computing

On remarque sous la plume de la Commission que tant la nature du cloud computing que son environnement contractuel ont des défauts consubstantiels dissuadant les professionnels à recourir à ce type de services. Si l'examen des difficultés pratiques du cloud mériterait une étude empirique des comportements des entreprises et d'un panel de contrats, nous baserons principalement nos développements sur les documents officiels publiés par les institutions européennes^225(*), les autorités nationales chargées de la protection des données^226(*) et le groupe d'expert sur le cloudcomputing^227(*). Cela nous permettra alors d'identifier quels éléments, relatifs au cloud ou aux contrats internationaux de cloud sont au centre des préoccupations de l'Union européenne. Pour cela, seront successivement abordés les risques que représente le cloud pour les utilisateurs professionnels ; puis les défauts propres aux contrats de cloud ;et enfin l'intérêt particulier que les institutions portent aux petites et moyennes entreprises.

Les risques du cloud computing pour les utilisateurs professionnels

Certaines caractéristiques inhérentes au cloud computing rendent cette technique informatique difficilement appréhendable par le droit et risquée pour les entreprises. Dans leur ensemble, les services de cloud soulèvent plusieurs enjeux pour les utilisateurs professionnels. Ceux-là se concentrent sur la sécurité du service et la protection de l'intégrité des données de l'entreprise. De plus, les risques seront décuplés lorsque les données en question présentent un caractère stratégique ou sont sensibles et nécessitent un traitement particulier^228(*). Physiquement, ces risques peuvent être liés à des incidents matériels susceptibles de menacer les bases de données ou les réseaux^229(*), que ce soient les réseaux d'énergie électrique nécessaires au fonctionnement des infrastructures ou les réseaux de télécommunication permettant l'accès des utilisateurs au service. Dans le même esprit, la qualité du matériel peut également être source de défaillance. Informatiquement, les risques se concentrent sur tous les procédés nécessaires à la garantie du bon fonctionnement du service. Cela inclut notamment l'accessibilité au service par un niveau élevé de bande passante, le contrôle du trafic sur le réseau et l'accès sécurisé au VPN^230(*). Sont également concernés le chiffrement des données et les pare-feu sensés protéger des intrusions malveillantes soupçonnables de vol, de destruction des données ou d'espionnage des activités. En pratique, il s'agit enfin de garantir aux utilisateurs la possibilité de récupérer les données qu'ils ont stockées^231(*), de changer de prestataire et d'importer leur structure informatique dématérialisée sur un autre support^232(*). Pour résumer, les craintes principales des professionnels à l'égard de ces services de cloud seraient liées à la dépendance vis-à-vis de la technologie, les risques d'atteinte à la continuité du service par unquelconque dysfonctionnement, ou encore la perte de contrôle sur les données et les risques liés à leur destruction, leur vol ou l'espionnage^233(*).

Ensuite, il s'avère que le cloud computing est un objet difficilement saisissable par le droit du fait de son caractère protéiforme. Il prend en réalité la forme de plusieurs types deservices de natures différentes. Rappelons à ce titre qu'entre les services de location d'un espace de stockage de données, d'utilisation d'une machine virtuelle, ou de « services métiers »^234(*) tels que des logiciels de gestion comptable ou de service de messagerie électronique, un grand nombre de différences peuvent exister. À cette diversité de services s'ajoute la pluralité des modes de gestion et des modèlesde cloud. Ainsi, un même service -par exemple la location d'un espace de stockage de données - peut être administré de différentes manières. On fait référence ici aux distinctions entre le cloud public, privé, communautaire et hybride. Cela a un impact sur la relation contractuelle liant l'utilisateur au prestataire puisque les garanties liées à la sécurité des données varient selon le mode de gestion des services cloud fournis. Le cloud privé est conçu pour les besoins de sécurité du client alors que la gestion publique ou communautaire impose des standards de sécurité communs aux utilisateurs qui en partagent l'accès. Il est alors probable que la gestion publique d'un cloud apporte des garanties moindres que celles des cloud privés, mais cela n'est pas automatique. Dans le même esprit la nature du service varie en fonction du modèle de cloud : Infrastructure as a Service, Platform as a Service ou Software as a Service^235(*).

Des difficultés s'opposeraient alors à régir toutes ces activités par un seul et même cadre juridique, d'autant plus que l'innovation pourrait le rendre aussitôt désuet au regard des pratiques futures. Aussi, rappelons peut-être que le caractère de paiement à l'usage^236(*) lié à la flexibilité du service de cloud a pour conséquence d'indexer le prix de la prestation au niveau de service accepté. Si le prix varie selon la capacité de stockage exigée par l'utilisateur, ça l'est également et surtout, en fonction du niveau de sécurité des données, d'accessibilité du réseau, de garantie de réversibilité des données et donc du mode de gestion du service de cloud. En somme, plus les risques seront élevés pour l'utilisateur, plus le coût du service sera faible et inversement. On comprend donc à ce stade que la contrainte économique puisse être un facteur d'inégalité entre les professionnels dans leur recours au cloud. Ainsi, et pour schématiser, les grands groupes bénéficieront plus facilement des solutions de cloud privé avec un niveau plus élevé de garanties de sécurité des données, alors que les petites et moyennes entreprises (ci-après « PME »), les très petites entreprises (ci-après « TPE ») ou qui plus est les start up, s'orienteront naturellement vers les types de services les plus avantageux économiquement^237(*). Pour démontrer cela, l'exemple des services de cloud utilisés par les avocats semble pertinent. Rappelons que M^e Bensoussan conseillait à la profession de privilégier la souscription de services de cloud privés leur assurant une gestion des données conforme aux exigences déontologiques de la profession^238(*). Dans cet esprit le Conseil National des Barreaux a conclu avec le prestataire SFR business une solution de cloud conçue sur-mesure pour la profession^239(*). À cet égard constatons seulement que l'organisation ordinale des avocats a permis la commande d'une offre de service qui est réellement adaptée aux exigences de la profession. Naturellement, ce qui est réalisable en commun le serait bien plus difficilement individuellement. Aussi, le niveau de service du « cloud privé des avocats » se limitant à un espace de 50 Go de stockage, il est fort à parier que tous les professionnels ne puissent pas également compléter ce service par une solution de cloud privée, propre à leur cabinet. Certains d'entre eux continueront certainement de souscrire des solutions inadaptées aux exigences de leurs professions^240(*), pour des raisons tant économiques que pratiques. Observons enfin que plus généralement, les prestataires de service de cloud, prévoient des offres standardisées et au coût attrayant, spécialement dédiées aux PME, TPE et start up^241(*).

Un dernier phénomène pratique, rendant plus opaque les conditions de prestation des services de cloud, réside dans le recours de plus en plus fréquent à la sous-traitance^242(*). La CNIL appelle d'ailleurs les entreprises désireuses de souscrire des solutions de gestion de cloud à se méfier des « faille(s) dans la chaine de sous-traitance, dans le cas ouÌ le prestataire a lui-même fait appel aÌ des tiers pour fournir le service»^243(*). Le Groupe d'expert de la Commission confirme ce point de vue en rappelant que les chaînes de contrats sont susceptibles de failles de sécurité^244(*). L'enjeu peut donc être important pour l'utilisateur du service de cloud d'être informé du recours, par son prestataire de service, à la sous-traitance. Cela a un intérêt certain pour l'attribution de la responsabilité du traitement des données. Dans le même temps, la sous-traitance favorise l'internationalisation des prestations de service de cloud. Il va sans dire que les difficultés décrites précédemment pourraient être exacerbées si ledit sous-traitant résidait dans un État tiers à l'Union européenne. Or ces informations ne seront connues de l'utilisateur final du service que si le prestataire fait preuve de suffisamment de transparence.

Les risques qui viennent d'être décrits peuvent être appréhendés par le contrat en soumettant le prestataire à certaines obligations dont la violation pourra être sanctionnée. Le contrat apparaît donc ici comme outil de gestion des risques de l'activité de cloud computing^245(*). Or, la pratique rend compte du fait que les contrats de cloud souffrent de défauts qui, eux-mêmes, suscitent la méfiance des professionnels.

Les défauts propres aux contrats de cloud computing

Le contrat, en ce qu'il encadre la relation entre l'utilisateur et le prestataire de service, a pour vocation de prémunir les utilisateurs des risques inhérents à la technique du cloud. Ainsi, le contenu contractuel doit prévoir les obligations incombant aux parties et les conséquences qui résulteront de leur violation. Cependant, tout contrat traduit un rapport de force économique. Durkheim dénonçait en ce sens la contrainte existante dans tout acte que l'homme conclu, et ce « car ils ne sont jamais conformes à ce que nous désirons » et que : « qui dit contrat dit concessions, sacrifices pour éviter de plus graves »^246(*). Ainsi, les défauts des contrats de cloud sont principalement dusau déséquilibre des obligations qu'il instaure et à leur complexité. À cela s'ajoute des particularités propres aux contrats conclus sur internet.

Pour les institutions européennes, le déséquilibrecontractuel des services de cloud se traduit principalement par l'existence de clauses d'exonération ou de limitation de responsabilité au profit du prestataire^247(*). Il s'avère que celles-ci peuvent porter sur des éléments essentiels du contrat comme les dysfonctionnements du service ou l'intégrité des données^248(*). À l'inverse, l'utilisateur voit ses droits limités, notamment lorsque les offres standardisées empêchent toute négociation précontractuelle. La CNIL rappelle à cet égard qu'il s'agit souvent de « contrats d'adhésion ne laissant pas aux clients la possibilité de les négocier» et conseille alors aux professionnels de comparer les différentes offres^249(*). Encore une fois, toutes les entreprises clientes de services de cloud ne sont pas sur un même pied d'égalité : si les plus grandes entreprises pourront négocier de gré à gré un contrat individualisé, la majorité des autres se contentera d'un contrat d'adhésion^250(*). Aussi, l'effet du déséquilibre contractuel seraient accentué par la complexité des contrats et le manque de transparence du prestataire, notamment en ce qui concerne la localisation des infrastructures servant de bases à la prestation, tout comme les éventuels recours à la sous-traitance.

Enfin, on peut évoquer plus généralement la particularité des relations contractuelles sur internet dont le cloud peut être l'objet. À ce sujet N. Martial-Braz rappelle qu'en apparence les prestataires de services sur internet entretiennent une « négation de l'existence du contrat»^251(*) en les nommant « chartes d'utilisation » ou « politiques de confidentialité » et auxquels on ne consent qu'en un clic. On pourrait décrire ce processus comme un phénomène psychologique encourageant à la conclusion des contrats électroniques et dont le risque, concernant le cloud, tendrait à la méconnaissance pour les utilisateurs des obligations leur incombant ou des risques qu'ils prennent relativement à la qualité du service fourni.

On se rend finalement compte que toutes ces caractéristiques du cloud et des contrats de cloud ont en réalité pour objet de placer les plus petites entreprises en situation de faiblesse vis-à-vis du prestataire de cloud. Il semblerait d'ailleurs que la Commission projette plus précisément de protéger ces petites entreprises dans les relations contractuelles de cloud.

L'intérêt des institutions européennes pour l'accès des PME aux services de cloud computing

En filigrane des documents officiels étudiés apparaît un certain intérêt porté aux PME dans leur accès aux services de cloud. Notons à cet égard que si les PME sont des professionnels, et jouissent de ce fait de la liberté contractuelle, leur taille et leur capital, sans commune mesure avec les grandes entreprises, peut-être source de vulnérabilité. À cet égard, il est intéressant de relever que, dans sa communication de 2012, la Commission distingue les « petites entreprises » des autres « utilisateurs professionnels » en les comparant aux « particuliers »^252(*). Cela est d'autant plus explicite lorsqu'elle déclare que :

« Pour les contrats avec les particuliers et les petites entreprises, il sera peut-être nécessaire d'élaborer des clauses et conditions reposant sur un instrument de droit des contrats facultatif de façon à disposer de contrats clairs et équitables en matière de services en nuage »^253(*).

La Commission souligne ainsi une similitude entre les comportements des petites entreprises et ceux des personnes physiques dans leur recours au cloud. Les projets de droit des contrats de cloud computing pourraient alors s'orienter vers des dispositions protectrices de ces seuls utilisateurs du cloud. Juridiquement cela pourrait se traduire par la création d'un statut protecteur desentreprises les plus faibles, a simili de celui du consommateur. La pertinence d'une telle piste de réflexion semble justifiée par sa mise en contexte. En effet deux initiatives récentes de l'Union européenne à l'attention des PME intéressent, de près ou de loin, le cloud.

D'une part, le projet de règlement relatif à un droit commun européen de la vente avait pour ambition de créer des règles spécialement applicables aux PME dans leurs rapports avec d'autres professionnels. En ce sens, l'article 7 disposait que le règlement pouvait être appliqué à une relation contractuelle transfrontière lorsque « le fournisseur du contenu numérique est un professionnel » et que l'autre partie au moins « est une petite ou moyenne entreprise»^254(*). Il définissait d'ailleurs la PME comme « un professionnel qui emploie moins de 250 personnes, et dont le chiffre d'affaire annuel ne dépasse pas 50 millions d'euros ou dont le bilan total annuel n'excède pas 43 millions d'euros»^255(*) . Dans cet esprit, ce projet avait pour ambition de lever les freins aux échanges transfrontières qui, pour les PME comme pour les consommateurs, « ont un effet particulièrement dissuasif»^256(*). L'article 86 retenait particulièrement l'attention à cet égard en prévoyant un régime juridique de « clauses contractuelles abusives dans les contrats entre professionnels », lorsque des dispositions n'ont pas pu faire l'objet de négociation et seraient contraires aux principes de bonne foi et de loyauté. Comme il l'a déjà été expliqué en introduction, ce projet semble être tombé en désuétude. D'ailleurs, les derniers amendements du Parlement européen ont fait disparaître cette distinction entre grandes et petites entreprises^257(*). Il est aujourd'hui remplacé, pour ce qui nous concerne, par une directive dédiée aux contrats de fourniture de contenu numérique^258(*), et sur lequel nous reviendrons^259(*).

D'autre part, il est intéressant de constater que l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information est à l'origine d'un « Cloud Security Guide for SME's »^260(*). Il s'agit d'un guide d'une cinquantaine de pages dans lequel sont identifiés clairement les intérêts et les risques du cloud pour les PME. Ce procédé est particulièrement intéressant en ce qu'il identifie le comportement à adopter par les PME utilisant le cloud et témoigne d'un intérêt particulier porté à ces entreprises par les institutions européennes.

C'est ainsi que le cloudd'une part et les contrats de cloud d'autre partsont emprunts de défauts qui en ralentissent le développement dans l'ensemble du marché intérieur. Pour la Commission, la principale cause de ces défauts serait « la complexité et le flou du cadre juridique applicable aux prestataires de service en nuage »^261(*). En somme le droit actuel semble apporter des solutions inadaptées aux problématiques posées par le cloud.

2 - L'inadaptation des réponses du droit actuel aux problèmes pratiques du cloud computing

Face aux difficultés pratiques que peuvent rencontrer les professionnels désireux de contracter des services de cloud computing, force est de constater qu'actuellement le droit ne leur apporte qu'un nombre infime de garanties. En résulte l'inadaptation du droit qui compte à cet égard tant de lacunes que de carences.

En ce qui concerne tout d'abord les lacunes, la présentation du droit applicable aux contrats internationaux de cloud computingtémoigne que tant le droit européen que les droits nationaux présentent des lacunes dites « de construction ». Ce constat est sans appel en ce que le droit ignore actuellement l'expression de « cloud computing » ou d' « informatique en nuage ». Aucune règle n'a donc été spécialement conçue pour régir les activités de cloud computing^262(*). D'ailleurs, on ne trouve actuellement aucune définition légale du cloud en droit positif. Cela étant, nous avons entendu démontrer qu'en dépit de telles lacunes, quelques dispositions éparses influencent indirectement les activités de cloud computing. Il en va de la sorte par exemple pour les obligations incombant aux professionnels de stocker leurs données fiscales sur un serveur localisé dans un pays européens ou dans un pays tiers lié par une convention internationale à leur État d'origine, ou pour un prestataire d'être agréé par les autorités publiques s'il souhaite opérer un traitement des données de santé etc. Or, ces réglementations impactant les activités de cloud ne suffisent pas à combler les lacunes décrites au préalable. En effet, dans l'ensemble, ces caractéristiques auraient un effet néfaste sur les activités transfrontières de cloud. Le silence du droit sur les contrats de cloud computing serait source d'insécurité juridique. De plus le caractère épars des règles nationales rend l'information juridique difficile à obtenir pour chacun des droits nationaux, dissuadant donc à la fourniture transfrontière de ces services. Néanmoins, si le droit de l'Union est lacunaire par essence, les droits nationaux sont eux susceptibles de régir toutes les situations qui se posent à lui. Si bien qu'alors, plus que de lacunes, c'est de carences (ou « fausses lacunes ») que souffriraient les droits nationaux dans leur application aux contrats de cloud computing.

Ensuite, le fait qu'aucune disposition n'ait été créée spécifiquement pour les activités de cloudcomputing ne signifie pas que celles-là ne soient pas soumises à certaines règles. Au contraire, dans une telle situation,le droit commun s'appliquera et le juge l'interprètera à la lumière des spécificités du cloud^263(*). Il peut paraître précipité de se positionner sur la question alors même qu'en Europe très peu d'affaires ont eu lieu à propos ducloud. Or, c'est bien à l'occasion des litiges quenous pouvons réellement mesurer les carences d'un droit. Aussi, nous nous contenterons d'invoquer une partie seulement de ce qui, en l'état du droit, pose problème aux contrats internationaux de cloud. Pour l'essentiel, nos remarques concerneront les problématiques de la qualification juridique du contrat, du régime de responsabilité contractuelle et de la difficulté d'appliquer le régime de protection des données à caractère personnel aucloud computing.

D'une part, rappelons peut-être les doutes que pose la qualification juridiquedu contrat de cloud en doctrine française. La question de savoir si le régime juridique du contrat de dépôt pourrait être applicable aux opérations de stockage de données dématérialisées rouvrirait le débat opposant, au siècle passé, les défenseurs de la méthode d'interprétation exégétique à ceux de la libre recherche scientifique de F.Gény^264(*). Plus concrètement, les doutes relatifs à la qualification juridique des contrats de cloud soulignent lesdifficultés qui pourraient se poser à l'adaptation du cadre légal du Code civil français à la pluralité de pratiques dont le cloud peut faire l'objet et « qui n'ont en commun que l'externalisation des données »^265(*). Dans cet esprit, la perspective d'une définition légale générale des contrats de cloud pourrait être abandonnée au profit de qualifications, au cas par cas, de chacun des modèles de service proposé. Si l'on poursuit la réflexion, il faut alors s'attendre à voir émerger des notions jurisprudentielles telles que celles de contrat de dépôt dématérialisés que l'on distinguera des contrats de coffre-fort dématérialisés, a simili de la distinction actuellement opérable entre les contrats de dépôt et de coffre-fort « physiques ».

C'est, d'autre part, le régime de responsabilité applicable aux contrats de cloud qui peut être questionné, et plus particulièrement la validité des clauses exonératoires et limitatives de responsabilité. Le lien avec la qualification juridique du contrat est notable puisque de celui-ci dépendent les obligations respectives des contractants. À défaut d'obligations légales spéciales nous avons vu que les parties disposaient d'une certaine liberté dans l'aménagement du contenu contractuel et, en pratique, de l'insertion de clauses limitatives de responsabilité. Le régime français de responsabilité contractuelle autorise les professionnels à convenir entre eux d'éventuelles limites ou exonérations de responsabilité^266(*). Mais cette liberté est encadrée. Ainsi, les clauses d'exonération ou de limitation de responsabilité ne couvrent pas les cas d'inexécution dolosive d'une obligation^267(*), de faute lourde et, en principe, de la violation de l'obligation essentielle du contrat. Si la faute lourde se traduit par un manquement à une obligation contractuelle caractérisée par la gravité du comportement du débiteur de ladite obligation^268(*) et peut résulter de la seule méconnaissance d'une clause expresse^269(*), il est intéressant de noter l'évolution de la jurisprudence sur les effets d'une violation de l'obligation essentielle du contrat. Dans l'affaire Chronopost de 1996, la Cour de cassation reconnaissait alors qu'une clause de limitation de responsabilité était réputée non écrite si elle contredisait la portée de l'engagement pris^270(*). En 2006, dans un autre arrêt Chronopost la Cour retenait la même solution pour la violation d'une « obligation essentielle »^271(*) du contrat. Néanmoins, lors d'une affaire opposant la société informatique Oracle à Faurecia^272(*) en 2010, la Cour de cassation a eu l'occasion de se prononcer sur la validité de telles clauses dans les contrats informatiques et semble avoir assoupli sa position. En l'espèce, Oracle devait livrer un logiciel de gestion de production et de gestion commerciale à l'équipementier automobile Faurecia. Ce dernier se plaignait du défaut de livraison dudit logiciel dans le temps conventionnellement prévu, mais le contrat prévoyait une clause limitative de responsabilité plafonnant le montant de l'indemnisation au montant du prix payé par Faurecia pour la prestation. À l'appui de ses prétentions la société invoquait la méconnaissance par Oracle de l'obligation essentielle du contrat pour ne pas se voir opposer une telle limitation de responsabilité. Mais la Cour refusa cet argument au motif que « la clause limitative de réparation ne vidait pas de toute substance l'obligation essentielle de la société Oracle ». L'interprétation des clauses devient alors plus favorable à leur validité. Alors que les affaires Chronopost conduisaient à leur nullité systématique dès lors qu'elles allaient à l'encontre d'une obligation essentielle du contrat, désormais le client devra prouver que la clause vide l'obligation essentielle « de toute sa substance ». Par cetarrêt la Cour consacre la nécessité d'établir un examen in concreto du comportement fautif et redonne ainsi de la consistance au principe de la liberté contractuelle qui prévaut entre professionnels. Celadoit nous interroger à propos du cloud^273(*). Serait-il raisonnable qu'une clause limite la responsabilité d'un prestataire de cloud à un certain montant de dommages-intérêts en cas de dysfonctionnement du service^274(*) ou de mise en cause de l'intégrité des données^275(*) ? Si l'on se réfère à l'ordonnance en référé rendue dans l'affaire opposant l'UMP à Oracle, il a pu être considéré que le préjudice subit du fait du défaut du service empêchant la réversibilité des données ne pouvait pas faire l'objet d'une limitation de responsabilité. En effet, le juge aurait implicitement appliqué la jurisprudence relative à la violation d'une obligation essentielle du contrat. Il serait également intéressant de se demander sile législateur, par l'ordonnance du 10 février 2016 portant réforme du droit des contrats^276(*)devant entrer en vigueur le premier octobre 2016, n'a pas entendu donner raison à l'interprétation de la Cour dans l'affaire Oracle c/ Forecia en codifiant expressément dans le futur article1170 du Code civil que « toute clause qui prive de sa substance l'obligation essentielle du débiteur est réputée non écrite ». Un doute demeure sur le fait de savoir si les juges retiendront le même degré d'appréciation que celui de l'affaire Faurecia à savoir : la privation de « toute » la substance de l'obligation essentielle du contrat, alors que l'article n'y fait pas référence. Aussi est-il possible de se demander, dans un contrat de prestation de service de cloud, quelle obligation sera considérée comme « essentielle » : celle relative au niveau de sécurité à garantir, celle relative à la réversibilité des données, celle relative à la continuité du service ou une autre ?

Enfin, l'application du régime juridique de la protection des données à caractère personnel poserait actuellement problème aux activités de cloud computing entre professionnels. Mais, sur ce point, le règlement relatif à la protection des données à caractère personnel qui sera applicable deux ans après sa publication au Journal officiel de l'Union^277(*), et qui a été voté par le Parlement européen le 14 avril 2016, devrait clarifier la situation. Actuellement, la Directive 95/46/CE harmonise dans l'Union européenne le régime juridique applicable à la protection des données personnelles. Or, et comme on l'a déjà démontré, celle-ci intéresse les relations de cloud computing entre professionnels. Pour N. Martial-Braz, les limites de l'adaptation de cette directive au cloud computing sont doubles : d'une part, n'étant pas spécifiquement adaptée au cloud, elle n'appréhende pas la question du traitement des données après leur externalisation vers un prestataire^278(*), et d'autre part elle ne permet pas la qualification juridique de chacun des acteurs qui prennent part au traitement dans le nuage^279(*). Le groupe de travail de l'Article 29 (« G29 »), partage ce constat en admettant « la difficulté d'appliquer les définitions de la directive dans un environnement complexe qui permet d'envisager maints scénarios faisant intervenir des responsables du traitement et des sous-traitants, seuls ou conjointement avec d'autres, avec différents degrés d'autonomie et de responsabilité »^280(*). Plus concrètement encore, la carence du régime instauré par la directive proviendrait du fait qu'elle a été conçue pour la conception traditionnelle du traitement des données, impliquant seulement deux acteurs : l'individu concerné et le responsable du traitement. Or la pratique et le développement technologique ont permis, par le cloud, l'externalisation par le responsable du traitement initial de ses ressources informatiques sur les infrastructures d'un tiers prestataire, lequel peut lui-même sous-traiter, ou « sous-sous-traiter », certaines activités. Ainsi, au schéma binaire traditionnel du traitement s'oppose celui, répandu par le cloud, des chaînes de traitement des données à caractère personnel. Or, dans un tel cas, alors qu'il en conserve la responsabilité de droit, le responsable du traitement n'en a plus le contrôle de fait. Il est alors primordial pour le fournisseur de service de prévoir contractuellement les obligations et responsabilités de ses sous-traitants^281(*) et de s'assurer que ceux-là ne puissent également sous-traiter le traitement qu'avec son autorisation^282(*), puisque la directive n'instaure pas un régime de responsabilité des sous-traitants à l'égard des intéressés relativement au traitement de leurs données à caractère personnel. Cela dit, le règlement adopté au mois d'avril 2016^283(*), semble témoigner de l'adaptation du régime de protection des données à caractère personnel. Ce règlement prend en effet compte du phénomène de sous-traitance dès les dispositions relatives à son champ d'application^284(*), puis en y consacrant son article 28. Cet article invoque même les chaînes de sous-traitance en disposant qu' « un sous-traitant ne recrute pas un autre sous-traitant sans autorisation préalable du responsable du traitement ». Une autre nouveauté de ce règlement réside dans le statut qu'il crée de « responsable conjoint du traitement », prévu en son article 26^285(*)et qui intéresse également leur responsabilité en disposant en son troisième paragraphe que « la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement ».Ce règlement augure un renouveau du régime de la protection des données à caractère personnel qui influencera sans aucun doute la technique contractuelle des opérateurs et clients professionnels de service de cloud computing.

C'est ainsi que plusieurs facteurs participent à ralentir le développement des activités de cloud :alors que le cloud est une technique risquée pour l'utilisateur professionnel, les contrats de cloud ne leurs garantissent pas nécessairement la sécurité du service attendue et le droit lui-même peine à rétablir l'équilibre contractuel et manque, tout du moins,de clarté et de prévisibilité. À cela la Commission ajoute que ces défauts, génériques, sont souvent accentués pour les contrats internationaux de cloud. Or, cette fois-ci, c'estprincipalement ladiversité des droits potentiellement applicables qui est visée.

B - Les défauts liés à la diversité des droits nationaux applicables aux contrats internationaux de cloud computing

Les contrats internationaux de clouddevant être soumis à un droit national, il convient de s'interroger sur l'impact de la diversité des droits des contrats sur le développement du marché unique numérique. On remarque à cet égard que la Commission présume quasiment que la pluralité des droits constitueune entrave au bon fonctionnement du marché intérieur (1). Aussi, la possibilité pour les opérateurs de choisir le droit qui sera applicable au contrat rendrait possible le phénomène du law shoppinget, par extension, la concurrence normativeentre les États membres de l'Union (2).

1 - La diversité des droits nationaux comme entraveau bon fonctionnement du marché intérieur

La question suscite les débats. En doctrine, nombre d'auteurs considèrent que la diversité des droits nationaux des contrats nuit à la réalisation du marché unique^286(*), quand bien même il est difficile de le prouver^287(*). D'autres au contraire demeurent perplexes à cet égard^288(*) et jugent les études de l'Union « trop empiriques » et préfèreraient qu'elle«  [étaye]la justification [...] d'études académiques mettant en évidence les distorsions provoquées par les législations nationales»^289(*).

En ce qui concerne les contrats de cloud computing, dès 2012la Commission semblait considérer comme acquis que la « diversité des cadres juridiques nationaux » a comme conséquence « le morcellement du marché unique numérique » et que cela nuirait à la fourniture transfrontière de ces services^290(*). Il s'agit d'une position constante de la Commission de considérer que la multitude des droits des contrats nuise au marché intérieur^291(*). Aussi entendait-elle le démontrer dans ses communications sur le droit des contrats de 2001^292(*) et de 2010^293(*). Elle identifie d'abord comme frein aux échanges le fait que le choix du droit applicable aux contrats puisse être altéré par les dispositions impératives de la loi d'un autre pays^294(*). Elle pointe ensuite du doigt la méconnaissance, pour les consommateurs et les PME, des droits des contrats étrangers^295(*) et le coût que représente le conseil juridique ou le contentieuxpour les entreprises opérant sur le marché intérieur^296(*). Pour confirmer cette vision, la Commission a procédé à des consultations publiques. L'une d'entre elles est particulièrement intéressante en ce qu'elle a pour objectif d'identifier l'impact du droit européen des contrats dans les transactions entre entreprises^297(*). On y apprend par exemple que 49% des6476 dirigeants d'entreprises interrogés considèrent que le droit des contrats constitue un obstacle, même minime, sur leur activité commerciale avec les entreprises provenant d'autres États membres^298(*) et que la moitié d'entre eux opterait pour un remplacement des droits nationaux des contrats par un droit européen unique^299(*).

Ces allégations portées par la Commission sur le droit des contrats trouvent un écho dans leur application au cloud. De prime abord, le coût que supportent les opérateurs de cloud dans leurs prestations de service transfrontières est particulièrement visé dans la communication de 2015 relative aux contrats de services de la société d'information^300(*). La proposition de directive portant sur les contrats de fourniture de contenu numérique confirme cette tendance en souhaitant « réduire l'insécurité [...] du fait de la complexité du cadre juridique et des coûts liés aux différences entre les droits nationaux des contrats que doivent supporter les entreprises»^301(*). Mais rappelons que ce projet, bien que concernant les activités de cloud, ne vise que la protection des consommateurs.Ensuite, la méconnaissance des droits des contrats étrangers apparaît clairement dans le projet de règlement de droit commun européen de la vente. Le premier considérant dispose clairement que « les professionnels classent la difficulté de trouver les textes d'un droit des contrats étranger parmi les premières entraves aux transactions entre professionnels et consommateurs et à celles entre professionnels »^302(*). Enfin, plus juridiquement peut-être, certaines questions se posent relativement aux divergences des droits nationaux des contrats. Le groupe d'expert sur le cloud relève en ce sens que la validité des clauses limitatives de responsabilité au regard des droits nationaux expose des solutions qui diffèrent, et notamment entre le droitbritannique et les autres systèmes juridiques^303(*). Ces divergences concernent le droit des contrats en général, et ne sont pas spécifiques au cloud. Néanmoins, il est possible de s'interroger sur le fait que le développement du cloud entraînera tôt-ou-tard une intervention juridique, législative ou judiciaire, en droit national. Dans ce cas, en l'absence d'harmonisation européenne, les chances sont grandes pour que chacun des droits nationaux évolue indépendamment l'un de l'autre et donne lieu à de futures divergences. C'est donc tant la diversité actuelle des droits que leurs divergences futures qui devraient inquiéter quant au développement des échanges transfrontières portant sur les services de cloud.

C'est ainsi que, pour la Commission, la diversité des droits nationaux est clairement un obstacle au perfectionnement du marché unique numérique. Aussi, dans l'ombre de ces considérations, se poserait la question de savoir si la diversité des droits ne favoriserait pas le phénomène de concurrence normative entre les États membres de l'Union européenne.

2 - La diversité des droits nationaux comme source de concurrence normative entre États membres

Le phénomène de concurrence normative^304(*) ou régulatoire^305(*), résulte d'une approche économique du droit consistant à mesurer l'attractivité des systèmes juridiques que l'on perçoit dans une relation de compétitivité les uns par rapport aux autres^306(*). Trois conditions sont jugées nécessaires à l'existence de rapports concurrentiels entre les droits : la diversité des droits, la mobilité des acteurs économiques^307(*)et le fait que ces derniers aient un intérêt particulier à préférer un droit à un autre^308(*). On attribue à la concurrence normative deux conséquences opposées que sont la course vers le haut (« race to the top ») et la course vers le bas (« race to the bottom). Elle pourrait donc être tant source de progrès que de nivellement par le bas^309(*).

La question peut donc se poser de savoir si le droit applicable aux activités de cloudcomputingpourrait être à l'origine d'une concurrence normativeau sein de l'Union européenne. Il convient pour cela d'examiner si les trois conditions nécessaires à l'émergence d'un tel phénomène sont réunies. En ce qui concerne tout d'abord la diversité des droits nationaux, il a déjà été prouvé que celle-ci est actée puisque le droit des contrats est essentiellement d'origine étatique. Ensuite, la possibilité pour les opérateurs de cloud de choisir le droit qui leur est applicable se vérifie par la flexibilité des règles de droit international privée dont l'autonomie contractuelle des professionnels permet de choisir le droit applicable au contrat et le juge compétent lors d'éventuels litiges. Aussi, à défaut de choix des parties, la loi de l'État de résidence habituelle du prestataire de service devait être désignée comme régissant le contrat. Or, dans ce cas les opérateurs de cloudpourraient bénéficier des libertés d'établissement^310(*) et de prestation de service pour choisir le régime juridique auquel leurs activités de cloud seront soumises. Ce phénomène est plus connu du droit international privé sous le vocable de law shopping et de forum shopping et qui traduisent « la satisfaction des intérêts privés »^311(*) des opérateurs économiques. Il ne reste enfin qu'à se positionner sur la question de savoir si les prestataires de cloud auraient un intérêt à préférer un droit à un autre. De ce point de vue on peut distinguer le choix du droit applicable aux contrats internationaux de cloud de celui applicable à l'activité de l'opérateur de cloud. En ce qui concerne d'une part le droit applicable au contrat de cloud, on aétudié que des divergences peuvent exister entre les droits sur la question de la validité des clauses exonératoires ou limitatives de responsabilité qui composent souvent les contrats de cloud. Dans ce cas il y aurait un intérêt évident pour le prestataire à choisir la loi et le juge les plus enclins à admettre l'exonération de responsabilité en cas de dysfonctionnement de service ou d'atteinte à l'intégrité des données. Le fait que l'étude comparative des contrats de cloud ait mentionné que le droit anglais fût souvent choisi dans ces contrats^312(*), et que le groupe d'expert ait affirmé que ce droit était plus enclin que d'autres à tolérer la validité de ces clauses le confirmerait. En ce qui concerne d'autre part le droit applicable aux activités de cloud du prestataire, on a étudié que la directive relative au commerce électronique, par sa clause marché intérieur, instaurait un correctif a posteriori permettant de faire en sorte que les prestataires de services de la société d'information ne soient pas soumis, dans leurs activités, à des normes plus strictes que celles de leur État d'origine. Un tel principe permettrait donc à un prestataire de cloud de choisir l'État à partir duquel il diffusera ses services en fonction du droit auquel il préfère soumettre son activité de cloud computing. Néanmoins, les droits des États membres ne concernant pas encore spécifiquement les activités de cloud computing, il est possible de douter que de telles considérations constituent actuellement un élément de mobilité pour les opérateurs de cloud. Au contraire ce seront peut-être d'autres éléments, exogène au cloud et au droit des contrats, qui détermineront le choix d'établissement des prestataires. On pense alors aux domaines traditionnels faisant l'objet des études relatives à la concurrence normative que sont la fiscalité, les normes sociales ou environnementales.

