L'apport du droit de l'union européenne en droit des contrats internationaux de cloud computing

SECTION 2 - LES DÉFAUTS DU DROIT APPLICABLE AUX CONTRATS INTERNATIONAUX DE CLOUDCOMPUTING

Rechercher les défauts du droit actuellement applicable aux contrats internationaux de cloudcomputing est une étape nécessaire afin de comprendre pourquoi et comment le droit de l'Union pourrait s'emparer du sujet. On entendra désigner par « défaut » ce qui est « imparfait, insuffisant ou mauvais »^213(*). Il s'agit en fin de compte de démontrer que le droit actuel est inadapté au développement activités de clouden Europe. Une telle approche suppose un jugement de valeur, une critique du droit, qui ne peut être effectué qu'en comparaison à un idéal, un objectif à atteindre. Le droit étant le vecteur d'une politique, l'étude critique du droit doit alors démontrer quelles insuffisances entravent les objectifs d'une politique donnée. Or, des difficultés structurelles sont inhérentes à l'objet d'étude que constitue une politique. En effet, le programme de la Commission, qui sert ici de base à l'analyse, ne constitue qu'une déclaration d'intention partiale et chronophage. Une prise de hauteur dans l'étude de l'apport du droit de l'Unionen droit des contrats de cloud computing devra alors être privilégiée. Pour l'essentiel, nous retiendrons que les objectifs généraux de la Commission sont l'achèvement du marché intérieur, le développement de l'économie numérique européenne et l'approfondissement de l'intégration européenne. On comprend donc qu'il faudra révéler les caractéristiques du droit actuel qui sont susceptibles de dissuader les opérateurs européens à contracter entre eux, à fournir des services de cloud transfrontières ou y souscrire et à préférer l'externalisation à la gestion interne des services informatiques. Il s'agit,en fin de compte, d'identifier les obstacles qui s'opposent au développement des activités internationales de cloud.

Si l'examen des défauts du droit a une forte dimension politique, son intérêt n'en reste pas moins juridique. L'inadaptation du droit peut se traduire par plusieurs phénomènes, tant en droit national qu'en droit de l'Union européenne. L. Siorat distinguait plusieurs types de défauts du droit international dont les lacunes, les obscurités et les carences^214(*). Ces défauts sont dus à la relativité, temporelle et spatiale du droit, et à son caractère faillible, car issu d'une volonté humaine^215(*). Suivant ses considérations, le droit est dit lacunaire lorsqu'il ne prévoit pas de solution à un cas d'espèce. La lacune désignerait donc le silence de la règlementation^216(*). Pour F. Viangalli, qui désigne également les « lacunes » comme le caractère incomplet d'un droit^217(*), celles-ci sont intrinsèques au droit de l'Union européenne mais plus rares en droitnational qui a, lui, vocation à régir toute sorte de situations^218(*). En tant qu'organisation internationale, l'Union ne dispose que de compétences qui lui sont attribuées^219(*). Cela l'empêche donc, par nature, de produire un droit complet. Il désigne ensuite comme « fausse lacune » le caractère du droit qui n'a pas spécialement été conçu pour être appliqué à une situation donnée et qui conduit à une solution « manifestement inadaptée [qui] heurte le sens commun »^220(*). À l'expression de fausse lacune, L. Siorat préfère celle de « carence »^221(*). Aussi, selon lui, la carence du droit se « manifeste [...] chaque fois que le développement logique de la règle juridique ne s'adapte plus aux conditions sociales nouvelles »^222(*). Enfin, ce même auteur qualifie d' « obscurité » les doutes sur le sens du droit à appliquer à un cas d'espèce^223(*), ce que F. Viangalli nomme lui de « lacune de sens »^224(*). Le caractère de la carence, insistant sur l'inadaptation du droit aux évolutions sociales, est particulièrement intéressant en ce qui concerne les nouvelles technologies et donc le cloud computing. Mais à bien des égards nous verrons que le droit actuel peut alternativement être lacunaire, carencé et obscur dans son application aux contrats internationaux de cloud computing. Ces défauts caractérisent d'ailleurs tant le droit substantiel (§ 1) que le droit international privé (§ 2) applicables.

