CHAPITRE 1 - L'INADAPTATION DU DROIT ACTUEL AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING

Il serait vain de se questionner sur les moyenspar lesquelsle droit de l'Union européennepourrait influencer le droit des contrats de cloud computing sans avoir préalablement appréhendé l'état actuel du droit qui s'y applique. De même, toute critique du droit actuel, ne peut être justement établie sans qu'un portrait de celui-ci n'ait été dressé.Une étude de l'état du droit applicable aux contrats internationaux de cloud computing (Section 1) est donc nécessaire à la mise en exergue de plusieurs de ses défauts (Section 2).

SECTION 1 - L'ETAT DU DROIT APPLICABLE AUX CONTRATS INTERNATIONAUX DE CLOUD COMPUTING

En admettant que l'exhaustivité ne soit pas, seule,nécessaire à la bonne compréhension des enjeux entourant le droit des contrats de cloud, la présente partie sera dédiée à la présentation de quelques-uns des traits qui sont, pour leur part, indispensables à cette compréhension.La description de l'état du droit matériel applicable aux contrats internationaux de cloud(§ 1), en ce qu'il est principalement soumis aux droits nationaux,soulève des remarques qui appellent l'étude des règles de droit international privé applicables (§ 2).

§1 - Le droit substantiel applicable aux contrats internationaux de cloud computing

Le droit substantiel, est celui qui « régit directement le fond du droit, à la différence de la règle conflictuelle, qui détermine seulement la loi applicable d'après le système juridique propre à l'État saisi »^74(*). L'absence de droit substantiel de l'Union européennedestiné à régir spécifiquement les contrats de cloud computing conclus entre opérateurs actifs sur le marché intérieur européen a pour conséquenceque ceux-làsoient encore régis par les droits nationaux. Cela dit, le droit de l'Union européenne exerce une certaine influencesur le régime juridique applicable aux contrats de cloudconclus entre professionnels. Bien que cette influence soit limitée, elle paraît essentielle à la compréhension du sujet. C'est ainsi que seront étudiés successivement le droit de l'Union européenne (A) et les droits nationaux (B) applicables aux contrats internationaux de cloud computing. Bien qu'une une vue d'ensemble serait nécessaire, l'examen des droits nationaux concernera principalement le droit français.

A - L'influence du droit de l'Union européenne sur le droit applicable aux contrats internationaux de cloud computing

L'influence qu'exerce le droit substantiel de l'Union européenne sur le droit applicable aux contrats internationaux de cloud computingest relative mais certaine. Elle peut être décrite tant en droit primaire qu'en droit dérivé. La combinaison de l'effet direct et de la primauté du droit de l'Union européenne sur les droits nationaux rend l'étude de ce droit d'autant plus incontournable. Cela est le cas même si l'essentiel du sujet entend concerner le droit des contrats, principalement régi par les droits nationaux. Dans ce contexte, si le droit de l'Unioneuropéenne pose un cadre promouvant la conclusion de contrats transnationaux(1), il influence également le régime juridique de ces contrats à travers leur qualification et la définition de quelques-unes des obligations incombant aux prestatairesde cloud (2).

1 - L'influence du droit du marché intérieur sur la conclusion des contrats transfrontières de cloud computing

Le droit primaire de l'Union européenne contribue à l'établissement d'un marché «sans frontières intérieures dans lequel la libre circulation des marchandises, des personnes, des services, et des capitaux est assurée »^75(*). Ces libertés de circulations ne s'exercent bien souvent que par la conclusion de contrats transfrontières. À titre d'exemple, la circulation de marchandises d'un vendeurétabli en France à destination d'un acheteurétabli enLettoniesupposerait, par exemple, la conclusion de contrats de vente, de transport et d'assurance.Il en va de même pour les prestations de service de cloud computing, fournies après conclusion de contrats entre le prestataire et l'utilisateur. En garantissant les libertés de circulation et l'irrégularité de toute entrave injustifiée, le droit du marché intérieur devrait alors instaurer l'environnement nécessaire à la conclusion de ces contrats entre des opérateurs économiques européens.

En ce sens, rien ne semble s'opposer juridiquement à ce que les prestataires de cloud offrent leurs services à des clients installés dans tout autre État membre de l'Union européenne :l'article 56 du Traité sur le Fonctionnement de l'Union européenne (ci-après « TFUE »), produisant des effets directs^76(*), interdit d'ailleurs les restrictions à la libre prestation de servicesau sein du marché intérieur. Au sens du droit de l'Union européenne, la notion de service se définie comme toute prestation fournie contre une rémunération^77(*) à condition qu'elle constitue une « activité économique non salariée »^78(*) exercée par des ressortissants des États membres de l'Union, que ce soient des personnes physiques ou morales^79(*).Cette définition n'exclut manifestement pas les activités de cloud computing. Au contraire, la libre prestation de services de la société d'information bénéficie d'un régime spécial consacré par la directive relative au commerce électronique^80(*).

L'intérêt de cette directive estavant tout de nous renseigner sur la qualification juridique des activités de cloud computing. La directive s'applique matériellement aux « services de la société de l'information ». Pour les définir il est fait référence à deux directives de 1998 qui entendent par là : tout « service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services »^81(*).Compte tenu de la définition donnée en introduction, aucune difficulté ne s'oppose à ce que le cloudrépondeaux critères généraux du service de la société de l'information. Cette activité est donc concernée par les dispositions de la directive relative au commerce électronique.Or, l'apport principal de cette directive consiste à confirmer que les activités relevant du commerce électronique bénéficient pleinement des règles du marché intérieur^82(*). Autrement dit, les opérateurs de cloud peuvent se prévaloir de l'application des libertés de circulation de prestations de serviceset d'établissement sur le marché intérieur. Les autorités publiques nationales ne pourront donc opposer à ces prestationsque des limites strictement proportionnelles à des objectifs qui seront jugéslégitimes^83(*).

C'est ainsi que le droit primaire et plus particulièrement le régime de liberté de circulation des services de l'information participe déjà au développement des services transfrontières de cloud computing. Si le droit de l'Union pose généralement un cadre favorable à la prestation transfrontière deces services, d'autresdispositions influencentplus concrètement le régime juridique descontrats decloud.