C'est ainsi que le droit actuellement applicable aux contrats internationaux apparaît défaillant tant du fait de sa substance que de sa diversité. Or, il a déjà été présenté que la diversité des droits pouvait être coordonnée par les règles de droit international privé. D'ailleurs, le bon fonctionnement du marché intérieur implique des règles de droit internationalprivé fiables. En ce sens F.Viangalli rappelle qu' « aucune circulation des personnes ou des marchandises n'[est] possible lorsque les droits des personnes, et ceux qui s'exercent sur les marchandises ne sont pas reconnus au-delà des frontières qu'elles franchissent»^313(*). Mais qu'en serait-il si ces règles sont également empruntes de défauts ?

§2 - Les défauts des règles de droit international privé applicables aux contrats internationaux de cloud computing

L'inadaptation des règles de droit international privée résulte principalement des défauts des critères de rattachement instaurés par le droit européen (A). Néanmoins, il résulte des précédents développements que l'évolution du cloud computing passerait notamment par la protection des utilisateurs professionnels les plus vulnérables face aux risques de cette pratique. Or les règles de droit international privé semblent actuellement contradictoires à cet objectif (B).

A - Les défauts des critères de rattachement du droit international privé applicable aux contrats internationaux de cloudcomputing

Les critiques adressées au droit international privé applicable aux contrats internationaux de cloud concernent tant les conflits de juridictions (1) que les conflits de lois (2).

1 - Les défauts des règles de conflit de juridictions

Le principal défaut que l'on peut reprocher aux règles de conflits de juridictions instituées par le règlement Bruxelles 1bis consiste en l'obscurité des critères de rattachement qu'elles instaurent. Le critère général du « lieu d'exécution de l'obligation qui sert de base à la demande », en matière contractuelle, a fait l'objet d'une précision pour les contrats de prestation de service en désignant le for du lieu de l'État membre où le service a été ou aurait du être fournis^314(*). Mais des difficultés peuvent exister tant en ce qui concerne la qualification du contrat de prestation de service que la localisation du critère de rattachement^315(*). Il a déjà été étudié qu'en droit européen rien ne semble s'opposer à ce que le contrat de cloudcomputing soit qualifié de contrat de fourniture de service, en le rattachant à la notion de « service de la société d'information ». Par contre, les critères de rattachement retenus traditionnellement pour ces types de contrats s'avèrent difficilement applicables au cloud. C'est plus particulièrement la désignation du lieu de fourniture des services qui pose problème. La Cour de Justice ayant déjà précisé qu'en cas d'exécution de la prestation dans des lieux différents, seul le lieu de fourniture principale^316(*) devait être retenu, l'appréciation de celui-ci dans la prestation de service de cloud computing pourrait être particulièrement délicate à établir. Rappelons en effet qu'un contrat de cloud computing s'exécute via un réseau de communication et que la portabilité du service le rend alors disponible partout où l'utilisateur sera susceptible d'établir une connexion. Partant de ce constat, J. Sénéchal s'interroge alors sur les critères qui seront retenus : peut-être que ce seront tous les tribunaux des lieux où la connexion au service pourra être établie, ou qu'un critère propre au cloud sera créé ? Dans ce cas l'on pourrait retenir le lieu à partir duquel l'activité du fournisseur de service est déployée ou alors le lieu où le client accède habituellement au service. Or, chacun de ces critères pourrait également se dédoubler: le premier laissant le choix entre le lieu d'établissement du prestataire ou d'hébergement de son site et le second pouvant être rattaché au lieu de l'adresse de connexion ou à l'État du lieu de résidence du client^317(*).

Ces réflexions ne sont pas exhaustives des critères qui pourront être établis pour déterminer le rattachement d'un contrat de cloud.Le recours à la sous-traitance pourrait aussi complexifier cette démarche en décuplant les lieux de prestation du service. Ces difficultés appelleront nécessairement un éclaircissement par la Cour de Justice. En attendant, les contractants qui n'ont pas pris le soin de choisir conventionnellement la juridiction compétence en cas de litige demeurent dans l'expectative. Or, à ces lacunes de sens des règles de conflit de juridictions s'ajoutent celles des règles de conflit de lois.

2 - Les défauts des règles de conflit de lois

À l'instar des conflits de juridictions, les conflits de lois peuvent laisser les contractants de service de cloud dans une certaineincertitude quant à la loi qui sera désignée à défaut de choix exprès de leur part. L'obscurité de ces règles de conflit de lois est déduite tant des difficultés d'interprétation du règlement Rome I que des divergences de transposition de la directive sur le commerce électronique.

En ce qui concerne d'une part le règlement Rome I, il a déjà été expliqué que l'autonomie dont bénéficient les parties au contrat peut être limitée par l'application de dispositions impératives comme les lois de police du for^318(*). Or, ces termes ne recouvrent pas un contenu prédéfini et exhaustif, de sorteque la prévisibilité des relations contractuelles puisse être affectée. Ce sont ensuite à travers les règles de conflit de lois du règlement Rome I qu'on retrouverait des lacunes de sens. Celles-ci désignent en effet la loi du pays de résidence habituelle du prestataire^319(*). Cela dit, cette notion de « résidence habituelle » doit retenir notre attention en ce qu'elle laisse un certain nombre d'incertitudes^320(*). En effet le règlement désigne par là une pluralité de critères : le lieu de l'administration centrale^321(*), ou, le cas échéant, le lieu de la succursale, de l'agence ou de tout autre établissement devant fournir la prestation^322(*). Dans ce contexte, la libertéd'établissement permettant pour les entreprises de s'établir librement dans chacun des États membres de l'Union européenne, l'alternative possible entre la désignation de la loi de l'État sur lequel l'entreprise a son administration centrale et celle d'une succursale peut soulever des enjeux déterminants en matière de cloud computing.

Pour ce qui intéresse la directive relative au commerce électronique d'autre part, rappelons qu'après avoir réfutéque son article 3 traduise une règle de conflit de loi, la Cour de justice a ensuiterappelé que les États membres étaient libres de la transposer comme tel dans leur ordre juridique. En ce sens, J.Sénéchalidentifie troismanières différentes dont les Étatsauraient putransposer l'article 3 : soit en ce sens que la directive énonce une règle de conflit désignant le droit du pays d'origine du prestataire de service, soit qu'elle énonce ce principe en tant que loi de police, soit qu'elle n'énonce pas de règle de conflit^323(*). Or, si l'on se réfère aux conclusions de l'avocat général M. Cruz dans l'affaire eDate, la transposition de l'article 3 de la directive semble s'être réalisée de façon hétérogène entre les États membres^324(*). Il identifie à cet égard que dix-sept d'entre eux l'ont transposé fidèlement à la directive^325(*), dont l'Allemagne qui en a reproduit l'énoncé tel quel, et que sept autres l'ont intégré en droit nationalpar une règle de conflit de lois^326(*), dont la France. C'est plus particulièrement la loi de confiance pour l'économie numériquedu 21 juin 2004^327(*) qui l'a transposée en France. Son article 17 dispose qu'à défaut de choix des parties, les activités de commerce électronique sont soumises à « la loi de l'État membre sur le territoire duquel la personne qui l'exerce est établie ». La LCEN retient donc le critère de l'établissement, lequel s'entend, d'après l'article 14, comme l'établissement « stable et durable pour exercer effectivement son activité, quel que soit [...] le lieu d'implantation de son siège social ». La question pourrait donc se poser de savoir dans quelle mesure est-ce que cette disposition pourrait faire échec à la règle de conflit prévue par le règlement Rome I désignant la loi du lieu de la résidence habituelle du prestataire ? Rappelons ensuite que la clause « marché intérieur » instaure un régime correctif pouvant représenter une limite au choix de la loi applicable à l'activité des professionnels de la société de l'information^328(*).Cela a pour effet qu'il ne peut être imposé des exigences plus strictes aux opérateurs de services de la société d'information que celles prévues par le droit matériel applicable dans l'État membre de leur établissement^329(*). Une telle clause entretientdonc un flou sur le droit qui sera applicable à l'activité de cloud et nuit à la prévisibilité et donc à la sécurité juridique que le droit international privé était sensé instaurer.

C'est ainsi qu'à défaut de choix exprès des parties, les règles de droit international privé désignant le droit applicable aux contrats internationaux de cloud pourront être sujettes à des difficultés d'interprétation. À ces lacunes de sens pourrait s'ajouter une carence du droit international privé actuel. Si l'on se réfère à l'intérêt que portent les institutions européennes pour les utilisateurs professionnels les plus faibles dans leur accès au cloud et qu'on rappelle que les PME, TPE et les start-up sont les premières entreprises à être exposées aux risques du cloud computing et à la difficulté d'opérer des transactions internationales, il ne serait alors pas exclu que le développement du cloud dans l'Union européenne passe par l'instauration de critères de droit international privé protecteurs des professionnels les plus faibles.

B - Vers des critères protecteurs des utilisateurs professionnels les plus faibles ?

L'attention particulière que semble porter la Commission européenne aux plus petites entreprises dans sa stratégie relative au cloud doit conduire à questionner les défauts des critères de rattachement actuels (1)et l'opportunité que constituerait la possibilité d'instaurer des critères de rattachement destinés à protéger les utilisateurs professionnels les plus vulnérables (2).

1 - Les défauts de la désignation de la loi du pays d'origine du prestataire de service

La question se pose de savoir dans quelle mesure est-ce que le critère de la loi du pays d'origine du prestataire de service ou de l'État du lieu de sa résidence habituelle, peut être un frein à la conclusion transfrontière de contrats d'informatique en nuage au sein de l'Union européenne ?

Tout d'abord la première entrave pourrait simplement consister en la méconnaissance de ce droit par le client, notamment lorsqu'il s'agit d'une PME, TPE ou d'une start-up. En effet, puisque ce critère vise à désigner un droit étranger de celui de l'utilisateur, ce dernier pourrait alors rencontrer des difficultés pour se renseigner sur ce droit. Ces difficultés peuvent être liées tant à la non-maîtrise de la langue, qu'aux coûts supplémentaires générés par un éventuel conseil juridique. Or, a contrario, ce principe trouve toute sa légitimité dans un autre fondement. En effet, appliquer le droit des utilisateurs pourrait être encore plus préjudiciable aux activités transfrontières de cloud computing. Dans ce cas-làle prestataire serait contraint de devoir s'adapter aux règlementations nationales de chacun de ses clients, ce qui, pour des activités se déroulant sur internet comme le cloud computing, s'avère être particulièrement contraignant, sinon impossible.

Ensuite, la référence au phénomène de concurrence normative laisserait craindre que le prestataire ne choisisse comme État d'origine que celui le plus permissif en termesdes obligations lui incombant dans la réalisation de ses activitésde cloud computing. Or, cette recherche du droit le moins-disant pourrait être préjudiciableà la qualité des services de cloud computing, notamment lorsque seront concernées les normes de sécurité liées au matériel utilisé ou aux garanties légales apportées.D'un autre point de vue, la conception libérale de la concurrence défendrait au contraire que les différences de législations puissent-être un atout pour la compétitivité des services et pour l'innovation des entreprises européennes.

On se rend alors compte que la désignation de la loi du pays d'origine du prestataire de service pourrait particulièrement nuire à la conclusion de ces services par les PME, TPE ou start-up. Or, il ne semblerait pas impossible que de tels défauts soient compensés par des règles de conflit protectrices des professionnels les plus faibles.

2 - L'opportunité de la protection des utilisateurs professionnels les plus faibles

La protection des professionnels les plus faibles par le droit international privé ne s'impose pas de soi. Elle n'a en effet aucune reconnaissance dans le droit actuel, et n'apparaît pas mêmeen droit prospectif. Cette perspective pourrait néanmoins être pertinente à certains égards. Admettre que les règles de droit international privé soient défaillantes suppose en effet que, pour une partie au contrat, la loi désignée ou le juge compétent lui soit défavorables. Aussi, après avoir souligné l'intérêt que portent généralement les institutions de l'Union européenne aux PME dans leur stratégie de développement de l'économie numérique, on ne saurait s'empêcher d'avancer l'idée qu'une protection de ces entreprises serait nécessaire pourfaciliter leur accès au cloud. Au-delà, sécuriser la relation contractuelle des PME, TPE et start-up pourrait atténuer leurs réticences à la souscription de ces services et bénéficierait alors au développement de l'économie numérique en Europe. Certains éléments nous laisseraient penser qu'une telle protection serait possible à l'échelle européenne. D'une part, force est de constater que l'unification du droit international privé de source européenne s'est établie sur le principe commun de la protection des parties faibles que sont le consommateur, le salarié ou encore l'assuré. D'autre part, rappelons aussi que l'idée d'une protection des PME, similaire à celle des consommateurs, a déjà été proposée par le projet de règlement de droit commun européen de la vente. De cela découle l'idée selon laquelle la réalisation du marché intérieur passe par l'instauration d'un climat de confiance entre ses acteurs et donc par une clarification du droit applicable. Vouloir protéger les entreprises les plus faibles dans leur souscription de service de cloud pourrait donc passer par l'édiction de règles de conflits qui désigneraient une juridiction compétente et une loi applicable qui bénéficierait aux utilisateurs de cloud les plus faibles. En l'espèce il pourrait simplement s'agir de garantir aux entreprises les plus vulnérables que tant le juge compétent que le droit applicable soient ceux de l'État du lieu de leur résidence habituelle.

Il convient pourtant de prendre quelques précautions vis-à-vis de ce qui vient d'être décrit. En effet rien ne permet d'assurer qu'un tel critère de rattachement au bénéfice des entreprises les plus faibles sera un jour proposé. Aussi, retiendrons-nous de ce développement que les règles de droit international privée participent à la désignation d'un droit qui, dans tous les cas pour les activités de cloud, sera au bénéfice d'une partie et au détriment de l'autre. Dans ce contexte, entre le droit de l'État de résidence de l'utilisateur et celui du prestataire, aucun de ces choix ne paraîtra satisfaisant pour sécuriser la relation contractuelle. Dans une telle configuration, le droit international privé semble trouver ses limites dans sa capacité à ordonner la diversité des droits et impose donc d'examiner par quels autres moyens l'Union européenne pourrait intervenir.

C'est ainsi que l'état du droit applicable aux contrats de cloud computing révèle nombre de défauts empêchant le bon fonctionnement du marché unique numérique. Bien que le droit de l'Union ait contribué à créer un espace sans frontières intérieures, la diversité des droits s'y poseraiten entrave. Cette situation perturberait tant le développement de l'économie numérique en Europe que la réalisation du marché intérieur. Si le droit international privé lui-même ne semble pas suffireà pallier les défauts de la diversité des droits applicables aux contrats internationaux de cloud, force est de constater que la solution réside ailleurs etpourquoi pas dans l'unification du droit des contrats de cloud ?En tout cas, tellesemble être la position de la Commission européenne dans sa communication de 2012. Mais alors, quel pourrait être le réel apport du droit de l'Union européenne en droit des contrats de cloud computing ?

CHAPITRE 2 - L'APPORT DU DROIT DE L'UNION EUROPEENNE EN DROIT DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING

L'inadaptation du droit actuel conduit à s'interroger sur l'apport potentiel du droit de l'Union européenne en droit des contrats de cloud computing. Les défauts décrits précédemment sont particulièrement liés à la diversité des droits nationaux et aux lacunes du droit européen. Le droit international privé qui coordonne actuellement l'application des droits nationaux ne paraît pas non plus suffisant. Dès 2001, le Parlement européen rapportait en ce sens que « le droit international privé a cessé d'être un instrument approprié pour un marché intérieur largement intégré »^330(*). Dans ce contexte les objectifs de la Commission européenne, à savoir ceux de l'établissement du marché unique numérique et du développement de l'informatique en nuage, passeraient donc par un processus d'intégration normative. À l'insécurité juridique liée à la diversité et à la méconnaissance des droits nationaux des contrats de cloud devrait succéder un instrument juridique commun (Section 1). Une fois la confiance rétablie envers le droit applicable aux contrats, rien ne s'opposerait alors à la conclusion transfrontière de ces services. Néanmoins, nous étudierons que l'harmonisation comme l'unification des droits nationaux peut être sujette à des difficultés au sein de l'Union, notamment lorsqu'il est question du droit des contrats. Aussi, l'étude de la pratique actuelle démontrerait que si une alternative devrait être trouvée, la piste de nouvelles formes de normativités, notamment à travers les mécanismes de corégulation, mériterait particulièrement notre attention (Section 2).

SECTION 1 - L'APPORT POTENTIEL D'UN DROIT DE L'UNION EUROPÉENNE DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING

Si la diversité des droits nationaux a pu être considérée comme un des défauts essentiels du droit actuellement applicable aux contrats internationaux de cloud, notre intérêt doit alors se tourner vers les instruments de gestion de cette diversité. Ayant déjà prouvé que le droit international privé, outil de coordination des ordres juridiques, ne convient pas à régir convenablement les contrats internationaux de cloud, ce sont les procédés permettant leur intégration qui retiendront désormais notre attention. En ce qui concerne le droit des contrats de cloud computing, la substitution de la diversité des droits nationaux par un droit européen unique apparaît particulièrement intéressante (§1), mais sa réalisation appelle l'expression de certains doutes (§2).

§ 1 - L'intérêt d'un droit européen des contrats de cloud computing

Les États membres de l'Union et la Commission disposent de plusieurs voies juridiques pour l'élaboration d'un droit européen des contrats de cloud computing. L'étude des principaux procédés de gestion de la diversité des droits nationaux par l'Union européenne (A) permet de mesurer l'opportunité du rapprochement de ces droits en matière de cloud computing (B).

A - La gestion de la diversité des droits nationaux par l'Union européenne

Conceptuellement, A. Jeammaud distingue trois méthodes de régulation de la pluralité des droits : l'harmonisation, l'uniformisation et l'unification. L'harmonisation conduit à l'équivalence des différentes règles de droit national entre elles, l'uniformisation consiste à ce que des règles formellement distinctes aient un contenu matériellement identique alors que l'unification vise à substituer un droit commun à la diversité des droits nationaux^331(*). L'auteur souligne cependant qu'en pratique cette distinction est mise à mal par une « inconstance terminologique »^332(*). Il prend notamment pour exemple UNIDROIT qui est l'institut pour l'unification du droit privé mais dont le statut organique prévoit en son premier article la mission d'« harmoniser et de coordonner le droit privé entre les États » et d'aboutir in fine à une « législation privée uniforme »^333(*). Force est de constater que cette distinction trouve difficilement sens en pratique. Il semblerait au contraire qu'entre ces trois formes de rapprochement de législations, deux d'entre elles seulement soient consacrées par les politiques internationales : l'unification et l'harmonisation^334(*). On ne peut qu'adhérer à ce constat tant il trouverait un écho dans les caractéristiques qui différencient les deux principaux actes de droit dérivés des institutions de l'Union européenne que sont les règlements et les directives. Même si le rapprochement entre les modalités de convergence des droits et la nature des actes de droit dérivé peut être intéressant d'un point de vue pédagogique, il est loin d'être systématique en pratique^335(*). Si l'on confie généralement au règlement la vertu d'unifier les droits et à la directive de les harmoniser, il peut arriver qu'en pratique un règlement ait pour effet d'harmoniser les droits nationaux et qu'une directive les unifie^336(*). Pour autant, dans un cas comme dans l'autre, le rapprochement des droits, notamment lorsqu'il est relatif aux contrats, favoriserait les échanges économiques sur le marché intérieur^337(*). En ce sens, les articles 114 et 115 du TFUE portent un intérêt tout particulier au « rapprochement des dispositions législatives, règlementaires et administratives » dans le but de perfectionner le fonctionnement du marché intérieur. Aussi, la description liminaire des particularités des techniques d'unification (1) et d'harmonisation (2) devrait permettre de mesurer l'opportunité de leur éventuelle application au droit des contras de cloud computing.

1 - L'unification des droits nationaux

À première vue, l'unification des droits n'est pas connue du droit de l'Union. L'expression ne figure tout du moins pas explicitement dans les Traités européens. Comme on l'a déjà laissé entendre, cette technique est hostile à la diversité des droits en ce sens qu'elle a pour effet de la remplacer par une règle unique, en l'espèce une norme de source européenne. Parmi les actes juridiques que les institutions ont la capacité d'adopter, le règlement paraît l'outil le plus approprié pour opérer la substitution du droit européen aux droits nationaux. Le second alinéa de l'article 288 du TFUE dispose en ce sens que le règlement « est obligatoire dans tous ses éléments et [...] directement applicable dans tout État membre ». Cela n'est pas, en soi, une qualité exclusive du règlement puisque ça l'est aussi pour les dispositions des Traités produisant des effets directs. Aussi, la pratique prouve que la relation entre le droit communautaire et les droits nationaux peut être affectée de différentes manières par ces dispositions. En effet, soit le droit européen se substitue réellement aux droits nationaux, soit il coexiste avec eux. C'est par exemple, le cas du droit européen de la concurrence qui ne s'appliquera que pour les affectations du commerce entre États membres. Ainsi, si le territoire ou le marché d'un seul État membre est impacté, les droits nationaux de la concurrence trouveront à s'appliquer. Le règlement et les Traités ne sont pas non plus les seuls instruments européens menant à l'unification des droits. La Cour de Justice a elle-même pu considérer qu'une directive pouvait avoir pour effet d'uniformiser les droits nationaux dans un arrêt ENKA BV de 1977. Dans cette affaire était en cause l'effet direct de la directive de 1969 concernant l'harmonisation des dispositions législatives, réglementaires et administratives relatives au régime des entrepôts douaniers. Or, en dépit de l'intitulé de la directive qui visait l'harmonisation des droits, la Cour a clairement considéré qu'elle avait pour objectif d'« assurer une application uniforme du tarif douanier commun » et, dans ce cas, qu'« il peut s'avérer nécessaire de réaliser une identité rigoureuse [des dispositions] qui règlent le traitement à réserver aux marchandises importées dans la Communauté »^338(*). Cela se remarque également en droit des contrats, L. Fin-Langer invoque à cet égard une « dérive vers l'unification »^339(*). Elle cite à l'appui de ses prétentions l'influence de certaines directives sur les mentions obligatoires d'informations dans les offres de contrats, comme c'est le cas de l'article 3 de la directive relative aux voyages^340(*) dont elle considère que « certes, l'État peut imposer des mentions supplémentaires, mais en réalité, tout est déjà prévu par la directive »^341(*).

Finalement, peu importe l'acte qui permet l'uniformisation des droits nationaux par le droit européen. Aussi, l'unification des droits peut revêtir différentes caractéristiques. On distingue généralement son caractère impératif de son caractèresupplétif. D'une part, l'unification supplétive a pour vocation la création d'un instrument optionnel. Le droit ainsi créé ne se substituera aux droits nationaux que, lorsque dans une situation juridique internationale, il a volontairement été décidé de le rendre applicable. Appliqué aux relations contractuelles il s'agit alors pour les parties au contrat de choisir le droit européen supplétif et, en quelques sortes, de s'affranchir des autres droits nationaux potentiellement applicables selon les règles de droit international privé. Il est intéressant à cet égard de constater que le règlement Rome I tolèrerait la désignation d'un tel droit optionnel dans ses treizième et quatorzième considérants^342(*). F. Viangalli considère que ces instruments supplétifs ont pour intérêt la possibilité de pallier à « l'effet paralysant de la diversité des lois sur le commerce interétatique »^343(*) et qu'à cet égard notamment, ils constituent l'une des plus probables perspectives de développement du droit européen^344(*). Le Comité économique et social européen porte également un certain intérêt à ce type d'instrument. Ainsi, dans un avis de 2011, le CES a pu considérer le régime optionnel comme « une option pour mieux légiférer au niveau communautaire »^345(*). L'origine du plébiscite pour cette option se trouve principalement dans l'idée qu'elle pourrait s'appliquer indistinctement à tous les échanges transnationaux, par le simple choix des opérateurs économiques, tout en n'éludant pas pour autant les droits nationaux. Pour le CES le succès de cet instrument passe par un régime de protection élevée de la partie la plus faible, permettant de faire fi des lois de police nationales et réduisant les coûts ou l'insécurité juridique supplémentaire que cause la diversité des droits nationaux actuels. D'autre part, l'unification impérative suppose la création d'un instrument qui a vocation à remplacer les droits nationaux. Elle fait cependant l'objet de davantage de réticences, comme en témoignent les hostilités manifestées à l'encontre du projet de Code civil européen dont on craignait qu'il menace l'autonomie des États membres^346(*). Pour toutes ces raisons la délimitation du champ d'application spatial suscite des enjeux particulièrement intéressants. En effet, deux situations semblent envisageables. La première consisterait à admettre l'application de tels instruments aux seules situations internationales, dans ce cas l'unification n'élude pas réellement l'intérêt pour les droits nationaux. En revanche une juste définition de l'élément d'extranéité permettant l'application du droit supplétif ou impératif doit être établie. Il est en effet nécessaire de déterminer les cas où le droit national devrait s'appliquer et ceux où l'instrument d'unification pourra l'être. La seconde situation viserait à permettre leur application à toutes les situations, même lorsqu'elles sont strictement nationales, ce qui consisterait à substituer littéralement le droit de l'Union aux droits nationaux.

Ainsi présentée, l'unification pourrait paraître difficilement réalisable, notamment si elle suppose l'anéantissement des droits nationaux. Or, cette technique n'est pas exclusive de la gestion de la diversité des droits. En ce sens, et face aux difficultés pratiques de l'unification des droits, J. Porta considère que l'harmonisation représente une alternative opportune^347(*).

2 - L'harmonisation des droits nationaux

Contrairement à l'unification, les Traités fondateurs de l'Union européenne font directement référence à l'harmonisation des droits nationaux^348(*). Comme il l'a déjà été mentionné, l'harmonisation est respectueuse de la diversité en ce sens qu'elle tolère l'existence des droits nationaux mais les influence en rapprochant leur contenu. Sur un même domaine, le droit de l'Union européenne et les droits nationaux coexistent. L'acte juridique de droit européen qui semble le plus approprié à l'harmonisation des droits nationaux serait donc la directive. L'article 288 alinéa 3 du TFUE dispose en ce sens que « la directive lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ». Une distinction entre la fin et les moyens est ainsi opérée. J. Porta écrit à ce sujet qu'en présence d'une directive, le droit national « se trouve privé de déterminer lui-même ses finalités »^349(*). A contrario, le respect de la diversité des droits réside dans la marge d'appréciation laissée aux autorités nationales pour définir les moyens par lesquels ils transposeront les objectifs européens dans leur droit national. Il s'agit d'une technique respectueuse de l'autonomie des ordres juridiques nationaux. Ainsi, un objectif fixé par l'ordre juridique européen est atteint dans les ordres juridiques nationaux suivant des procédures et actes juridiques de nature qui leurs sont propres. Partant, il est possible de distinguer différents résultats d'harmonisation par voie de directives. Une directive est dite d'harmonisation totale lorsqu'elle se substitue à la loi nationale antérieure alors qu'elle sera dite optionnelle lorsque l'autorité nationale a la simple faculté d'opérer ou non cette modification. Lorsque l'harmonisation est totale, celle-ci peut avoir un caractère complet si elle concerne tout ou partie d'un domaine juridique ou partiel lorsqu'une partie du domaine juridique seulement est visée. On voit qu'au sein même de la technique d'harmonisation, différents degrés de tolérance de la diversité coexistent. D'ailleurs, l'harmonisation totale ne se rapproche-t-elle pas davantage de l'unification, en ce sens qu'elle a pour effet non pas le seul rapprochement des droits mais leur identité ?

Tout comme c'est le cas pour l'unification, ce n'est pas tant l'acte de droit que les effets qu'il produit sur les droits nationaux qui doit intéresser. Il est acquis que, politiquement, l'harmonisation est une méthode plus douce et diffuse de rapprochement des droits que celle de l'unification. Plus respectueuse de la souveraineté et des identités nationales des États, l'harmonisation n'oppose pas les ordres juridiques les uns aux autres et, pour cela, conviendrait davantage au rapprochement des droits des contrats^350(*). En effet, comme on l'a déjà mentionné, aucun projet d'unification du droit des contrats au sein de l'Union européenne n'a encore abouti. Aussi, pour l'heure, les principales avancées en la matière ont été sectorielles et concernent principalement l'harmonisation des législations nationales en faveur des contrats conclus par voie électronique, et notamment dans l'objectif de protection des parties les plus faibles dont les consommateurs. Ainsi, les directives relatives aux clauses abusives^351(*), aux produits défectueux^352(*), aux contrats conclus à distance^353(*) ou au commerce électronique s'inscrivent incontestablement dans cette tendance. Il est important dans ce contexte de souligner le rôle qu'a pu jouer la Cour de Justice de l'Union européenne dans le rapprochement de ces législations. Par exemple l'affaire Pannon GSM^354(*) fut l'occasion pour la Cour de rappeler les juges nationaux à leur obligation « d'examiner d'office le caractère abusif d'une clause contractuelle dès qu'[ils disposent] des éléments de droit et de fait nécessaires à cet effet ». Cela traduit des avancées concrètes du droit de l'Union européenne en droit des contrats, même si celles-ci sont matériellement circonscrites à quelques types de contrats ou, le plus souvent, au bénéfice des parties faibles.

C'est ainsi que le rapprochement des législations nationales peut s'effectuer de différentes manières, toutes plus ou moins tolérantes de la diversité et des particularités des droits. L'unification, impérative ou supplétive, tout comme l'harmonisation, totale, complète ou partielle et optionnelle procèdent toutes à ce rapprochement. Plus concrètement il convient de s'intéresser à leur application au cloud computing et leur capacité à régler les défauts du droit actuel. La question se pose donc de l'opportunité du rapprochement des droits nationaux applicables aux contrats internationaux de cloud.

B - L'opportunité d'un rapprochement des législations en droit des contrats de cloud computing

Rappelons peut être qu'en 2012, la Commission considérait qu' « il sera peut-être nécessaire d'élaborer des clauses et conditions reposant sur un instrument de droit des contrats facultatif de façon à disposer de contrats clairs et équitables en matière de services en nuage ». À première vue, c'est donc vers la création d'un instrument optionnel spécialement dédié aux contrats de cloud que la Commission semble se projeter. Depuis 2012, la Commission a proposé plusieurs projets dont le dernier en date, concernant la fourniture de contenu numérique, intéresserait les activités de cloud. Néanmoins,ils n'ont qu'un intérêt limité pour notre objet d'étude puisqu'ils n'intéressent pas les contrats conclus entre professionnels (1). De ce fait, aucun projet d'unification d'un droit européen des contrats de cloud computing entre professionnels n'a encore été proposé, alors même qu'il pourrait être particulièrement opportun (2).

1 - L'intérêt limité des projets relatifs au droit des contrats de fourniture de contenu numérique

Par des initiatives sectorielles qui ne visent pas explicitement les contrats de cloud computing, l'Union européenne tente déjà de clarifier la question du droit qui y est applicable. En ce sens, le nouveau règlement relatif à la protection des données à caractère personnelest révélateurde l'adaptation aux nouveaux enjeux de la pratique dont le cloud est vecteur. Plus précisément la Commission a entendu proposer la formation d'un cadre juridique davantage adapté aux contrats de cloud computing à travers la notion de « contrats de fourniture de contenu numérique ». Cela aurait pu être le cas de la proposition de droit commun européen de la vente, aujourd'hui abandonnée et remplacée par deux projets dont celui d'une directive relative au droit des contrats de fourniture de contenu numérique.

Tout d'abord, le projet de règlement de droit commun européen de la vente^355(*) aurait pu intéresser les contrats de cloud computing conclus entre professionnels. Ce règlement aurait du instaurer deux régimes juridiques : l'un facultatif et applicable au choix des parties^356(*) pour les contrats transfrontières conclus entre professionnels^357(*) ayant leurs résidences habituelles dans différents États, dont un au moins est membre de l'Union ; l'autre impératif et concernant les contrats conclus entre professionnels et consommateurs^358(*). Ces contrats, au-delà de la vente, concernaient également ceux ayant pour objet la fourniture d'un contenu numérique ou d'un service connexe^359(*). Le contenu numérique étant défini à l'article 2. j) comme : « des données produites et fournies sous forme numérique [...] notamment les vidéos, enregistrements audio, images ou contenus numériques écrits, les jeux numériques, les logiciels, et les contenus numériques qui permettent de personnaliser des équipements informatiques ou des logiciels existants », il pouvait donc inclure certaines activités de cloud, mais seulement pour les contenus numériques fournis par le vendeur. En ce qui nous concerne, rappelons qu'il n'avait donc pas pour vocation de comprendre les contrats ayant pour objet l'externalisation de services informatiques d'entreprises, ni même certains services applicatifs comme les services de messagerie électronique^360(*). J.Sénéchal dénonçait en ce sens les lacunes de ce règlement^361(*). D'ailleurs, les considérants ne donnaient comme exemple concret de « contenu numérique » que le téléchargement de musique^362(*),manifestant donc un intérêt privilégié pour les services à destination des consommateurs.Néanmoins, si le projet initial de la Commission ne visait pas explicitement l'informatique en nuage, le Parlement européen a entendu y faire explicitement référence en amendant ainsi le considérant n°17 bis :

« L'informatique en nuage se développe rapidement et recèle un grand potentiel de croissance. [...] Ces règles devraient pouvoir s'appliquer également lorsque les contenus numériques ou les services connexes sont fournis en utilisant le nuage, en particulier lorsque les contenus numériques peuvent être téléchargés depuis le nuage du vendeur ou stockés temporairement sur le nuage du fournisseur. [Am. 8] »^363(*) .

En réalité, ce projet visait plus précisément les contrats conclus entre professionnels dont l'un d'eux était une PME, c'est-à-dire une entreprise qui n'emploie pas plus de 250 personnes et dont le chiffre d'affaire annuel ne dépasse pas 50 millions d'euros. Ce règlement devait unifier le droit des contrats en prévoyant par exemple des obligations précontractuelles d'information entre professionnels, en posant les conditions de formation des contrats^364(*) ou des vices de consentement^365(*) et allait jusqu'à poser un cadre juridique pour les clauses contractuelles abusives dans les contrats entre professionnels dans son article 86. Or, depuis mars 2014 le Conseil de l'Union n'a encore adopté aucune position en première lecture de ce texte, à l'inverse la Commission semble avoir prévu d'autres projets touchant au droit des contrats et tendant àla spécialisation de la matière. Ce courant semble particulièrement intéressant en matière de cloud.