§1 - Les défauts du droit substantiel applicableaux contrats internationaux de cloud computing

Le cloud computing, par ses caractéristiques dont la nature est transnationale, questionne nos régimes juridiques actuels (A). Le cadre légal régissant les contrats de cloud computing apparaît particulièrement flou, incertain et fragmenté, ce qui témoigne des difficultés de son adaptation à la fourniture transfrontière de ces services (B).

A - Les difficultés d'appréhension des activités internationales de cloud computing par le droit actuel

Alors que la Commission souhaite exploiter les capacités de l'informatique en nuage, son constat part de l'existence d'un certain nombre de problèmes révélés par la pratique et non solutionnés par le droit actuel. Ces problèmes freineraient le développement des services transfrontières de cloud. C'est donc avant tout la nature même du cloud computing, (1), qui révèle la mauvaise adaptation du droit actuel (2).

1 - Les difficultés pratiques inhérentes au cloud computing

On remarque sous la plume de la Commission que tant la nature du cloud computing que son environnement contractuel ont des défauts consubstantiels dissuadant les professionnels à recourir à ce type de services. Si l'examen des difficultés pratiques du cloud mériterait une étude empirique des comportements des entreprises et d'un panel de contrats, nous baserons principalement nos développements sur les documents officiels publiés par les institutions européennes^225(*), les autorités nationales chargées de la protection des données^226(*) et le groupe d'expert sur le cloudcomputing^227(*). Cela nous permettra alors d'identifier quels éléments, relatifs au cloud ou aux contrats internationaux de cloud sont au centre des préoccupations de l'Union européenne. Pour cela, seront successivement abordés les risques que représente le cloud pour les utilisateurs professionnels ; puis les défauts propres aux contrats de cloud ;et enfin l'intérêt particulier que les institutions portent aux petites et moyennes entreprises.

Les risques du cloud computing pour les utilisateurs professionnels

Certaines caractéristiques inhérentes au cloud computing rendent cette technique informatique difficilement appréhendable par le droit et risquée pour les entreprises. Dans leur ensemble, les services de cloud soulèvent plusieurs enjeux pour les utilisateurs professionnels. Ceux-là se concentrent sur la sécurité du service et la protection de l'intégrité des données de l'entreprise. De plus, les risques seront décuplés lorsque les données en question présentent un caractère stratégique ou sont sensibles et nécessitent un traitement particulier^228(*). Physiquement, ces risques peuvent être liés à des incidents matériels susceptibles de menacer les bases de données ou les réseaux^229(*), que ce soient les réseaux d'énergie électrique nécessaires au fonctionnement des infrastructures ou les réseaux de télécommunication permettant l'accès des utilisateurs au service. Dans le même esprit, la qualité du matériel peut également être source de défaillance. Informatiquement, les risques se concentrent sur tous les procédés nécessaires à la garantie du bon fonctionnement du service. Cela inclut notamment l'accessibilité au service par un niveau élevé de bande passante, le contrôle du trafic sur le réseau et l'accès sécurisé au VPN^230(*). Sont également concernés le chiffrement des données et les pare-feu sensés protéger des intrusions malveillantes soupçonnables de vol, de destruction des données ou d'espionnage des activités. En pratique, il s'agit enfin de garantir aux utilisateurs la possibilité de récupérer les données qu'ils ont stockées^231(*), de changer de prestataire et d'importer leur structure informatique dématérialisée sur un autre support^232(*). Pour résumer, les craintes principales des professionnels à l'égard de ces services de cloud seraient liées à la dépendance vis-à-vis de la technologie, les risques d'atteinte à la continuité du service par unquelconque dysfonctionnement, ou encore la perte de contrôle sur les données et les risques liés à leur destruction, leur vol ou l'espionnage^233(*).