2 - L'influence du droit de l'Union européenne sur le régime juridique applicable aux contrats internationaux de cloud computing

Le droit de l'Union européenne a eu une influence particulière surl'adaptation du droit aux services de la société de l'information, ce dontil résulte une relative harmonisation des législations à l'échelle européenne^84(*). Cependant, si aucune disposition n'a été édictée spécifiquement pour le cloud, quelques-unes le concernent par extension. Sans prétendre être exhaustif, on examinera ici plus précisément la reconnaissance du principe de l'autonomie de la volontéen droit de l'Union,ainsi que son influencesur les contrats de cloud conclus par voie électronique,sur la responsabilité des opérateurs qualifiés d'intermédiaires avant d'aborder, enfin, l'influence du régime de protection des données à caractère personnel sur les contrats de cloud entre professionnels.

L'autonomie de la volonté en droit de l'Union européenne

On entend généralement par « autonomie de la volonté » le principe selon lequel les contractants jouissent d'une triple liberté : celle de décider de s'engager ou non, celle de choisir leur cocontractant et celle de déterminer le contenu du contrat. Le droit de l'Union européenne ne régissant pas le droit général applicable aux contrats, il pourrait paraître inadéquat d'admettre qu'il garantisse le principe de liberté contractuelle. On dénombre néanmoins quelques références explicites au principe d'autonomie de la volonté dans la jurisprudence comme en droit prospectif de l'Union européenne. Ainsi, par exemple, la Cour de Justice a pu préciser à l'égard d'une modification de la date de conclusion du contrat par des contractants que « le droit des parties de modifier les contrats qu'elles ont conclus repose sur le principe de la liberté contractuelle » lequel ne peut « être limité en l'absence d'une réglementation communautaire instaurant des restrictions spécifiques à cet égard»^85(*) . Dans le même sens le projet de droit commun européen de la vente de 2011, prévoyait que « la liberté contractuelle devrait être le principe sur lequel repose [ce droit] » et que, partant, « l'autonomie des parties ne devrait être restreinte que lorsque et dans la mesure ouÌ ceci est indispensable, notamment pour protéger les consommateurs »^86(*). Ces deux exemples témoignent tant de la reconnaissance de la liberté dont jouissent les parties pour négocier le contenu du contrat que de la faculté pour les autorités européennes de l'encadrer lorsque les circonstances l'exigent. Les limites à cette liberté sont généralement établies au profit des parties les plus faibles que sont le consommateur, le salarié ou l'assuré^87(*). En revanche, entre professionnels, le principe demeurela liberté contractuelle. Le droit de l'Union laisse donc a priori la plus grande liberté contractuelle aux utilisateurs de service de cloud computing dans le cadre de leurs activités professionnelles.

Les contrats de cloud conclus par voie électronique

En l'état actuel, le droit de l'Union intéresse particulièrement les contrats de service conclus par voie électronique.La directive relative au commerce électronique a harmonisé les conditions de formation de ce type de contrat. Elle a tout d'abord permis d'autoriser et de faciliter leur conclusion dans tous les États membres en admettant la validité et l'effectivité des contrats électroniques^88(*).Cela témoigne d'une consécration en droit européen du principe d' « équivalence fonctionnelle » reconnu dans la loi-type CNUDCI relative au commerce électronique^89(*). Ce principe consiste à « rechercher les fonctions qu'un instrument juridique possède et à s'assurer qu'elles sont satisfaites quel que soit le support utilisé »^90(*). Ainsi le droit européen prévoit d'accorder aux contrats électroniques la même validité et les mêmes effets que l'on accordait préalablementaux contrats conclus sur support papier. Cela encourage donc le développement des activités commerciales en ligne. Cependant, le droit de l'Union demeure silencieux sur les obligations incombant aux contractants si chacun d'eux est un professionnel. En effet, la directive précitée n'impose des obligations précontractuelles d'information aux prestatairesque si leurs services s'adressent à des consommateurs^91(*).De ce fait, l'apport du droit européen à l'égarddes contrats de cloudconclus par voie électronique entre professionnels se limite à reconnaître leur validité et leurs effets lorsqu'ils sont conclus par voie électronique.

Le régime deresponsabilité du prestataire de cloud computing qualifié d'intermédiaire

La directive sur le commerce électronique prévoitun régime de responsabilité favorable aux prestataires de services de la société d'information qui ont la qualité d'intermédiaire. Les acteurs concernés sont les prestataires de transport d'information, de stockage automatique et d'hébergement. L'hébergement se définit comme l'activité « consistant à stocker des informations fournies par un destinataire du service »^92(*) et qui revêt« un caractère purement technique, automatique et passif »^93(*). Dans la fourniture de ce type de service, la directive prévoit que le prestataire n'est « pas responsable des informations stockées à la demande d'un destinataire du service »^94(*). Pour s'exonérer de sa responsabilité, le prestataire devra prouver qu'il respecte deux conditions : ne pas avoir eu connaissance de l'activité ou des informations illicites et, le cas échéant, qu'il ait agit promptement pour les retirer ou en rendre l'accès impossible.La Cour de Justice a précisé les conditions d'application de cette dérogation à la responsabilité de l'intermédiaire dans une affaire concernant le service de référencement Google AdWords^95(*). Dans cette affaire opposant Google à l'entreprise Vuitton, cette dernière souhaitait engager la responsabilité de Google pour avoir permis le référencement par des liens commerciauxde sites internet proposant des imitations de produits qu'elle commercialisait. La Cour de cassation française a posé une question préjudicielle en interprétationà la Cour de Justice dans l'objectif de préciser les conditions d'applicationde l'exonération de responsabilité des prestataires de services de la société d'information prévue à l'article 14 de la directive relative au commerce électronique. Il en ressort principalement que les services de référencement entrent dans le champ d'application de cette directive et répondent à la qualité de service d'hébergement^96(*). En ce sens, il a été considéré que l'exonération de responsabilitéest applicable même si le service est rémunéré, que le prestataire a donné des informations d'ordre général et fourni une assistance à l'utilisateur^97(*). Il faut néanmoins qu'ait été prouvé que le « prestataire n'a pas joué un rôle actif de nature à lui confier une connaissance ou un contrôle des données stockées»^98(*). Partant, il apparaîtrait tout à fait possible que des prestataires de cloud proposentdes services revêtant de tels caractères technique, automatique et passif. Cela serait par exemple le cas des prestatairesde service de messagerie électronique professionnelle ou de stockage de données en ligne. Dans ces cas, le prestataire de service pourrait s'exonérer de toute responsabilité du fait illicite exercé par son client via la messagerie ou l'espace de stockage fourni,en prouvant qu'en tant qu'intermédiaire, il ne pouvait avoir connaissance de ces activités. En pratique cela se traduit contractuellement par des dispositions précisant soit l'exonération de responsabilité du prestataire pour les activités exercées par son client via le service fourni, soit en mentionnant explicitement les types d'activités interdites par ledit service. De tout cela résulte un régime de responsabilité favorable aux opérateurs de services de la société d'information destiné à encourager le développement du commerce électronique.