C'est donc, ensuite, par une proposition de directive que les contrats de fourniture de contenu numérique ont été abordés par l'Union européenne. À l'approche « optionnelle » du droit commun de la vente succède une approche privilégiant l'harmonisation complète de règles précises. Ce projet concernerait davantage le cloud computing. En effet, la directive définit le contenu numérique tant par des données, quelque soit leur format, que par les services permettant leur conservation, traitement, création ou partage^366(*). D'ailleurs, l'exposé des motifs de la directive mentionne à deux reprises que « le contenu numérique couvre une large gamme de produits, comme [...]les applications, [...] les services de stockage en nuage »^367(*). Cela dit, l'intérêt de ce projet est tout relatif pour ce qui concerne notre champ d'étude puisqu'il exclut explicitement de son d'application les contrats de cloud conclus entre professionnels. En effet, l'article 1^er de la directive dispose que seuls sont concernés les contrats pour lesquels « un fournisseur fournit un contenu numérique au consommateur »^368(*). Une autre limite à l'intérêt de cette proposition de directive réside dans le fait que, contrairement au projet de droit commun européen de la vente, elle exclut de son champ d'application les questions de droit des contrats relatives à la formation, la validité, les effets et les conséquences des éventuelles résiliations^369(*). En effet, l'essentiel des dispositions impose certaines obligations et responsabilités du fournisseur à l'égard du consommateur. Pour ces raisons le projet de directive concernant certains aspects des contrats de fourniture de contenu numérique n'a que peu d'intérêt pour ce qui concerne les contrats internationaux de cloud conclus entre professionnels, et ne réduit que partiellement les effets de la diversité des droits nationaux.

C'est ainsi que depuis maintenant cinq ans, tous les projets concernant de loin ou de près le droit des contrats relatif aux transactions transfrontières de services de cloud ont, soit échoué, soit ne concernaient que la protection des consommateurs. Aussi, les projets actuellement soumis au Parlement européen et au Conseil de l'Union ne favoriseront que les prestations intracommunautaires de service de cloud à destination des consommateurs. Pour autant, dans l'objectif d'instaurer les conditions juridiques les plus profitables aux opérateurs économiques dans leurs recours aux services de cloud dans le cadre de leurs activités professionnelles, la création d'un instrument de droit privé unifié demeure particulièrement opportune.

2 - L'opportunité d'une unification supplétive du droit des contrats de cloud computing

L'idée d'une unification supplétive du droit des contrats de cloud computing avancée par la Commission en 2012 conserve tout son intérêt dans l'objectif d'achèvement du marché unique numérique. Rappelons que cette méthode est, d'un point de vue général, relativement prometteuse en ce qui concerne le droit des contrats en Europe. En particulier, le droit de l'Union européenne paraîtrait d'autant plus légitime en intervenant en matière de droit des contrats de cloud par l'unification supplétive, notamment en vue de protéger les parties les plus faibles.

Tout d'abord, l'idée d'un instrument optionnel semble particulièrement adaptée aux enjeux européens du droit des contrats. Cette piste était déjà invoquée à l'appui de projets relatifs au droit européen des contrats par la Commission européenne. Cette dernière l'invoquait en 2001^370(*) et davantage encore dans son livre vert de 2010^371(*). En effet, la quatrième option du livre vert proposait la création d'un règlement instituant un instrument facultatif de droit européen des contrats. L'apport de cet instrument serait particulièrement adapté aux besoins du marché intérieur. La Commission mentionne à cet égard que ces règles bénéficieraient particulièrement à « l'utilisateur moyen » et devraient être particulièrement claires afin de garantir toute la sécurité juridique nécessaire à ses activités transnationales. Aussi, cet instrument facultatif n'altèrerait pas la diversité des droits nationaux mais se superposerait à eux, pouvant s'appliquer soit aux seules situations transnationales, soit également aux situations purement nationales. La Commission mentionne également le fait que, contrairement à la pratique actuelle, les juristes et magistrats appliquant l'instrument facultatif seraient ainsi dispensés d'éventuelles études des droits étrangers que les règles de conflit de lois actuelles désignent. C'est enfin du côté des principes de subsidiarité et de proportionnalité, principes clés de l'attribution des compétences de l'Union européenne, que ce type d'instrument trouve son intérêt. Le principe de subsidiarité sous-entend que l'action de l'Union européenne ne peut se justifier qu'à condition que les États membres ne puissent pas apporter une réponse jugée satisfaisante et qu'à l'inverse l'action de l'Union s'avère manifestement plus efficace. Pour respecter le principe de proportionnalité il faudra en revanche que l'action de l'Union ne dépasse pas ce qui est nécessaire pour atteindre les objectifs visés. Ainsi, appliquée au droit des contrats, la condition du respect de la subsidiarité serait remplie puisque la création d'un droit commun est manifestement plus adaptée à régir une situation juridique transnationale que les 28 droits nationaux préexistant. Aussi, du fait de son caractère facultatif, respectueux de la diversité des droits nationaux et de leurs normes impératives, on ne saurait qualifier l'instrument de droit européen de disproportionné à l'objectif visé de facilitation des échanges transfrontières. De toute manière, le succès d'un tel instrument se mesurera probablement par l'usage qui en sera fait suivant la désignation du droit applicable par les parties au contrat. Néanmoins, et puisque la diversité des droits nationaux n'a pas le même effet sur tous les acteurs du commerce européen, un tel instrument serait plus légitime à s'appliquer davantage aux consommateurs et PME qui sont les parties les plus affectées par la diversité des droits. C'était d'ailleurs la position de la Commission dans le projet de règlement de droit commun européen de la vente où elle considérait que « les contrats conclus entre des particuliers et ceux conclus entre des professionnels dont aucun n'est une PME ne sont pas inclus, aucun besoin d'action pour ces types de contrats transfrontières n'ayant été constateì »^372(*). Au contraire les PME, dans leur recours aux services de cloud, tout comme les PME qui sont prestataires de services de cloud, trouveraient un réel avantage au type d'instrument optionnel dans leurs activités. Ainsi, qu'elles souhaitent prester leurs services à l'étranger ou qu'elles souhaitent souscrire à un service de cloud offert par un opérateur étranger, les PME n'auraient pas à craindre l'application d'un droit national qui leur est étranger^373(*). Pour toutes ces raisons, les instruments optionnels sont qualifiés en doctrine de « smart regulation »^374(*) et retiennent l'intérêt des institutions dans une perspective d'amélioration du processus législatif européen. En ce sens, l'unification supplétive semblerait tout autant légitime dans son application aux contrats de service de cloudnotamment si elle passait par la protection des PME y souscrivant.

C'est donc l'apport d'un tel instrument applicable aux contrats de cloud qui doit ensuite retenir notre attention. Rappelons qu'actuellement les professionnels désireux de souscrire à des services de cloud computing sont soumis à bon nombre de contraintes qui pourraient les en dissuader. Parmi celles-ci figurent surtout le fait que la sécurité du système ne leur est pas toujours garantie par les contrats et que, si l'opérateur est étranger, c'est probablement son droit d'origine qui trouvera à s'appliquer. En la matière un instrument optionnel n'aurait donc d'intérêt que s'il était particulièrement protecteur des parties les plus faibles, à l'instar de ce qui était prévu pour les PME dans le projet de droit commun de la vente. Dans ce cas alors, la seule référence dans le contrat à un tel instrument juridique pourrait être un gage, pour les utilisateurs professionnels, de la prévisibilité juridique nécessaire pour contracter des solutions cloud avec des opérateurs étrangers. Celui-ci devrait alors surtout, unifier les obligations à la charge du prestataire de cloud, soit en lui imposant un certain résultat quant à la sécurité de l'information, soit en lui imposant le respect de certains procédés jugés nécessaires pour y parvenir. Tout l'enjeu d'un tel instrument pour les institutions européennes est de trouver le juste équilibre entre la protection des utilisateurs nécessaire à rétablir leur confiance dans ces services et la liberté des fournisseurs dans leurs offres de services, nécessaire à l'innovation et la compétitivité des opérateurs sur le marché européen. En effet, à l'inverse, garantir un niveau de service particulièrement élevé aux utilisateurs aura pour effet néfaste, d'une part, de décourager les initiatives des prestataires et, d'autre part, d'augmenter le coût des prestations. Dans l'état du droit actuel, l'échec des projets relatifs à la création d'un droit européen des contrats ou de la plus récente proposition de droit commun européen de la vente pourrait entretenir des doutes quant à la réalisation d'un droit commun des contrats de cloud. Au contraire, face aux difficultés classiques altérant l'unification du droit des contrats en général, on pressent la volonté, au niveau européen, de s'intéresser davantage à certains types de contrats manifestant un intérêt particulier pour les échanges intracommunautaires. C'est par exemple la position unanime des cinq groupes de réflexion sur le livre vert relatif au droit européen des contrats du réseau Trans Europe experts qui portent leurs faveurs à « un ou plusieurs instruments spéciaux »^375(*). Appliqué au cloud computing et au commerce électronique plus généralement, l'européanisation du droit semble d'autant plus légitimée par la volonté d'apporter une solution internationale à des phénomènes eux-mêmes internationaux. Aussi, à l'inverse, il est possible d'avancer que les contrats de cloud, par leurs spécificités, ne pourraient être convenablement régis par un instrument général concernant le droit des contrats. En effet, l'intérêt d'une intervention européenne en la matière réside tant dans le droit des contrats, en général, que dans le droit matériel spécialement applicable aux activités de cloud. Or, l'émergence d'un droit des contrats spéciaux de cloud suffirait à concilier ces deux aspects, alors qu'un instrument général ne le permettrait pas. Ainsi, ce sont surtout les obligations incombant à chacune des parties dans les contrats de cloud qui devront être clarifiées, et plus particulièrement sur des éléments clés de ces contrats tels que la question de réversibilité des données, la flexibilité, l'interopérabilité et la sécurité du service. Enfin, la crédibilité d'une telle action en droit spécial de contrats de cloud serait renforcée par le fait que, pour l'instant, aucun droit national des contrats de cloud n'a encore été développé. À l'inverse, une attente trop importante des institutions européennes pourrait voir tout projet européen concurrencé directement par le développement des droits nationaux. En ce sens par exemple, le législateur français est en passe d'y procéder en ce qui concerne les services de cloud à destination des consommateurs. En effet, le projet de loi pour une République numérique prévoit actuellement une section intitulée « portabilité et récupération des données » et un article 20 qui dispose de l'obligation pour les fournisseurs de services de stockage de données en ligne de garantir la réversibilité des données aux utilisateurs consommateurs, à défaut de quoi les prestataires défaillants seraient sujets à une amende d'un montant de 15 000 €.

C'est ainsi que la perspective d'un rapprochement des législations européennes en matière de contrats de cloud computing pourrait être légitime, notamment en faveur des PME utilisatrices des services de cloud. Cependant, le fait que la Commission n'ait pas encore avancé de proposition concrète en la matière doit attirer notre attention sur certaines limites affectant l'unification du droit des contrats de cloud computing.

§ 2 - Les limites à l'unification européenne du droit des contrats de cloud computing

L'unification du droit des contrats de cloud par le droit de l'Union européenne est confrontée en pratique à de nombreuses limites. Celles-ci concernent généralement l'unification du droit européen des contrats en elle-même (A) mais d'autres sont propres aux contrats de cloud computing (B).

A - Les limites inhérentes à l'unification européenne du droit des contrats

On oppose plusieurs limites à l'unification européenne du droit des contrats qui, en pratique, se confirment dans les échecs successifs des projets les plus ambitieux tenant au droit des contrats en droit de l'Union européenne. Nous proposons de distinguer ici les obstacles inhérents à l'unification des droits (1) des limites liées à la spécificité du droit des contrats (2).

1 - Les limites inhérentes à l'unification des droits

L'unification des droits se voit généralement opposer des limites pratiques et politiques. C'est également l'opportunité du caractère optionnel des instruments procédant à l'unification qui pourrait, en soi, être contestée.

D'une part, parmi les limites pratiques, il est possible de distinguer le coût d'autres difficultés, linguistiques ou d'interprétation, dont l'unification fait l'objet. Tout d'abord, en ce qui concerne le coût du rapprochement des droits, celui-ci est évidemment lié aux travaux menant à l'élaboration de l'instrument mais surtout à ceux tenant à la formation des juristes nationaux et l'adaptation des cadres juridiques préexistants^376(*). En ce sens, les projets d'unification du droit des contrats ont pu être critiqués en opposant à la Commission européenne de s'être longuement employée à défendre les économies que les opérateurs économiques tireraient d'un tel projet, sans jamais en évoquer le coût^377(*).Ensuite, 24 languessont officiellement employées parmi les 28 États membres de l'Union. Or cette diversité est particulièrement mal adaptée à l'unification du droit. La question se pose alors de savoir si la réduction de la diversité des droits peut concorder avec le maintien de la diversité des langues. Une première réponse peut être apportée en ce que l'anglais a, seul, été utilisé pour la conception du Cadre commun de référence de droit des contrats. À cela H. Claret rappelle que la langue privilégiée par les institutions européennes dans leurs travaux préparatoires est l'anglais et que cela se vérifie par des « malfaçons » de certaines versions françaises des actes finaux^378(*). Or, la traduction des principaux actes européens dans les langues nationales est encore une obligation et reste également nécessaire à l'application du droit européen dans les États membres. Dans ce contexte, la diversité linguistique en Europe complique davantage la tâche de l'unification. Hormis le coût et la lenteur que l'on peut imputer à la traduction, des difficultés juridiques peuvent également naître des interprétations. Dans cet esprit, S. Glanert dénonce généralement la qualité des traductions et considère à cet égard que les études juridiques actuelles laissent trop peu de place aux autres disciplines que sont « la linguistique, la traductologie ou la philosophie »^379(*) alors que, pourtant, leur pertinence en dépend. En ce sens, faisant référence à J. Derrida et M.Heidegger, elle rappelle que derrière la traduction se cache en réalité une appropriation : « un transfert ou un déplacement de sens »^380(*). Ainsi, la traduction juridique d'un acte de droit unifié rétablirait, de fait, une diversité de sens et d'interprétation qui ressortira peut être de la pratique ou des décisions de justices nationales. À cet égard la question s'est posée de savoir si les différences d'interprétations d'un droit unifié ne rétabliront pas, de fait, la pluralité des droits que l'on a souhaité atténuer. La réponse a pu être affirmative dans les cas où aucune juridiction internationale n'a pas la compétence de régler les difficultés d'interprétation du droit uniforme. En pratique, P.Lagarde rapporte que les juges ont pu avoir recours aux méthodes de conflit de lois pour coordonner les interprétations divergentes d'une convention internationale qui devait pourtant unifier le droit matériel applicable^381(*). L'auteur prend pour principal exemple l'arrêt « Hocke » de la Cour de cassation française^382(*) dans laquelle les juges se référèrent à la loi allemande pour régler une divergence d'interprétation de la Convention portant loi uniforme sur les lettres de change et billets à ordre qui était applicable. Cette pratique ne fait pas office d'exception, l'auteur l'identifie également dans la jurisprudence des juges allemands, italiens et belges^383(*). Mais le droit de l'Union n'est a priori pas concerné par cette limite. Les décisions de la Cour de Justice de l'Union ayant autorité de chose interprétée et la Cour ayant compétence pour guider l'interprétation des actes de l'Union, sa jurisprudence ordonnera ainsi toute interprétation d'un acte européen de droit unifié. C'est ainsi que les principales limites relatives à la disparité des langues européennes résident dans le coût et la lenteur que le processus de traduction cause inéluctablement.

D'autre part, les limites à l'unification sont également politiques. Rappelons que du Traité de Paix de Westphalie signé en 1648 résultait que chaque État serait souverain et l'égal l'un de l'autre au sein de la société internationale. L'État est donc seul souverain dans la production du droit applicable sur son territoire. En revanche, les deux premières guerres mondiales de la première moitié du XX^ème siècle ont marqué le passage d'une société dite de coexistence à une autre, dite de coopération entre États. La coopération s'est traduite par l'émergence et le développement d'organisations internationales. À cet égard l'Union européenne est topique. En tant qu'organisation internationale d'intégration, l'Union dispose de compétences exclusives et ses institutions sont dotées, dans ce cadre, d'une certaine capacité normative. Néanmoins, malgré ces qualités et la particularité de la nature juridique de l'Union européenne, il n'empêche que celle-ci demeure une organisation internationale et qu'elle soit, à ce titre, soumise aux principes et procédures classiques des relations internationales. Le réalisme impose d'admettre que l'Union ne tire ses compétences que des États membres qui, par les Traités fondateurs, ont consentis à en faire un exercice partagé. À cet égard l'unification des droits est symbolique en ce sens qu'elle a pour condition préalable le concourt de volonté des États membres. Si elle est donc possible quand les États qui y participent sont animés d'un dessein commun, l'unification peut tout autant être mise à mal si l'un d'entre eux s'y refuse. À cela on pourrait opposer que les modalités de vote à la majorité qualifiée auraient du annihiler le caractère interétatique du processus législatif de l'Union européenne. Cela dit, il s'avère qu'en pratique la majorité qualifiée prévue au sein du Conseil laisse place au consensus entre ses membres^384(*). J-P Jacqué écrit d'ailleurs à cet égard que « les discussions au Conseil visent aÌ rechercher un consensus » et que « si, aÌ l'origine, l'exigence de l'unanimité ne laissait pas d'autre choix, le passage aÌ la majorité dans un très grand nombre de cas n'a pas sensiblement modifieì la pratique »^385(*). Cela est d'autant plus vrai en matière de rapprochement des droits nationaux. En effet, les articles 115 et 352 du TFUE prévoient tous deux l'unanimité du Conseil en vue du rapprochement des législations entre États membres. Aussi, comme nous le démontrerons plus loin, la complexité et la particularité du droit des contrats serait également facteur de blocage politique, au point que l'unanimité, et a minima un consensus, soient difficiles à trouver entre les États membres.

Enfin, même si l'instrument a un caractère optionnel, celui-ci serait également sujet à critiques. Tout d'abord, il n'écarterait pas l'application des règles nationales impératives^386(*), ce qui en complexifierait l'application alors même que l'avantage escompté initialement consistait à donner plus de prévisibilité aux opérateurs économiques en clarifiant le droit applicable et écartant les interférences des droits nationaux. Ensuite, la question de la base juridique poserait également problème. Un Groupe du réseau Trans Europe experts rappelle en ce sens que les articles 114 et 115 du Traité sur le fonctionnement de l'Union européenne mentionnent tous deux le « rapprochement » des droits nationaux. Or, un instrument uniforme supplétif n'a pas pour effet de modifier et rapprocher les droits nationaux. La base juridique la plus pertinente à leur égard serait donc plutôt la clause de l'article 352 du TFUE. Or, les projets présentés par la Commission demeurent sourds à cet égard, la proposition de droit commun européen de la vente qui devait instaurer un régime optionnel pour les contrats entre professionnels se fondait d'ailleurs sur l'article 114 du TFUE.

C'est ainsi qu'en soi, l'unification des droits nationaux fait face à de nombreuses difficultés qui ne seraient qu'exacerbées pour ce qui concerne le droit des contrats.

2 - Les particularités du droit des contrats

Le droit est généralement perçu comme un produit social en ce sens qu'il est intimement lié à la société qu'il régit^387(*). Lors d'une audition au Conseil économique social et environnemental français, le professeur Grimaldi rapportait en ce sens que : « de la même manière que l'on a du mal aÌ extirper d'un peuple sa langue, on a du mal aÌ extirper d'un peuple son droit »^388(*). Ce lien entre l'identité d'un peuple et le droit qui en régit les rapports sociaux serait d'autant plus prégnant en ce qui concerne le droit des contrats. Ainsi, relativement à l'unification du droit des contrats, G. Cornu rappelait qu'il n'y a « aucun rapport entre une unité lentement, longuement secrétée par un peuple et, tombant un jour de l'extérieur, une unification décrétée »^389(*). Aussi, le bijuridisme du Canada est particulièrement pertinent pour témoigner de l'aspect identitaire du droit des contrats. Après la conquête de la Nouvelle-France par la Grande-Bretagne, la proclamation royale de 1763 substituait le droit anglais à l'application de la Coutume de Paris. Un tel changement, sur un territoire peuplé en très grande majorité de colons français a donné lieu à des tensions sociales. Or, pour le maintien de la paix, le Gouverneur Carleton fit le choix, par l'acte de Québec de 1774, de restaurer l'application du droit romano-civiliste au Québec. Fondateur du « contrat social » canadien, ce fait explique encore aujourd'hui qu'après la séparation entre le haut et le bas Canada en 1791, l'acte de l'Amérique du Nord britannique de 1867 confère désormais aux provinces canadiennes, par son article 92, la compétence pour légiférer en matière de propriété et de droits civils^390(*). Aujourd'hui encore coexistent au Canada, le code civil du Québec et la Common law. C'est donc peut-être au Québec que le « rôle de symbole identitaire du droit civil»^391(*) se perçoit davantage. Appliqué à l'Europe, ce raisonnement fait particulièrement sens. En effet, à en croire la classification réalisée dans les travaux comparatifs de la Commission à propos des contrats de cloud computing, celle-ci distingue 6 traditions juridiques coexistant entre les États membres de l'Union. Il s'agirait de la Common law, du droit de tradition germanique ou civiliste, du droit nordique, du droit romain et du droit d'Europe de l'Est^392(*). Or, chacun de ces droits se rattacherait à une unité économique, sociale et culturelle donnée. Cela n'a rien d'étonnant pour un continent ayant connu l'émergence des États-nations. Les liens unissant la culture et l'histoire de l'Europe ont en effet été largement mise à mal par la création, dans chacun des États européens d'une identité nationale qui leur est propre, et qui fondent alors leurs distinctions les uns des autres^393(*). Dans la lignée d'E. Renan qui distinguait deux éléments constitutifs d'un nation, à savoir « un plébiscite de tous les jours » et « un riche legs de souvenirs », A.-M. Thiesse entend décrire la création, durant le XVIII^ème siècle, des identités nationales en Europe. Pour cela, elle distingue huit éléments constitutifs de « l'âmenationale » et en décrit l'émergence dans les sociétés européennes^394(*). Mais elle ne désigne pas directement comme tel, le lien entre une nation et son droit. À cet égard pourtant, il ne faudrait pas minimiser l'influence de l'unification du droit des contrats, et plus généralement du droit privé, sur la création de ces identités nationales. D'ailleurs, l'unité de la Nation française n'a-t-elle pas été considérablement consolidée par la codification napoléonienne de 1804 qui, de ce fait, mit un terme à quelques 700 coutumes locales qui divisaient la France^395(*) ? Le lien entre l'unification des droits et l'unification politique semble ainsi posé et, dans ce cadre, les difficultés qui affectent l'unification politique sont autant de difficultés pouvant affecter l'unification des droits. Dans ses réponses au livre vert de la Commission sur le droit européen des contrats, le réseau Trans Europe experts regrette d'ailleurs que cette dernière n'ait avancé, au soutien de son projet, que des arguments économiques, masquant par la même occasion « la volonté des européens d'appartenir à une même communauté »^396(*). Dans cet esprit toujours, J.Sénéchal rappelle la difficulté politique qui s'oppose à la création, ex nihilo, d'un droit supranational des contrats^397(*). Aussi, une autre difficulté réside dans le fait qu'à ces divergences de traditions juridiques s'ajoute un facteur d'influence politique qui n'est pas à minorer dans la réalisation d'une unification. Il s'agit tout simplement du risque d'influence d'un droit sur l'autre lorsque, par l'unification, un choix est opéré. Rappelons à ce titre que sur la scène internationale, le droit continental et la common law, sont proies à une certaine compétition. À l'intelligibilité et la prévisibilité du droit continental s'opposerait le caractère libéral et anglophone de la common law^398(*). Dans ce contexte par exemple, la concurrence entre les systèmes juridiques a pu se mesurer dans les rapports Doing Business de la Banque Mondiale. En effet, ceux-là sont inspirés du courant de sciences économiques « Theory of legal origins » d'après lequel la tradition juridique des États influencerait la régulation de l'économie et quiperçoit la common law comme globalement favorable au commerce^399(*). Cela a d'ailleurs conduit l'association Henri Capitant à critiquer vivement la méthode de réalisation des rapports de la Banque mondiale et, partant, de mettre en exergue les nombreux atouts de la tradition civiliste française^400(*). Dans cette guerre d'influence, l'on a pu considérer que le droit français avait, à travers la francophonie, une carte particulière à jouer. J. Attali a d'ailleurs pu conseiller au Président de la République française de « créer une union juridique francophone » en promouvant le droit continental et diffusant les normes françaises^401(*), vantant notamment les qualités des contrats synthétiques de droit continental contre les longs, complexes et onéreux contrats de common law. Or, de telles positions juridiques traduisent l'opposition d'intérêts politiques nationaux et semblent difficilement conciliables avec la conception d'un droit européen des contrats unifié.

C'est ainsi qu'à l'unification des droits, et particulièrement du droit des contrats, s'opposent nombre de difficultés pratiques et politiques en altérant la réalisation. Dans ce contexte il peut être pertinent d'identifier les limites qui s'opposent particulièrement à l'unification du droit des contrats de cloud computing.

B - Les limites d'une unification européenne du droit des contrats de cloud computing

En plus des limites précitées, l'idée d'une unification européenne du droit des contrats de cloud se heurte à des difficultés qui lui sont propres (1). Ce sont enfin les défauts propres au droit de l'Union européenne qui questionnent l'opportunité d'un rapprochement des législations en matière de contrats de cloud computing (2).

1 - Les limites de l'unification juridique inhérentes à la nature du cloud computing

Le cloud computing revêt des qualités qui, comme on l'a déjà mentionné au préalable, rendent son appréhension par le droit complexe. Aborder cette problématique par le prisme du droit européen et de l'unification peut, certes, résoudre les difficultés liées à la nature transnationale de ces services et à la diversité des droits applicables au contrat de cloud computing mais cela ne permet pas d'écarter du débat les limites liées au caractère protéiforme et évolutif du cloud computing, ni de la grande diversité de données qui peuvent faire l'objet d'un traitement par des services de cloud computing. Effectivement, le cloud computing peut être le vecteur d'une multitude de prestations différentes, ce qui en fait un objet difficilement saisissable juridiquement. Rappelons peut-être ici qu'entre le contrat d'externalisation de service, de stockage de données, de fourniture d'applications hébergées qui permettent l'utilisation de messageries ou d'application de gestion, tout comme entre les contrats de cloud « SaaS », « PaaS » et « IaaS », nombre de différences existent. Ces différences touchent particulièrement à la nature des obligations qui incomberont à chacune des parties. Ainsi, les attentes et les risques d'un client ne sont assurément pas les mêmes lorsqu'il opte pour l'utilisation d'un logiciel professionnel de gestion accessible sur le cloud que quand il souscrit à l'externalisation de la totalité de ses ressources informatiques sur l'infrastructure d'un prestataire. Les difficultés rencontrées en droit français pour appliquer les concepts contractuels préexistants à ces formes de services en témoignent. La flexibilité du cloud et sa capacité d'adaptation aux besoins du client, participent également à cette impression en rendant la révision des contrats de cloud essentielle à la fourniture du service. Aussi, au sein même de chacune de ces catégories, le niveau de service fourni peut être d'une infinie variété, et un même contrat pourrait très bien donner lieu à la prestation de plusieurs services. Cette caractéristique est assurément accentuée par l'internet. En ce sens, à propos de la fourniture de contenus numériques (« digital content ») M. Loos prends l'exemple d'un utilisateur lambda souhaitant souscrire à un service lui donnant accès à des jeux en ligne pour lequel il souscrit un abonnement mensuel. L'auteur recense par cela la souscription de l'utilisateur à trois transactions de natures différentes que sont la fourniture du logiciel d'installation, l'accès au compte du joueur et l'abonnement mensuel au contenu en ligne. Le contrat ainsi conclu serait un contrat complexe recouvrant à la fois la vente d'un logiciel que l'utilisateur installera sur son ordinateur personnel, l'accès à un compte personnel d'utilisateur en ligne et la fourniture à distance d'un contenu numérique. Ainsi, tant la vente du logiciel que la prestation de service d'accès au contenu numérique sont les prestations caractéristiques du contrat, puisque les deux sont nécessaires pour que l'utilisateur puisse jouer en ligne^402(*). Par ailleurs, ce contrat pourrait être caractérisé de contrat de cloud en ce sens qu'il revêt ses principales caractéristiques, à savoir un accès sur demande, par internet, à un outil informatique distant de l'utilisateur mais mis à sa disposition par un prestataire. Cet exemple prouve que, repoussant le champ des possibles, la technique informatique participe à la complexification des relations contractuelles et rend la tâche du juriste particulièrement complexe. En ce sens, prévoir un instrument juridiquesuppose préalablement d'appréhender clairement les contours des services de cloud. À défaut, le droit unifié soufrerait d'incomplétude et ne règlementerait qu'une partie des activités de cloud, laissant aux droits nationaux le soin de régir tous les autres. Aussi, quand bien même il ait vocation à saisir l'ensemble des usages actuels du cloud, le droit unifié se verrait probablement aussitôt dépassé par les pratiques que le progrès technologique rendra possible. Or, à cet égard, la complexité et la lenteur des procédures législatives européennes ne permettront certainement pas la prompte adaptation du droit. De plus, même si l'on se réfère à une seule forme de service comme celle du stockage de données, là encore, l'unité apparente du service cache une grande diversité de données qui peuvent y être stockées. Légiférer sur le droit matériel applicable aux contrats de cloud suppose au préalable de définir des standards de protection des données incombant aux prestataires. Dans ce cas se pose la question de savoir si toutes les données méritent un même niveau de protection et, si la réponse est négative, comment définir le standard propre à chacune d'entre elles ? Cela supposerait également au préalable une reconnaissance juridique des données d'entreprises, à l'instar, peut-être, de ce qui a été fait pour les données à caractère personnel. Sur ce point les opérateurs et les clients professionnels se sont, en pratique, accommodés de leur liberté contractuelle en s'accordant, au cas par cas, quant au niveau de service presté. Celui-ci est défini par les « Service Level Agreements » joints aux contrats de cloud et propres à chaque relation contractuelle. L'idée persiste donc que, pour les professionnels, ceux-là sont à même de définir le niveau de protection devant incomber à leurs données.

Il s'avère donc particulièrement compliqué de réguler juridiquement les contrats de service de cloud computingdans leur ensemble. Aussi, toute tentative d'unification du droit en la matière serait sujette à des défauts. Ceux-là nous conduisent à douter de la pertinence et de la réalisation de l'unification des droits relatifs aux contrats de cloud.

2 - Les défauts d'un éventuel instrument de droit des contrats de cloud computing

Alors que l'on avance des arguments économiques à l'appui de l'unification des droits, l'instrument qui y procèderait s'expose intrinsèquement à deux types de défauts juridiques : son caractère lacunaire, dans le sens d' « incomplet », et une critique de la méthode comparative employée par la Commission européenne.

D'une part, il est possible d'avancer l'idée selon laquelle une unification du droit des contrats de cloud ne permettrait pas efficacement de réduire la diversité des droits nationaux, car il serait nécessairement incomplet. En effet, toutes les matières non réglées par le droit de l'Union seront soumises aux droits nationaux dont la désignation sera encore établie par des règles de droit international privé. Cela n'est pas rare en droit européen. Au contraire, Viangalli qualifie d'ailleurs le renvoi à un droit national comme un « remède ultime à l'incomplétude » du droit de l'Union européenne^403(*). En ce sens, la directive de 1990 harmonisant la protection des consommateurs de forfait de voyages faisait par exemple un renvoi explicite au droit national. Son article 4 paragraphe 6 détermine l'indemnisation du consommateur en cas modification du voyage par l'organisateur qui fait face à des événements imprévus, « selon ce que prescrit la législation de l'État membre concerné ». La proposition de droit commun européen de la vente se voulait ambitieuse en concernant toute la matière contractuelle, de l'information précontractuelle en passant par les conditions de formation du contrat à sa résiliation. Or, ce n'est plus le cas des directives d'harmonisation lui succédant. En ce sens, la proposition de directive concernant les contrats de fourniture de contenu numérique disposent explicitement à l'article 3 paragraphe 9 qu'elles n'ont « pas d'incidence sur les dispositions générales du droit des contrats prévues au niveau national, notamment les règles relatives aÌ la formation, aÌ la validité et aux effets des contrats, y compris les conséquences de la résiliation d'un contrat ». N'est-ce pas là un signe de blocage institutionnel à l'unification des éléments les plus sensibles du droit commun des contrats ? Il est vrai que certains pans du droit des contrats s'avèrent particulièrement difficiles à unifier. Il en va par exemple de la sorte pour les règles tenant à la formation du contrat et qui font l'objet de particularismes nationaux à l'instar de la cause^404(*) française et de la consideration^405(*) de common law. À ce titre, l'argument principal à l'unification des droits nationaux étant de réduire le coût et les difficultés que cause la diversité des droits nationaux, il est pertinent de douter de l'intérêt d'un instrument de droit unifiant seulement quelques champs du droit des contrats applicables aux services decloud.

D'autre part, les fondements d'un éventuel instrument de droit des contrats de cloud pourraient eux-mêmes être critiqués. Rappelons à ce titre que les travaux de la Commission se baseraient sur une étude de droit comparé, présentée précédemment. Celle-ci est d'ailleurs citée deux fois dans la proposition de directive concernant les contrats de fourniture de contenu numérique^406(*) et une fois dans celle relative aux contrats de vente en ligne^407(*). Or, les fondements de cette étude comparée pourraient être critiquables. En effet, un choix a été opéré parmi les droits qui ont fait l'objet d'une étude approfondie et, à ce titre, seuls huit droits nationaux ont été retenus dans le panel, au motif de leur représentativité d'une tradition juridique particulière. On en déduit un certain désintérêt pour la vingtaine d'autres droits nationaux au motif de leurs similitudes avec les droits choisis. Aussi, parmi les huit droits concernés compte celui des États-Unis d'Amérique. Si ce choix est légitime quant au cloud computing puisque, d'une part,de nombreux opérateurs de services de cloud se situent sur le continent américain et que,d'autre part, les États-Unis peuvent être un exemple de gestion de la diversité des droits des États fédérés, ce choix peut aussi questionner politiquement. Effectivement, suivant la place qui serait accordée à l'influence d'un instrument européen de droit unifié, quelle légitimité aurait la Commission pour, en éludant vingt-et-un droits nationaux, procéder à un apport d'un droit étranger à l'Union ? De plus, l'étude ayant été publiée en 2013, elle se base sur des fondements juridiques nécessairement antérieurs. Alors, quelle fiabilité accorder à cette expertise si elle devait servir à ce jour de référence à la création d'un instrument d'unification des droits ? Certains doutes sur sa pertinence peuvent également être formulés. Tout d'abord la partie concernant le droit français ne sera-t-elle pas biaisée du simple fait que l'étude comparative ne tient pas compte de la réforme du droit des obligations française dont quelques changements par rapport au régime antérieur sont notables, notamment en ce qui concerne la disparition de la cause en tant qu'élément de formation du contrat. Ensuite, cela ne tient pas compte des travaux législatifs qui ont eu, depuis, vocation à intéresser les contrats de cloud computing, notamment dans les rapports entre professionnels et consommateurs. Rappelons en ce sens qu'en France le projet de loi relatif à la République numérique est en passe d'inscrire la réversibilité des données comme un droit des consommateurs.