Ensuite, il s'avère que le cloud computing est un objet difficilement saisissable par le droit du fait de son caractère protéiforme. Il prend en réalité la forme de plusieurs types deservices de natures différentes. Rappelons à ce titre qu'entre les services de location d'un espace de stockage de données, d'utilisation d'une machine virtuelle, ou de « services métiers »^234(*) tels que des logiciels de gestion comptable ou de service de messagerie électronique, un grand nombre de différences peuvent exister. À cette diversité de services s'ajoute la pluralité des modes de gestion et des modèlesde cloud. Ainsi, un même service -par exemple la location d'un espace de stockage de données - peut être administré de différentes manières. On fait référence ici aux distinctions entre le cloud public, privé, communautaire et hybride. Cela a un impact sur la relation contractuelle liant l'utilisateur au prestataire puisque les garanties liées à la sécurité des données varient selon le mode de gestion des services cloud fournis. Le cloud privé est conçu pour les besoins de sécurité du client alors que la gestion publique ou communautaire impose des standards de sécurité communs aux utilisateurs qui en partagent l'accès. Il est alors probable que la gestion publique d'un cloud apporte des garanties moindres que celles des cloud privés, mais cela n'est pas automatique. Dans le même esprit la nature du service varie en fonction du modèle de cloud : Infrastructure as a Service, Platform as a Service ou Software as a Service^235(*).

Des difficultés s'opposeraient alors à régir toutes ces activités par un seul et même cadre juridique, d'autant plus que l'innovation pourrait le rendre aussitôt désuet au regard des pratiques futures. Aussi, rappelons peut-être que le caractère de paiement à l'usage^236(*) lié à la flexibilité du service de cloud a pour conséquence d'indexer le prix de la prestation au niveau de service accepté. Si le prix varie selon la capacité de stockage exigée par l'utilisateur, ça l'est également et surtout, en fonction du niveau de sécurité des données, d'accessibilité du réseau, de garantie de réversibilité des données et donc du mode de gestion du service de cloud. En somme, plus les risques seront élevés pour l'utilisateur, plus le coût du service sera faible et inversement. On comprend donc à ce stade que la contrainte économique puisse être un facteur d'inégalité entre les professionnels dans leur recours au cloud. Ainsi, et pour schématiser, les grands groupes bénéficieront plus facilement des solutions de cloud privé avec un niveau plus élevé de garanties de sécurité des données, alors que les petites et moyennes entreprises (ci-après « PME »), les très petites entreprises (ci-après « TPE ») ou qui plus est les start up, s'orienteront naturellement vers les types de services les plus avantageux économiquement^237(*). Pour démontrer cela, l'exemple des services de cloud utilisés par les avocats semble pertinent. Rappelons que M^e Bensoussan conseillait à la profession de privilégier la souscription de services de cloud privés leur assurant une gestion des données conforme aux exigences déontologiques de la profession^238(*). Dans cet esprit le Conseil National des Barreaux a conclu avec le prestataire SFR business une solution de cloud conçue sur-mesure pour la profession^239(*). À cet égard constatons seulement que l'organisation ordinale des avocats a permis la commande d'une offre de service qui est réellement adaptée aux exigences de la profession. Naturellement, ce qui est réalisable en commun le serait bien plus difficilement individuellement. Aussi, le niveau de service du « cloud privé des avocats » se limitant à un espace de 50 Go de stockage, il est fort à parier que tous les professionnels ne puissent pas également compléter ce service par une solution de cloud privée, propre à leur cabinet. Certains d'entre eux continueront certainement de souscrire des solutions inadaptées aux exigences de leurs professions^240(*), pour des raisons tant économiques que pratiques. Observons enfin que plus généralement, les prestataires de service de cloud, prévoient des offres standardisées et au coût attrayant, spécialement dédiées aux PME, TPE et start up^241(*).