L'influence du régime de protection des données à caractère personnelet sensible surles contrats de cloud computingconclus entre professionnels 

La directive 95/46/CE^99(*)prévoitun régime de protection des données à caractère personnel et sensible au bénéfice des particuliers, personnes physiques, conformément à leurs droits au respect de leur vie privée^100(*). En pratique, l'application de cette directivepourrait influencer le régime juridique applicable aux contrats de cloud conclus entre professionnels.

Sont considérées comme ayant un caractère personnel, les données quiconcernent « une personne physique identifiée ou identifiable [...] directement ou indirectement, notamment par [des éléments] propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale »^101(*). En revanche, si celles-ci contiennent des éléments sur l'« origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives aÌ la santeì et aÌ la vie sexuelle »^102(*), elles seront considérées comme sensibles. La directive garantit que ces données ne feront l'objet d'untraitementque sous certaines conditions. Le traitement en question désigne généralement toutes sortesd'opérations, automatisées ou non, telles que la « collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, [...]l'effacement ou la destruction»^103(*). En fin de compte,ce traitement ne sera possible que sila personne y a préalablementconsenti^104(*), qu'un droit d'accès aux données^105(*) et d'opposition au traitement^106(*) lui est octroyé, qu'un niveau de sécurité des données suffisant est garanti^107(*) et qu'il ait été déclaré à l'autorité de contrôle compétente^108(*). Le traitement des données à caractère sensible, même avec le consentement des individus visés peut, pour sa part, être soumis à des conditions plus strictes par les États membres.Ces obligations incombentau prestataire, qualifié de « responsable de traitement »^109(*) par la directive. Cette qualification en fera leresponsable présumé de tout traitement illicite de ces données à moins qu'il ne prouve que le dommage ne lui soit pas imputable^110(*). Dans la conception classique du traitement de données prévaut une relation bilatérale entre les clients et le responsable de traitement. Ce dernier n'est pas obligatoirement un prestataire de service de cloud, il peut s'agir par exemple d'une entreprise de distribution de biens de consommation dans sa gestiondes comptesde fidélité des clients ou des ressources humaines. Néanmoins,le progrès technologique a mené à ce que ces entreprises externalisent ces fonctions et aient, pour cela, de plus en plus souvent recours à des prestataires de service de cloud computingpour la gestion desdites données. La relation bilatérale décrite est aujourd'hui largement dépassée en pratique. C'est ainsi qu'alors qu'aucun lien contractuel ne lie les personnes physiques au prestataire de clouddu responsable du traitement, ce sont ces derniers seulement qui seront chargésde factodu traitement des données.La directive a pris en compte cette réalité en définissant le sous-traitant comme celui « qui traite des données à caractère personnel pour le compte du responsable du traitement »^111(*). Cependant, elle ne prévoit aucune obligation directe du sous-traitant envers la personne physique concernée. Il incomberaseulement au responsable du traitement de choisir un sous-traitant qui apporte des garanties suffisantes de sécuritédes données etde veiller à leur respect^112(*). C'est ainsi qu'en ce qui nous concerne, les relations contractuelles entre un responsable du traitement et son prestataire de clouddevront respecter le régime de protection des données à caractère personnel, voire même prévoir la répartition des responsabilités de chacun des opérateurs de la chaîne de sous-traitance en cas d'opération illicite effectuée sur des données personnelles.

Finallement, le droit de l'Union européenne permet, voire encourage,les prestataires de service decloud computingà fournir leurs services dans tous les États membres de l'Union européenne. C'est le sens que l'on peut donner aux libertés de circulation, au régime de responsabilité favorable aux prestataires de services de la société d'information ainsi qu'à la reconnaissance du principe de liberté contractuelle. Pour l'instant, le droit de l'Union consacrerait une seule limite effective à cette liberté contractuelle entre professionnels en soumettant le responsable du traitement à la protection des donnéesà caractère personnel des personnes physiques. On se rend ainsi compte du fait que les dispositions de droit européen intéressant les contrats internationaux de cloud computing sont relativement éparses et générales, ce qui explique en partieque ces contrats seront principalement régis par les droits nationaux.

B - L'application des droits nationaux aux contrats internationaux de cloud computing : l'exemple du droit français

En présence d'un contrat international et a fortiori de dimension européenne, l'inexistence d'un droit européen commun des contrats est palliée par la désignation d'un droit national qui y sera applicable.À cet égard, la Cour de cassation française considère de longue date que « tout contrat international est nécessairement rattaché à la loi d'un État »^113(*).Si les modalités relatives au choix du droit applicable à ces contrats seront décrites ultérieurement^114(*), il est intéressant d'étudier qu'au sein même des droits nationaux, des difficultés apparaissent dans la recherchedes dispositions applicables à ces contrats de cloud. Si l'examen du droit français applicable aux contrats de cloud computing semble le confirmer (1), cela s'imposerait en réalité comme une généralité dans le droit des États membres de l'Union européenne (2).

1- L'application du droit français aux contratsde cloud computing

L'exemple de l'application du droit français aux contrats de cloud computing est révélateur de la difficulté, pour les droits nationaux actuels, de s'adapter aux changements induits par le progrès technologique. Il ne s'agit pas ici de présenter exhaustivement toutes les dispositions de droit français pertinentes, mais de révéler plus précisément certaines caractéristiques qui retiennent particulièrement notre attention. Seront donc successivement étudiés : l'inexistence de dispositions spécialement applicables aux contrats de cloud computing, les débats autour de la qualification juridique de ces contrats, la reconnaissance du principe de liberté contractuelle, la jurisprudencepuis les règles matérielles éparses susceptibles d'intéresser les relations contractuelles de cloud entre professionnels.

L'inexistenced'un droit des contrats spéciaux concernant le cloud computing

Le constat qui préside l'étude du droit français à l'égard des contrats de cloud computing est celui de l'inexistence de dispositions qui leur sont spécifiquement applicables. Plus encore, en l'état actuel, le droit français méconnaît la notion de « cloud computing » ou d' « informatique en nuage ». Cela ne signifie pas pour autant qu'aucune disposition ne trouve à s'appliquer à ces contrats, mais seulement qu'aucune n'a été spécifiquement conçue pour eux. Dans ce cas le rattachement à des dispositions générales du droit français doit être établi. L'article 4 du Code civil français impose d'ailleurs indirectement un tel rattachement en interdisant au jugetout déni de justice « sous prétexte du silence, de l'obscurité ou de l'insuffisance de la loi ». Pour l'instant, l'occasion ne s'est pas encore présentée aux juges d'éclaircir réellement le droit français applicable aux contrats d'informatique en nuage. Il n'empêche que cela serait souhaitable, notamment au regard des doutes qui planent sur la question même de la qualification juridique du contrat.