Pour toutes ces raisons, malgré l'opportunité que pourrait constituer le rapprochement des droits relatifs aux contrats de cloud, toute proposition d'un instrument commun aux États membres de l'Union européenne rencontrera inévitablement des blocages. Ceux-là peuvent être tant politiques puisque certains droits des contrats nationaux font l'objet d'un désintérêt manifeste de la Commission, que juridiques car l'étude comparative des droits s'avèredéjà dépassée par le développement sectoriel des droits nationaux en matière de contrats de cloud. Aussi, en la matière, la question se pose de savoir si l'unification des droits ne serait pas excessive dans le but poursuivi d'intégration du marché intérieur numérique, et plus précisément celui d' « exploiter le potentiel de l'informatique en nuage ». Dans son discours d'introduction devant la Société de Législation Comparée à propos du cloud computing, J.-M. Sauvé se demandait justement si la réglementation du cloud ne produirait pas un effet inverse à celui escompté, à savoir de pénaliser les acteurs opérant sur le marché européen par rapport à un marché international davantage compétitif ^408(*). Toute intervention juridique en la matière devrait donc permettre l'équilibre entre le libéralisme économique, nécessaire à l'innovation et à la compétitivité du marché et des opérateurs européens, et un certain interventionnisme, étatique ou européen, garantissant un développement raisonnable de ces services en vue d'établir la confiance des utilisateurs. Ces remarques conduisent à s'interroger sur le fondement même du mode d'intervention de l'Union européenne sur la diversité des droits. F. Viangalli rapportait dans un paragraphe critiquant la technique du droit privé uniforme supplétif qu'il peut être « reproché à la Commission de vouloir intervenir dans un domaine où le marché s'autorégule, et où des initiatives privées et informelles apportent déjà des solutions satisfaisantes aux problèmes qui surgissent lors de la réalisation d'opérations commerciales transfrontières »^409(*). À la doctrine économique libérale prônant l'autorégulation d'un marché, s'ajouterait une doctrine juridique également libérale prônant l'émergence et la reconnaissance de nouvelles formes de normativités, notamment d'initiatives privées. Appliqué au cloud computing, un tel raisonnement apparaît d'autant plus pertinent que l'on constate dores-et-déjà un intérêt manifesté par les institutions européennes pour des normativités alternatives.

SECTION 2 - L'INTÉRÊT DE L'UNION EUROPÉENNE POUR LES NORMATIVITÉS ALTERNATIVES EN MATIERE DE CLOUD COMPUTING

Au vu des difficultés posées par les procédés classiques d'unification et d'harmonisation du droit des contrats de cloud computing à l'échelle européenne, l'idée peut être avancée de se tourner vers d'autres formes de normativités. Ainsi, face aux limites des normativités européennes classiques, les instruments de soft lawont pu être présentés comme des « alternatives séduisantes » et de « nouveaux vecteurs d'intégration »^410(*). La soft law, traduite en français par l'expression de « droit souple », est également qualifiée dedroit « flou », « doux » ou « mou » pour ses attributs respectivement imprécis, dépourvu de caractère obligatoireou de sanction^411(*).Le droit souple s'inscrit doncen opposition à la conception classique du droit, composé de règles « socialement édictées et sanctionnées, qui s'imposent aux membres de la société »^412(*) et que l'on qualifie de « hard law » en opposition à la « soft law ».Le droit souple se posedonc en alternative au droit moderne, rationnellement hiérarchisé, contraignant et produit par l'État. Sous l'expression de droit souple on désigne en réalité une pluralité de normes que l'on regroupera ici sous le vocable de « normativités alternatives ». En l'espèce, il semble que le recours à ces types de normes ait un intérêt particulier afin de réguler et encourager les activités de cloud computing (§1). D'ailleurs, cela se confirme d'ores-et-déjà en pratique pour les professionnels opérant des transferts de données vers les États tiers de l'Union européenne (§2).

§ 1 - L'intérêt des normativités alternatives dans la régulation des activités internationales de cloud computing

Le recours à des normativités alternatives en vue de réguler les prestations internationales de service de cloud computing suscite l'intérêt particulier des institutions européennes. Celles-ci semblent particulièrement plébisciter l'emploi de mécanismes de corégulation conciliant les opérateurs privés et les organismes publics dans la production normative (A). Cependant, quelle que soit l'opportunité de ces modes de régulations pour les activités de cloud computing transnationales, force est de constater qu'ils sont susceptibles de faire l'objet de dérives et sont donc critiquables dans leurs fondements (B).

A - L'intérêt des mécanismes de corégulation en droit des contrats de cloud computing

La corégulation consiste en l'association des acteurs privés au processus décisionnel public. Elle se distingue de l'autorégulation qui laisse ces opérateurs privés libres de déterminer eux-mêmes les règles auxquelles ils se soumettront et donne lieu à l'émergence d'un droit « négocié » ou « spontané »^413(*). Ces modes de gouvernance ne sont pas totalement novateurs en ce sens qu'ils sont déjà mis en oeuvre par les institutions européennes. Ils ont néanmoins fait l'objet d'un regain d'intérêt depuis le début des années 2000. Un accord interinstitutionnel de l'Union européenne de 2003 visait en ce sent à « mieux légiférer »^414(*) en utilisant des « modes de régulations alternatifs » chaque fois que « le traité CE n'impose pas spécifiquement le recours à un instrument juridique »^415(*). Plus précisément, en ce qui nous concerne, il semblerait que les institutions européennes aient dès lors manifesté leur intérêt pour la corégulation des activités transnationales de cloud computing (1). D'ailleurs, ces modes de régulation semblent particulièrement adaptés aux spécificités des contrats de cloud computing et, plusgénéralement, à la nature des activités de commerce électronique (2).

1 - L'intérêt des institutions européennes pour la corégulation des activités de cloud computing

Il apparaît assez clairement que face aux difficultés que rencontreraient les institutions européennes dans l'unification d'un droit des contrats de service de cloud computing, ces dernières manifesteraient un intérêt particulier pour une harmonisation plus diffuse, passant par l'adoption d'actes de droit souple. Dans cet esprit l'Union européenne s'imposerait d'ailleurs comme un cadre institutionnel favorable au développement de nouvelles normativités. Cela se vérifie tant actuellement en pratique, par le recours à des instruments de soft law, que dans les projets européensvisant à favoriser le développement de l'informatique en nuage en Europe.

Tout d'abord, l'Union européenne s'impose sur la scène internationale comme le laboratoire de nouvelles formes de normativité^416(*) par l'adoption d'actes juridiques non contraignants. Si l'on se réfère aux Traités constitutifs de l'Union, il y est par exemple prévu que les institutions européennes émettent des avis et des recommandations, lesquels « ne lient pas »^417(*). Pour une partie de la doctrine, ces actes sont d'ailleurs l' « exemple le plus incontestable de soft law »^418(*) et témoignent de « l'importance déjà prise par ces formes souples de normativité dans le système communautaire »^419(*). En pratique ce constat se vérifie par l'adoption d'une grande diversité d'actes tels que des résolutions, déclarations et autres normes techniques, comme en témoignent les activités de normalisation et l'adoption de codes de bonne conduite, de lignes directrices, lois modèles, contrats-types ou communications. Ce phénomène affecte avant tout les compétences exclusives du droit de l'Union, comme le droit de la concurrence ou du marché intérieur. En ce sens, rappelons que la normalisation a contribué à l'établissement du marché unique^420(*). En effet, dès 1985 une « nouvelle approche » a été définie à l'échelle européenne en matière d'harmonisation technique et de normalisation^421(*). Cela s'est traduit concrètement par la mise en place de procédés de certification dont le marquage « CE » des marchandises qui présument du respect des exigences européennes et bénéficient en conséquent pleinement des libertés de circulation. Ces procédés ont permis de fluidifier les transactions européennes de marchandises et sont complémentaires à l'application du principe de reconnaissance mutuelle de l'équivalence des normes techniques nationales dans les domaines non harmonisés par le droit de l'Union européenne. Néanmoins, la question de la légitimité de l'Union européenne pour la production de ce type de normes dans des matières exorbitantes de son champ exclusif de compétence pourrait être posée. En effet, il a pu être démontré que les institutions européennes usaient d'une « soft law paralégislative » en droit privé des contrats pour favoriser les transactions transnationales, alors même que l'Union n'en est pas expressément habilitée^422(*). Dans le même esprit, et comme nous le démontrerons plus loin, on constate que les institutions européennes influencent déjà la pratique contractuelle des professionnels en matière de cloud computing par des procédés de corégulation et l'édiction actes de soft law.

Rappelonsensuite que dans sa communication de 2012, la Commission invoquait déjà, pour rétablir la confiance des opérateurs dans le cloud, la perspective d'établir des normes, des certificats, des clauses et conditions contractuelles assurant aux utilisateurs des contrats sûrs et équilibrés^423(*). Or, l'on constate en pratique que les activités de la Commission en matière de contrats de cloud computing privilégient principalement la recherche de solutions de droit souple en partenariat avec l'industrie du cloud, et des instances nationales chargées de la protection de la vie privée. Deux initiatives doivent principalement retenir notre attention : il s'agit du projet d'élaboration d'un code de conduite à destination des prestataires de service de cloud, ainsi que des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers.

D'une part, la possibilité pour les institutions européenne et les États membres de promouvoir la constitution de codes de conduite découle de l'article 27 de la directive 95/46/CE^424(*). Ainsi, un projet de code de conduite à destination des fournisseurs de services par le cloud^425(*) a été élaboré par le Cloud Select Industry Group (ci-après « C-SIG ») sous l'impulsion de la Commission européenne. Le C-SIG est essentiellement composé de représentants des principaux acteurs de l'industrie du cloud computing comme Oracle, Atos, Google ou Orange et d'un représentant de la Commission nationale française de l'informatique et des libertés. En l'espèce, le groupe a pour mission, à travers la réalisation de ce code de conduite, de clarifier les conditions dans lesquelles les opérateurs de cloud devraient fournir leurs services. Il s'agit plus principalement d'encourager les opérateurs à garantir un haut niveau de protection des données afin d'instaurer un climat de confiance propice au développement de cette technique^426(*). Le projet de code intéresse tant les activités de cloud fournies à l'attention des professionnels que des consommateurs. Celui-ci mentionne par exemple les rapports de sous-traitance de cloud computing et vise la promotion d'un niveau de service équivalent à celui prévu dans la relation entre le prestataire initial et l'utilisateur dont les données personnelles font l'objet d'un traitement^427(*). En général le code de conduite privé est l'apanage des procédés d'autorégulation par lesquels des acteurs économiques définissent les bonnes pratiques à adopter dans la réalisation de leurs activités, et qui fonctionne sur une base volontariste. En revanche ce projet de code de conduite en matière de services de cloud tend davantage à être assimilé à de la corégulation. Il a en effet été présenté pour approbation au Groupe de l'Article 29^428(*) (ci-après « G29 »), qui est l'instance européenne indépendante regroupant les autorités nationales chargées du respect de la vie privée à l'instar de la CNIL. Ce dernier a rendu un avis^429(*) soulignant que le projet de code du C-SIG, bien qu'allant dans le bon sens comme pour les questions de transparence, devait être précisé sur une dizaine de points. Parmi ces points figurent les conséquences liées à l'adhésion à ce code par les entreprises, le régime de responsabilité y afférant en cas de non respect de ses dispositions et les moyens concrets devant être mis en oeuvre pour garantir la sécurité des données. Cela démontre une coopération entre le secteur privé et public afin de déterminer des pratiques d'entreprises correspondant aux standards de protection fixés par les institutions dans les politiques publiques européennes comme nationales, le tout par des procédés distincts du processus législatif européen ordinaire. D'ailleurs, le 29 octobre 2015, le C-SIG s'est engagé à revoir le projet à la lumière des observations du G29 et de le lui soumettre de nouveau à fin d'approbation^430(*).

D'autre part, la Commission élabore régulièrement des clauses contractuelles types concernant le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. Il existe deux types de clauses contractuelles émises par la Commission sous forme de décisions : celles concernant les transferts de données entre responsables de traitement exportateurs et importateurs de 2001^431(*) et 2004^432(*), puis celles entre les responsables du traitement et leurssous-traitants, datant de 2001^433(*) et 2010^434(*). Les dernières clauses diffusées, celles de 2010, trouvent une utilité particulière pour les contrats de service de cloud computing conclusentre professionnels. Elles ont pour intérêt de déterminer clairement les obligations incombant aux prestataires de cloud sous-traitant des responsables de traitement de données. Ces clauses assurent par exemple que le traitement des données réalisé par le prestataire établi sur le territoire d'un pays tiers soit réalisé dans le strict respect des exigences définies par le droit de l'Union européenne, et notamment de la directive 95/46/CE. Au-delà de ces considérations, les clauses ont vocation à empêcher toute modification ultérieure du contrat sur les aspects tenant aux données personnelles^435(*) et prévoient la possibilité de résilier le contrat, et donc d'empêcher le transfert de données si l'importateur de données manque à ses obligations^436(*). Plus particulièrement, les clauses types de 2010 démontrent clairement une volonté de s'adapter à la complexification des montages contractuels et de la vie des affaires relatives aux nouvelles technologies. Elles ont pour particularité de prévoir, par exemple, un régime propre à la « sous-traitance ultérieure »^437(*) qui consiste, pour l'importateur établi dans un pays tiers ayant recours à la sous-traitance des activités de traitement des données à caractère personnel, d'obtenir l'accord de l'exportateur initial et de prévoir avec son sous-traitant le respect des obligations qui lui incombent. Aussi la clause n°3, dite « clause du tiers bénéficiaire », définit les droits de la personne concernée par le traitement des données à l'égard des différents opérateurs, fussent-ils sous-traitants, et notamment la possibilité d'engager la responsabilité de chacun d'entre eux^438(*). En termes d'activités de cloud computing, cela témoigne effectivement d'une volonté d'adapter les relations contractuelles à la pratique. En effet, nombre de prestataires de cloud sont des opérateurs étrangers (non-européens), et les chaînes de traitement des données à caractère personnel se développent et se complexifient. L'édiction de telles clauses contractuelles types par voie de décision de la Commission européenne a pour effet, non pas l'harmonisation ou l'unification des droits, mais celles des pratiques. On aura d'ailleurs l'occasion d'observer dans la partie consacrée au régime juridique des transferts de données à l'étranger^439(*), que les prestataires insérant ces clauses dans leurs contrats en retirent certains avantages, leur permettant par exemple d'être autorisés à procéder au transfert de données à caractère personnel vers un pays tiers quand bien même celui-ci ne bénéficierait pas d'un niveau de protection des données jugé adéquat à celui de l'Union européenne.

Enfin, il est intéressant de relever que les institutions européennes ne sont pas seules à porter un intérêt manifeste à la soft law en vue de réguler les activités de cloud entre professionnels. En effet, la CNIL a incontestablement suivi la même voie. Une initiative de cette Commission est plus particulièrement révélatrice de ce phénomène. Il s'agit des « Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing »^440(*), publiées en 2012, et dont l'objet est d'accompagner les professionnels dans leur souscription à des services de cloud en appelant à leur vigilance sur certains points clés des contrats. La CNIL conseille par exemple d'effectuer une analyse des risques, de définir les exigences attendues du service et d'en vérifier le respect par des audits réguliers. Mais ces recommandations s'accompagnent surtout de clauses contractuelles types pouvant être insérées dans les contrats de prestations de services de cloud. Ainsi stipulées dans les contrats, ces clauses apporteraient aux clients l'assurance de souscrire à un service présentant des garanties de sécurité suffisante et, à défaut, à ce que des droits de recours leurs soient ouverts. À titre d'exemple la Commission française conseille d'insérer la clause de réversibilité des données suivante :

« Au terme du Contrat ou en cas de rupture anticipée de ce dernier pour quelque cause que ce soit, le Prestataire et ses éventuels sous-contractants restitueront sans délai au Client une copie de l'intégralité des Données dans le même format que celui utilisé par le Client pour communiquer les Données au Prestataire ou à défaut, dans un format structuré et couramment utilisé.

Cette restitution sera constatée par procès-verbal daté et signé par les Parties.
Une fois la restitution effectuée, le Prestataire détruira les copies des Données détenues dans ses systèmes informatiques dans un délai raisonnable et devra en apporter la preuve au Client dans un délai raisonnable suivant la signature du procès-verbal de restitution. »^441(*)

Aussi, dans la consultation publique effectuée par la CNIL préalablement à la réalisation de cette recommandation, celle-ci concluait à la nécessité, partagée et revendiquée par les opérateurs de cloud consultés, de définir des références techniques et autres bonnes pratiques en matière de cloud computing. Elle prend d'ailleurs pour exemple le bénéfice retiré de la norme ISO 27 001 sur le management de la sécurité de l'information^442(*). Tout cela confirme l'intérêt porté aux normes alternatives, tant par les opérateurs économiques que les autorités publiques. M.-C. Roques-Bonnet, lorsqu'elle était représentante de la CNIL auprès du G29, mentionnait d'ailleurs que ces actions démontraient « l'existence d'un nouveau mode de régulation » destiné «  à donner aux prestataires de service de cloud des outils moins standardisés, plus souples, parce qu'ils constituent des options de soft law très intéressantes en ce qu'elles sont quasi contractuelles »^443(*). La CNILcollabore d'ailleurs au sein de l'Organisation Internationale de Normalisation (ci-après « ISO ») et a déjà pu participer à l'élaboration de normes ISO spécifiquement dédiées à la sécurité de l'information dans le cloud,pour les utilisateurs,privés^444(*)comme publics^445(*).

C'est ainsi que les autorités publiques manifestent un intérêt certain pour les mécanismes de corégulation et plus généralement pour la production de nouvelles formes de normativités destinées à réguler les activités de cloud entre professionnels. C'est d'ailleurs une tendance de plus en plus affirmée. À titre d'exemple le règlement général de protection des données (ci-après « RGPD »), qui sera applicable en 2018, tend à développer le recours aux codes de conduites et à la certification pour attester de la conformité des opérateurs aux obligations dudit règlement^446(*). Dans cet esprit, O. Tambou rappelle que « l'émergence d'une certification européenne en matière de protection des données personnelles répond à de fortes attentes [...] plébiscitées par le monde économique [en vue de rétablir] la confiance des utilisateurs »^447(*). En effet, le recours à des formes de normativités alternatives semble particulièrement adapté aux caractéristiques du cloud computing.

2 - Une pratique adaptée aux caractéristiques des contrats internationaux de cloud computing

Alors qu'on vient d'étudier que l'Union européenne est souvent présentée comme le laboratoire de nouvelles formes de normativités, d'autres, à l'instar de la présidente de la CNIL, I. Falque-Pierrotin, avancent que le cloud constitue, lui-même, un « laboratoire de la régulation »^448(*). Il est intéressant, en effet, de relever que le recours à des formes alternatives de normativité est particulièrement adapté à la régulation des activités de cloud computing, notamment vis-à-vis de son aspect technique et international.

En ce qui concerne l'aspect technique des services de cloud, il est intéressant de rappeler qu'il s'agit là avant tout d'une des limites à l'adaptation du droit actuel aux activités d'informatique en nuage. En effet, son caractère protéiforme, complexe et sa soumission aux changements augurés par l'avancée technologique compliquent particulièrement la tâche du législateur ou du juriste souhaitant, soit adapter les concepts classiques du droit au cloud, soit en unifier le droit applicable à l'échelle européenne. Or, à cet égard, les normativités alternatives seraient beaucoup plus adaptées. En ce sens, dans un rapport de 2013 sur le droit souple, le Conseil d'État mentionnait le caractère « réactif et adaptatif »^449(*), notamment au progrès technologique, de ces types de normes. Il citait d'ailleurs à titre d'exemple la recommandation adressée par la CNIL aux professionnels désireux de souscrire à des services de cloudcomputing. Toujours dans le même esprit, V. Lasserre observe une tendance qui fait que « le droit, aux prises avec les sciences et les techniques, change et se technicise »^450(*) et avance le concept de « technodroit »^451(*) pour en rendre compte. De plus, sans unification du droit applicable aux activités et aux contrats de service de cloud computing en Europe, l'harmonisation des pratiques par l'encouragement du recours aux labels de qualités et à la certification des politiques internes d'entreprises par les autorités publiques pourraient être des moyens alternatifs permettant de garantir aux clients le respect d'un certain niveau de sécurité de l'information stockées sur le cloud. En effet, cela participerait peut être à rétablir la confiance des utilisateurs de services de cloud, notamment pour ce qui concerne les professionnels les plus faibles. C'était d'ailleurs ce que la Commission européenne souhaitait réaliser en 2012 dans l'objectif d'exploiter le potentiel de l'informatique en nuage. En revanche, l'usage de ces normes et labels est limité dans ses effets sur le régime juridique applicable aux activités de cloud et à la relation contractuelle liant le client au prestataire. En effet, en cas de non respect des exigences d'un label, d'une certification ou d'un code de conduite par le prestataire, rien ne garantit en soi au client qu'il puisse engager la responsabilité du prestataire. On a pu dénoncé en ce sens la « force symbolique de la normalisation technique »^452(*) qui favorise l'activité économique davantage par des arguments commerciaux que par l'instauration d'un cadre juridique fiable. Cela dit, la diffusion de contrats, clauses contractuelles types ou l'insertion dans les contrats de l'obligation de respecter les exigences liées à une certification ou un label permettrait de répondre à ces critiques. Ainsi, si l'on prend l'exemple des clauses contractuelles diffusées par la CNIL en 2012 pour les contrats de prestations de services de cloud à usage professionnel, l'une d'entre elle visait à donner une valeur contractuelle au respect de la certification des prestataires de services de la société d'information en stipulant :

« Par ailleurs, il [le prestataire] s'engage à maintenir pendant toute la durée du Contrat les critères permettant de répondre aux exigences de la certification obtenue. »^453(*)

Plus généralement, le recours à ces types de normativité, par la CNIL, témoigne d'une volonté d'adopter une approche horizontale et non plus seulement verticale des modes de régulation, en privilégiant une réglementation « pédagogique et intuitu personae »^454(*). Cette approche concilierait d'ailleurs l'intervention publique au respect de la liberté contractuelle. Dans cet esprit, l'adaptation du droit, par d'autres formes de normativités, aux spécificités des activités numériques apparaît essentielle. En ce sens, M. Mosse, directeur des affaires juridiques de Microsoft, déclarait à propos du droit applicable au cloud qu'il était nécessaire que le droit soit « plus souple que jamais [...] de sorte que la technique ne soit pas la seule à englober les formes culturelles et civilisationnelles de demain »^455(*).

En ce qui concerne par ailleursle caractère international du cloud, il s'avère que ces normes seraient particulièrement adaptées à la régulation supranationale des activités. Le recours à des normes édictées internationalement par les professionnels du secteur informatique, comme c'est le cas des normes ISO précitées, est ici révélateur. Plus généralement, l'uniformisation des techniques permettrait la facilitation des échanges de produits et services à l'international en se posant comme le gage de la qualité du service fourni et la certification de la qualité du matériel utilisé pour la fourniture du service. Ainsi, l'émergence de ces types de normativités semble incontestablement portée par la globalisation et marque l'affaiblissement du rôle des États dans une économie mondialisée. Ce mouvement n'est pas propre au numérique, au contraire toutessortes d'activités commerçantes s'appuient sur ce type de normes. Mentionnons par exemple les International Commercial Terms (« INCOTERMS ») produits par la Chambre de Commerce Internationale de Paris qui sont des termes définissant chacun un régime d'obligations lié aux modalités de transport et d'assurance devant incomber à chacun des opérateurs. À titre d'exemple la mention de l'INCOTERMS« EXW » (pour « Ex Works ») dans un contrat international de vente de marchandises stipule que l'acheteur aura la charge de récupérer et procéder au transport des marchandises, des locaux du vendeur jusqu'aux siens. À l'inverse, l'INCOTERMS « DAP » (pour « Delivered At Place ») imposera au vendeur l'obligation de remettre la marchandise au lieu de livraison conventionnellement définie. Ainsi, par la mention des trois lettres composant un INCOTERMS dans un contrat international de vente, c'est toute l'économie du contrat - les obligations de transport, d'assurance, de documentation et donc le prix de la vente - qui sera bouleversée. Mais ce qui est valable pour le commerce en général l'est d'autant plus pour le commerce électronique qui procède d'échanges dématérialisés, à distance et rapides de biens et de services. Pour désigner le cyberspace marchand, K. Seffar et K. Benyekhlef font d'ailleurs « référence à une zone d'achalandage planétaire où les magasins deviennent virtuels et sans territoire propre »^456(*). Face à ce phénomène, la réglementation étatique est limitée dans sa propension à appliquer des règles imposables internationalement et le droit international privé n'est pas toujours satisfaisant pour y pallier^457(*). De cette situation résulte d'une part la volonté des États de s'organiser, internationalement ou régionalement, en vuede s'accorder sur les règles à imposer aux opérateurs de commerce électronique et, d'autre part, la volonté des acteurs économiques de s'accommoder de la pluralité de règlementations étatiques par la souscription à des standards, codes ou labels,destinés à gagner la confiance des autorités publiques et de leurs clients. Ainsi, à la lex mercatoria regroupant les usages de la communauté internationale de marchands succèderait une lex electronica définissable comme « l'un des ensembles de règles de droit encadrant les activités se déroulant dans l'espace virtuel »^458(*). En ce qui nous concerne plus précisément à propos du cloud, il est intéressant de noter que la production de droit souple ne se cantonne pas à l'échelle européenne mais s'organise déjà à l'échelle internationale. En effet, la Cloud Security Alliance se présente comme une organisation mondiale chargée de définir les pratiques exemplaires (« best practices ») et de la certification des prestataires de service de cloud computing^459(*).

C'est ainsi, que le pragmatisme des institutions européennes les conduit à privilégier la régulation des activités transnationales ou européennes de cloud computing par des formes de normativités particulièrement adaptées à leur technicité et leur internationalité. Pour autant, si intéressant puisse être le recours à ces formes de régulation, il convient tout de même de rappeler qu'elles font aussi l'objet de critiques.

B - Les défauts des procédés alternatifs de régulation des activités de cloud computing

Malgré ses potentielles opportunités, la gouvernance des activités transnationales de commerce électronique par des mécanismes de corégulation ou d'autorégulation se confronte à nombre de critiques, notamment en doctrine. Celles-ci concernent essentiellement le déficit démocratique de ces procédés (1) et le défaut de juridicité des normes alternatives (2).

1 - Le défaut de légitimité démocratique des régulations alternatives

L'argument essentiel des pourfendeurs des méthodes de régulation et des normativités alternatives a trait à leur manque de légitimité démocratique. En réalité, invoquer le déficit démocratique de ce type de normes revient plus largement a remettre en cause les caractéristiques propres à ces modes de régulation. Aussi, ces critiques se vérifieraient dans l'application de ces normes au cloud. Il convient donc de nuancer ici l'idée selon laquelle le recours à des normativités plus souples serait davantage adapté à la régulation et à la promotion des activités de cloud computing au sein du marché intérieur.

En ce qui concerne d'une part le défaut de légitimité démocratique des modes alternatifs de régulation, cela se remarque tant quant à la conception qu'à l'accessibilité des normes. En ce qui concerne tout d'abord la conception des normes, l'essentiel des critiques consiste à remettre en cause la place attribuée aux opérateurs privés et l'origine des financements de l'oeuvre normative. En effet, l'essentiel, si ce n'est la totalité, de la procédure de conception se réalise hors des parlements nationaux. En ce sens, V. Lasserre note d'ailleurs la tendance qu'ont les autorités publiques à déléguer la régulation de certaines activités aux acteurs de la société civile et parle à ce titre de « dépolitisation de l'action publique »^460(*). Aussi, force est de constater que l'argument du déficit démocratique est souvent celui utilisé par les opposants à l'Union européenne et vise généralement la cooptation de ses membres et les limites affectant les pouvoirs du Parlement européen. Or, l'intérêt que portent les institutions de l'Union pour les normativités alternatives ne participerait-il pas à attiser les critiques portées généralement à l'Union ? À cette question, J. Porta répond à l'affirmative en constatant que « ces [procédés] rompent avec une conception moderne de la légitimité » et s'interroge sur la question de savoir s'il ne s'agit pas là de « signes avant-coureurs d'un rabaissement des exigences démocratiques dans l'Union européenne ? »^461(*). Pour ce qui intéresse ensuite les difficultés liées à l'accessibilité des normes, ce sont tant leur transparence que leur intelligibilité qui sont mises en cause. Un défaut de transparence peut être opposé aux normes d'origine privée comme les codes de conduites internes aux entreprises. Mais cela est encore plus notable en ce qui concerne les normes dont on ne peut prendre connaissance que moyennant un paiement préalable. Cela est le cas des normes ISO, dont les deux précitées concernant le cloud valent respectivement 138 et 118 Francs suisses. En ce qui concerne leur intelligibilité, ces normes, du fait de leur technicité, s'avèrent généralement complexes et donc difficilement compréhensibles pour les non initiés. Ces difficultés d'intelligibilité et de transparence participent pleinement à la critique de déficit démocratique de ces normes etserait facteur d'une dégradation de la qualité du droit, peu souhaitable^462(*).

Néanmoins, ces remarques peuvent être nuancées par l'existence de certains carcans, spécifiquement en ce qui concerne la corégulation. En effet, les autorités publiques ont la possibilité, voire le devoir, de contrôler le bien fondé des normes d'origine privée. L'exemple déjà invoqué du code de conduite à destination des opérateurs de cloud conçu par le Cloud Select Industry Group est particulièrement révélateur de ce fait. Rappelons en effet que le G29, qui est l'instance regroupant les autorités nationales de protection des données l'a contraint à améliorer son premier projet de Code et le validera in fine. C'est aussi le cas de la certification qui n'est pas ipso facto une activité déléguée à un opérateur privé, mais qui peut se réaliser par les autorités publiques elles-mêmes. À titre d'exemple, en France, l'agrément autorisant les prestataires de cloud à opérer un traitement de données de santé est soumis à une pluralité de contrôles dont un avis de la CNIL et une validation finale par le ministère de la santé. En réalité, les critiques dénonçant le déficit démocratique des méthodes alternatives de régulation permettent essentiellement la mise en garde contre certaines dérives, notamment lorsqu'elles impliquent l'autorégulation des activités. D'ailleurs, en réaction à ces critiques, on a pu proposer la démocratisation de la normalisation, soit en instituant un contrôle des travaux par les Parlements soit en promouvant leur publication gratuite^463(*). En somme, les autorités publiques démocratiquement élues ont la possibilité de garder un certain contrôle sur ces formes de normativités, mais à défaut, le risque tendrait à ce que la soft law se supplée à la hard law.

D'autre part, certains doutes méritent d'être formulés quant aux qualités que l'on octroie généralement aux normes alternatives. En effet, bien qu'on puisse critiquer la lenteur du processus législatif (notamment en visant le fait que la directive de 1995 ait rapidement été dépassée par l'évolution de la technique et que l'adaptation du régime juridique applicable aux données personnelles n'a donné lieu qu'à une réforme tardive qui sera applicable en 2018), force est de constater que la production du droit souple peut également être longue. Le projet de code de conduite est encore une fois là pour nous le prouver. Le droit souple, par son caractère technique et le consensus qu'il appelle entre acteurs privés, peut également résulter d'un long processus de conception. De plus, le prix des normes ISO précitées pourrait être un facteur de discrimination entre les opérateurs de cloud, voire entre les clients de services de cloud, selon qu'ils soient des PME, TPE ou start-up. Enfin, il est possible de critiquer le régime de certification prévu par le RGPD. En effet, l'article 42 paragraphe 7 du règlement dispose qu'une certification d'une durée maximale de trois ans peut être accordée aux acteurs opérant un traitement de données à caractère personnel pour attester de leur conformité au droit européen. L'article 43 paragraphe 4 du même règlement dispose lui que les organismes de certification peuvent être agréés, c'est-à-dire habilités à accorder ou renouveler les certifications, pour une durée maximale de cinq ans, par les autorités nationales de contrôle ou des organismes nationaux d'habilitation. Or, ces durées de trois ans et cinq ans ont pu être critiquées comme étant particulièrement longues « étant donné l'évolution rapide des technologies »^464(*).

C'est ainsi que l'on peut opposer aux normativités et modes de régulation alternatifs un certain déficit démocratique et que, même si des garanties de contrôle par les autorités publiques existent, des risques de dégradation de la qualité et de l'accessibilité du droit persistent. À cet argument s'ajoute celui des doutes entourant la juridicité des normes de droit souple.

2 - La problématique de la juridicité des normes alternatives

Après la question du déficit démocratique, c'est celle de leur juridicité^465(*) qui se pose aux normes de soft law. Il est souvent reproché aux formes alternatives de normativité de faire partie d'un ordre « volontaire », distinct de l'ordre juridique. Cela se confirme d'ailleurs dans la jurisprudence de la Cour de cassation française. Ainsi, par exemple, la Cour a pu conclure que le seul respect par un entrepreneur des DTU - normes françaises définies par les experts du bâtiment - n'était pas un fait exonératoire de sa responsabilité^466(*). Les réformes récentes des droits français et européen confirment cette tendance. L'article 17 du décret de 2009^467(*) réformant la normalisation prévoit en effet que « les normes sont d'application volontaire » et le règlement européen de 2012 relatif à la normalisation européenne le rappelle également à quatre reprises^468(*).

Néanmoins, ces normes ne sont pas ipso facto dépourvues d'intérêt juridique. En effet, V. Lasserre qualifie les règles de droit souple de « normes en devenir juridique »^469(*). En ce sens par exemple, l'article 17 du décret français de 2009 précité, dispose également que « les normes peuvent être rendues d'application obligatoire par arrêté signé du ministre chargé de l'industrie et du ou des ministres intéressés ». Cela témoigne d'un parfait exemple de corégulation. Plus généralement encore, l'absence de juridicité per se de ces normes n'est pas opposable lorsque leur respect est explicitement prévu dans un contrat. À ce titre le Conseil d'État estime que « sur le plan juridique, l'usage développé du contrat facilite la réception du droit souple par le droit dur »^470(*). Ainsi, la mention du respect d'une norme ISO, d'un code de conduite ou autre label par un contrat européen de prestation de service de cloud lierait le prestataire au respect des normes de qualité de service stipulées.