Un dernier phénomène pratique, rendant plus opaque les conditions de prestation des services de cloud, réside dans le recours de plus en plus fréquent à la sous-traitance^242(*). La CNIL appelle d'ailleurs les entreprises désireuses de souscrire des solutions de gestion de cloud à se méfier des « faille(s) dans la chaine de sous-traitance, dans le cas ouÌ le prestataire a lui-même fait appel aÌ des tiers pour fournir le service»^243(*). Le Groupe d'expert de la Commission confirme ce point de vue en rappelant que les chaînes de contrats sont susceptibles de failles de sécurité^244(*). L'enjeu peut donc être important pour l'utilisateur du service de cloud d'être informé du recours, par son prestataire de service, à la sous-traitance. Cela a un intérêt certain pour l'attribution de la responsabilité du traitement des données. Dans le même temps, la sous-traitance favorise l'internationalisation des prestations de service de cloud. Il va sans dire que les difficultés décrites précédemment pourraient être exacerbées si ledit sous-traitant résidait dans un État tiers à l'Union européenne. Or ces informations ne seront connues de l'utilisateur final du service que si le prestataire fait preuve de suffisamment de transparence.

Les risques qui viennent d'être décrits peuvent être appréhendés par le contrat en soumettant le prestataire à certaines obligations dont la violation pourra être sanctionnée. Le contrat apparaît donc ici comme outil de gestion des risques de l'activité de cloud computing^245(*). Or, la pratique rend compte du fait que les contrats de cloud souffrent de défauts qui, eux-mêmes, suscitent la méfiance des professionnels.

Les défauts propres aux contrats de cloud computing

Le contrat, en ce qu'il encadre la relation entre l'utilisateur et le prestataire de service, a pour vocation de prémunir les utilisateurs des risques inhérents à la technique du cloud. Ainsi, le contenu contractuel doit prévoir les obligations incombant aux parties et les conséquences qui résulteront de leur violation. Cependant, tout contrat traduit un rapport de force économique. Durkheim dénonçait en ce sens la contrainte existante dans tout acte que l'homme conclu, et ce « car ils ne sont jamais conformes à ce que nous désirons » et que : « qui dit contrat dit concessions, sacrifices pour éviter de plus graves »^246(*). Ainsi, les défauts des contrats de cloud sont principalement dusau déséquilibre des obligations qu'il instaure et à leur complexité. À cela s'ajoute des particularités propres aux contrats conclus sur internet.

Pour les institutions européennes, le déséquilibrecontractuel des services de cloud se traduit principalement par l'existence de clauses d'exonération ou de limitation de responsabilité au profit du prestataire^247(*). Il s'avère que celles-ci peuvent porter sur des éléments essentiels du contrat comme les dysfonctionnements du service ou l'intégrité des données^248(*). À l'inverse, l'utilisateur voit ses droits limités, notamment lorsque les offres standardisées empêchent toute négociation précontractuelle. La CNIL rappelle à cet égard qu'il s'agit souvent de « contrats d'adhésion ne laissant pas aux clients la possibilité de les négocier» et conseille alors aux professionnels de comparer les différentes offres^249(*). Encore une fois, toutes les entreprises clientes de services de cloud ne sont pas sur un même pied d'égalité : si les plus grandes entreprises pourront négocier de gré à gré un contrat individualisé, la majorité des autres se contentera d'un contrat d'adhésion^250(*). Aussi, l'effet du déséquilibre contractuel seraient accentué par la complexité des contrats et le manque de transparence du prestataire, notamment en ce qui concerne la localisation des infrastructures servant de bases à la prestation, tout comme les éventuels recours à la sous-traitance.