Les débats sur la qualification juridique du contrat de cloud computing

En droit français prévaut généralementla distinction entre la théorie générale des obligations et le droit des contrats spéciaux. Cette distinction est purement conceptuelle au sens où, en réalité, chaque contrata descaractéristiques quilui sont propres et qu'a contrario aucun d'entre euxn'est purement« général ». Juridiquement, cette distinction traduit le fait qu'à chacun de ces contrats peut s'appliquer deux types de règles : les règles générales et celles propres aux contrats dits « spéciaux »^115(*). L'article 1107 du Code civil traduit bien cette réalité en disposant que les contrats« sont soumis à des règles générales » mais que « les règles particulières à certains contrats sont établies sous les titres relatifs à chacun d'eux ».Dans la catégorie des contrats spéciaux, il est possible de distinguer le contrat de vente^116(*)du contrat de louage d'ouvrage^117(*) également nommé contrat d'entreprise^118(*). Une autre distinction entre les contrats nommés et innomés peut être établie. Les contrats nommés sont généralement ceux faisant l'objet d'une réglementation spéciale, alors qu'à l'inverse seront innommés les contrats ne répondant à aucune catégorie juridique prédéfinie (et cela même si en pratique l'usage leur a déjà attribué un nom). Ainsi, les contrats innommés laisseraient plus de liberté aux parties dans la rédaction des contrats qui, de ce fait,sont généralement plus détaillés^119(*). Puisqu'ils ne font l'objet d'aucune réglementation spéciale^120(*), les contrats de cloud computing pourraient donc facilement tomber dans la catégorie de contrats innommés. Mais la tentation fût grande, en doctrine, de rattacher ces contrats à une catégorie juridique préexistante.

Tout d'abord, en se questionnant sur l'application du régime juridiquedes contrats de dépôt^121(*) aux contrats de stockage dans le cloud, G. Brunaux établit un double constat : le régime juridique des contrats de dépôts ne peut pas s'appliquer aux contrats de cloud, donc celui du contrat de fourniture de service doit être privilégié^122(*). En effet, le contrat de dépôt, dont l'origine remonte à l'Antiquité romaine^123(*), démontre les limites de l'adaptation du droit aux pratiques désormais permises par la technologie. L'intérêt d'appliquer ce régime juridique aux contrats de cloud aurait pu résider dans les obligations de conservation et de restitution de la chose déposée qui incombent au dépositaire^124(*).On comprend alors que, rapporté aux dépôts de données sur le cloud, il serait intéressant pour les utilisateurs de bénéficier de telles dispositions pour se prémunir des risques liés à la dépossession, ou à l'altération des données stockées sur le cloud. Cependant, les articles 1918 et 1919 du Code civilexcluraient de leur régime juridique les contrats de stockage sur le cloud, en prévoyant qu'ilsne concernentque ceuxayant pour objet la « remise réelle ou fictive »de« choses mobilières ». À cet égard G.Brunaux considère que la remise étant un acte matériel, elle ne peut être exercée qu'à l'égard d'un meuble corporel, ce qui exclut donc les données informatiques, dématérialisées par nature^125(*).Mais la doctrine n'est pas unanime à cet égard. Aussi, pour sa part, P.-Y. Gautier considèrequ'il n'existe pas d'obstacle déterminant à faire entrer lecloud computing dans ces contrats^126(*). Il parle d'ailleurs du cloud comme d'une « forme moderne de dépôt dématérialisé»^127(*). Considérer que le dépôt puisse porter sur une chose incorporelle ne reviendrait finalement qu'à adapter le droit positifau progrès technologique, même si il admet que cela « n'est pas un mince affaire, en doctrine civiliste »^128(*).

Ensuite, G. Brunaux propose, en alternativeà ses doutes relatifs à l'application du régime juridique des contrats de dépôt, de retenir la qualification de « contrat de fourniture de prestation de service »^129(*)qui,sous sa plume,n'est rien d'autre que le contrat de louage d'ouvrage précité. Cette qualification se retrouve d'ailleurs dans les travaux de la CNIL^130(*)et en pratique dans les contrats d'informatique en nuage dont l'objet est la fourniture d'un service précisément défini^131(*). Cette qualification générale serait aussi adaptée à la grande diversité de services qui peuvent être fournis par la technique de cloud computing.Néanmoins, ce statut ne permet pas, en soi, de répondre aux exigences de sécurité des données stockées sur le cloud, il incombera alors aux contractants de définir eux-mêmes le niveau de sécurité du service fourni. C'est pour cela que l'auteur appelle d'ailleurs à la création d'un régime particulier qui serait celui de la prestation générale de service à laquelle il conviendrait d'ajouterles obligations incombant au prestataire dans un contrat de coffre-fort, soit notamment la surveillance et l'accès restreint^133(*).

Enfin, d'autres ontentendu appliquer aux contrats decloud computing le régime juridique des contrats de location^134(*). C'est notamment le cas de P. Le Tourneau qui voit dans le cloud une « colocation à distance de système ou de logiciel dans les nuages »^135(*). Cela revient donc à l'apparenter au contrat de louage de choses, défini par le code civil comme « un contrat par lequel l'une des parties s'oblige à faire jouir l'autre d'une chose pendant un certain temps, et moyennant un certain prix que celle-ci s'oblige de lui payer »^136(*) et qui s'applique à « toute sortes de biens meubles ou immeubles»^137(*). Une telle qualification paraît davantage convenir aux prestations de cloud computing consistant à mettre à disposition de l'utilisateur l'usage de machines virtuelles, d'un espace de stockage sur un serveur distantque l'on a parfois pu qualifier de contrat d'hébergement^138(*)et qui correspond davantage aux servicesde cloudprestés en mode « IaaS » ou « PaaS ». Il s'agirait donc d'une location de matériel informatique entre plusieurs clients professionnels^139(*). Les entreprises y ont également recours dans le butd'externaliser leur service informatique, leur évitant ainsi l'investissement dans une infrastructure interne à l'entreprise. P. Le Tourneau constate également que les offres de cloud computing peuvent consister davantage en des offres générales de service que de location, et consent dans ce cas à la qualification générale de louage d'ouvrage. Il décrit d'ailleurs, dans un développement relatif aux contrats de services informatiques que le cloud peut consister en la fourniture d'applications hébergées. Il s'agira dans ce cas des prestations de cloud en mode « SaaS » dont l'objet du contrat est la mise à disposition du client de l'accès en ligne à des logiciels dontle prestataire lui autorise l'usage contre rémunération^140(*).