C'est ainsi que l'on ne peut que souscrire aux propos de K. Seffir et K. Benyekhlef concluant que « la régulation étatique doit subsister en s'internationalisant mais surtout en apprenant à coexister avec l'autorégulation par les opérateurs du commerce électronique ». Appliqué à notre champ d'étude, la régionalisation de la régulation des activités de cloud entre professionnels serait d'autant plus pertinente que le cadre institutionnel de l'Union européenne est particulièrement propice au développement de nouvelles formes de normativités. Cela dit, il faut veiller à ce que les opérateurs privés n'aient pas un trop grand contrôle de la production de ces normes. La corégulation doit plutôt permettre d'apporter une certaine forme légitimité démocratique à ces normes comportementales. Or, à cet égard, le régime juridique applicable au transfert de données à caractère personnel est symbolique : s'il révèle l'intérêt pratique des règles internes d'entreprises et des contrats-types, il questionne également leur capacité à prévenir les atteintes aux droits fondamentaux des personnes privées.

§ 2 - Le rôle des normativités alternatives dans le transfert des données à caractère personnel vers un État tiers

L'importance des normativités alternatives applicables aux contrats de prestation de service de cloud prend particulièrement corps lorsqu'on étudie le régime juridique entourant le transfert de données à caractère personnel vers un États tiers. En effet, le principe général posé par la Directive 95/46/CE impose comme condition préalable à tout transfert de ce type de données, que le pays de destination garantisse un niveau de protection adéquat et qu'une décision d'adéquation en atteste (A). Or, suite à l'invalidation par la Cour de Justice du désormais célèbre Safe Harbor, qui n'est rien d'autre que la décision d'adéquation autorisant l'exportation de données à caractère personnel aux États-Unis, la pratique a révélé l'intérêt des méthodes de corégulation permettant aux entreprises de passer outre cette invalidité (B).

A - La méthode classique de la décision d'adéquation

Le principe prévu par le droit de l'Union européenne est celui de l'autorisation du transfert de données à caractère personnel vers un États tiers à condition que ce dernier garantisse un niveau de protection des données jugé adéquat à celui de l'Union européenne (1). L'invalidation de la décision de Safe Harbor par la Cour de Justice et les négociations actuelles en vue d'aboutir à un nouvel accord avec les États-Unisdénommé « Privacy Shield » témoignent de la difficile conciliation entre les impératifs de sécurité nationale et le droit fondamental au respect de la vie privée des individus (2).

1 - L'autorisation des transferts de données à caractère personnel vers des États tiers ayant un niveau de protection adéquat

En vue de protéger la vie privée des personnes physiques, le droit de l'Union européenne conditionne la capacité des responsables de traitement de données à caractère personnel d'opérer un transfert de ces données vers l'étranger à ce que l'État d'expédition assure un « niveau de protection adéquat » à celui du droit de l'Union. Cette condition est prévue par la directive 95/46/CE, en son article 25, et est reprise dans le RGPD, en son article 45.

Le régime juridique prévu par la directive prévoit cinq étapes préalables à ce que la Commission reconnaisse, par voie de décision, l'adéquation du niveau de protection des données à caractère personnel par un État tiers. L'initiative revient à la Commission qui présente une proposition au G29 et au Comité de l'article 31, regroupant des représentants des États membres. Ceux-là rendent chacun un avis consultatif préalable et ensuite le Parlement européen et le Conseil de l'Union contrôlent que la Commission ait respecté ses compétences d'exécution attribuées par la directive. Ils peuvent à ce titre la contraindre à modifier ou retirer le projet de décision. Enfin, la Commission adopte la décision d'adéquation. Les conditions d'adéquation fixées par la directive sont vagues. Elle précise seulement qu'il faut prendre en compte « la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées »^471(*). Une grande marge de manoeuvre semble être laissée aux institutions dans l'appréciation finale du respectd'un niveau de protection adéquat. Avec le RGPD, le régime juridique des transferts de données à caractère personnel vers des États tiers est voué à se généraliser. Ainsi le transfert de données à caractère personnel pourra être envisagé à destination d'organisations internationales et non plus seulement des États^472(*). Les conditions que les États tiers ou les organisations internationales devront respecter pour que la décision d'adéquation soit adoptée ont également été précisées. Ainsi, la Commission devra désormais s'assurer que les personnes concernées par le transfert se voient garantir des « droits effectifs et opposables » et des « recours administratifs et judiciaires » effectifs^473(*) par le régime juridique de l'État ou de l'organisation de destination. Il faudra également vérifier l'existence de « plusieurs autorités de contrôle indépendantes [...] chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer »^474(*). Cela semble témoigner d'une volonté de l'Union européenne de diffuser, voire d'imposer, son modèle régional de protection de données à caractère personnel. Elle conditionne en effet l'autorisation du libre transfert de données vers un États tiers à des niveaux d'exigences propres au droit de l'Union :en désirant traiter avec des organisations internationales, en imposant le respect du droit à un recours effectif et en exigeant qu'un contrôle soit exercé par des organismes indépendants sur ces activités.

Actuellement, l'Union européenne a adopté douze décisions d'adéquation dont l'une a fait l'objet d'une invalidation par la Cour de Justice et est aujourd'hui en voie de renégociation. Ainsi, l'Andorre^475(*), l'Argentine^476(*), le Canada^477(*), la Suisse^478(*), les îles Féroé^479(*), Guernesey^480(*), l'État d'Israël^481(*), l'île de Man^482(*), Jersey^483(*), la Nouvelle-Zélande^484(*) et l'Uruguay^485(*) sont considérés comme garantissant un niveau de protection adéquat à celui du droit de l'Union européenne. De la sorte, les opérateurs de cloud proposant leurs services à des professionnels qui sont responsables du traitement de données à caractère personnel pourrontopérer des transferts vers ces États dans des conditions similaires aux transferts de données effectués au sein de l'Union européenne.

Ces décisions d'adéquation ont donc un intérêt particulier pour les opérateurs de cloud computing qui se voient ainsi ouvrir de plus grands marchés.À cet égard,l'invalidationde la décision d'adéquation 2000/520/CE^486(*) qui autorisait les transferts de données à caractère personnel vers les États-Unis pourrait avoir une incidence importante pour les opérateurs de cloud computing. C'est ainsi que la Commission européenne négocie actuellement un nouvel accord réévaluant les garanties que les institutions américaines devraient apporter pour faire de nouveau l'objet d'une décision d'adéquation.

2 - La négociation du Privacy Shield entre l'Union européenne et les États-Unis suite à l'invalidation du Safe Harbor

Par un arrêt rendu en grande chambre le 6 octobre 2015^487(*), la Cour de Justice de l'Union européenne a invalidé la décision d'adéquation de la Commission européenne considérant que les États-Unis justifiaient d'un niveau de protection des données adéquat à celui du droit de l'Union. Dans cette affaire, un litige opposait M.Schrems, résident autrichien, au Commissaire européen suite à son refus d'enquêter sur la question de savoir si les transferts de données à caractère personnel opérés par l'entreprise Facebook Ireland Ltd vers les États-Unis respectaient les droits fondamentaux et la directive 95/46/CE. Dans cette affaire, la Cour de Justice s'est prononcée sur la validité de la décision dite Safe Harbor qui attestait de la conformité des « principes de la sphère de sécurité » américaine aux standards européens. Ces principes mettent en place un régime d'auto-certification des entreprises américaines important des données à caractère personnel en provenance de l'Union européenne. Sur cette base, plus de 5 000 entreprises se sont auto-certifiées de respecter les exigences européennes en matière de sécurité des données et de garantir de respect des droits fondamentaux^488(*). La Cour critique principalement le fait que la décision d'adéquation de la Commission n'ait que peu tenu compte du cadre règlementaire des États-Unis. En effet, elle constate d'une part que la décision 2000/520/CE ne prévoyait pas de disposition en vue de « limiter les éventuelles ingérences dans les droits fondamentaux des personnes dont les données sont transférées depuis l'Union vers les États-Unis »^489(*) ni ne garantissait « l'existence d'une protection juridique efficace contre des ingérences de cette nature »^490(*). La Cour de Justice considère d'autre part que le droit américain n'apportait pas non plus l'assurance d'une protection effective de la vie privée des personnes privées dans le traitement de leurs données à caractère personnel. Au contraire elle reproche à la réglementation américaine d'autoriser « de manière généralisée la conservation de l'intégralité des données à caractère personnel [...] sans qu'aucune différenciation, limitation ou exception soit opérée en fonction de l'objectif poursuivit et sans que soit prévu un critère objectif permettant de délimiter l'accès des autorités publiques aux données et à leur utilisation »^491(*). En somme, pour toutes ces raisons, la décision d'adéquation de la Commission n'assurait pas effectivement que les États-Unis d'Amérique garantissent un niveau de protection adéquat des données à caractère personnel^492(*). C'est ainsi que la Cour jugea de l'invalidité de la décision d'adéquation en ce qu'elle méconnait les exigences de la directive 95/46/CE lues à la lumière de la Charte des droits fondamentaux^493(*).

Cette décision est, en quelque sorte, la conséquence logique des révélations d'E. Snowden en 2013 à propos de l'Affaire PRISM et des pratiques de surveillance massive des communications électroniques des individus par l'Agence américaine de renseignements. La Cour y fait d'ailleurs explicitement référence en citant la High Court Irlandaise qui retenait que « les révélations de M.Snowden avaient démontré que la NSA et d'autres organes fédéraux avaient commis des excès considérables »^494(*). D'ailleurs, depuis 2013, les négociations ont été rouvertes entre l'Union et les États-Unis pour réviser l'accord du Safe Harbor. Mais, c'est en réalitél'arrêt Schrems qui a relancé le dialogue entre les deux partenaires. Ainsi, à l'ancien SafeHarbor devrait succéder un nouveau PrivacyShield (« Bouclier de protection de la vie privée ») dans lequel les autorités américaines devront assurer les garanties nécessaires en vue d'un droit de recours effectif des particuliers contre le traitement illégal de leurs données et une autorité indépendante chargée de vérifier le respect des droits fondamentaux desdits particuliers dans le traitement fait de leurs données à caractère personnel. En ce sens, le 29 février 2016 la Commission européenne a rendu public le projet d'accord négocié avec les États-Unis^495(*). Se prononçant à ce sujet, la commissaire européenne à la Justice, V. Jourová, a déclaré que « pour la première fois, les États-Unis ont fourni à l'Europe des assurances écrites que l'accès des pouvoirs publics [...] sera soumis à des limitations claires et à des mécanismes de contrôle [...]. Tout citoyen considérant que leurs données ont été mal utilisées aura à sa disposition de nombreuses possibilités pour rétablir la situation »^496(*). Or, à cet égard, la Commission s'est attirée les critiques des associations défenderesses des libertés publiques^497(*)et de la doctrine^498(*). Les avis à propos du nouvel accord restent en effet partagés. Dans l'ensemble le G29 a rendu un avis plutôt favorable à l'accord^499(*) en notant « the major improvements the Privacy Shield offers compared to the invalidated Safe Harbour decision »^500(*). L'essentiel dont on peut se réjouir serait la désignation par les États-Unis d'un ombudsman indépendant chargé des médiations entre les autorités américaines et les personnes concernées par le traitement de leurs données^501(*) et l'examen périodique par la Commission européenne de l'adéquation du niveau de protection garanti par les États-Unis^502(*). Aussi, le G29 exprime quelques méfiances et recommandations, dont notamment la nécessité de ne pas conserver les données collectées plus longtemps que ce qui s'avère nécessaire pour garantir la sécurité publique, que l'administration s'engage explicitement à ne plus collecter massivement et aléatoirement les données ainsi que de garantir que les pouvoirs du médiateur soient effectifs en droit américain^503(*). Dans le même sens I. Falque-Pierrotin regrette que l'accord soit complexe et qu'il se base encore sur la directive 95/46/CE alors qu'il aurait pu anticiper la réforme du règlement général sur la protection des données qui entrera en vigueur en 2018^504(*).

C'est ainsi que la méthode actuelle procédant par une décision d'adéquation à l'autorisation des transferts de données à caractère personnel vers un États tiers n'est plus efficiente en ce qui concerne les transferts vers les États-Unis. Or, en dépit de ce que la Cour de Justice de l'Union européenne a pu considérer, il est intéressant d'observer qu'en pratique des méthodes alternatives de régulation permettent encore aux opérateurs de cloud computingde procéder au transfert de données à caractère personnel aux États-Unis.

B - La méthode pragmatique des normativités alternatives

Suite à l'invalidation du Safe Harbor par la Cour de Justice, il peut paraître étonnant que les transferts de données à caractère personnel à destination des États-Unis n'aient pas cessé. Cela est juridiquement possible parce qu'en plus du mécanisme de décision d'adéquation, le droit de l'Union prévoit un régime d'exception par le recours à des procédés alternatifs de régulation. Nous étudierons ainsi que par des Binding Corporate Rules (ci-après « BCR »), c'est-à-dire des règles d'entreprises contraignantes, et par l'utilisation des contrats-types de la Commission, le transfert de données à caractère personnel vers un États tiers de l'Union européenne peut être autorisé (1). Ces procédés ont, sans nul doute, un effet économique favorable à l'industrie du cloud, notamment parce que les États-Unis recensentle nombre le plus important de data centers, mais également car les principaux opérateurs de services de cloud y sont implantés originellement. Outre cet intérêt pratique, il peut néanmoins paraître étonnant de constater le silence de la Cour à l'égard de la juridicité de ces procédés, et de douter de leur conformité aux droits fondamentaux (2).

1 - Les normes permettant le transfert de données à caractère personnel à destination d'un État tiers n'assurant pas un niveau de protection adéquat

La directive 95/46/CE ainsi que le règlement général sur la protection des données prévoient deux mécanismes alternatifs permettant le transfert de données à caractère personnel vers un État tiers, quand bien même ce dernier n'assurerait pas un niveau de protection adéquat à celui de l'Union européenne. Il s'agit principalement des règles d'entreprises contraignantes et des clauses contractuelles types de protection des données, mais le RGPDsemble en étendre la liste.

Tout d'abord, l'article 26 paragraphe 2 de la directive sur la protection des données à caractère personnel prévoit cette dérogation. Conformément à cet article, un État membre de l'Union européenne peut autoriser le transfert de données « lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes » et que « ces garanties peuvent notamment résulter de clauses contractuelles appropriées ». Si il est explicitement fait référence aux clauses contractuelles, dont la directive précise qu'il revient à la Commission de les définir^505(*), les règles contraignantes d'entreprises ne sont pas expressément nommées. Elles sont plutôt issues des nécessités de la pratique qui se traduisent dans la rédaction de codes de bonne conduite, que la directive incitait en son article 27. Ainsi, il apparaît qu'une entreprise justifiant d'une part d'une politique interne respectueuse du niveau de protection des données garanties par la directive ou d'autre part de l'exécution d'obligations contractuelles prises sur fondement des clauses contractuelles types de la Commission, puisse opérer un transfert de données vers les États-Unis sans même qu'ils soient considérés comme garantissant un niveau de protection adéquat à celui de l'Union. En ce qui concerne tout d'abord les BCR, il revient aux entreprises souhaitant en bénéficier de communiquer à une autorité nationale de protection des données les engagements de conformité pris en vertu de sa politique interne d'entreprise et justifiant un respect du droit de l'Union européenne dans le traitement des données à caractère personnel, même lorsque ceux-là sont effectués physiquement à l'étranger. L'instruction, par les autorités nationales des procédures de certification des BCR est unifiée à l'échelle européenne par le G29 agissant par voie de recommandation. Ainsi, deux types de BCR sont actuellement admises par les autorités de protection de données européennes, les premières règles ont trait aux transferts intragroupe de données et sont dites « BCR responsable de traitement »^506(*) et les secondes s'appliquent aux activités de sous-traitance du traitement des données et sont dites « BCR sous-traitant »^507(*). Pour pouvoir bénéficier de la dérogation permettant le transfert de données dans un États tiers, les BCR des entreprises devront justifier du respect de grilles d'analyses également produites par le Groupe de l'Article 29 à l'échelle européenne^508(*). À l'issue de la procédure de conformité, l'autorité nationale certifie la compatibilité des règles d'entreprises contraignantes aux principes de la directive 95/46/CE. Les entreprises justifiant de BCR auront ainsi la possibilité d'opérer des transferts sans tenir compte de l'existence préalable d'une décision d'adéquation. À titre d'exemple, la CNIL opère par déclarations simplifiées. Elle en a actuellement délivrées 27 concernant les BCR responsables de traitement et 5 concernant les BCR sous-traitant. Les bénéficiaires de ces règles internes sont essentiellement des grandes entreprises a l'instar de Michelin^509(*) et Capgemini^510(*). La Commission européenne diffuse une liste complète des entreprises bénéficiant de BCR^511(*). En ce qui concerne ensuite les clauses contractuelles types permettant le bénéfice de la dérogation déjà présentées au préalable, celles-ci permettent d'obtenir une autorisation préalable de l'autorité nationale de protection des données pour les entreprises souhaitant opérer des transferts de données vers l'étrangers en application d'un contrat les stipulant. L'intérêt de ces clauses est, rappelons-le, de prévoir contractuellement la répartition des responsabilités entre les responsables des traitements successifs ou les sous-traitants et, partant, les droits des personnes intéressées à leur encontre en cas de violation des obligations de protection de leurs données à caractère personnel. Dans les deux cas ces modes de régulation auront vocation à permettre aux clients professionnels de prestataires de cloud de continuer à avoir recours à de la sous-traitance avec des opérateurs américains et ainsi d'opérer des transferts de données à caractère personnel vers les États-Unis.

Il est intéressant, ensuite, d'étudier que le RGPD semble accroître l'intérêt accordé à ces types de normativités et, partant, aux exceptions à la décision d'adéquation. En effet, dans un article dédié aux « transferts moyennant des garanties appropriées »^512(*), le règlement met fin à l'obligation d'autorisation préalable des autorités de contrôle certifiant le respect des exigences du droit européen dans l'exportation de données. En revanche, le même article s'inscrit en continuité du régime de la directive qu'il remplacera en faisant explicitement référence aux « règles d'entreprises contraignantes » et « clauses types de protection des données adoptées par la Commission »^513(*). Mais à cela il ajoute 4 autres alternatives : « un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics », « des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission », un « code de conduite » ou « un mécanisme?de certification » tous deux assortis d'un engagement contraignant pris par l'importateur de données justifiant ainsi l'application de garanties appropriées^514(*).

C'est ainsi qu'actuellement les opérateurs de cloud computing souhaitant opérer des transferts intragroupe ou à destination d'un sous-traitant situé dans un État ne justifiant pas d'un niveau de protection adéquat peuvent tout de même y procéderavecl'autorisation de la CNIL en France ou de toute autre autorité nationale en Europe. Pour cela, il leur faudra prouver que le contrat ayant pour objet ledit transfert ou que leurs règles internes d'entreprises justifient des procédés conformes aux exigences du droit de l'Union. À l'avenir, le RGPD semble instaurer une présomption de licéité du transfert de données en n'exigeant plus d'autorisation préalable du transfert et élargit le champ des normes pouvant servir de fondement à la licéité du transfert. Cela témoigne d'une volonté déjà exprimée mais vouée à s'étendre, de la part des institutions européennes, de privilégier le recours à des modes alternatifs de normativités afin de réguler les activités de cloud computing entre professionnels et à l'échelle internationale. Mais la compatibilité de ces procédés avec les droits fondamentaux des individus au respect de leur vie privée et de la protection de leurs données à caractère personnel peut être questionnée.

2 - Le silence de la Cour de Justice sur la juridicité de ces normes

Ce qui vient d'être décrit témoigne de l'intérêt pratique des normes alternatives pour le commerce électronique et notamment pour les opérateurs de cloud computing. Il n'en demeure pas moins que des doutes sur la valeur juridique de ce type de norme persistent en théorie. Or, à cet égard, il peut être regrettable que dans l'affaire du Safe Harbor la Cour de Justice n'ait pas traité de la juridicité des normes que l'on a décrites. Pour autant, l'arrêt de la Cour s'est brièvement prononcé sur la validité du système d'auto-certification américain.

D'une part, la Cour a en effet considéré que « le recours, par un pays tiers, à un système d'autocertification n'est pas, par lui-même, contraire à l'exigence [...] selon laquelle le pays tiers concerné doit assurer un niveau de protection adéquat »^515(*). On en retient que le mécanisme d'autorégulation mis en place par les États-Unis devant attester du respect des entreprises américaines de principes dits de « la sphère de sécurité » pourrait être valide en soi. La Cour de Justice précise en revanche par la suite que la fiabilité de ce système d'auto-certification dépendrait de certains garde-fous que le régime juridique étranger devrait instaurer à travers des « mécanismes efficaces de détection et de contrôle permettant d'identifier et de sanctionner [...] d'éventuelles violations des règles assurant la protection des droits fondamentaux ». Ainsi la Cour entend conditionner la validité d'un mécanisme de régulation alternatif étranger aux garanties juridiques que prévoit le cadre règlementaire de l'État en question.

D'autre part, la Cour ne se prononce à aucune reprise sur la validité des BCR ou des contrats-types permettant aux entreprises d'opérer des transferts de données à caractère personnel vers les États-Unis d'Amérique. Aucune mention n'en est faite. Cela se justifie probablement par le fait que la Cour n'ait pas été saisie de la question de leur validité. Mais peut-être pourrions nous voir ici, a similidu raisonnement appliquéà l'auto-certification américaine, une validation implicite de ces normes européennes du fait qu'elles font l'objet d'un contrôle préalable des autorités nationales européennes de protection des données et qu'un droit de recours effectif est garanti aux particuliers qui auraient intérêt à agir. Néanmoins, la question mériterait d'être posée. En effet, qu'en serait-il de la conformité de ces normes aux droits fondamentaux sous le régime juridique du règlement général de la protection des données à caractère personnel qui abolit la condition d'autorisation préalable ? Aussi, la problématique soulevée par l'invalidation du Safe Harbor a trait à la conciliation entre le droit fondamental à la protection de la vie privée des individus et l'objectif légitime de maintien de la sécurité aux États-Unis. La Cour met d'ailleurs en cause la disproportion des mesures prises par les autorités américaines qui conduisent, pour des motifs sécuritaires, à opérer un traitement massif et systématique des données à caractère personnel des personnes privées européennes. Or, une question doit alors nous interpeller : comment est-ce que l'emploi, par une entreprise, de BCR ou de clauses contractuelles types pourrait assurer aux utilisateurs d'un service opérant un transfert de données vers les États-Unis que les autorités américaines ne portent pas atteinte au respect de leur vie privée ? Il semblerait en effet que si ces mécanismes sont profitables à l'économie numérique et donnent des solutions viables pour les opérateurs de cloud computing dans leurs activités entre professionnels, celles-ci ne garantissent pas aux utilisateurs, personnes physiques, que leurs données n'échappent au contrôle des autorités américaines chargées de la sécurité. Cette remarque a déjà été soulevée par le Parlement européen qui, dans une note de 2013, se prononçait sur le système des clauses-contractuelles types diffusées par la Commission. Ildéclarait clairement que :

« Les révélations concernant le programme PRISM illustrent de manière frappante le caractère insensé de ce stratagème juridique. Aucune autorité ne peut, dans un contexte civil impliquant des acteurs privés, garantir le droit au respect de la vie privée lorsqu'un acteur tel que la NSA enfreint ce droit en tentant d'accéder aÌ des données en opérant selon des règles qui lui sont propres et de manière légale aÌ ses yeux. 

[...]

En leur qualité réputée de mécanismes juridiques de protection des droits et d'obtention de réparations en cas de mesures de sécurité insuffisantes ou de mauvaises pratiques en matière de protection de la vie privée, ces contrats (et leurs clauses « modèles ») se sont avérés inutiles, dans la mesure ouÌ ils n'ont donneì lieu aÌ aucune procédure juridique. »^516(*) (mention en gras non ajoutée).

CONCLUSION

C'est ainsi que l'apport du droit de l'Union européenne en droit des contrats de service decloud computing conclus entre professionnels pourrait consister enla définition d'un cadre juridique unifié destiné à sécuriser et faciliter les transactions au sein du marchéunique numérique. Néanmoins, un tel projet pourrait rencontrer des difficultés institutionnelles et politiques majeures. D'ailleurs, aucuneproposition n'a encore été avancée en la matière. Notons également que les institutions de l'Union européenne ont actuellement recours à des formes alternatives de normativité et de régulation pour sécuriser contractuellement les activités de cloud computing et encourager les opérateurs à adopter de bonnes pratiques dans leurs prestations de services, notamment à l'international. De cela pourrait être induite l'opportunité d'un usage, au sein même du marché intérieur, de ces modes de régulation. C'est également la pratique que semble privilégier la CNILen publiant des recommandations et clauses contractuelles types à destination des professionnels désireux de souscrire à des services de cloud.Ces modes de régulations seraient d'ailleurs adaptés aux activités de commerce électroniques par leurs caractéristiques techniques, internationales et respectueuses de la liberté contractuelle des opérateurs économiques. OEuvrant de la sorte, la Commission pourrait alors atteindre son objectif d' « exploiter le potentiel de l'informatique en nuage » et de favoriser le développement du marché unique numérique. Néanmoins, si tel est le cas, l'apport du droit de l'Union européenne s'exposerait à des critiques concernant tant la légitimité des institutions dans leur action, que la validité de ces types de normesau regard des droits fondamentaux,notamment lorsqu'elles permettent des transferts de données à destination d'États non membres de l'Union européenne.

Au terme de cette étude de nombreuses questions restent en suspens quant à l'opportunité d'une intervention de l'Union européenne en droit des contrats de cloud computing. L'examen de l'apport du droit de l'Union européenne sur le droit applicable aux contrats de cloud computingconclus entre professionnels et consommateurs aurait probablement mérité d'aussi longs développements. Néanmoins, le projet de directive relative aux contrats de fourniture de contenu numérique prouve peut-être que l'intervention de l'Union serait facilitée si elle s'inscrivait au bénéfice des consommateurs. De plus, une étude comparée des méthodes de régulations employées par les autorités américaines pour faciliter le développement du cloud serait également envisageable, notammentparce que les États-Unis sont historiquement liés au développement du cloud computing. De même, une étude comparée avec le droit canadien serait pertinente quant à l'appréhension des activités de cloud par un système originellement bijuridique et bilingue. Enfin, l'opportunité de la comparaison du droit de l'Union au droit canadien serait également propice à l'examen des conditions dans lesquelles les transferts de données à destination des États-Unis sont encadrées par les autorités canadiennes.

Annexe1 - Schématisation de la répartition des tâches entre l'entreprise et le prestataire suivant les modèles de service de cloud computing fournis

SOURCE :Me Cathie-Rosalie JOLY, Le cadre juridique des contrats de cloud, med-it 4ème salon international des technologies de l'information, Disponible en ligne sur < http://www.ulys.net/upload/conferences/doc/14-11-2012 - Casablanca - Contrats Cloud - Me CR JOLY -.pdf>.

Annexe2 - Développement des usages du cloud computing en France

SOURCE : http://www.orange-business.com/files/styles/large/public/Blog/1_1.png?itok=FFuZ9DHF

Annexe 3 -panel représentatif de l'etude comparee des contrats de cloud computing

Common law :

- Le Royaume-Uni

- Les États-Unis

Droit de tradition germanique :

- L'Allemagne

Droit de tradition civiliste :

- La France

- Les Pays-Bas

Droit nordique :

- La Suède

Droit romain :

- L'Italie

Droit d'Europe de l'Est :

- La Pologne

SOURCE : European Commission, Comparative study on cloud computing contracts, Final report, Annex 2, methodology and sample country selection, WP2, march 2015, pp.19-20.

Annexe 4 - Impact du droit des contrats sur le commerce transfrontalier

SOURCE :Commission européenne, rapport : le droit européen des contrats dans les transactions interentreprises, résume flash eurobaromètre, 2011, p. 8.

Annexe 5 - Le modele de droit européen des contrats preféré

SOURCE :Commission européenne, rapport : le droit européen des contrats dans les transactions interentreprises, résume flash eurobaromètre, 2011, p. 11.

GLOSSAIRE^517(*)

BANDE PASSANTE -

La bande passante représente le débit d'une connexion, et évoque généralement la fréquence maximale disponible pour effectuer des transmissions.

CHIFFREMENT DES DONNÉES -

Le chiffrement est une technique de cryptographie destinée à sécuriser les données, immobiles ou mobiles, et l'accès à un service. Il est synonyme de « codage » ou de « cryptage ». Les personnes pouvant avoir accès aux informations chiffrées sont généralement en possession d'un mot de passe ou d'une clé de décryptage appropriés.

INTEROPÉRABILITÉ -

Qualité permettant à des systèmesdifférents de fonctionner de manière coordonnée, simultanée et de s'adapter à différents produits, logiciels ou programmes.

INFRASTRUCTURE INFORMATIQUE -

L'infrastructure informatique est l'ensemble des serveurs, espaces de stockage et autres composantes permettant la fourniture des services de cloud. Pour cela, le matériel utilisé doit répondre aux critères de capacité, flexibilité et de sécurité nécessaires pour le type de service fourni.

MACHINE VIRTUELLE -

Une machine virtuelle permet de créer un système informatique virtuel adapté à l'usage souhaité et indépendamment des caractéristiques physiques de la machine physique. Elle peut également permettre la séparation virtuelle des serveurs pour un usage partagé (cf. virtualisation). Ainsi, une machine virtuelle donne l'illusion de l'existence de plusieurs ordinateurs en dépit de l'unité du système physique.

PARE-FEU -

Le pare-feu est un programme ou un logiciel permettant le contrôle de la sécurité d'un réseau et des accès qui y sont effectués. Il bloque par exemple les tentatives d'entrée d'opérateurs malveillants et est ainsi le gage de la sûreté d'un réseau privé.

PORTABILITÉ -

Caractère d'un programme, logiciel ou service dont l'usage ou l'accès peut être effectué sur ou à partir de plusieurs ordinateurs, systèmes d'exploitation et lieux différents.

SERVEUR -

Système informatique dont la connexion permet à un utilisateur une pluralité d'usages dont ceux de logiciels, de bases de données ou autres services. On emploie généralement le terme de serveur pour désigner le matériel informatique servant de base à la prestation de différents services informatiques.

VIRTUALISATION -

La virtualisation est le procédé qui permet de partitionner un serveur physique en plusieurs machines virtuelles. Cela est particulièrement utile pour assurer, via le cloud, une mise en service rapide des serveurs et permet leur utilisation rentable et plus efficiente.

VPN -

De l'anglais Virtual Private Network, le VPN désigne un réseau privé virtuel qui permet l'accès protégé à un service distant. Le VPN donne l'illusion d'un usage privé d'un système informatique similaire à celui qui peut être fait sur un réseau local.

BIBLIOGRAPHIE

I - OUVRAGES

A - Manuels :

C. Blumann, L. Dubouis, Droit matériel de l'Union européenne, Montchrestien, 6^ème édition, 2012, Paris, 805 pages.

C. CASTETS-RENARD, Droit de l'internet : droit français et européen, Montchrestien, Collection Cours, Lextenso éditions, éd. 2012, 492 pages.

G.CORNU, Association Henri Capitant, Vocabulaire juridique, éditions PUF, Quadrige, 11^ème édition, Paris, 2016, 1100 pages.

M. FABRE-MAGNAN, Droit des obligations, 1 - Contrat et engagement unilatéral,3édition, Puf, 201, Paris, 748 pages.

P. MALAURIE, L. AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, 7^ème édition LGDJ, Lextenso éditions, Paris, 2014, 712 pages.

M.-L. NIBOYET et G.DE GEOUFFRE DE LA PRADELLE, Droit international privé, LGDJ, Lextenso éditions, Issy-les-Moulineaux, 2015, 712 pages.

L. SIORAT, Le problème des lacunes en droit international, Librairie générale de droit et de jurisprudence, Paris, 1959, 479 pages.

Lexique des termes juridiques 2011, Dalloz, 18^ème édition, 917 pages.

B - Ouvrages spécialisés :

1. Le cloud computing

J.-P. BRIFFAUT et F.STEPHAN, Cloud computing, évolution technologique, révolution des usages, Lavoisier, 2013, Paris, 268 pages.

Sous la direction de B. FAUVARQUE-COSSON et C.ZOLYNSKI, Le cloud computing, l'informatique en nuage, Société de législation comparée, actes du Colloque du 11 octobre 2013, Collection colloques, volume 22, 160 pages.

V. GAUTRAIS, Neutralitéì technologique : rédaction et interprétation des lois face aux changements technologiques, Les éditions Thémis, 269 pages.

P. LE TOURNEAU, Contrats informatiques et électroniques, Dalloz référence, Paris, 2014, 521 pages.

P. MUSSO, la « révolution numérique » : techniques et mythologies, La Pensée, 2008, 26 pages.

G. PLOUIN, Cloud computing, sécurité, gouvernance du SI hybride et panorama du marché, Dunod, 4^ème édition, 2016, Paris, 269 pages.

V.J.R. WINKLER, La sécurité dans le Cloud. Techniques pour une informatique en nuage sécurisée, Pearson, Paris, 2011, 314 pages.

J. GUALINO, Dictionnaire pratique, Informatique, internet et nouvelles technologies de l'information et de la communication, Gualino, Paris, 2005, 506 pages.

H. LILEN, Dictionnaire informatique & numérique, First, Paris, 2014, 251 pages.

2. Le droit des contrats

Sous la direction de M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen des contrats. Réponses du réseau Trans Europe Experts, Société de Législation Comparée, 2011, Paris, 255 pages.

M. CLERMONT, Le rapprochement du droit européen des contrats, enjeux et perspectives, sous la direction du Professeur Jamin C., Université de Lille 2 du droit et de la santé, 2003, 117 pages.

K. GARCIA, Le droit civil européen, nouvelle matière, nouveau concept, Larcier, Bruxelles, 2008, 680 pages.

Sous la direction de D. VOINOT et J. SÉNÉCHAL, Vers un droit européen des contrats spéciaux, Larcier, Bruxelles, Code économique européen, 2012, 232 pages.

3. Le rapprochement des législations

Sous la direction de S. CORNELOU et N. JOUBERT, Le règlement communautaire « ROME I » et le choix de loi dans les contrats internationaux, LexisNexis, Litec, Paris, 2011, Vol.35, 487 pages.

S.NADAUD, « Codifier le droit civil européen », Larcier, Bruxelles, 2008, 463 pages

J. PORTA, La réalisation du droit communautaire. Essai sur le gouvernement juridique de la diversité, éd. Varenne, Tome I, 2008, 443 pages.

J. PORTA, La réalisation du droit communautaire. Essai sur le gouvernement juridique de la diversité, éd. Varenne, Tome 2, 2008, 478 pages.

Sous la direction de R.SEFTON-GREEN et L.USUNIER,La concurrence normative, mythes et réalités, Société de législation comparée, Collection de l'UMR de droit comparé de Paris, Vol. 33, 2012, 298 pages.

A.-M. THIESSE, La création des identités nationales, Europe XVIIIe-XIXe siècle, Édition du Seuil, 2001, 307 pages.

F. VIANGALLI, La théorie des conflits de lois et le droit communautaire, PUAM, Aix-en-Provence, 2004, 515 pages.

4. Les normativités alternatives

K.BENYEKHLEF, Une possible histoire de la norme, les normativités émergentes de la mondialisation, éditions Thémis, 2008, Montréal, 934 pages.