Enfin, on peut évoquer plus généralement la particularité des relations contractuelles sur internet dont le cloud peut être l'objet. À ce sujet N. Martial-Braz rappelle qu'en apparence les prestataires de services sur internet entretiennent une « négation de l'existence du contrat»^251(*) en les nommant « chartes d'utilisation » ou « politiques de confidentialité » et auxquels on ne consent qu'en un clic. On pourrait décrire ce processus comme un phénomène psychologique encourageant à la conclusion des contrats électroniques et dont le risque, concernant le cloud, tendrait à la méconnaissance pour les utilisateurs des obligations leur incombant ou des risques qu'ils prennent relativement à la qualité du service fourni.

On se rend finalement compte que toutes ces caractéristiques du cloud et des contrats de cloud ont en réalité pour objet de placer les plus petites entreprises en situation de faiblesse vis-à-vis du prestataire de cloud. Il semblerait d'ailleurs que la Commission projette plus précisément de protéger ces petites entreprises dans les relations contractuelles de cloud.

L'intérêt des institutions européennes pour l'accès des PME aux services de cloud computing

En filigrane des documents officiels étudiés apparaît un certain intérêt porté aux PME dans leur accès aux services de cloud. Notons à cet égard que si les PME sont des professionnels, et jouissent de ce fait de la liberté contractuelle, leur taille et leur capital, sans commune mesure avec les grandes entreprises, peut-être source de vulnérabilité. À cet égard, il est intéressant de relever que, dans sa communication de 2012, la Commission distingue les « petites entreprises » des autres « utilisateurs professionnels » en les comparant aux « particuliers »^252(*). Cela est d'autant plus explicite lorsqu'elle déclare que :

« Pour les contrats avec les particuliers et les petites entreprises, il sera peut-être nécessaire d'élaborer des clauses et conditions reposant sur un instrument de droit des contrats facultatif de façon à disposer de contrats clairs et équitables en matière de services en nuage »^253(*).

La Commission souligne ainsi une similitude entre les comportements des petites entreprises et ceux des personnes physiques dans leur recours au cloud. Les projets de droit des contrats de cloud computing pourraient alors s'orienter vers des dispositions protectrices de ces seuls utilisateurs du cloud. Juridiquement cela pourrait se traduire par la création d'un statut protecteur desentreprises les plus faibles, a simili de celui du consommateur. La pertinence d'une telle piste de réflexion semble justifiée par sa mise en contexte. En effet deux initiatives récentes de l'Union européenne à l'attention des PME intéressent, de près ou de loin, le cloud.

D'une part, le projet de règlement relatif à un droit commun européen de la vente avait pour ambition de créer des règles spécialement applicables aux PME dans leurs rapports avec d'autres professionnels. En ce sens, l'article 7 disposait que le règlement pouvait être appliqué à une relation contractuelle transfrontière lorsque « le fournisseur du contenu numérique est un professionnel » et que l'autre partie au moins « est une petite ou moyenne entreprise»^254(*). Il définissait d'ailleurs la PME comme « un professionnel qui emploie moins de 250 personnes, et dont le chiffre d'affaire annuel ne dépasse pas 50 millions d'euros ou dont le bilan total annuel n'excède pas 43 millions d'euros»^255(*) . Dans cet esprit, ce projet avait pour ambition de lever les freins aux échanges transfrontières qui, pour les PME comme pour les consommateurs, « ont un effet particulièrement dissuasif»^256(*). L'article 86 retenait particulièrement l'attention à cet égard en prévoyant un régime juridique de « clauses contractuelles abusives dans les contrats entre professionnels », lorsque des dispositions n'ont pas pu faire l'objet de négociation et seraient contraires aux principes de bonne foi et de loyauté. Comme il l'a déjà été expliqué en introduction, ce projet semble être tombé en désuétude. D'ailleurs, les derniers amendements du Parlement européen ont fait disparaître cette distinction entre grandes et petites entreprises^257(*). Il est aujourd'hui remplacé, pour ce qui nous concerne, par une directive dédiée aux contrats de fourniture de contenu numérique^258(*), et sur lequel nous reviendrons^259(*).