Il en découle que la qualification juridique du contrat de cloud computing en droit français sera fonction de l'objet du contrat mais est d'ores-et-déjà susceptible de donner lieu à des divergences d'interprétation.Il est intéressant également de rappeler que le régime de responsabilité contractuelle applicable à ces contrats dépend résolument des obligations définies dans le contrat. Or, à ce titre, précisons qu'il revient toujours aux parties contractantes professionnelles d'aménager le contenu contractuel en fonction de leurs besoins.

La consécration de l'autonomie de la volonté en droit français

Il est d'usage, en droit français, de reconnaître le principe de l'autonomie de la volonté en matière contractuelle à travers les articles 6 et 1134 du Code civil. Si le premier interdit de « déroger, par des conventions particulières, aux lois qui intéressent l'ordre public et les bonnes moeurs », le second dispose en revanche que « les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites ». Celles-ci ne pourront être révoquées que par le consentement mutuel des parties ou « pour les causes que la loi autorise ». Ces dispositions sous-tendent des enjeux similaires à ceux décrits dans l'étude de l'autonomie de la volonté en droit européen, à savoir que dans des cas spécifiques, la liberté contractuelle peut être encadrée par la loi. Tout comme le droit de l'Union européenne, le droit français encadre davantage les rapports entre un commerçant et des consommateurs que ceux entre professionnels. Plus généralement nous verrons que le juge français a brièvement eu l'occasion de se prononcer sur des questions intéressant de près ou de loin les contrats de cloud computing et que le recours à ces services par des professionnels, demeure restreint par quelques dispositions juridiques éparses.

La jurisprudence intéressant les contrats de cloud computing

À ce jour, très peu d'affaires concernant le cloud computingont été portées devant lesjuridictions françaises. L'affaire la plus illustre à cet égard opposait la société américaine Oracle au parti politique l'UMP^141(*). Ce dernier avait souscrit auprès d'Oracle un service de cloud de type « SaaS » consistant en la gestion et l'hébergement de données.Le contrat avait été signé le 30 décembre 2010 pour une durée de deux ans.C'est en souhaitant opérer un transfert de ses données afin de changer de prestataire que, le 21 septembre 2012, l'UMPa été confrontée à un dysfonctionnement dudit service. Le prestataire s'était alors engagé à trouver une solution audit problème. Or, la date de fin d'exécution du contrat approchant, l'UMP mit en demeure la société au début du mois de novembre 2012 et l'assigna en référé pour inexécution du contrat près le Tribunal de Grande Instance de Nanterre.La société Oracle opposait notamment au parti politique qu'il n'était victime d'aucun dommage et qu'aucune disposition contractuelle n'avait étéméconnue par elle. À cet égard, le juge des référés rappelaitque la société Oracle s'était engagée conventionnellement à maintenir la fonction d'exportation des données, sans frais, pendant une période de 60 jours après la fin du contrat. Or, rien n'assurait pour autant à l'UMP de pouvoir bénéficier de la récupération de ses données avant cette date. À ce titre, en dépit d'une clause contractuelle par laquelle Oracle entendait limiter sa responsabilité en cas d'erreur ou d'interruption du service, le juge des référés a conclu que celle-ci manquerait incontestablement à ses obligations contractuelles « si elle ne permettait pas à l'UMP de bénéficier en temps utile de ses données pour permettre à son nouveau prestataire de les exploiter et d'être opérationnel dès la fin de sa propre prestation ». Oracle fut alors condamnée àassurer les moyens techniques nécessaires à l'UMP pour changer de prestataire et récupérer ses données et à étendre gratuitement l'accès au service au-delà de la date initialement prévue, le tout sous astreinte de 5 000 euros par jour de retard. Ce jugement en référé semble témoigner d'une interprétation des obligations contractuelles favorable aux clients de services de cloudnotamment en terme de réversibilité des données stockées sur le cloud et d'interopérabilité du service^142(*).

Des règles de droit matériel éparses

La liberté de contracter des services decloud pour les professionnels est encadrée par quelques dispositions éparses et sectorielles. Certaines interdictions ou contraintes sont en réalité spécifiques à certains types de données nécessitant une protection supérieure, comme c'est le cas des données de santé, des données fiscales et des données couvertes par le secret professionnel.

Tout d'abord, la loi dite « informatique et libertés »^143(*)a transposé en droit français la directive 95/46/CE relative aux données à caractère personnel et sensible. À ce titre les données de santé y sont définies comme ayant un caractère sensible et ne pourront faire l'objet d'un traitement par les professionnels de santé que s'ils respectentcertainesconditions^144(*). Ces conditions affectent particulièrement la relation entre le professionnel de santé et le prestataire de service de cloud auquel il peut avoir recourt. Le Code de la santé publique prévoit quele traitement de ces données est conditionné à, outre l'information et le consentement à recueillir de la part du patient, l'obtention d'un agrément par le prestataire de service^145(*). Le professionnel de santé ne pourra alors sous-traiter la gestion des données de santé qu'à un hébergeur ayant été agréé par le ministère de la Santé. Les conditions de l'agrément, qui sont fixées par décret du Conseil d'État^146(*) après avis de la CNIL, ont vocation à garantir un degré de sécurité technique particulièrement élevé de ces données et leur conservation pour une durée de vingt anspar le prestataire.

Ensuite, des règles fiscales françaises encadrent également le recours au cloud computingpar les entreprises. Il en va de la sorte pour les obligations relatives à la conservation de certaines factures transmises par voie électronique. Ainsi, le Livre des procédures fiscales dispose en son article L102C que « les assujettis ne peuvent stocker les factures transmises par voie électronique dans un pays non lié àla France par une convention prévoyant une assistance mutuelle ainsi qu'un droit d'accès en ligne immédiat, le téléchargement et l'utilisation de l'ensemble des données concernées » et qu'ils « sont tenus de déclarer, en même temps que leur déclaration de résultats ou de bénéfices, le lieu de stockage de leurs factures ainsi que toute modification de ce lieu lorsque celui-ci est situé hors de France ».Il est en revanche admis que les serveurs puissent être localisés dans un autre État membre de l'Union européenne^147(*). De telles obligations découlent de la nécessité, pour les autorités fiscales françaises, de se voir garantirl'accessibilité des données fiscales de leurs assujettis. On conçoit alors que les contribuables souscrivant à une solution cloud de gestion de leur comptabilité, ou que la dématérialisation des fiches de paies, doive se faire dans le strict respect de ces obligations. Cela impose pour l'utilisateur de connaître la localisation des serveurs sur lesquels le prestataire stockera ses données fiscales, et pour le prestataire de ne sous-traiter la gestion de ces donnéesqu'à un prestataire répondant également à ces obligations légales.