J. CHEVALLIER, L'État post-moderne, L.G.D.J, droit et société, 2004, 272 pages.

B. FRYDMAN, Petit manuel pratique de droit global, Académie Royale de Belgique, Col. L'Académie en poche, vol.48, Bruxelles, 2014, 128 pages.

V.LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, LexisNexis, 2015, 370 pages.

II - ARTICLES

A. Le cloud computing

A. BENSOUSSAN, « Le cloud au service de l'avocat », Gazette du palais, 15 octobre 2011 n°288.

C. BERNAULT, « Informatique en nuage et données personnelles : quand l'informatique est dans les nuages, les données personnelles s'envolent ! », RDLI, 2012/78, p.82-87.

E. BARBRY et K. BERBETT, « Cloud computing : attention à la réversibilité », Stratégie internet n°177, nov-déc 2013.

F. CHAFFIOL-CHAUMONT et A. DAVID, « Entrer dans l'ère du Cloud Computing en maîtrisant ses aspects contractuels », Cahiers de droit de l'entreprise n°2, 2010.

G. CHANTEPIE,« L'inexécution du contrat de cloud computing », RLDI nov. 2013, n° 3272, pp. 115-120.

G. CORDIER et A. JOBARD,« Les sept recommandations de la CNIL en matière de cloud computing : nécessaires mais pas suffisantes »,RLDI, août-sept. 2012, n° 2871,pp. 89-92.

B. DELMAS-LINEL, « Promesses du Cloud computing et protection des données à caractère personnel : la remise en question du cadre juridique français et européen », Lexbase n°292, 12 avril 2012.

N. DUBOIS et C. HELLENDORFF,  « La protection des données et le cloud computing », RLDI, nov. 2013, n° 3273, pp.121-125.

Rédaction LEXTENSO et C. BERREBI, « Le Cloud privé des avocats, le secret professionnel et la confidentialité des correspondance », Gazette du Palais, 18 octobre 2014, n° 291, p. 12 et s.

M. GRIGUER, « Cloud computing et protection des données personnelles : clôture des débats ? », Cahiers de droit de l'entreprise, n°4, juill. 2012, prat. 20.

P-Y GAUTIER, « du contrat de dépôt dématérialisé : l'exemple du « cloud computing», in. B.TEYSSIÉ, La communication numérique, un droit, des droits, éd. Panthéon-Assas, Paris, 2012, p.157.

J. HUET, « Responsabilité du fournisseur de service dans une intégration de système », RDCO, 1^er déc. 2015, n°4.

B. JACOB, « « cloud computing » les points clés des contrats », Expertises, mars 2011, p.107.

D. LEBEAU-MARIANNA et E-C.VERMYNCK, « Le passage au Cloud Computing : une nécessaire coopération entre l'informatique et le juridique afin de ne pas rester dans les nuages ! », RLDI, 2011, p.53-56.

N. MARTIAL-BRAZ, « Les géants de l'Internet et le Cloud Computing », in.L'effectivité du droit face à la puissance des géants de l'Internet, Sous la direction de M.BEHAR-TOUCHAIS, IRJS éditions, pp. 107-116.

A. PORTMANN, « Le cloud privé des avocats enfin lancé », Dalloz actualité, 14 mars 2016.

E. SORDET, R. MILCHIOR, « Le cloud computing, un objet juridique non identifié », Communication Commerce Electronique, 2011, n°11, p.12.

E. SORDET, R. MILCHIOR, « La définition des contours juridiques du cloud computing », Communication Commerce Electronique, 2012, n°11, p.7.

N. WEINBAUM, « La protection des données personnelles à l'épreuve du nuage informatique », La Semaine Juridique, 13 novembre 2014, n°46, 1, 1578, p.37.

C. LE DOUARON, « Numérique : le cloud privé des avocats sera opérationnel en décembre 2015 », Dalloz actualité, 1^er juillet 2015.

B. Le droit des contrats

J. BASEDOW, « Un droit commun des contrats pour le Marché commun », RIDC, 1998, vol. 50, n°1, pp. 7-28

G. BRUNAUX, « Cloud computing, protection des données : et si la solution résidait dans le droit des contrats spéciaux ? », Dalloz, 2013, n°19, p.1158.

P.-Y. GAUTIER, « Le dépôt : exercices de qualification », Lextenso, Revue des contrats, 01 mars 2014 n° 1, p. 149.

L. GRYNBAUM, « Réforme du droit des contrats : synthèse du droit français et convergences avec le droit européen », RLDI, mars 2016, n°124,pp. 37-43.

A. JEAMMAUD, « Unification, uniformisation, harmonisation : de quoi s'agit-il? », in.Vers un code européen de la consommation, Bruxelles, Bruylant, 1998, pp. 35-55.

N.MARTIAL-BRAZ, « Le droit des contrats à l'épreuve des géants d'Internet», in.L'effectivité du droit face à la puissance des géants de l'Internet, Sous la direction de M.BEHAR-TOUCHAIS, IRJS éditions, pp. 61-72.

B.POIDEVEVIN et A.ARBUSA, « Les enjeux contractuels du Cloud computing », Comm. Com. Electr. 2011 n°2, p.2-3.

J. SÉNÉCHAL,« Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir », RLDI, nov. 2013, n° 3269. pp. 90-103.

D.SINDRES, « Contrat, principe d'autonomie et analyse économique du droit international privé », in.La concurrence normative, mythes et réalités, Sous la direction de R.SEFTON-GREEN et L.USUNIER, Société de législation comparée, Collection de l'UMR de droit comparé de Paris, Vol. 33, 2012, pp.172-188.

C. Le rapprochement des législations

B. BONNAMOUR, « Modernisation du marché unique, Cadre Commun de Référence et droit privé européen », RLDA, 2008, n°23, pp. 62-63.

H. CLARET, « Le défi du langage (déterminabilité d'un droit européen des contrats et pluralisme linguistique) », Les défis de l'harmonisation européenne du droit des contrats, Université de Savoie, 2012. <hal-01120176>.

L. FIN-LANGER, « L'intégration du droit du contrat en Europe », in. Critique de l'intégration normative, sous la direction de M.DELMAS-MARTY, PUF, Paris, 2004, pp. 37-111.

S. GLANERT, « Comparaison et traduction des droits : à l'impossible tous sont tenus », in.Comparer les droits, résolument, sous la direction de P. Legrand, pp. 279-311.

P. LAGARDE, « Les interprétations divergentes d'une loi uniforme donnent-elles lieu à un conflit de lois ? (à propos de l'arrêt HOCKE de la Section commerciale du 4 mars 1963) » , in. Revue critique de droit international privé, 1964 pp. 235-251.

J. LIPENS, « Les constantes de l'unification du droit privé », In. Revue Internationale de Droit Comparé, Paris, 1958 pp. 277-297.

C. MIALOT ET P.DIMA EHONGO, « De l'intégration normative à géométrie et à géographie variable », in. Critique de l'intégration normative, sous la direction de M.DELMAS-MARTY, PUF, Paris, 2004, pp. 25-36.

A. RAYNOUARD, « La contestation des indicateurs Doing Business : un positionnement politique », Petites affiches, 11 septembre 2009, n°182.

R.SEFTON-GREEN, « Concurrence normative, performance juridique et nationalisme juridique à la lumière de l'instrument optionnel en droit commun européen de la vente », in.La concurrence normative, mythes et réalités, Sous la direction de R.SEFTON-GREEN et L.USUNIER, Société de législation comparée, Collection de l'UMR de droit comparé de Paris, Vol. 33, 2012, pp.189-208.

D. Les normativités alternatives

C.CHASSIGNEUX « aterritorialité des atteintes face aux logiques territoriales de protection juridique et problème de l'absence d'homogénéité des législations protectrices (quid des safe harbor principles) » Lex electronica, 2004, vol.9, n°2.

M. EMANEMEYO, « La force normative « invisible » de la Soft law para-législative de l'Union européenne en droit privé des contrats », Revue de l'Union européenne, 2014, p.94.

F. NAFTALSKI, « La sous-traitance internationale de la prestation de cloud computing et les Binding Corporate Rules (BCR) », RLDI, nov. 2013, n° 3275.

M.-C. ROQUES-BONNET, « Cloud computing : les actions de la CNIL démontrant l'existence d'un nouveau mode de régulation », RLDI, nov. 2013, 3274, pp.126-137.

E. Expertises

Commission européenne, Le droit européen des contrats dans les transactions interentreprises, résumé flash eurobaromètre, rapport 2011.

Green Peace, How clean is your cloud ?, april 2012.

IBM, Ponemon Institute : 2015 Cost of Data Breach Study: Global Analysis , may 2015.

International Data Protection, Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take- up, 2012.

III - LÉGISLATION

A - Droit de l'Union européenne

1. Travaux préparatoires, propositions, communications, rapports 

Communication de la Commission au Conseil et au Parlement européen, « concernant le droit européen des contrats », (2001/C 255/01).

Communication de la Commission au Parlement européen et au Conseil, « concernant un plan d'action pour un droit européen des contrats plus cohérent », (2003/c 63/01).

Communication de la Commission au Parlement européen et au Conseil, « EUROPE 2020 - Une stratégie pour une croissance intelligente, durable et inclusive », COM(2010) 2020 final.

Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 26 août 2010 « Une stratégie numérique pour l'Europe »,COM (2010) 245/2.

Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Le haut débit en Europe: investir dans une croissance induite par le numérique », COM(2010) 472 final.

Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Exploiter le potentiel de l'informatique en nuage en Europe », COM(2012) 529 final.

Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Le marché unique des télécommunications », Bruxelles, le 11.9.2013 COM(2013) 634 final.

Communication de la commission au parlement européen, au conseil, au comité économique et social européen et au comité des régions, Programme de travail de la Commission pour l'année 2015, « Un nouvel élan », COM(2014) 910 final.

Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comiteì des régions, « Vers un cadre moderne et plus européen pour le droit d'auteur », Bruxelles, le 9.12.2015 COM(2015) 626 final.

Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final - 2011/0284 (COD).

Proposition de règlement du parlement européen et du conseil visant à assurer la portabilité transfrontière des services de contenu en ligne dans le marché intérieur, COM(2015) 627 final, 2015/0284 (COD).

Proposition de directive du Parlement européen et du Conseil concernant certains aspects des contrats de ventes en ligne et de toute autre vente aÌ distance de biens, 2015/0287 (COD).

Résolution législative du Parlement européen du 26 février 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM(2011)0635 - C7-0329/2011 - 2011/0284(COD), (Procédure législative ordinaire: première lecture).

Parlement européen, rapport sur l'exploitation du potentiel de l'informatique en nuage en Europe, 24 octobre 2013, (2013/2063(INI)).

Parlement européen, résolution du 26 mai 1989, JO C 158 du 26.6.1989.

Association HENRICAPITANT des Amis de la Culture Juridique Française, Projet de Cadre Commun de référence principes contractuels communs, Société de Législation Comparée, 2008, Collection droit privé et européen, volume 7, dirigée par B. FAUVARQUE-COSSON.

Académie des privatistes européens, Avant projet de Code européen des contrats, 2004, édition de poche revue et corrigée par L.Gatt, MILANO-DOTT. A. GIUFFRE' EDITORE, 2004.

Cloud Select Industry Group, Draft Data Protection Code of Conduct for Cloud Service Providers.

Draft, Commission implementing decision of XXX, pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield.

European Commission, Comparative Study on Cloud computing contracts, Final report, Prepared by DLA Pipper UK LLP, march, 2015.

K.-H. LEHNE, Rapport sur la communication de la Commission au Conseil et au Parlement européen concernant le rapprochement du droit civil et commercial des États membres, COM(2001) 398, C5-0471/2001, 2001/2187 (COS).

Livre vert de la Commission relatif aux actions envisageables en vue de la création d'un droit européen des contrats pour les consommateurs et les entreprises,COM(2010)348 final.

Principles, Definitions and Model Rules of European Private Law?Draft Common Frame of Reference (DCFR), Prepared by the? Study Group on a European Civil Code?and the?Research Group on EC Private Law (Acquis Group) Based in part on a revised version of the Principles of?European Contract Law.

2. Règlements, directives, décisions, avis

Directive 95/46/CE, du Parlement européen et du Conseil du 24 octobre 1995, relative aÌ la protection des personnes physiques aÌ l'égard du traitement des données aÌ caractère personnel et aÌ la libre circulation de ces données, JO n° L 281, 23.11.1995.

Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»), JO n° L 178 du 17/07/2000.

Directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marcheì intérieur (« directive service »), JO n° L 376 du 27.12.2006.

Règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale, JO n° L 012 du 16/01/2001 p. 0001 - 0023.

Règlement (UE) n ° 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale, JO n° L 351, 20.12.2012, p. 1-32.

Règlement n°593/2008 du Parlement européen et du Conseil du 17 juin 2008, sur la loi applicable aux obligations contractuelles (« Rome I »), JOn° L 177, 4.7.2008.

G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant», 16 février 2010, 00264/10/FR WP 169.

G29, Avis 05/2012 sur l'informatique en nuage, 1^erjuillet 2012, 01037/12/FR WP 196.

Article 29 Data Protection Working Party, Opinion 02/2015 on C-SIG Code of Conduct on Cloud Computing, 22 September 2015, 2588/15/EN WP 232.

Contrôleur européen de la protection des données, avis relatif à la communication de la Commission intitulée « exploiter le potentiel de l'informatique en nuage », 2013/C 253/03.

Comité économique et social européen, avis «Le 28e régime - une option pour moins légiférer au niveau communautaire» (avis d'initiative), Rapporteur :M. PEGADOLIZ, 2011/C 21/05.

Comité économique et social européen, avis « L'informatique en nuage (cloud computing) en Europe », (avis d'initiative), Rapporteur : M. PIGAL, 26 octobre 2011, TEN/452, p.2, pt. 1. et 5.

Comité économique et social européen, Avis sur la Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Exploiter le potentiel de l'informatique en nuage en Europe », Rapporteur: M. PIGAL, 16 janvier 2013, TEN/494.

Commission européenne, Décision du 26 avril 2010 portant création du groupe d'experts pour un cadre commun de référence dans le domaine du droit européen des contrats, (2010/233/UE).

EU Expert Group on Cloud Computing Contracts, Cloud Computing Contracts - Discussion Paper on Subcontracting, march 25, 2014.

B - Droit français

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JORF n°0035 du 11 février 2016.

CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing.

CNIL, Synthèse des réponses aÌ la consultation publique sur le Cloud computing lancée par la CNIL d'octobre aÌ décembre 2011 et analyse de la CNIL.

Conseil Économique Social et Environnemental, l'influence de la France sur la scène européenne et internationale par la promotion du droit continental, M^e D. GORDON-KRIEF, Septembre 2014.

Conseil d'État, Le droit souple, étude annuelle 2013, n°64.

Avis de la Commission générale de terminologie et de néologie, JO 6 juin 2010, texte 42.

IV - DÉCISIONS DE JUSTICE

A - COUR DE JUSTICE DES COMMUNAUTÉS EUROPÉENNES

CJCE, Johannes Henricus Maria van Binsbergen c/ Bestuur van de Bedrijfsvereniging voor de Metaalnijverheid, 3 décembre 1974, affaire 33-74.

CJCE, H. Shenavai contre K. Kreischer, 15 janvier 1987, affaire 266/85.

CJCE, Jakob Handte, 17 juin 1992, affaire C-26/91.

CJCE, ENKA BV, 23 novembre 1997, affaire n°38-77.

CJCE, 5 octobre 1999, Royaume d'Espagne c/ Commission des Communautés européennes, affaire C-240/97.

CJCE, Tacconi, 17 septembre 2002, affaire C-334/00.

CJCE, Google France et Google, 12 juillet 2011, affaires jointes C?236/08 et C?238/08.

CJUE, Wood Floor, 11 mars 2010, affaire C?19/09.

CJUE, Peter Pammer, 7 décembre 2010, affaires jointes C-585/08 et C-144/09.

CJUE, eDate et Martinez, 25 octobre 2011, affaires jointes,C?509/09 et C?161/10.

CJCE, Pannon GSM, 4 juin 2009, C-243/08.

B - Droit français

Cass.,Com., 4 mars 1963, n°137.

Cass.,3^ème Civ., du 22 octobre 1980, n°78-40.830. 

Cass.,Com., 22 octobre 1996, n°93-18632. 

Cass.,1^èreCiv., 2 décembre 1997, n°95-16720.

Cass.,Com., 11 octobre 2005, n°03-10975.

Cass.,1^èreCiv., 4 février 1969, Soc. des comédiens français, n°60.

Cass.,Com., 29 juin 2010, n°732.

Cass.,Com., 30 mai 2006, n°04-14.974.

Cass.,soc., 18 Avril 2014, Infirmation, n° 13/00894.

Tribunal de Grande Instance, Nanterre, Ordonnance de référé, 30 novembre 2012, UMP / Oracle, n° 12/02746.

V - PRESSE ELECTRONIQUE

M. SERRES, INRIA, Les nouvelles technologies : révolution culturelle et cognitive,intervention du 11 décembre 2007, disponible sur : < http://www.ac-grenoble.fr/ien.bourgoinashnord/IMG/pdf_Texte_de_la_conference.pdf >.

ENISA, Cloud Security Guide for SMEs, Cloud computing security risks and opportunities for SMEs, april 2015, 50 pages, disponible sur : < https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes >.

P.-Y. GAUTIER, Association H. CAPITANT, le contrat bouleversé ou non par l'électronique : un rapport critique, 11 pages, disponible sur : < http://www.henricapitant.org/sites/default/files/France_1.pdf >.

M.SARR, « Droit souple et commerce électronique », Jurisdoctoria n°8, 2012, pp. 51-74, disponible sur < http://www.jurisdoctoria.net/pdf/numero8/aut8_SARR.pdf >.

S. PEYROU,Transfert de données personnelles de l'UE vers les États-Unis : du « Safe Harbor » à l' « EU-US Privacy Shield », réel épilogue ou simple péripétie ?, Réseau Universitaire Européen CDRE, 14 février 2016, disponible sur < http://www.gdr-elsj.eu/2016/02/14/droits-fondamentaux/transfert-de-donnees-personnelles-de-lue-vers-les-etats-unis-du-safe-harbor-a-l-eu-us-privacy-shield-reel-epilogue-ou-simple-peripetie/ >.

INDEX

Binding Corporate Rules, .............................................. 110 et s.

Cloud computing, ...................................................... 12 et s., 48et s., 86 et s., 99 et s.

Code de conduite, ...................................................... 94, 99, 103 et 113.

Concurrence normative, ............................................... 61 et s.

Conflit de juridictions, ................................................. 39 et s., 64 et s.

Conflit de lois, ......................................................... 41 et s., 65 et s.

Contrats-types, ......................................................... 93 et s., 111 et s.

Comparative study on cloud computing contracts, ................ 37 et s., 62, 90, 119.

Données à caractère personnel, ....................................... 15, 28 et s., 57 et s., 75, 88, 95 et s.

Décision d'adéquation, ................................................. 106 et s.

Droit commun européen de la vente, ................................ 26, 53 et s., 66, 75 et s., 89.

Harmonisation, .......................................................... 73 et s.

Normes ISO, ............................................................. 97, 98, 100, 103.

Petites et moyennes entreprises, ...................................... 50, 52 et s., 60, 67 et s., 78 et s.

Réversibilité des données, ............................................. 35, 49, 57, 80, 90, 97.

Soft law, ................................................................. 92 et s., 104 et s.

Sous-traitance, .......................................................... 15, 30, 50, 58, 95 et s., 112.

Transfert de données vers un État tiers, .............................. 96 et s., 106 et s.

Unification, .............................................................. 18, 70 et s., 81 et s.

TABLE DES MATIÈRES

REMERCIEMENTS ......................................................................................... 5

SOMMAIRE ................................................................................................. 7

INTRODUCTION 11

CHAPITRE 1 - L'INADAPTATION DU DROIT ACTUEL AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 23

SECTION 1 - L'ETAT DU DROIT APPLICABLE AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 23

§ 1 - Le droit substantiel applicable aux contrats internationaux de cloud computing 23

A - L'influence du droit de l'Union européenne sur le droit applicable aux contrats internationaux de cloud computing 24

1 - L'influence du droit du marché intérieur sur la conclusion des contrats transfrontières de cloud computing 24

2 - L'influence du droit de l'Union européenne sur le régime juridique applicable aux contrats internationaux de cloud computing 25

B - L'application des droits nationaux aux contrats internationaux de cloud computing : l'exemple du droit français 30

1 - L'application du droit français aux contrats de cloud computing 31

2 - La diversité des droits nationaux applicables aux contrats de cloud computing 37

§ 2 - Les règles de droit international privé applicables aux contrats internationaux de cloud computing 39

A - Les règles de conflit de juridictions applicables aux contrats internationaux de cloud computing 39

1 - La clause attributive de juridiction 40

2 - La juridiction compétente à défaut de choix des parties 41

B - Les règles de conflit de lois applicables aux contrats internationaux de cloud computing 41

1 - Le règlement Rome I sur la loi applicable aux obligations contractuelles 41

2 - La clause « marché intérieur » de la directive relative au commerce électronique 43

SECTION 2 - LES DÉFAUTS DU DROIT APPLICABLE AUX CONTRATS INTERNATIONAUX DE CLOUDCOMPUTING 46

§ 1 - Les défauts du droit substantiel applicable aux contrats internationaux de cloud computing 47

A - Les difficultés d'appréhension des activités internationales de cloud computing par le droit actuel 47

1 - Les difficultés pratiques inhérentes au cloud computing 48

2 - L'inadaptation des réponses du droit actuel aux problèmes pratiques du cloud computing 54

B - Les défauts liés à la diversité des droits nationaux applicables aux contrats internationaux de cloud computing 59

1 - La diversité des droits nationaux comme entrave au bon fonctionnement du marché intérieur 59

2 - La diversité des droits nationaux comme source de concurrence normative entre États membres 61

§ 2 - Les défauts des règles de droit international privé applicables aux contrats internationaux de cloud computing 63

A - Les défauts des critères de rattachement du droit international privé applicable aux contrats internationaux de cloudcomputing 63

1 - Les défauts des règles de conflit de juridictions 64

2 - Les défauts des règles de conflit de lois 65

B - Vers des critères protecteurs des utilisateurs professionnels les plus faibles ? 66

1 - Les défauts de la désignation de la loi du pays d'origine du prestataire de service 67

2 - L'opportunité de la protection des utilisateurs professionnels les plus faibles 67

CHAPITRE 2 - L'APPORT DU DROIT DE L'UNION EUROPEENNE EN DROIT DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 69

SECTION 1 - L'APPORT POTENTIEL D'UN DROIT DE L'UNION EUROPÉENNE DES CONTRATS INTERNATIONAUX DE CLOUD COMPUTING 69

§ 1 - L'intérêt d'un droit européen des contrats de cloud computing 70

A - La gestion de la diversité des droits nationaux par l'Union européenne 70

1 - L'unification des droits nationaux 71

2 - L'harmonisation des droits nationaux 73

B - L'opportunité d'un rapprochement des législations en droit des contrats de cloud computing 75

1 - L'intérêt limité des projets relatifs au droit des contrats de fourniture de contenu numérique 75

2 - L'opportunité d'une unification supplétive du droit des contrats de cloud computing 77

§ 2 - Les limites à l'unification européenne du droit des contrats de cloud computing 81

A - Les limites inhérentes à l'unification européenne du droit des contrats 81

1 - Les limites inhérentes à l'unification des droits 81

2 - Les particularités du droit des contrats 84

B - Les limites d'une unification européenne du droit des contrats de cloud computing 86

1 - Les limites de l'unification juridique inhérentes à la nature du cloud computing 86

2 - Les défauts d'un éventuel instrument de droit des contrats de cloud computing 88

SECTION 2 - L'INTÉRÊT DE L'UNION EUROPÉENNE POUR LES NORMATIVITÉS ALTERNATIVES EN MATIERE DE CLOUD COMPUTING 92

§ 1 - L'intérêt des normativités alternatives dans la régulation des activités internationales de cloud computing 92

A - L'intérêt des mécanismes de corégulation en droit des contrats de cloud computing 92

1 - L'intérêt des institutions européennes pour la corégulation des activités de cloud computing 93

2 - Une pratique adaptée aux caractéristiques des contrats internationaux de cloud computing 99

B - Les défauts des procédés alternatifs de régulation des activités de cloud computing 101

1 - Le défaut de légitimité démocratique des régulations alternatives 102

2 - La problématique de la juridicité des normes alternatives 104

§ 2 - Le rôle des normativités alternatives dans le transfert des données à caractère personnel vers un État tiers 106

A - La méthode classique de la décision d'adéquation 106

1 - L'autorisation des transferts de données à caractère personnel vers des États tiers ayant un niveau de protection adéquat 106

2 - La négociation du Privacy Shield entre l'Union européenne et les États-Unis suite à l'invalidation du Safe Harbor 108

B - La méthode pragmatique des normativités alternatives 110

1 - Les normes permettant le transfert de données à caractère personnel à destination d'un État tiers n'assurant pas un niveau de protection adéquat 111

2 - Le silence de la Cour de Justice sur la juridicité de ces normes 113

CONCLUSION 116

ANNEXE 1 - Schématisation de la répartition des tâches entre l'entreprise et le prestataire suivant les modèles de service de cloud computing fournis 117

ANNEXE 2 - Développement des usages du cloud computing en France 118

ANNEXE 3 - Panel représentatif de l'etude comparee des contrats de cloud computing 119

ANNEXE 4 - Impact du droit des contrats sur le commerce transfrontalier 120

ANNEXE 5 - Le modele de droit européen des contrats preféré 120

GLOSSAIRE .................................................................................................... 121

BIBLIOGRAPHIE............................................................................................. 122

INDEX ............................................................................................................ 128

Dès 2012, la Commission européenne annonçait vouloir « exploiter le potentiel de l'informatique en nuage ». Mieux connu sous son appellation anglaise, le cloud computing consiste en l'accès, via un réseau de télécommunication, à une structure informatique distante et gérée par un prestataire. Au coeur des activités de l'économie numérique, cette technique fait l'objet d'autant de craintes que d'espoirs pour les opérateurs du commerce électronique. Or, pour bénéficier pleinement de cette technique informatique il apparaît essentiel d'en atténuer les risques et de rétablir la confiance des utilisateurs.

Actuellement, les conditions nécessaires à l'instauration d'un climat de confiance autour du cloud computing ne seraient pas réunies en Europe. Cette technique est porteuse de risques pour les entreprises qui encourent la destruction, la perte, la dépossession ou le vol des données qui y sont stockées. Les contrats, liant juridiquement les clients aux prestataires de service de cloud computing, devraient permettre la gestion de ces risques en définissant les obligations et responsabilités des parties. Mais la pratique révèle qu'au contraire, les contrats de cloud apparaissent souvent déséquilibrés, prévoient des clauses limitatives de responsabilité des prestataires ouleur possibilité de modifier unilatéralement les termes du contrat et sont imprécis sur les questions essentielles de la réversibilité des données, la continuité et l'interopérabilité du service.

Le droit actuellement applicable aux contrats internationaux de cloud computing pourrait rétablir l'équilibre contractuel et garantir la fiabilité du service aux éventuels clients. Or, le constat qui préside l'étude du droit positif est tout autre : alors que le droit de l'Union pose un cadre favorable à la libre circulation des services de la société d'information, les législations nationales demeurent défaillantes. D'ailleurs, pour la Commission, la seule disparité des droits nationaux applicables à ces contrats se poserait en entrave aux échanges. En résulteraitle morcellement, de fait et de droit, du marché unique numérique.

Le présent mémoire se propose, tout en clarifiant les défaillances actuelles du droit, de déterminer les voies juridiques par lesquelles le droit de l'Union européenne pourrait y remédier.

En la matière, la coordination des droits nationaux par les règles de droit international privé n'apporte pas la prévisibilité juridique nécessaire. Cela imposedonc de se questionner sur l'éventuel apport d'un instrument de droit unifié de l'Union européenne. La Commission mentionne d'ailleurs la possibilité d'unifierle droit applicable aux contrats de cloud, par un instrument facultatif au profit des petites et moyennes entreprises. Pour l'instant, aucun projet de la sorte n'a encore été proposé. Peut-être est-ce dû aux difficultés, pratiques et politiques, intrinsèques à l'unification du droit des contrats ? À l'inverse des initiativessont en cours par des instruments de soft law. La réalisation d'un code de conduite et de clauses contractuelles types adaptés au cloud en témoigne. Le bénéfice que retirent actuellement les opérateurs économiques des binding corporate rules dans leurs transferts de données à caractère personnel à destination des États tiers témoigne de l'intérêt pratique de ces types de normativités alternatives pour les prestataires de cloud. Pour autant, leur manque de légitimité démocratique, tout comme les doutes entourant leur juridicité et leur compatibilité aux droits fondamentaux doit interpeller le juriste face au développement actuel de ces modes de régulation.

* ¹ K. BENYEKHLEF, Une possible histoire de la norme. Les normativités émergentes de la mondialisation, éditions Thémis, 2008, Montréal, 934 pages ; et J. CHEVALLIER, L'État post-moderne, L.G.D.J, droit et société, Paris, 2004, 272 pages.

* ² K. BENYEKHLEF, Op. cit. note 1, p. 95 : « Les technologies de l'information et Internet en particulier constituent également un fait qui met en lumière les limites de la norme moderne ».

* ³ Le petit Robert de la langue française, édition 2015, p. 2651, « Ubiquité » : « possibilité d'être présent en plusieurs lieux à la fois ».

* ⁴ E. SORDET et R. MILCHIOR, « le cloud computing, un objet juridique non identifié », Communication Commerce Electronique, 2011, n°11, p.12 et s.: « le cloud computing, un concept brumeux », « version moderne de la boîte de Pandore ? » ou encore «  à géométrie variable ».

* ⁵ European Commission, Comparative Study on Cloud computing contracts, Final report, Prepared by DLA Pipper UK LLP, march 2015, p.18 : « however, to our knowledge, no legal definitions of this computing model exists ».

* ⁶ Information disponible sur < http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=2501384>.

* ⁷ Commission créée par le Décret n° 86-439 du 11 mars 1986 relatif à l'enrichissement de la langue française pris sur fondement de la loi Toubon du 4 août 1992 qui définit le français comme « langue de l'enseignement, du travail, des échanges et des services publics ».

* ⁸ Avis de la Commission générale de terminologie et de néologie, JO 6 juin 2010, texte 42.

* ⁹ Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Exploiter le potentiel de l'informatique en nuage en Europe », COM(2012) 529 final.

* ¹⁰Cour d'appel, Nancy, Chambre sociale, 18 avr. 2014, Infirmation, n° 13/00894.

* ¹¹ Tribunal de Grande Instance, Nanterre, Ordonnance de référé, 30 nov. 2012, UMP / Oracle, n° 12/02746.

* ¹²Sous la direction de B. FAUVARQUE-COSSON et C. ZOLYNSKI, Le cloud computing, l'informatique en nuage, Société de législation comparée, actes du Colloque du 11 oct. 2013, Collection colloques, volume 22, p.9 et s.

* ¹³CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, p. 7 : « contrats de prestation de service de cloud computing », disponible sur

< https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf>.

* ¹⁴Idem, p.10.

* ¹⁵ Cf. National Institute of Standards and Technology, « The NIST Definition of Cloud Computing » : « Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources »,

disponible sur < http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf>.

* ¹⁶ Cf. « cloud computing » sur le site internet de la CNIL disponible sur < http://www.cnil.fr/les-themes/technologies/cloud-computing/>.

* ¹⁷ Cf. CNIL, Synthèse des réponses aÌ la consultation publique sur le Cloud computing lancée par la CNIL d'octobre aÌ décembre 2011 et analyse de la CNIL, disponible sur < https://www.cnil.fr/sites/default/files/typo/document/Synthese_des_reponses_a_la_consultation_publique_sur_le_Cloud_et_analyse_de_la_CNIL.pdf>.

* ¹⁸ Cf. annexe n°1, p.114.

* ¹⁹ cf. article 1101 du Code civil.

* ²⁰ cf. article 1101 du Code civil tel que modifié par l'ordonnance n° 2016-131 du 10 fév. 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations.

* ²¹ Principles, Definitions and Model Rules of European Private Law?Draft Common Frame of Reference (DCFR), Prepared by the? Study Group on a European Civil Code?and the?Research Group on EC Private Law (Acquis Group) Based in part on a revised version of the Principles of?European Contract Law, (II.-1:101(1)), p. 170 et p. 4781 disponible en ligne sur < http://ec.europa.eu/justice/contract/files/european-private-law_en.pdf>.

* ²² G.CORNU, Association Henri Capitant, Vocabulaire juridique, éditions PUF, Quadrige, 11^ème édition, Paris, 2016, p.260 : « CONTRAT » et p. 269 « CONVENTION ».

* ²³Idem. p.207 : « COMMUNAUTAIRE ».

* ²⁴ Le petit Robert de la langue française, édition 2015, p.121 : « Apport », pt. 4 : « contribution positive de quelqu'un ou de quelque chose ».

* ²⁵Loi n° 78-17 du 6 janv. 1978 relative à l'informatique, aux fichiers et aux libertés, article 8.

* ²⁶ Commission européenne, communication au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Exploiter le potentiel de l'informatique en nuage en Europe », COM(2012) 529 final.

* ²⁷ Comité économique et social européen, avis « L'informatique en nuage (cloud computing) en Europe », (avis d'initiative), Rapporteur: M. PIGAL, 26 oct. 2011, TEN/452, p.2, pt. 1. et 5.

* ²⁸ Cf. annexe n°2.

* ²⁹ International Data Protection, Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take- up, 2012, disponible sur < http://cordis.europa.eu/fp7/ict/ssai/docs/study45-d2-interim-report.pdf >.

* ³⁰ Comité économique et social européen, Avis sur la Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Exploiter le potentiel de l'informatique en nuage en Europe », Rapporteur: M. PIGAL, 16 janv. 2013, TEN/494?, p.2.

* ³¹ Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p. 5.

* ³²Ibid.

* ³³ Green Peace, How clean is your cloud ?, april 2012 p.6, pt. 6 : « There have been increasing attempts by some companies to portray the cloud as inherently «green,» despite a continued lack of transparency and very poor metrics for measuring performance or actual environmental impact », disponible sur <  http://www.greenpeace.org/international/Global/international/publications/climate/2012/iCoal/HowCleanisYourCloud.pdf>.

* ³⁴ Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.12.

* ³⁵Idem, p.6, pt. 3 : « Mesures à prendre ».

* ³⁶Idem, p.11, pt. 3.3.

* ³⁷Idem, p.12, pt. 3.4.

* ³⁸Idem, p.15, pt. 3.5.

* ³⁹ Commission européenne, Communiqué de presse, Bruxelles, le 27 sept. 2012, Stratégie numérique: nouvelles mesures pour stimuler la productivité des entreprises et des administrations de l'UE grâce à l'informatique en nuage : « Aujourd'hui, en l'absence de normes communes et de contrats précis, de nombreux utilisateurs potentiels n'osent pas opter pour les solutions d'informatique en nuage ».