Enfin, certains professionnels sont soumis à des obligations spécifiques qui impactent directement leur accès aux services de cloud computing. C'est le cas par exemple de la confidentialité des données de l'avocat couvertes par le secret professionnel^148(*). L'article 226-13 du Code pénal punit d'ailleurs d'un an d'emprisonnement et de 15 000 euros d'amende toute révélation d'une information à caractère personnel. Or, la pratique révèlerait un abime entre les comportements physique et numérique des avocats utilisant des services non sécurisés, comme Gmail et Google drive, pour communiquer avec leurs clients et partager des fichiers sensibles^149(*). Pour que la profession puisse pleinement bénéficier des avantages de cette technologie tout en respectant les obligations de sécurité qui leur incombe, M^e A. Bensoussan encourage, par exemple, à souscrire des solutions de cloud privé^150(*). C'est dans ce même esprit encore que le Conseil National des Barreaux a souscrit auprès du prestataire SFR businessle service de « cloud privé des avocats ». Il s'agit d'une infrastructure mise à dispositiondes avocats leur offrant un service de messagerie et de stockage en ligne d'une capacité de base de 50 Go, le tout étant sécurisé et chiffré^151(*).

C'est ainsi qu'en droit français la qualification juridique du contrat de cloudest relativement incertaine mais que nombre de contraintes légales éparses peuvent influencer l'utilisationdes services de cloud, par les professionnels. À en croire la Commission et l'étude comparée des contrats de cloud qu'elle a commandé, ces remarques propres au droit français se retrouveraient également dans les droits des autres États membres de l'Union européenne.

2 - La diversité des droits nationaux applicables aux contrats de cloud computing

Le droit français est un exemple parmi tant d'autres du droit national pouvant être désigné pour régir les relations contractuelles portant sur des services d'informatique en nuage. Il est donc intéressant de mettre en relief ce qui vient d'être présenté sur quelques unes des caractéristiques du droit français avec les travaux présentés par la Commission européenne sur l'ensemble des droits nationaux applicables aux contrats de cloud computing.

Après sa communication initiale de 2012, la Commission européenne acommandé une étude comparative des droits applicables aux contrats de cloud computing. Celle-ci a été menée par le cabinet d'avocats DLA Piper UK LLP et a abouti à un rapportfinal en mars 2015^152(*). Cette étude avait pour but de « comprendre dans quelle mesure les législations, jurisprudences et orientations administratives existantes s'appliquent aux contrats de cloud computing »^153(*). Le travail a été effectué par des professionnels du droit des nouvelles technologies de chacundes États faisant l'objet d'une étude, à savoir tous les États membres de l'Union européenne (à l'exception de la Croatie) et les États-Unis. Trois « Work Package » (ci-après « WP ») ont été réalisés. Le premier consistait en la présentation générale des législations applicables aux contrats de cloud^154(*) ; le second en l'élaboration d'un panel représentatif des États selon des critères juridiques et économiques^155(*) ; le troisième recoupait les deux premiers travaux en comparant les législations nationales des pays composant l'échantillon sélectionné^156(*).

La méthodologie employée pour les premier et dernier travaux est celle du questionnaire. À titre d'exemple, l'étude comparative du WP3 a été réalisée sur 15 questions divisées en 8 parties :

1. Accord de niveau de service (« Service Level Agreement ») ;

2. Politique d'utilisation acceptable (« Acceptable Use Policy ») ;

3. Protection des données ;

4. Droits de propriété intellectuelle ;

5. Responsabilité directe et indirecte ;

6. Fin du contrat ;

7. Modification du contrat ;

8. Sécurité, Protection et perte des données.

La sélection de l'échantillon représentatif des États s'est basée sur des critères légaux tels que le niveau d'avancée de la législation sur le cloud, la loi la plus souvent choisie dans les contrats de cloud, les différentes traditions juridiques européennes et sur des critères économiques tels que la composition des marchés nationaux dans le domaine numérique, la taille des marchés de cloud public ou plus généralement le développement des nouvelles technologies. Ainsi, ont été sélectionnées 8 États : le Royaume-Uni, les États-Unis, l'Allemagne, la France, les Pays-Bas, la Suède, l'Italie et la Pologne^157(*) ; classés selon leurs traditions juridiques respectives^158(*).

La présente étude de droit comparé peut être critiquée, tant dans son procédé scientifique que dans ses résultats et questionne sur la place que la Commission lui octroieradans ses travaux préparatoires^159(*). Néanmoins, elleaurait pour intérêt de révéler des caractéristiques communes aux droit nationaux des États membres : aucun droit spécial régissant les contrats de cloud n'a été élaboré dans les droits nationaux, ces contrats sont tantôt régis par le droit commun des obligations tantôt par des règles relatives à des contrats nommés, le droit de l'Union européenne en matière de protection des données personnelles a harmonisé les législations nationales selon un degré élevé de protection, très peu d'affaires dédiée intégralement au cloud n'ont encore été tranchées par les tribunaux des États membres mais de nombreusesinitiatives sectorielles pourraient concerner, à l'avenir, le cloud^160(*).

C'est ainsi qu'on se rend compte, à travers cette brève présentation des travaux de comparaison des droits nationaux de la Commission, que ce qu'on a décrit plus longuement concernant le droit français pouvait se retrouver dans d'autres droits des États membres. Partant, le rattachement des contrats internationaux de cloud à un droit national impose qu'un choix soit opéré à travers la multitude de droits potentiellement applicables. Les règles de droit international privé permettent de gérer cette diversité et méritent alors d'être présentées.