* ⁴⁰ Parlement européen, rapport sur l'exploitation du potentiel de l'informatique en nuage en Europe, 24 oct. 2013, (2013/2063(INI)), p.26 : « 1. invite instamment la Commission à prendre des mesures pour harmoniser davantage les législations entre les États membres afin d'éviter la confusion et la fragmentation juridictionnelles et d'assurer la transparence sur le marché unique numérique ; ?2. relève l'urgence d'une législation européenne claire et uniforme dans le domaine de l'informatique en nuage afin d'assurer un environnement européen compétitif, qui renforce l'innovation et la croissance ».?

* ⁴¹ Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Une stratégie numérique pour l'Europe », 26 août 2010, COM (2010) 245/2.

* ⁴² Communication de la Commission, « EUROPE 2020 - Une stratégie pour une croissance intelligente, durable et inclusive », 3 mars 2010, COM(2010) 2020 final, p. 7 : « Initiative phare: «Une stratégie numérique pour l'Europe» ».

* ⁴³ Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Le haut débit en Europe: investir dans une croissance induite par le numérique », 20 sept. 2010, COM(2010) 472 final.

* ⁴⁴ Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Le marché unique des télécommunications », 11 sept. 2013, COM(2013) 634 final.

* ⁴⁵ Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comiteì des régions, « Vers un cadre moderne et plus européen pour le droit d'auteur », 9 déc. 2015, COM(2015) 626 final.

* ⁴⁶ Proposition de règlement du parlement européen et du conseil visant à assurer la portabilité transfrontière des services de contenu en ligne dans le marché intérieur, Bruxelles, 9 déc. 2015, COM(2015) 627 final, 2015/0284 (COD).

* ⁴⁷ Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.7, pt 3.1 intitulé : « informatique en nuage et stratégie numérique ».

* ⁴⁸Idem, p.17.

* ⁴⁹CNUCED, Communiqué de presse, pour l'utilisation des médias d'information, 2 déc. 2013, Genève, document non officiel disponible sur

< http://unctad.org/fr/Pages/PressRelease.aspx?OriginalVersionID=165>.

* ⁵⁰ Avant projet de Code européen des contrats, Académie des privatistes européen, édition de poche revue et corrigée par L.GATT, MILANO-DOTT. A. GIUFFRE' EDITORE, 2004, Réflexions marginales, p.17 : « ... le jeune Bonaparte avait pensé d'enthousiasme lorsque, dans un décret (trop vite oublié) du 6 messidor an XIII, il avait institué une commission chargée de traduire le nouveau Code en latin ... ».

* ⁵¹ Les Journées de l'Association Henri-Capitant des amis de la culture juridique française (Pavie el Milan, 10-13 sept. 1953), Revue internationale de droit comparé, Année 1954, vol. 6, p. 93-96.

* ⁵²Idem, p. 51.

* ⁵³ Communication de la Commission au Parlement européen et au Conseil, «  Un droit européen des contrats plus cohérent », COM/2003/0068 final, p. 7 : « les mesures qui sont de nature à dissuader la conclusion de transactions transfrontalières, découlant directement ou indirectement des droits des contrats nationaux divergents ou de la complexité juridique qui résulte de ces divergences, et qui sont susceptibles d'interdire, ou d'empêcher, ces transactions, ou en tout cas de les rendre moins avantageuses ».?

* ⁵⁴ Parlement européen, résolution du 26 mai 1989, JO C 158 du 26.6.1989, p. 400.

* ⁵⁵Avant projet de Code européen des contrats, 2004, op. cit. note 50.

* ⁵⁶Les principes du droit européen des contrats, version complète et révisée de 1998, disponible sur : <  http://www.lexinter.net/JF/dispositions_generales.htm>.

* ⁵⁷ Communication de la Commission au Conseil et au Parlement européen, (le droit européen des contrats), COM(2001) 398 final.

* ⁵⁸Idem, §49 et s.

* ⁵⁹Idem, §52 et s.

* ⁶⁰Idem, §57 et s.

* ⁶¹Idem, §61 et s.

* ⁶² Communication, «  Un droit européen des contrats plus cohérent », op. cit. note 53.

* ⁶³ Communication de la Commission au Conseil et au Parlement européen, « Droit européen des contrats et révision de l'acquis : la voie à suivre », COM(2004) 651 final.

* ⁶⁴ Communication, « le droit européen des contrats », COM(2001) 398 final, op.cit., p.11, §59.

* ⁶⁵ Le premier projet a été réalisé sous la direction de l'universitaire allemand Von Bar, et est disponible en ligne sur <http://ec.europa.eu/justice/policies/civil/docs/dcfr_outline_edition_en.pdf > et le second par l'association Capitant et la Société de législation Comparée : Collection droit privé et européen, volume 7, dirigée par B. FAUVARQUE-COSSON, Projet de cadre commun de référence. Principes contractuels communs, Association Henri Capitant des Amis de la Culture Juridique Française, Société de Législation Comparée, 2008.

* ⁶⁶Commission, décision du 26 avr. 2010 portant création du groupe d'experts pour un cadre commun de référence dans le domaine du droit européen des contrats, (2010/233/UE).

* ⁶⁷ Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final ; 2011/0284 (COD).

* ⁶⁸Résolution législative du Parlement européen du 26 fév. 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM(2011)0635 ; C7-0329/2011 ; 2011/0284(COD).

* ⁶⁹ Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, Programme de travail de la Commission pour l'année 2015, « Un nouvel élan », COM(2014) 910 final.

* ⁷⁰ Proposition de directive du Parlement Européen et du Conseil concernant certains aspects des contrats de ventes en ligne et de toute autre vente à distance de biens, 2015/0288 (COD).

* ⁷¹Proposition de directive du Parlement européen et du Conseil concernant certains aspects des contrats de fourniture de contenu numérique, 2015/0287 (COD).

* ⁷² Cf. intervention de M. SERRES à l'INRIA le 11 déc. 2007 sur le thème de « Les nouvelles technologies : révolution culturelle et cognitive ».

* ⁷³ P. MUSSO, la « révolution numérique » : techniques et mythologies, La Pensée, 2008, pp.103-120.

* ⁷⁴ Lexique des termes juridiques 2011, Dalloz, 18^ème édition, p. 765 : « SUBSTANTIEL ».

* ⁷⁵ Cf. article 26 du Traité sur le Fonctionnement de l'Union européenne (ci-après « TFUE »).

* ⁷⁶ CJCE, 3 déc. 1974, Johannes Henricus Maria van Binsbergen contre Bestuur van de Bedrijfsvereniging voor de Metaalnijverheid, affaire 33-74.

* ⁷⁷ Cf. article 57 TFUE.

* ⁷⁸ Directive 2006/123/CE du Parlement européen et du Conseil du 12 déc. 2006 relative aux services dans le marcheì intérieur (« directive service »), article 4.

* ⁷⁹Alors que l'article 56 de la directive services ne vise que les « ressortissants des États membres », une lecture combinée avec l'article 54 permet d'étendre le régime de la libre circulation des services aux « sociétés constituées en conformité de la législation d'un État membre et ayant leur siège statutaire, leur administration centrale ou leur principal établissement à l'intérieur de l'Union ».

* ⁸⁰ Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»), JO n° L 178 du 17/07/2000.

* ⁸¹Directive 98/48/CE du Parlement européen et du Conseil du 20 juil. 1998 portant modification de la directive 98/34/CE prévoyant une procédure d'information dans le domaine des normes et réglementations techniques,?JO n° L 217 du 05/08/1998, art. 1. 2).

* ⁸² Directive 2000/31/CE, op.cit. note 80, considérant 4.

* ⁸³Idem, article 3§4 : ceux-là doivent être des risques sérieux et graves menaçant l'ordre public, la santé publique, la sécurité publique ou la protection du consommateur.

* ⁸⁴ C. CASTETS-RENARD, Droit de l'internet : droit français et européen, Montchrestien, collection Cours, Lextenso éditions, Paris, 2012, p.3 : « L'internet intéresse de plus en plus le législateur de l'Union européenne. Ce dernier y voit tout d'abord un moyen privilégié de renforcer le marché intérieur, par le développement du commerce électronique. [...] L'adoption d'une « stratégie numérique pour l'Europe » le 26 août 2010 témoigne de cet engouement pour cet outil ».

* ⁸⁵ CJCE, 5 oct. 1999, Royaume d'Espagne contre Commission des Communautés européennes, affaire C-240/97, point. 99.

* ⁸⁶ Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final ; 2011/0284 (COD), considérant n°30.

* ⁸⁷ Cf. Section 1, §2 : p.36 et s. ; Section 2, §2 : p. 60 et s.

* ⁸⁸ Directive 2000/31/CE, op.cit., art. 9 : « Les États membres veillent à ce que leur système juridique?rende possible la conclusion des contrats par voie électronique [...] ni ne conduise à priver d'effet et de validité juridiques de tels contrats pour le motif qu'ils sont passés par voie électronique ».

* ⁸⁹ CNUDCI, Loi type sur le commerce électronique et Guide pour son incorporation, 1996, p. 20.

* ⁹⁰ V. GAUTRAIS, Neutralité technologique : rédaction et interprétation des lois face aux changements technologiques, Les éditions Thémis, page 78.

* ⁹¹ Directive 2000/31/CE, op.cit., 10.

* ⁹²Idem, art. 14.

* ⁹³Idem, considérant 42.

* ⁹⁴Ibid.

* ⁹⁵ CJCE, Google France et Google, 12 juil. 2011, affaires jointes C?236/08 à C?238/08.

* ⁹⁶Idem, pt 106.

* ⁹⁷Idem,pt 116.

* ⁹⁸Idem, pt 120.

* ⁹⁹ Directive 95/46/CE, du Parlement européen et du Conseil du 24 oct. 1995, relative aÌ la protection des personnes physiques aÌ l'égard du traitement des données aÌ caractère personnel et aÌ la libre circulation de ces données.

* ¹⁰⁰ La directive 95/46/CE vise directement l'objectif de protection des « droits fondamentaux et la vie privée des personnes » dans son considérant n°34. Depuis, la Charte des droits fondamentaux de 2001, érigée au rang du droit primaire depuis l'entrée en vigueur du Traité de Lisbonne, a consacré conventionnellement la protection des données à caractère personnel comme un droit fondamental dans son article 8. La Cour de Justice de l'Union européenne a d'ailleurs eu l'occasion d'appliquer cet article à plusieurs reprises, notamment dans les célèbres affaires « Google Spain » (CJUE, 13 mai 2014 , C-131/12, point 68) et « Schrems » (CJUE, 6 oct. 2015, C-362/14, point 39).

* ¹⁰¹ Directive 95/46/CE, op. cit. note 99, article 2, a)

* ¹⁰²Idem, article 8, 1.

* ¹⁰³Idem, article 2, b).

* ¹⁰⁴Idem, article 7.

* ¹⁰⁵Idem, article 12.

* ¹⁰⁶Idem, article 14.

* ¹⁰⁷Idem, article 17§1.

* ¹⁰⁸Idem, article 21.

* ¹⁰⁹Idem, article 2, d) : « [...] organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou règlementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le designer peuvent être fixes par le droit national ou communautaire ».

* ¹¹⁰Idem, article 23.

* ¹¹¹ Directive 95/46/CE, op. cit. note 99, article 2, e).

* ¹¹²Idem, article 17§2 et §3.

* ¹¹³Cass., Civ., 21 juin 1950, D. 1951, p.749

* ¹¹⁴ Cf. §2, B., p.38 et s.

* ¹¹⁵ P. MALAURIE, L. AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, 7^ème édition LGDJ, Lextenso éditions, Paris, 2014, p.3.

* ¹¹⁶ Article 1582 du Code civil et s.

* ¹¹⁷ Article 1710 du Code civil et s.

* ¹¹⁸ P. MALAURIE, L. AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, op. cit. note 115, p.34.

* ¹¹⁹Idem, p.5.

* ¹²⁰ P.-Y. GAUTIER, Association H. CAPITANT, le contrat bouleversé ou non par l'électronique : un rapport critique, p.8 : « notons que l'Internet est friand de contrats innommés, i.e. non réglementés par la loi », disponible sur : < http://www.henricapitant.org/sites/default/files/France_1.pdf>.

* ¹²¹ Cf. Articles 1917 à 1954 du Code civil.

* ¹²² G. BRUNAUX, « Cloud computing, protection des données : et si la solution résidait dans le droit des contrats spéciaux ? », Dalloz 2013, p.1158.

* ¹²³ P. MALAURIE, L. AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, op. cit. note 115, p.505.

* ¹²⁴ Cf. articles 1927, 1932 et 1944 du Code civil.

* ¹²⁵ G. BRUNAUX, op. cit. note 122, pt. 7.

* ¹²⁶ P.-Y. GAUTIER, « Le dépôt : exercices de qualification », Lextenso, Revue des contrats, 01 mars 2014 n° 1, p. 149.

* ¹²⁷ P.-Y. GAUTIER, Le contrat bouleversé ou non par l'électronique : un rapport critique, op. cit. note 120, p.7.

* ¹²⁸P.-Y. Gautier, Le contrat bouleversé ou non par l'électronique : un rapport critique, op. cit. note 120, p.7.

* ¹²⁹ G. BRUNAUX, op. cit. note 122, p.1160.

* ¹³⁰CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing p. 7, 8, 11 et 12 : « contrats de prestation de service cloud computing ».

* ¹³¹¹³² G. BRUNAUX, op. cit. note 122, note de bas de page n°12 : il fait référence à : « Microsoft, art. 3.1 ; Dropbox ; Box, art. 5 ».?

* ¹³³Cass., Com., 11 oct. 2005, n°03-10975 : « Mais attendu que l'article 1722 du Code civil n'est pas applicable au contrat par lequel la banque loue à un client un compartiment ou un coffre dont elle assume la surveillance et auquel le client ne peut accéder qu'avec le concours du banquier ».

* ¹³⁴ Article 1719 du Code civil.

* ¹³⁵ P. LE TOURNEAU, Contrats informatiques et électroniques, Dalloz référence, Paris, 2014/2015, p.375.

* ¹³⁶ Article 1709 du Code civil.

* ¹³⁷ Article 1711 du Code civil.

* ¹³⁸ Céline CASTETS-RENARD, Droit de l'internet : droit français et européen,op. cit.. note 84, p.103 : « le contrat d'hébergement est un contrat de location d'un espace dans le disque dur du fournisseur ».

* ¹³⁹ P. LE TOURNEAU, op.cit. note 134,p.376.

* ¹⁴⁰ P. LE TOURNEAU, op.cit. note 134, p.370.

* ¹⁴¹ Tribunal de Grande Instance de Nanterre, Ordonnance de référé, 30 nov. 2012, UMP / Oracle, n°. RG 12/02746.

* ¹⁴² Cf. E.BARBRY et K.BERBETT, « Cloud computing : attention à la réversibilité », Stratégie internet n°177, nov-déc. 2013.

* ¹⁴³ Loi n° 78-17 du 6 janv. 1978 relative à l'informatique, aux fichiers et aux libertés.

* ¹⁴⁴Idem, article 8 : « Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ».

* ¹⁴⁵Article L1111-8 du Code de la santé publique, modifié par la loi n°2016-41 du 26 janv. 2016, art. 96.

* ¹⁴⁶ Condition de l'agrément fixées par le Décret n° 2006-6 du 4 janv. 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le Code de la santé publique.

* ¹⁴⁷ Directive 2010/24/UE du Conseil du 16 mars 2010 concernant l'assistance mutuelle en matière de recouvrement des créances relatives aux taxes, impôts, droits et autres mesures et par le règlement UE du Conseil 904/2010 du 7 oct. 2010 concernant la coopération administrative et la lutte contre la fraude dans le domaine de la taxe sur la valeur ajoutée.

* ¹⁴⁸ Cf. Loi du 31 déc. 1971, art. 66-5 ; et Décret n°2005-790 du 12 juil. 2005 relatif aux règles de déontologie de la profession d'avocat, art. 4.

* ¹⁴⁹ Cf. C. LE DOUARON, « Numérique : le cloud privé des avocats sera opérationnel en déc. 2015 », Dalloz actualité, 1^er juil. 2015.

* ¹⁵⁰ A. BENSOUSSAN, « Le cloud au service de l'avocat », Gazette du palais, 15 oct. 2011 n°288, p.3.

* ¹⁵¹ A. PORTMANN, « Le cloud privé des avocats enfin lancé », Dalloz actualité, 14 mars 2016.

* ¹⁵² Directorate-General for Justice and Consumers, European Commission, « Comparative Study on cloud computing contracts », Final Report, prepared by DLA Piper UK LLP, March 2015, disponible sur < http://bookshop.europa.eu/en/comparative-study-on-cloud-computing-contracts-pbDS0115164/>.

* ¹⁵³Idem, p.12.

* ¹⁵⁴ Final Report, Annex 1, Country Report Work Package 1.

* ¹⁵⁵ Final Report, Annex 2, Methodology and sample country selection.

* ¹⁵⁶ Final Report, Annexe 4, Country Report Overview Work Package 3.

* ¹⁵⁷ European Commission, Comparative study on cloud computing contracts, Final report, Annex 2, methodology and sample country selection, WP2, march 2015, pp.19-20.

* ¹⁵⁸ Cf. annexe n°3.

* ¹⁵⁹ Cf. Chapitre 2, Section 1, §2, B., 2., p.82 et s.

* ¹⁶⁰ Final report, Annex 2, op. cit., p.13.

* ¹⁶¹ G .CORNU, « Vocabulaire juridique », op. cit. note 22, p.567 : « INTERNATIONAL ».

* ¹⁶²Idem, p.853 : « RATTACHEMENT ».

* ¹⁶³F. VIANGALLI, la théorie des conflits de lois et le droit communautaire, Presses universitaires d'Aix-Marseille, 2004, p.14.

* ¹⁶⁴ Convention de Bruxelles de 1968 concernant la compétence judiciaire et l'exécution des décisions en matière civile et commerciale.

* ¹⁶⁵ Règlement (CE) n° 44/2001 du Conseil du 22 déc. 2000 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale, JO n° L 012 du 16/01/2001 p. 0001 - 0023.

* ¹⁶⁶ Règlement (UE) n ° 1215/2012 du Parlement européen et du Conseil du 12 déc. 2012 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale, (Bruxelles 1 bis), JO n° L 351, 20.12.2012, p. 1-32.

* ¹⁶⁷Idem, art. 62.

* ¹⁶⁸Idem,art. 5§1 et 6§1.

* ¹⁶⁹Idem,art. 1^er.

* ¹⁷⁰ CJCE, Jakob Handte, affaire C-26/91 ; CJCE, Tacconi, 17 sept. 2002, affaire C-334/00.

* ¹⁷¹Idem, pts 15 et 23 respectivement.

* ¹⁷² Règlement Bruxelles 1bis, op. cit. note 165 : l'article 63 dispose qu'on entend par là, pour les sociétés, alternativement le lieu de leur siège statutaire, de leur administration centrale ou encore au lieu de leur principal établissement.

* ¹⁷³Idem, art. 4.

* ¹⁷⁴Idem, art. 24.

* ¹⁷⁵Idem, art. 15.

* ¹⁷⁶Idem, art. 19.

* ¹⁷⁷Idem, art. 23.

* ¹⁷⁸Idem, art. 25.

* ¹⁷⁹ CJCE, H. Shenavai c/ K. Kreischer, 15 janv. 1987, affaire 266/85.

* ¹⁸⁰ CJUE, Wood Floor, 11 mars 2010, affaire C?19/09.

* ¹⁸¹ Cf. Chapitre 1, Section 2, §2, A., p. 61 et s.

* ¹⁸²Convention de Rome du 19 juin 1980 sur la loi applicable aux obligations contractuelles, JO n° C 027 du 26/01/1998.

* ¹⁸³ Règlement n°593/2008 du Parlement européen et du Conseil du 17 juin 2008, sur la loi applicable aux obligations contractuelles (« Rome I »), JO L 177 du 04/07/2008.

* ¹⁸⁴ Comme cela a été vu précédemment pour le règlement Bruxelles 1bis, cela exclue les contrats en matière fiscale, administrative ou douanière.

* ¹⁸⁵ Règlement Rome I, op. cit. note 182, art. 2.

* ¹⁸⁶Idem, considérants n°13 et 14 : « (13) Le présent règlement n'interdit pas aux parties d'intégrer par référence dans leur contrat un droit non étatique ou une convention internationale.

(14)  Si la Communauté adopte dans un instrument juridique spécifique des règles matérielles de droit des contrats, y compris des conditions générales et clauses types, cet instrument peut prévoir que les parties peuvent choisir d'appliquer ces règles. ».

* ¹⁸⁷Idem, art. 3§1.

* ¹⁸⁸ Idem, considérant n°37 : « Des considérations d'intérêt public justifient, dans des circonstances exceptionnelles, le recours par les tribunaux des États membres aux mécanismes que sont l'exception d'ordre public et les lois de police. La notion de « lois de police » devrait être distinguée de celle de « dispositions auxquelles il ne peut être dérogé par accord » et devrait être interprétée de façon plus restrictive » .

* ¹⁸⁹Idem, art. 3§3: « Lorsque tous les autres éléments de la situation sont localisés, au moment de ce choix, dans un pays autre que celui dont la loi est choisie, le choix des parties ne porte pas atteinte à l'application des dispositions auxquelles la loi de cet autre pays ne permet pas de déroger par accord. ».

* ¹⁹⁰Idem, art. 9: « Une loi de police est une disposition impérative dont le respect est jugé crucial par un pays pour la sauvegarde de ses intérêts publics, tels que son organisation politique, sociale ou économique ».

* ¹⁹¹Idem, art. 6.

* ¹⁹²Idem, art. 5§2.

* ¹⁹³Idem, art. 7§3.

* ¹⁹⁴Idem, art. 8.

* ¹⁹⁵ CJUE, Peter Pammer, 7 déc.2010, Affaires jointes C-585/08 et C-144/09.

* ¹⁹⁶Idem, pt 72.

* ¹⁹⁷Idem, pts 80, 81, 83, 84.

* ¹⁹⁸ Règlement Rome I, op. cit. note 182, art. 6§2.

* ¹⁹⁹Idem,art. 4§2.

* ²⁰⁰Idem, art. 4§3.

* ²⁰¹ Cf. Chapitre I, Section 2, §2, A., 2., p.63 et s.

* ²⁰² L'article 2 g) définit le domaine coordonnée comme suit : « les exigences prévues par les systèmes juridiques des États membres et applicables aux prestataires des services de la société de l'information ou aux services de la société de l'information, qu'elles revêtent un caractère général ou qu'elles aient été spécifiquement conçues pour eux. ».

* ²⁰³ G. BUSSEUIL, « Le choix de la loi applicable au contrat électronique, in Le règlement communautaire « Rome I » et le choix de loi dans les contrats internationaux », Lexis Nexis, Litec, 2011, Vol.35 p. 397 et s.

* ²⁰⁴ Cela ne valant que dans les rapports entre professionnels, l'annexe 3 de la directive disposant que l'article 3 n'est pas applicable aux « obligations contractuelles concernant les contrats conclus par les consommateurs ».

* ²⁰⁵ Directive 2000/31/CE, op.cit., art. 1§4 : « La présente directive n'établit pas de règles additionnelles de droit international privé et ne traite pas de la compétence des juridictions ».

* ²⁰⁶ G. BUSSEUIL, « Le choix de la loi applicable au contrat électronique », in.Le règlement communautaire « Rome I » et le choix de loi dans les contrats internationaux, op. cit. note 202, p. 413.

* ²⁰⁷ CJUE, 25 oct. 2011, eDate et Martinez, affaires jointes C?509/09, C?161/10.

* ²⁰⁸Idem, pt. 61.

* ²⁰⁹Idem, pt. 62.

* ²¹⁰Idem, pt. 68.

* ²¹¹J. SÉNÉCHAL,« Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir »,RLDI nov. 2013, n° 3269, p. 100.

* ²¹² Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.6.

* ²¹³ Le petit Robert, op. cit. note 24, n°4, p.646.

* ²¹⁴L. SIORAT, Le problème des lacunes en droit international, Librairie générale de droit et de jurisprudence, Paris, 1959, 479 pages.

* ²¹⁵Idem, p.35.

* ²¹⁶Idem, p.8.

* ²¹⁷ F. VIANGALLI, op. cit. note 162, p.270 : « il y a en effet lacune en droit lorsque manque, à l'intérieur d'un système juridique, une norme dont le juge puisse faire usage pour résoudre correctement un cas déterminé ».

* ²¹⁸Idem, pp. 281-306.

* ²¹⁹ Article 5 TUE : « 1.Le principe d'attribution régit la délimitation de compétences de l'Union. » ; « 2. En vertu du principe d'attribution, l'Union n'agit que dans les limites des compétences que les États membres lui ont attribuées dans les traités pour atteindre les objectifs que ces traités établissent. Toute compétence non attribuée à l'Union dans les traités appartient aux États membres ».

* ²²⁰ F. VIANGALLI,  op. cit. note 162, p. 278.

* ²²¹L. SIORRAT, op. cit. note 213,p.85.

* ²²²Ibid.

* ²²³ L. SIORRAT, op. cit. note 213,p.63.

* ²²⁴ F. VIANGALLI, op. cit. note 162, p. 298.

* ²²⁵ Notamment la Commission européenne, le Parlement européen, le Conseil économique social et environnemental et le Contrôleur européen de la protection des données.

* ²²⁶ Principalement la CNIL et le Groupe de l'article 29.

* ²²⁷ Groupe d'expert institué par la Décision de la Commission du 18 juin 2013 (2013/C 174/04), dont les travaux sont disponibles en ligne sur < http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm >.

* ²²⁸ À titre d'exemple : les données bancaires, comptables, de ressources humaines ou des données de santé et à caractère personnel des tiers.

* ²²⁹ Les prestataires de services sont particulièrement attentifs aux risques d'incendie, d'inondation et autres catastrophes naturelles susceptibles de menacer leur infrastructure.

* ²³⁰ VPN pour « Virtual Private Network », c'est-à-dire le réseau privé virtuel, comparable à un réseau local mais auquel deux ordinateurs distants peuvent avoir accès.

* ²³¹ Ce qu'on nomme communément la « réversibilité » des données.

* ²³² Ce qu'on nomme communément l' « interopérabilité » des systèmes.

* ²³³ Étude IBM et Ponemon Institute : 2015 Cost of Data Breach Study: Global Analysis, mai 2015 : sur l'étude de 350 entreprises le coût moyen d'une violation des données est de 3,8 millions de dollars US et que 45 % des infractions proviennent d'attaques malveillantes.

* ²³⁴ J.-P. BRIFFAUT et F.STEPHAN, Cloud computing,évolution technologique, révolution des usages, Lavoisier, 2013, Paris, p.17.

* ²³⁵ Cf. Annexe 1, p.115.

* ²³⁶Ce que l'on qualifie de « pay as you go ».

* ²³⁷ Contrôleur européen de la protection des données, avis relatif à la communication de la Commission intitulée « exploiter le potentiel de l'informatique en nuage », 2013/C 253/03, p. 6, pt 21 : « Si les gouvernements et les grandes entreprises peuvent disposer de nuages privés établis selon leurs propres exigences ou négocier des accords de services avec les prestataires de service en nuage sur un pied d'égalité, les petites et moyennes organisations des secteurs public et privé et les consommateurs individuels devront accepter les clauses et conditions imposées par les prestataires de services pour les services en nuage publics ».

* ²³⁸A. BENSOUSSAN, « Le cloud au service de l'avocat », op.cit.

* ²³⁹ L'accès au cloud privé des avocats est sécurisé, les données archivées ainsi que les courriels envoyés sont chiffrés.

* ²⁴⁰ C. LE DOUARON, « Numérique : le cloud privé des avocats sera opérationnel en décembre 2015 », op. cit. note 148.

* ²⁴¹ À titre d'exemple : SFR BUSINESS, « le catalogue de logiciels cloud pour TPE-PME », disponible en ligne sur < https://store.saas.sfrbusinessteam.fr/catalogue/>.

* ²⁴² EU Expert Group on Cloud Computing Contracts, « Cloud Computing Contracts - Discussion Paper on Subcontracting », march 25, 2014, p.3 : « Cloud computing [...] has become unthinkable without subcontracting ».

* ²⁴³CNIL, « Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing », op. cit. note 17, p.4.

* ²⁴⁴ EU Expert Group on Cloud Computing Contracts, op. cit. note 241, p.10 : « subcontracting chains, not necessarily long ones, are susceptible to security breaches ».

* ²⁴⁵ F. CHAFFIOL-CHAUMONT et A. DAVID, « Entrer dans l'ère du Cloud Computing en maîtrisant ses aspects contractuels », Cahiers de droit de l'entreprise n°2, 2010, p.2 : « sécuriser contractuellement l'externalisation vers le cloud computing ».

* ²⁴⁶ E. DURKHEIM, Leçonsdesociologie, PUF, Quadrige, Paris, 2015, p.342.

* ²⁴⁷ Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.12.

* ²⁴⁸Idem, p.13.

* ²⁴⁹CNIL, « Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing », op. cit. note 17, p.1.

* ²⁵⁰P. LE TOURNEAU, Contrats informatiques et électroniques, op. cit., page 378 : « Pour une société importante, le contrat sera évidemment individualisé ; mais la majorité des contrats de cloud computing sont des contrats types, à prendre ou à laisser ».

* ²⁵¹ N. MARTIAL-BRAZ, « Le droit des contrats à l'épreuve des géants d'Internet», L'effectivité du droit face à la puissance des géants de l'Internet, Sous la direction de M.BEHAR-TOUCHAIS, IRJS éditions, p.63.

* ²⁵² Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p. 13 : respectivement « En ce qui concerne les utilisateurs professionnels » et « En ce qui concerne les particuliers et les petites entreprises ».

* ²⁵³Ibid.

* ²⁵⁴ Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final - 2011/0284 (COD), article 7 paragraphe 1.

* ²⁵⁵Idem, article 7 paragraphe 2.

* ²⁵⁶Idem, considérant n°2.

* ²⁵⁷Résolution législative du Parlement européen du 26 fév. 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente ( COM(2011)0635 - C7-0329/2011 - 2011/0284(COD)), article 7.

* ²⁵⁸ Proposition de directive du Parlement européen et du Conseil concernant certains aspects des contrats de ventes en ligne et de toute autre vente aÌ distance de biens, 2015/0287 (COD).

* ²⁵⁹ Cf. Chapitre 2, Section 1, §1, B., 1., p. 51 et s.

* ²⁶⁰ ENISA, « Cloud Security Guide for SMEs, Cloud computing security risks and opportunities for SMEs », April 2015, disponible sur < www.enisa.europa.eu >.

* ²⁶¹Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p. 13.

* ²⁶² E.SORDET et R.MILCHIOR, « La définition des contours juridiques du cloud Computing », Communication Commerce Electronique, 2012, p.5 :  « Il est incontestable que le cloud Computing ne s'intègre pas encore dans un régime juridique établi et stable ».

* ²⁶³ On interprète généralement de l'article 4 du Code civil la capacité du juge français de pallier à une lacune du droit pour éviter le non liquet. Cf. L. BACH, « Jurisprudence », Répertoire de droit civil, Dalloz,2009, pt. 125 :« Le législateur sait que la règle qu'il édicte est incomplète, mais il charge le juge [...] de la compléter. Il s'agit d'un procédé commode de législation, caril permet au juge d'adapter les lois aux besoins nouveaux de la société [...] l'article 4 du code civil français admet aussi implicitement la licéité de son utilisation ».

* ²⁶⁴ N. PIERRE, « François Gény et la responsabilité civile : le droit-science et le sens de l'histoire », in.La pensée de François Gény, sous la direction de O. CACHARD, F.-X. LICARI et F. LORMANT, Dalloz, Paris, 2013, p. 154 : « Critiquant le postulat de la plénitude et de la perfection de la loi écrite, revendiquant clairement son attachement à la nature des choses ainsi qu'aux réalités sociales et économiques, Gény fait place, à côté des sources formelles du droit que sont la loi écrite et la coutume, à la libre recherche scientifique, source subsidiaire forgée par un interprète qu'il veut guidé par les impératifs de justice et d'utilité générale ».

* ²⁶⁵N. MARTIAL-BRAZ, « Les géants de l'Internet et le Cloud Computing », in. L'effectivité du droit face à la puissance des géants de l'Internet, Sous la direction de M. BEHAR-TOUCHAIS, IRJS éditions, p. 107.

* ²⁶⁶ Article 1150 du Code civil : « Le débiteur n'est tenu que des dommages et intérêts qui ont été prévus ou qu'on a pu prévoir lors du contrat, lorsque ce n'est point par son dol que l'obligation n'est point exécutée ».

* ²⁶⁷Ibid. ; confirmé en jurisprudence : Cass., 1^èreCiv., 4 fév. 1969, Soc. des comédiens français, n°60.

* ²⁶⁸Cass., Com., 29 juin 2010, n°732.

* ²⁶⁹Cass., 1^èreCiv., 2 déc.1997, n°95-16720.

* ²⁷⁰Cass., Com., 22 oct. 1996, n° 93-18632 : « en raison du manquement à cette obligation essentielle la clause limitative de responsabilité du contrat, qui contredisait la portée de l'engagement pris, devait être réputée non écrite ».

* ²⁷¹Cass., Com., 30 mai 2006, n°04-14.974.

* ²⁷²Cass., Com. 29 juin 2010, n° 732 : « Mais attendu que seule est réputée non écrite la clause limitative de réparation qui contredit la portée de l'obligation essentielle souscrite par le débiteur [à condition] que la clause limitative de réparation [vidait] de toute substance l'obligation essentielle de la société Oracle ».

* ²⁷³ G. CHANTEPIE,« L'inexécution du contrat de cloud computing », RLDI nov. 2013, n° 3272, p. 118.

* ²⁷⁴ Cf. « Contrat service cloud Oracle », pt.12.2 : « Oracle ne garantit pas que (a) les services seront exécutés exempts d'erreur ou de manière ininterrompue ou qu'oracle corrigera toutes les erreurs des services ». Contrat disponible sur < http://www.oracle.com/us/corporate/contracts/saas-csa-france-fr-2069247.pdf >.

* ²⁷⁵Idem, pt.13 « Aucune des parties ne sera responsable de dommages indirects, ou consécutifs, ou de toute perte de bénéfices ou de chiffre d'affaires (en dehors des redevances au titre du présent contrat), de données ou d'utilisation des données. La responsabilitéì totale d'oracle pour tous les dommages au titre du présent contrat ou de votre commande, sera limitée aux sommes totales effectivement payées à oracle pour les services au titre de la commande donnant lieu a la responsabilité dans la période des douze (12) mois précédant immédiatement l'évènement donnant lieu a ladite responsabilité diminuée du remboursement ou des crédits que vous avez reçus d'oracle au titre de ladite commande ».

* ²⁷⁶Ordonnance n° 2016-131 du 10 fév. 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JORF n°0035 du 11 fév. 2016.