§2 - Les règles de droit international privé applicables aux contrats internationaux de cloud computing

Un contrat est dit « international » lorsqu'il « présente des contacts avec le droit de plusieurs États ou le droit international »^161(*). Il doit donc comporterun ou plusieurs éléments d'extranéité, c'est-à-dire des points de rattachement de fait ou de droit qui « lient une situation à un État déterminé »^162(*). Cela peut se déduire dela nationalité des cocontractants, de leur lieu de résidence, du lieu de conclusion ou d'exécution du contrat, des langues du contratetc. Les contrats de cloud computing sont susceptibles d'être, par nature, internationaux.La localisation des données, des serveurs, la nationalité ou le lieu de résidence des prestataires et des utilisateurs tout commeles lieux d'accès au service peuvent induire son internationalité. Lorsque tous les éléments dudit contrat sont localisés sur le territoire des États membres de l'Union européenne, à défaut de régime contractuel unifié, la loi applicable est nécessairement celle d'un droit national. La technique des règles de conflit de lois permet alors de rattacher le contrat à un droit étatique. La question se pose en des termes identiques en ce qui concerne la désignation de la juridiction compétente en cas de litige. Au final, que ce soit pour la détermination du droit applicable ou du juge compétent, on se réfère à des règles de conflit qui peuvent être tant de source internationale que nationale. En la matière, l'européanisation des sources est d'ailleurs patente^163(*). La pratique veut qu'il convienne de procéder d'abord à la désignation de la juridiction compétente (A) avant de désigner ensuite la loi applicable(B).

* ⁷⁴ Lexique des termes juridiques 2011, Dalloz, 18^ème édition, p. 765 : « SUBSTANTIEL ».

* ⁷⁵ Cf. article 26 du Traité sur le Fonctionnement de l'Union européenne (ci-après « TFUE »).

* ⁷⁶ CJCE, 3 déc. 1974, Johannes Henricus Maria van Binsbergen contre Bestuur van de Bedrijfsvereniging voor de Metaalnijverheid, affaire 33-74.

* ⁷⁷ Cf. article 57 TFUE.

* ⁷⁸ Directive 2006/123/CE du Parlement européen et du Conseil du 12 déc. 2006 relative aux services dans le marcheì intérieur (« directive service »), article 4.

* ⁷⁹Alors que l'article 56 de la directive services ne vise que les « ressortissants des États membres », une lecture combinée avec l'article 54 permet d'étendre le régime de la libre circulation des services aux « sociétés constituées en conformité de la législation d'un État membre et ayant leur siège statutaire, leur administration centrale ou leur principal établissement à l'intérieur de l'Union ».

* ⁸⁰ Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»), JO n° L 178 du 17/07/2000.

* ⁸¹Directive 98/48/CE du Parlement européen et du Conseil du 20 juil. 1998 portant modification de la directive 98/34/CE prévoyant une procédure d'information dans le domaine des normes et réglementations techniques,?JO n° L 217 du 05/08/1998, art. 1. 2).

* ⁸² Directive 2000/31/CE, op.cit. note 80, considérant 4.

* ⁸³Idem, article 3§4 : ceux-là doivent être des risques sérieux et graves menaçant l'ordre public, la santé publique, la sécurité publique ou la protection du consommateur.

* ⁸⁴ C. CASTETS-RENARD, Droit de l'internet : droit français et européen, Montchrestien, collection Cours, Lextenso éditions, Paris, 2012, p.3 : « L'internet intéresse de plus en plus le législateur de l'Union européenne. Ce dernier y voit tout d'abord un moyen privilégié de renforcer le marché intérieur, par le développement du commerce électronique. [...] L'adoption d'une « stratégie numérique pour l'Europe » le 26 août 2010 témoigne de cet engouement pour cet outil ».

* ⁸⁵ CJCE, 5 oct. 1999, Royaume d'Espagne contre Commission des Communautés européennes, affaire C-240/97, point. 99.

* ⁸⁶ Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final ; 2011/0284 (COD), considérant n°30.

* ⁸⁷ Cf. Section 1, §2 : p.36 et s. ; Section 2, §2 : p. 60 et s.

* ⁸⁸ Directive 2000/31/CE, op.cit., art. 9 : « Les États membres veillent à ce que leur système juridique?rende possible la conclusion des contrats par voie électronique [...] ni ne conduise à priver d'effet et de validité juridiques de tels contrats pour le motif qu'ils sont passés par voie électronique ».

* ⁸⁹ CNUDCI, Loi type sur le commerce électronique et Guide pour son incorporation, 1996, p. 20.

* ⁹⁰ V. GAUTRAIS, Neutralité technologique : rédaction et interprétation des lois face aux changements technologiques, Les éditions Thémis, page 78.

* ⁹¹ Directive 2000/31/CE, op.cit., 10.

* ⁹²Idem, art. 14.

* ⁹³Idem, considérant 42.

* ⁹⁴Ibid.

* ⁹⁵ CJCE, Google France et Google, 12 juil. 2011, affaires jointes C?236/08 à C?238/08.

* ⁹⁶Idem, pt 106.

* ⁹⁷Idem,pt 116.

* ⁹⁸Idem, pt 120.

* ⁹⁹ Directive 95/46/CE, du Parlement européen et du Conseil du 24 oct. 1995, relative aÌ la protection des personnes physiques aÌ l'égard du traitement des données aÌ caractère personnel et aÌ la libre circulation de ces données.

* ¹⁰⁰ La directive 95/46/CE vise directement l'objectif de protection des « droits fondamentaux et la vie privée des personnes » dans son considérant n°34. Depuis, la Charte des droits fondamentaux de 2001, érigée au rang du droit primaire depuis l'entrée en vigueur du Traité de Lisbonne, a consacré conventionnellement la protection des données à caractère personnel comme un droit fondamental dans son article 8. La Cour de Justice de l'Union européenne a d'ailleurs eu l'occasion d'appliquer cet article à plusieurs reprises, notamment dans les célèbres affaires « Google Spain » (CJUE, 13 mai 2014 , C-131/12, point 68) et « Schrems » (CJUE, 6 oct. 2015, C-362/14, point 39).

* ¹⁰¹ Directive 95/46/CE, op. cit. note 99, article 2, a)

* ¹⁰²Idem, article 8, 1.

* ¹⁰³Idem, article 2, b).

* ¹⁰⁴Idem, article 7.

* ¹⁰⁵Idem, article 12.

* ¹⁰⁶Idem, article 14.

* ¹⁰⁷Idem, article 17§1.

* ¹⁰⁸Idem, article 21.

* ¹⁰⁹Idem, article 2, d) : « [...] organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou règlementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le designer peuvent être fixes par le droit national ou communautaire ».

* ¹¹⁰Idem, article 23.

* ¹¹¹ Directive 95/46/CE, op. cit. note 99, article 2, e).

* ¹¹²Idem, article 17§2 et §3.

* ¹¹³Cass., Civ., 21 juin 1950, D. 1951, p.749

* ¹¹⁴ Cf. §2, B., p.38 et s.