* ²⁷⁷Article 99 du règlement non publié au J.O et disponible sur < http://data.consilium.europa.eu/doc/document/ST-7530-2016-INIT/fr/pdf >.

* ²⁷⁸ N. MARTIAL-BRAZ, « Les géants de l'Internet et le Cloud Computing », op. cit., p. 110.

* ²⁷⁹ Idem, p.111.

* ²⁸⁰ G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant», 16 fév. 2010, 00264/10/FR WP 169, p.36.

* ²⁸¹ G29, Avis 05/2012 sur l'informatique en nuage, 1er juil. 2012, 01037/12/FR WP 196, p.11.

* ²⁸²Idem, p.12.

* ²⁸³ Règlement du Parlement européen et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données « RGPD ») (UE) 2016/679, JO L 119 du 4/5/2016

* ²⁸⁴Idem, art. 3§2.

* ²⁸⁵Idem, art 26§1 : « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ».

* ²⁸⁶ Cf. J. BASEDOW, « Un droit commun des contrats pour le Marché commun », R.I.D.C, 1998, vol. 50, n°1, pp. 7-28.

* ²⁸⁷ K. GARCIA, Le droit civil européen, nouvelle matière, nouveau concept, Larcier, Bruxelles, 2008, p.285 : « Il n'existe aucune preuve pratique qu'un marché unique appelle un instrument contractuel unique et que la diversité des droits constitue une entrave à la libre circulation. Rien n'établit à l'inverse que la diversité favorise cette libre circulation ».

* ²⁸⁸ Sous la direction de M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen des contrats. Réponses du réseau Trans Europe Experts, Société de Législation Comparée, D011, Paris, p.19.

* ²⁸⁹ Sous la direction de D. VOINOT et J. SÉNÉCHAL, Vers un droit européen des contrats spéciaux, Larcier, Bruxelles, Code économique européen, 2012, p.12.

* ²⁹⁰Communication « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.6.

* ²⁹¹B. BONNAMOUR, « Modernisation du marché unique, Cadre Commun de Référence et droit privé européen, RLDA, 2008, n°23, p. 62.

* ²⁹² Commission européenne, communication au Conseil et au Parlement européen, « le droit européen des contrats », COM(2001) 398 final, p.9, pt. 23.

* ²⁹³ Livre vert de la Commission relatif aux actions envisageables en vue de la création d'un droit européen des contrats pour les consommateurs et les entreprises, 1^er juil. 2010, COM(2010) 348 final.

* ²⁹⁴ Commission européenne, communication au Conseil et au Parlement européen, « le droit européen des contrats », COM(2001) 398 final, pt .28.

* ²⁹⁵Idem, pt. 30.

* ²⁹⁶Idem, pt. 32-33.

* ²⁹⁷ Commission européenne, « le droit européen des contrats dans les transactions interentreprises », résumé flash eurobaromètre, rapport 2011.

* ²⁹⁸ Cf. Annexe n°4.

* ²⁹⁹ Cf. Annexe n°5.

* ³⁰⁰ Commission européenne, communication au Parlement européen, au Conseil et au Comité économique et social européen, « Contrats numériques pour l'Europe - Libérer le potentiel du commerce électronique », COM(2015) 633 final, p.4 : « les coûts résultant des différences entre les droits nationaux des contrats ».

* ³⁰¹ Proposition de Directive du Parlement européen et du Conseil concernant certains aspects des contrats de fourniture de contenu numérique, 2015/0288 (COD), p.2.

* ³⁰² Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final - 2011/0284 (COD), considérant n°1.

* ³⁰³ Expert group meeting on cloud computing contracts synthesis of the meeting of 11/12 dec. 2014, disponible en ligne : < http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm>, p.2 : « Experts agreed that any liability clauses should comply with the applicable law. [...] Experts recognised that, especially in the commercial environment, clauses on remedies and liability, on top of compliance with diverging national laws, reflect market practices which equally differ - for example in the UK the limitation of liability is very common in contrast to other legislations in the Member States ».

* ³⁰⁴Sous la direction de R. SEFTON-GREEN et L. USUNIER,La concurrence normative, mythes et réalités, Société de législation comparée, Collection de l'UMR de droit comparé de Paris, Vol. 33, 2012, 298 pages.

* ³⁰⁵ B. FRYDMAN, Petit manuel pratique de droit global, Académie Royale de Belgique, Col. L'Académie en poche, vol.48, Bruxelles, 2014, 128 pages.

* ³⁰⁶ L. USINIER, « La concurrence normative, un mode de représentation des rapports entre les systèmes juridiques en vogue », in.La concurrence normative, mythes et réalités, op.cit. note 303, p.16.

* ³⁰⁷ Idem, pp. 30-31 : « la faculté qui leur est accordée d'influer d'une façon ou d'une autre sur le droit qui leur est applicable ».

* ³⁰⁸L. USINIER et R. SEFTON-GREEN, « Conclusion », in.La concurrence normative, mythes et réalités, op.cit. note 303, pp. 261-278.

* ³⁰⁹L. USINIER, « La concurrence normative, un mode de représentation des rapports entre les systèmes juridiques en vogue », op. cit. note, p.31.

* ³¹⁰ Les arrêts de la Cour de Justice : Centros (CJCE, 9 mars 1999), Überseering (CJCE, 5 nov. 2002) et Inspire Art (CJCE, 30 sept. 2003), témoignent de la flexibilité des libertés d'établissement dont les opérateurs économiques peuvent bénéficier pour s'incorporer dans un État membre de l'Union européenne tout en ayant leur siège réel dans un autre État membre.

* ³¹¹D. SINDRES, « Contrat, principe d'autonomie et analyse économique du droit international privé », in.La concurrence normative, mythes et réalités, op.cit. note 303, p.176.

* ³¹² Final Report, Annex 2, Methodology and sample country selection, p.8 : « In relation to standard contracts, [...]it appears that typically the law of the jurisdiction in which the provider has its principal place of business will apply. For standard contracts where this law has not been appointed as applicable law, the research indicates that often, English law is chosen either for customers inside of England or even outside of England » (soulignement ajouté).

* ³¹³ F. VIANGALLI, La théorie des conflits de lois et le droit communautaire, op.cit., page 17.

* ³¹⁴ Règlement Bruxelles I bis, art. 7. b).

* ³¹⁵ M.-L. NIBOYET et G. DE GEOUFFRE DE LA PRADELLE, Droit international privé, LGDJ, Lextenso éditions, Issy-les-Moulineaux, 2015, pp. 348-351.

* ³¹⁶ CJUE, Wood Floor, 11 mars 2010, affaire C?19/09.

* ³¹⁷J. SÉNÉCHAL,« Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir », RLDI, nov. 2013, n° 3269, p.94.

* ³¹⁸ Règlement Rome I, op. cit., art.3§3 et 3§4.

* ³¹⁹Idem, art. 4.1.b)

* ³²⁰J. SÉNÉCHAL,« Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir », op.cit., p. 99.

* ³²¹ Règlement Rome I, op. cit., art. 19§1.

* ³²²Idem, Article 19§2.

* ³²³J. SÉNÉCHAL, « Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir », op. cit., p.95.

* ³²⁴ Cf. conclusions de M. CRUZ VILLALON, affaires jointes C-509/09 et C-161/10, pt. 75.

* ³²⁵ La République fédérale d'Allemagne, le Royaume de Belgique, la République de Chypre, le Royaume de Danemark, la République d'Estonie, la République de Finlande, la République hellénique, la République de Hongrie, l'Irlande, la République italienne, la République de Lettonie, la République de Lituanie, la République de Malte, le Royaume des Pays-Bas, le Royaume d'Espagne, le Royaume de Suède, la Roumanie et le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord.

* ³²⁶ Il s'agit de la République d'Autriche, de la République française, du Grand-Duché de Luxembourg, de la République tchèque, de la République de Pologne, de la République portugaise et de la République slovaque.

* ³²⁷Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

* ³²⁸ G. BUSSEUIL, « Le choix de la loi applicable au contrat électronique, in Le règlement communautaire « Rome I » et le choix de loi dans les contrats internationaux », op. cit., p.413.

* ³²⁹ CJUE, 25 oct. 2011, eDate et Martinez, affaires jointes C?509/09, C?161/10, pt. 68.

* ³³⁰K.-H. LEHNE, Rapport sur la communication de la Commission au Conseil et au Parlement européen concernant le rapprochement du droit civil et commercial des États membres, COM(2001) 398, C5-0471/2001, 2001/2187 (COS).

* ³³¹A. JEAMMAUD, «  Unification, uniformisation, harmonisation : de quoi s'agit-il? », in.Vers un code européen de la consommation, Bruxelles, Bruylant, 1998, p.47.

* ³³²Idem, p.48.

* ³³³Idem, p.38.

* ³³⁴ J. PORTA, La réalisation du droit communautaire. Essai sur le gouvernement juridique de la diversité, éd. Varenne, Tome I, 2008, pp. 212-326.

* ³³⁵Idem, p. 309 : « l'appauvrissement de la signification des notions d'unification, d'harmonisation ou de coordination ne garantit pas leur concordance à l'intégration juridique communautaire. La richesse des procédés mis en oeuvre par le législateur communautaire pour procéder au rapprochement des droits nationaux peine à se laisser enfermer dans ces catégories classiques ».

* ³³⁶ C.MIALOT et P.DIMA EHONGO, « De l'intégration normative à géométrie et à géographie variable », in. Critique de l'intégration normative, sous la direction de M. DELMAS-MARTY, PUF, Paris, 2004, p. 27 : « Par exemple, les directives sur les clauses abusives dans les contrats de consommation sont précises et relèvent d'une stratégie d'unification, cependant que le règlement de 1995 relatif à la protection des intérêts financiers prévoit l'harmonisation, et non l'unification, des sanctions administratives en cas de fraude contre les intérêts financiers de l'Union européenne ».

* ³³⁷ L. FIN-LANGER, « L'intégration du droit du contrat en Europe », in. Critique de l'intégration normative, op.cit., p.39.

* ³³⁸ CJCE, ENKA BV, 23 nov. 1997, affaire n°38-77, pt 12.

* ³³⁹ L.FIN-LANGER, « L'intégration du droit du contrat en Europe », in. Critique de l'intégration normative, op. cit, p.70.

* ³⁴⁰Directive 90/314/CEE du Conseil, du 13 juin 1990, concernant les voyages, vacances et circuits à forfait, Journal officiel n° L 158 du 23/06/1990.

* ³⁴¹Idem, p.71.

* ³⁴² Règlement Rome I, considérant n°14 : « Si la Communauté adopte dans un instrument juridique spécifique des règles matérielles de droit des contrats, y compris des conditions générales et clauses types, cet instrument peut prévoir que les parties peuvent choisir d'appliquer ces règles ».

* ³⁴³ F. VIANGALLI, op. cit. note 162, p.415.

* ³⁴⁴Idem, p.399.

* ³⁴⁵M. PEGADOLIZ (rapporteur),?Avis du Comité économique et social européen, «Le 28e régime -- une option pour moins légiférer au niveau communautaire» (avis d'initiative), 2011/C 21/05.

* ³⁴⁶ F. VIANGALLI, op. cit. note 162, p.438.

* ³⁴⁷ J. PORTA, La réalisation du droit communautaire. Essai sur le gouvernement juridique de la diversité, op. cit., pp. 270-277.

* ³⁴⁸ C'est notamment le cas de l'article 114 TFUE.

* ³⁴⁹ J. PORTA, La réalisation du droit communautaire. Essai sur le gouvernement juridique de la diversité, op. cit., p. 307.

* ³⁵⁰ L. FIN-LANGER, « L'intégration du droit du contrat en Europe », in. Critique de l'intégration normative, op. cit., pp.39-40.

* ³⁵¹Directive 93/13/CEE du Conseil, du 5 avr. 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, Journal officiel n° L 095 du 21/04/1993.

* ³⁵²Directive 85/374/CEE du Conseil du 25 juil. 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux, Journal officiel n° L 210 du 07/08/1985.

* ³⁵³Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance,?Journal officiel n° L 144 du 04/06/1997.

* ³⁵⁴ CJCE, Pannon GSM, 4 juin 2009, C-243/08, n° 2009 I-04713.

* ³⁵⁵ Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final - 2011/0284 (COD), (ci-après  « DCEV »).

* ³⁵⁶Idem, article 3.

* ³⁵⁷Idem, article 4.

* ³⁵⁸Idem, article 7.

* ³⁵⁹Idem, article 5.

* ³⁶⁰ D'ailleurs, était explicitement exclu de son champ d'application : «  vi) la création de nouveaux contenus numériques et la modification de contenus numériques existants par des consommateurs, ou toute autre interaction avec les créations d'autres utilisateurs ».?

* ³⁶¹J. Sénéchal,« Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir »,RLDI nov. 2013, n° 3269, p.102.

* ³⁶² DCEV, op. cit. note 354, considérant n°17.

* ³⁶³ Cf. Résolution législative du Parlement européen du 26 fév. 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente (COM(2011)0635 - C7-0329/2011 - 2011/0284(COD)).

* ³⁶⁴ DCEV, op. cit. note 354, art. 30-39

* ³⁶⁵ DCEV, op. cit. note 354, art. 40-48.

* ³⁶⁶ DCEV, op. cit. note 354, Article 2, paragraphe 1.

* ³⁶⁷Idem, p.3 et 13.

* ³⁶⁸Idem, art. 3.

* ³⁶⁹Idem, art. 3§9.

* ³⁷⁰ Communication de la Commission au Conseil et au Parlement européen concernant le droit européen des contrats, (2001/C 255/01), pt. 66. a).

* ³⁷¹ Livre vert de la Commission relatif aux actions envisageables en vue de la création d'un droit européen des contrats pour les consommateurs et les entreprises, (COM/2010/0348 final).

* ³⁷² DCEV, op. cit. note 354, p.11.

* ³⁷³ M.B.M. LOOS, « Scope and application of the optional instrument », Vers un droit européen des contrats spéciaux, sous la direction de D. VOINOT et J. SÉNÉCHAL, p.144.

* ³⁷⁴ J. SÉNÉCHAL, « Quels contrats spéciaux pour quels futurs instruments en droit européen des contrats ? », Vers un droit européen des contrats spéciaux, sous la direction de D. VOINOT et J. SÉNÉCHAL, p.23.

* ³⁷⁵ Sous la direction de M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen des contrats. Réponses du réseau Trans Europe Experts, op. cit. note 287 pp. 22-33.

* ³⁷⁶ Sous la direction de J.-S. BORGHETTI, Réponse au livre vert de la Commission européenne relatif aux actions envisageables en vue de la création d'un droit européen des contrats pour les consommateurs et les entreprises, Trans Europe Expert, Janv. 2011, p.6 ; et ; R. SEFTON-GREEN, « instrument optionnel », in. La concurrence normative, mythes et réalités, op. cit. note 303, pp. 203-204.

* ³⁷⁷ M. CLERMONT, Le rapprochement du droit européen des contrats, enjeux et perspectives, mémoire de DEA sous la direction du professeur C. JAMIN, Lille 2, p.81-86.

* ³⁷⁸ H. CLARET, « Le défi du langage (déterminabilité d'un droit européen des contrats et pluralisme linguistique) », Les défis de l'harmonisation européenne du droit des contrats, Université de Savoie, 2012. <hal-01120176>, p. 54.

* ³⁷⁹ S. GLANERT, « Comparaison et traduction des droits : à l'impossible tous sont tenus », inComparer les droits, résolument, sous la direction de P. Legrand, p. 279.

* ³⁸⁰Idem, 283.

* ³⁸¹ P. LAGARDE, « Les interprétations divergentes d'une loi uniforme donnent-elles lieu à un conflit de lois ? (à propos de l'arrêt HOCKE de la Section commerciale du 4 mars 1963) », in. Revue critique de droit international privé, 1964, pp. 235-251.

* ³⁸²Cass.,Com., 4 mars 1963, n°137.

* ³⁸³ P. LAGARDE, « Les interprétations divergentes d'une loi uniforme donnent-elles lieu à un conflit de lois ? (à propos de l'arrêt HOCKE de la Section commerciale du 4 mars 1963) » op.cit., pp. 240-241.

* ³⁸⁴ S. NOVAK, Usages du vote à la majorité qualifiée de l'Acte unique européen à nos jours : une permanence inattendue, Notre Europe, nov. 2011.

* ³⁸⁵ J.-P. JACQUÉ, Les déclarations unilatérales lors de l'adoption d'actes législatifs européens, Direction générale des politiques internes, affaires constitutionnelles, 2010, p. 7.

* ³⁸⁶ Sous la direction de M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen des contrats. Réponses du réseau Trans Europe Experts, op. cit. note 287, pp. 127-128.

* ³⁸⁷ S.NADAUD, « Codifier le droit civil européen », Larcier, Bruxelles, 2008, p.78 : « Le droit est partiellement le fruit des données historiques, sociales, religieuses, économiques et réflexives ».

* ³⁸⁸ Citation rapportée par l'avis du CESE, l'influence de la France sur la scène européenne et internationale par la promotion du droit continental, M^e D. GORDON-KRIEF, sept. 2014, p.9.

* ³⁸⁹ G. CORNU, « Réflexions en attendant le tricentenaire », Le Code civil 1804-2004, Livre du bicentenaire, 2004, p.709,

* ³⁹⁰ Loi constitutionnelle canadienne de 1867, Article 92 § 13.

* ³⁹¹ T. TREMBLAY, le code civil chez les canadiens français : une question d'identité. Disponible sur : <  https://www.erudit.org/livre/CEFAN/1996-1/000467co.pdf>

* ³⁹²Cf. Annexe 3, p.83.

* ³⁹³ A.-M. THIESSE, La création des identités nationales, Europe XVIIIe-XIXe siècle, Édition du Seuil, 2001, 307 pages.

* ³⁹⁴Idem, p. 14 : « une histoire établissant la continuité avec les grands ancêtres, une série de héros parangons des vertus nationales, une langue, des monuments culturels, un folklore, des hauts lieux et un paysage typique, une mentalité particulière, des représentations - hymne et drapeau - et des identifications pittoresques - costume, spécialités culinaires ou animal emblématiques ».

* ³⁹⁵ J. LIPENS, « Les constantes de l'unification du droit privé », In. Revue Internationale de Droit Comparé, Paris, 1958 pp. 278.

* ³⁹⁶ Sous la direction de M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen des contrats. Réponses du réseau Trans Europe Experts, op. cit. note 287, p.21.

* ³⁹⁷ J. SÉNÉCHAL, « Quels contrats spéciaux pour quels futurs instruments en droit européen des contrats ? », Vers un droit européen des contrats spéciaux, sous la direction de D. VOINOT et J. SÉNÉCHAL, p. 45.

* ³⁹⁸ Conseil Économique Social et Environnemental, l'influence de la France sur la scène européenne et internationale par la promotion du droit continental, M^e D. GORDON-KRIEF, sept. 2014.

* ³⁹⁹ A. RAYNOUARD, « La contestation des indicateurs Doing Business : un positionnement politique », Petites affiches, 11 sept. 2009, n°182.

* ⁴⁰⁰ Association Henri CAPITANT des amis de la culture juridique française, Les droits de tradition civiliste en question, à propos des Rapports Doing Business de la Banque Mondiale, Société de législation comparée, 2006, 143 pages.

* ⁴⁰¹ J. ATTALI, La francophonie et la francophilie, moteurs de croissance durable, Rapport à François Hollande, Président de la République, Août 2014, parti politique.77-79.

* ⁴⁰²M.B.M. LOOS, « Scope and application of the optional instrument », in. Vers un droit européen des contrats spéciaux, sous la direction de D.VOINOT et J.Sénéchal, pp. 124-125 : « For example, how to classify the acquisition of an internet game with a monthly subscribtion ? The transaction comprises of three elements : the installation software to install game locally, the player account and the online subscription. All of these elements are in principle necessary to play the game online. The installation software could qualify as a digital good, whilst the subscription as a service. The player account and its content are stored at a distance and cannot be downloaded on a personal device. [...] it is likely that the classification of digital content as goods or services will be even more problematic in the future ».

* ⁴⁰³F. VIANGALLI, la théorie des conflits de lois et le droit communautaire, p.341.

* ⁴⁰⁴ Cf. Article 1108 du Code civil.

* ⁴⁰⁵ Cf. Case Currie v Misa (1875), LR 10, Ex 153 : « A valuable consideration, in the sense of the law, may consist either in some right, interest, profit, or benefit accruing to the one party, or some forbearance, detriment, loss, or responsibility, given, suffered, or undertaken by the other. »

* ⁴⁰⁶ Proposition de directive du Parlement européen et du Conseil concernant certains aspects des contrats de fourniture de contenu numérique, 2015/0287 (COD), p. 5 et 9.

* ⁴⁰⁷ Proposition de directive du Parlement Européen et du Conseil concernant certains aspects des contrats de ventes en ligne et de toute autre vente à distance de biens, 2015/0288 (COD), p.11.

* ⁴⁰⁸ J.-M., SAUVÉ, in. Le cloud computing, l'informatique en nuage, Société de législation comparée, Sous la direction de Bénédicte Fauvarque-Cosson et Céclia Zolynski, op. cit. note 12 : « Une question se pose alors: jusqu'ouÌ aller dans la fixation des normes? Une règlementation excessive, ou inadaptée, ne risquerait-elle pas de produire l'effet inverse, c'est-aÌ-dire de freiner l'industrie européenne dans le contexte d'un marcheì international extrêmement compétitif ? ».

* ⁴⁰⁹F. VIANGALLI, op. cit. note 162, p.417.

* ⁴¹⁰ J. PORTA, op. cit. note 333, p.17.

* ⁴¹¹ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, LexisNexis, 2015, p.202

* ⁴¹² G.CORNU, Vocabulaire juridique, op. cit. note 22, p.375, « DROIT ».

* ⁴¹³ M.SARR, Droit souple et commerce électronique, Jurisdoctoria n°8, 2012, p. 58, <  http://www.jurisdoctoria.net/pdf/numero8/aut8_SARR.pdf>.

* ⁴¹⁴ Parlement européen, Conseil de l'union européenne, Commission européenne, Accord interinstitutionnel -- « mieux légiférer », (2003/c 321/01),?journal officiel n° c 321 du 31/12/2003 p. 0001 - 0005.

* ⁴¹⁵Idem, §16 et s.

* ⁴¹⁶ V. LASSERRE, op. cit. note 410, p.246 : « laboratoire de normes ».

* ⁴¹⁷ Article 288 TFUE.

* ⁴¹⁸ V. LASSERRE, op. cit. note 410, p.277.

* ⁴¹⁹ J. Porta, op. cit. note 333, p.17.

* ⁴²⁰ V. LASSERRE, op. cit. note 410, p. 242.

* ⁴²¹ Résolution du Conseil, concernant une nouvelle approche en matière d'harmonisation technique et de normalisation, 7 mai 1985, OJ C 136, 4.6.1985, pp. 1-9.

* ⁴²²M. EMANEMEYO, « La force normative « invisible » de la Soft law para-législative de l'Union européenne en droit privé des contrats », Revue de l'Union européenne, 2014 p.94.

* ⁴²³ Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.11.

* ⁴²⁴Directive 95/46/CE, article 27 : « 1. Les États membres et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les États membres en application de la présente directive. [...] 3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l'article 29 ».

* ⁴²⁵ Cloud Select Industry Group, Draft Data Protection Code of Conduct for Cloud Service Providers, 50 pages.

* ⁴²⁶ Cloud Select Industry Group, Draft Data Protection Code of Conduct for Cloud Service Providers, p.1 : « The transparency created by the Code will contribute to an environment of trust and will encourage a high default level of data protection in the European cloud computing market ».

* ⁴²⁷Idem, p.16, point 5.4 : « The [Cloud Services Provider] must ensure that any subcontractors engaged in the processing of personal data provide an equivalent level of protection to that agreed between the CSP and the customer in the Services Agreement applicable to the subcontractors processing activities ».

* ⁴²⁸ Le « G-29 » a été institué sur fondement de l'article 29 de la directive 95/46/CE.

* ⁴²⁹ ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 02/2015 on C-SIG Code of Conduct on Cloud Computing, 22 September 2015, 2588/15/EN WP 232.

* ⁴³⁰ Cf. Minutes of the plenary meeting of the Cloud-Select Industry Group (C-SIG), 29 October 2015, 10h00-17h00, BU25, Brussels, Belgium, 8 pages.

* ⁴³¹ Décision de la Commission, 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE, 2001/497/CE.

* ⁴³² Décision de la Commission, 27 déc. 2004, modifiant la décision 2001/497/CE en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, 2004/915/CE.

* ⁴³³ Décision de la Commission, 27 déc. 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE, 2002/16/CE.

* ⁴³⁴ Décision de la Commission, décision 2010/87/UE, 5 fév. 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil.

* ⁴³⁵Idem, clause n°10.

* ⁴³⁶Idem, clause n°5. A).

* ⁴³⁷Idem, clause n°11.

* ⁴³⁸ À ceci près que la personne concernée ne pourra faire appliquer la clause aux sous-traitants de l'importateur des données que si celui-ci (l'importateur) a « matériellement disparu », « cessé d'exister en droit » ou est devenu insolvables.

* ⁴³⁹ Cf. § 2, p. 104 et s.

* ⁴⁴⁰ CNIL, Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing, op. cit. note 17.

* ⁴⁴¹Idem, p. 14.

* ⁴⁴² CNIL, Synthèse des réponses aÌ la consultation publique sur le Cloud computing lancée par la CNIL du 17 octobre au 17 novembre 2011 et analyse de la CNIL, p.10.

* ⁴⁴³ M.-C. ROQUES-BONNET, « Cloud computing : les actions de la CNIL démontrant l'existence d'un nouveau mode de régulation », RLDI, 2013, p.131.

* ⁴⁴⁴ Cf. ISO/IEC 27017:2015 - Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services.

* ⁴⁴⁵ Cf. ISO/IEC 27018:2014 - Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

* ⁴⁴⁶ RGPD, op. cit. note 282, art. 40, 41, 42 et 43.

* ⁴⁴⁷ O.TAMBOU, « l'introduction de la certification dans le règlement général de la protection des données personnelles : quelle valeur ajoutée ? », RLDI, n°125, avr. 2016, parti politique. 51-52.

* ⁴⁴⁸ I.FALQUE-PIERROTIN, Introduction, in.Le cloud computing, l'informatique en nuage, Société de législation comparée, op. cit.

* ⁴⁴⁹CONSEIL D'ÉTAT, Le droit souple, étude annuelle 2013, n°64, p. 241.

* ⁴⁵⁰ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit., p.15.

* ⁴⁵¹Idem, p.18.

* ⁴⁵² V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit., p.207.

* ⁴⁵³CNIL, Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing, op. cit., p. 20.

* ⁴⁵⁴ M.-C. Roques-Bonnet, « Cloud computing : les actions de la CNIL démontrant l'existence d'un nouveau mode de régulation », op. cit., p. 132.

* ⁴⁵⁵ M. Mosse. « Le nuage saisi par le droit », in.Le cloud computing, l'informatique en nuage, Société de législation comparée, op. cit note 12.

* ⁴⁵⁶K.SEFFAR et K. BENYEKHLEF, « Commerce électronique et normativités alternatives », University of Ottawa law & technologie journal, 2006, 3:2 UOLTJ 353, p.361.

* ⁴⁵⁷ Cf. M.SARR, Droit souple et commerce électronique, op. cit., pp. 53-74.

* ⁴⁵⁸ P. TRUDEL, « La Lex Electronica » in. Charles-Albert Morand, Le droit saisi par la mondialisation (Bruxelles : Éditions Bruylant, 2001), disponible en ligne sur < https://papyrus.bib.umontreal.ca>

* ⁴⁵⁹ Il s'agit principalement des CSA Security, Trust & Assurance Registry (STAR) et Certificate of Cloud Security Knowledge (CCSK).

* ⁴⁶⁰ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit., p.212.

* ⁴⁶¹ J. Porta, La réalisation du droit communautaire. Essai sur le gouvernement juridique de la diversité, op. cit., p.19.

* ⁴⁶² C'est l'avis du Conseil d'État, dans son étude annuelle sur le droit souple de 2012 précité, op. cit. note 448, pp. 47-51.

* ⁴⁶³ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit., p.215.

* ⁴⁶⁴ O. TAMBOU, « l'introduction de la certification dans le règlement général de la protection des données personnelles : quelle valeur ajoutée ? », op. cit. note 446, p.54.

* ⁴⁶⁵ G. CORNU, Vocabulaire juridique, op. cit. note 22, p. 586 : « JURIDICITÉ » : « Caractère de ce qui relève du Droit, par opposition aux moeurs, à la morale, aux convenances ».

* ⁴⁶⁶Cass., 3^ème civ., 22 oct. 1980, n°78-40.830 : «  LE SEUL FAIT QU'UNE TECHNIQUE AIT ETE COURANTE ET CONSIDEREE COMME VALABLE AU REGARD DES DTU A L'EPOQUE OU ELLE A ETE EMPLOYEE NE CONSTITUE PAS UNE CAUSE ETRANGERE EXONERATOIRE DE RESPONSABILITE POUR L'ENTREPRENEUR ».

* ⁴⁶⁷Décret n° 2009-697 du 16 juin 2009 relatif à la normalisation, JORF n°0138 du 17 juin 2009, p. 9860.

* ⁴⁶⁸ Règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 oct. 2012 relatif à la normalisation européenne, OJ L 316, 14.11.2012, p. 12-33, Cf. considérants n°1, 2, 10 et 11.

* ⁴⁶⁹ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit. note 410, p.12.

* ⁴⁷⁰ Conseil d'État, Rapport sur le droit souple, Op. cit. note 448, p.40.

* ⁴⁷¹ Directive 95/46/CE, article 25 § 2.

* ⁴⁷² RGPD, op. cit. note 282, art. 44.

* ⁴⁷³Idem, art. 45. 2) a.

* ⁴⁷⁴Idem, art. 45. 2) b.

* ⁴⁷⁵ Décision 2010/625/UE.

* ⁴⁷⁶ Décision 2003/490/CE.

* ⁴⁷⁷ Décision 2002/2/CE.

* ⁴⁷⁸ Décision 2000/518/CE.

* ⁴⁷⁹ Décision 2010/146/UE.

* ⁴⁸⁰ Décision 2003/821/CE.

* ⁴⁸¹ Décision 2011/61/UE.

* ⁴⁸² Décision 2004/411/CE.

* ⁴⁸³ Décision 2008/393/CE.

* ⁴⁸⁴ Décision 2013/65/UE.

* ⁴⁸⁵ Décision 2012/484/UE.

* ⁴⁸⁶ Commission européenne, Décision du 26 juil. 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique, 2000/520/CE.

* ⁴⁸⁷ CJUE, Schrems, 6 oct. 2015, C-362/14.

* ⁴⁸⁸ La Federal Trade Commission tient d'ailleurs une liste de ces auto-certifications disponible en ligne sur : < https://safeharbor.export.gov/list.aspx >.

* ⁴⁸⁹ CJUE, Schrems, 6 oct. 2015, C-362/14, pt. 88.

* ⁴⁹⁰Idem, pt. 89.

* ⁴⁹¹ CJUE, Schrems, 6 oct. 2015, C-362/14, pt. 93.

* ⁴⁹²Idem, pt. 97.

* ⁴⁹³Idem, pt.98.

* ⁴⁹⁴Idem, pt. 30.

* ⁴⁹⁵ Draft, Commission implementing decision of XXX, pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, disponible sur < http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf >.

* ⁴⁹⁶ European Commission, Press release, EU Commission and United States agree on new framework for transatlantic data flows : EU-US Privacy Shield, Strasbourg, 2 February 2016.

* ⁴⁹⁷ Observatoire des Libertés et du Numérique, Lettre ouverte à Vìra Jourová : du Safe Harbor au Privacy Shield, des promesses et du vent, 10 fév. 2016, disponible sur < http://www.laquadrature.net/fr/lettre-ouvertr-vera-jourova-safe-harbor-privacy-shield >.

* ⁴⁹⁸ S. PEYROU,Transfert de données personnelles de l'UE vers les États-Unis : du « Safe Harbor » à l' « EU-US Privacy Shield », réel épilogue ou simple péripétie ?, Réseau Universitaire Européen CDRE, 14 fév. 2016, disponible sur < http://www.gdr-elsj.eu/2016/02/14/droits-fondamentaux/transfert-de-donnees-personnelles-de-lue-vers-les-etats-unis-du-safe-harbor-a-l-eu-us-privacy-shield-reel-epilogue-ou-simple-peripetie/ >.

* ⁴⁹⁹ Article 29 data protection Working Party, Opinion 01/2016 on the EU - U.S. Privacy Shield draft adequacy decision, adopted on 13 April 2016, 16/EN WP 238.

* ⁵⁰⁰Idem, p.5.

* ⁵⁰¹ Draft, Commission implementing decision of XXX, op. cit. note 494, pt. 53 ; pts 100-104.

* ⁵⁰²Idem, pts 120-124.

* ⁵⁰³ Article 29 data protection Working Party, op. cit. note 498, p.57.

* ⁵⁰⁴ Site de la CNIL, 14 avr. 2016,« G29 : le « Privacy Shield », une avancée certaine source d'inquiétudes », RLDI, mai 2016, n°126, p.35.

* ⁵⁰⁵Directive 95/46/CE, article 26 § 4.

* ⁵⁰⁶Recommendation 1/2007 on the Standard Application for Approval of Binding Corporates Rules for the Transfer of Personal Data, WP133, 10 January 2007.

* ⁵⁰⁷Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities, WP135a, 17 september 2012.

* ⁵⁰⁸Cf. les recommandations n° WP153 et n°WP135.

* ⁵⁰⁹Délibération n° 2015-258 du 16 juil. 2015 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » du groupe Michelin (BCR-010) , JORF n°0170 25 juil. 2015, texte n°99.

* ⁵¹⁰ Délibération n° 2016-055 du 10 mars 2016 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » et « sous-traitant » du groupe Capgemini (BCR-027), JORF n°0073, 26 mars 2016, texte n° 101.

* ⁵¹¹ La liste compte actuellement 90 BCR octroyés à 90 entreprises européennes. La liste est disponible sur < http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm >.

* ⁵¹² RGPD, op. cit. note 282, article 46.

* ⁵¹³Idem, 2. b) et c).

* ⁵¹⁴ RGPD, op. cit. note 282, 2. a), d), e) et f).

* ⁵¹⁵ CJUE, Schrems, 6 oct. 2015, C-362/14, pt. 81.

* ⁵¹⁶ Parlement européen, Direction générale des politiques internes, Note : Les programmes de surveillance des États-Unis et leurs effets sur les droits fondamentaux des citoyens de l'UE, PE474.405, p.34.

* ⁵¹⁷ Définitions inspirées des manuels suivants :

V.J.R. WINKLER, La sécurité dans le Cloud. Techniques pour une informatique en nuage sécurisée, Pearson, Paris, 2011, 314 pages.

J. GUALINO, Dictionnaire pratique, Informatique, internet et nouvelles technologies de l'information et de la communication, Gualino, Paris, 2005, 506 pages.

H. LILEN, Dictionnaire informatique & numérique, First, Paris, 2014, 251 pages.