* ¹¹⁵ P. MALAURIE, L. AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, 7^ème édition LGDJ, Lextenso éditions, Paris, 2014, p.3.

* ¹¹⁶ Article 1582 du Code civil et s.

* ¹¹⁷ Article 1710 du Code civil et s.

* ¹¹⁸ P. MALAURIE, L. AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, op. cit. note 115, p.34.

* ¹¹⁹Idem, p.5.

* ¹²⁰ P.-Y. GAUTIER, Association H. CAPITANT, le contrat bouleversé ou non par l'électronique : un rapport critique, p.8 : « notons que l'Internet est friand de contrats innommés, i.e. non réglementés par la loi », disponible sur : < http://www.henricapitant.org/sites/default/files/France_1.pdf>.

* ¹²¹ Cf. Articles 1917 à 1954 du Code civil.

* ¹²² G. BRUNAUX, « Cloud computing, protection des données : et si la solution résidait dans le droit des contrats spéciaux ? », Dalloz 2013, p.1158.

* ¹²³ P. MALAURIE, L. AYNÈS, P.-Y. GAUTIER, Les contrats spéciaux, op. cit. note 115, p.505.

* ¹²⁴ Cf. articles 1927, 1932 et 1944 du Code civil.

* ¹²⁵ G. BRUNAUX, op. cit. note 122, pt. 7.

* ¹²⁶ P.-Y. GAUTIER, « Le dépôt : exercices de qualification », Lextenso, Revue des contrats, 01 mars 2014 n° 1, p. 149.

* ¹²⁷ P.-Y. GAUTIER, Le contrat bouleversé ou non par l'électronique : un rapport critique, op. cit. note 120, p.7.

* ¹²⁸P.-Y. Gautier, Le contrat bouleversé ou non par l'électronique : un rapport critique, op. cit. note 120, p.7.

* ¹²⁹ G. BRUNAUX, op. cit. note 122, p.1160.

* ¹³⁰CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing p. 7, 8, 11 et 12 : « contrats de prestation de service cloud computing ».

* ¹³¹¹³² G. BRUNAUX, op. cit. note 122, note de bas de page n°12 : il fait référence à : « Microsoft, art. 3.1 ; Dropbox ; Box, art. 5 ».?

* ¹³³Cass., Com., 11 oct. 2005, n°03-10975 : « Mais attendu que l'article 1722 du Code civil n'est pas applicable au contrat par lequel la banque loue à un client un compartiment ou un coffre dont elle assume la surveillance et auquel le client ne peut accéder qu'avec le concours du banquier ».

* ¹³⁴ Article 1719 du Code civil.

* ¹³⁵ P. LE TOURNEAU, Contrats informatiques et électroniques, Dalloz référence, Paris, 2014/2015, p.375.

* ¹³⁶ Article 1709 du Code civil.

* ¹³⁷ Article 1711 du Code civil.

* ¹³⁸ Céline CASTETS-RENARD, Droit de l'internet : droit français et européen,op. cit.. note 84, p.103 : « le contrat d'hébergement est un contrat de location d'un espace dans le disque dur du fournisseur ».

* ¹³⁹ P. LE TOURNEAU, op.cit. note 134,p.376.

* ¹⁴⁰ P. LE TOURNEAU, op.cit. note 134, p.370.

* ¹⁴¹ Tribunal de Grande Instance de Nanterre, Ordonnance de référé, 30 nov. 2012, UMP / Oracle, n°. RG 12/02746.

* ¹⁴² Cf. E.BARBRY et K.BERBETT, « Cloud computing : attention à la réversibilité », Stratégie internet n°177, nov-déc. 2013.

* ¹⁴³ Loi n° 78-17 du 6 janv. 1978 relative à l'informatique, aux fichiers et aux libertés.

* ¹⁴⁴Idem, article 8 : « Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ».

* ¹⁴⁵Article L1111-8 du Code de la santé publique, modifié par la loi n°2016-41 du 26 janv. 2016, art. 96.

* ¹⁴⁶ Condition de l'agrément fixées par le Décret n° 2006-6 du 4 janv. 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le Code de la santé publique.

* ¹⁴⁷ Directive 2010/24/UE du Conseil du 16 mars 2010 concernant l'assistance mutuelle en matière de recouvrement des créances relatives aux taxes, impôts, droits et autres mesures et par le règlement UE du Conseil 904/2010 du 7 oct. 2010 concernant la coopération administrative et la lutte contre la fraude dans le domaine de la taxe sur la valeur ajoutée.

* ¹⁴⁸ Cf. Loi du 31 déc. 1971, art. 66-5 ; et Décret n°2005-790 du 12 juil. 2005 relatif aux règles de déontologie de la profession d'avocat, art. 4.

* ¹⁴⁹ Cf. C. LE DOUARON, « Numérique : le cloud privé des avocats sera opérationnel en déc. 2015 », Dalloz actualité, 1^er juil. 2015.

* ¹⁵⁰ A. BENSOUSSAN, « Le cloud au service de l'avocat », Gazette du palais, 15 oct. 2011 n°288, p.3.

* ¹⁵¹ A. PORTMANN, « Le cloud privé des avocats enfin lancé », Dalloz actualité, 14 mars 2016.

* ¹⁵² Directorate-General for Justice and Consumers, European Commission, « Comparative Study on cloud computing contracts », Final Report, prepared by DLA Piper UK LLP, March 2015, disponible sur < http://bookshop.europa.eu/en/comparative-study-on-cloud-computing-contracts-pbDS0115164/>.

* ¹⁵³Idem, p.12.

* ¹⁵⁴ Final Report, Annex 1, Country Report Work Package 1.

* ¹⁵⁵ Final Report, Annex 2, Methodology and sample country selection.

* ¹⁵⁶ Final Report, Annexe 4, Country Report Overview Work Package 3.

* ¹⁵⁷ European Commission, Comparative study on cloud computing contracts, Final report, Annex 2, methodology and sample country selection, WP2, march 2015, pp.19-20.

* ¹⁵⁸ Cf. annexe n°3.

* ¹⁵⁹ Cf. Chapitre 2, Section 1, §2, B., 2., p.82 et s.

* ¹⁶⁰ Final report, Annex 2, op. cit., p.13.

* ¹⁶¹ G .CORNU, « Vocabulaire juridique », op. cit. note 22, p.567 : « INTERNATIONAL ».

* ¹⁶²Idem, p.853 : « RATTACHEMENT ».

* ¹⁶³F. VIANGALLI, la théorie des conflits de lois et le droit communautaire, Presses universitaires d'Aix-Marseille, 2004, p.14.