D'autre part, il est intéressant de constater que l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information est à l'origine d'un « Cloud Security Guide for SME's »^260(*). Il s'agit d'un guide d'une cinquantaine de pages dans lequel sont identifiés clairement les intérêts et les risques du cloud pour les PME. Ce procédé est particulièrement intéressant en ce qu'il identifie le comportement à adopter par les PME utilisant le cloud et témoigne d'un intérêt particulier porté à ces entreprises par les institutions européennes.

C'est ainsi que le cloudd'une part et les contrats de cloud d'autre partsont emprunts de défauts qui en ralentissent le développement dans l'ensemble du marché intérieur. Pour la Commission, la principale cause de ces défauts serait « la complexité et le flou du cadre juridique applicable aux prestataires de service en nuage »^261(*). En somme le droit actuel semble apporter des solutions inadaptées aux problématiques posées par le cloud.

2 - L'inadaptation des réponses du droit actuel aux problèmes pratiques du cloud computing

Face aux difficultés pratiques que peuvent rencontrer les professionnels désireux de contracter des services de cloud computing, force est de constater qu'actuellement le droit ne leur apporte qu'un nombre infime de garanties. En résulte l'inadaptation du droit qui compte à cet égard tant de lacunes que de carences.

En ce qui concerne tout d'abord les lacunes, la présentation du droit applicable aux contrats internationaux de cloud computingtémoigne que tant le droit européen que les droits nationaux présentent des lacunes dites « de construction ». Ce constat est sans appel en ce que le droit ignore actuellement l'expression de « cloud computing » ou d' « informatique en nuage ». Aucune règle n'a donc été spécialement conçue pour régir les activités de cloud computing^262(*). D'ailleurs, on ne trouve actuellement aucune définition légale du cloud en droit positif. Cela étant, nous avons entendu démontrer qu'en dépit de telles lacunes, quelques dispositions éparses influencent indirectement les activités de cloud computing. Il en va de la sorte par exemple pour les obligations incombant aux professionnels de stocker leurs données fiscales sur un serveur localisé dans un pays européens ou dans un pays tiers lié par une convention internationale à leur État d'origine, ou pour un prestataire d'être agréé par les autorités publiques s'il souhaite opérer un traitement des données de santé etc. Or, ces réglementations impactant les activités de cloud ne suffisent pas à combler les lacunes décrites au préalable. En effet, dans l'ensemble, ces caractéristiques auraient un effet néfaste sur les activités transfrontières de cloud. Le silence du droit sur les contrats de cloud computing serait source d'insécurité juridique. De plus le caractère épars des règles nationales rend l'information juridique difficile à obtenir pour chacun des droits nationaux, dissuadant donc à la fourniture transfrontière de ces services. Néanmoins, si le droit de l'Union est lacunaire par essence, les droits nationaux sont eux susceptibles de régir toutes les situations qui se posent à lui. Si bien qu'alors, plus que de lacunes, c'est de carences (ou « fausses lacunes ») que souffriraient les droits nationaux dans leur application aux contrats de cloud computing.

Ensuite, le fait qu'aucune disposition n'ait été créée spécifiquement pour les activités de cloudcomputing ne signifie pas que celles-là ne soient pas soumises à certaines règles. Au contraire, dans une telle situation,le droit commun s'appliquera et le juge l'interprètera à la lumière des spécificités du cloud^263(*). Il peut paraître précipité de se positionner sur la question alors même qu'en Europe très peu d'affaires ont eu lieu à propos ducloud. Or, c'est bien à l'occasion des litiges quenous pouvons réellement mesurer les carences d'un droit. Aussi, nous nous contenterons d'invoquer une partie seulement de ce qui, en l'état du droit, pose problème aux contrats internationaux de cloud. Pour l'essentiel, nos remarques concerneront les problématiques de la qualification juridique du contrat, du régime de responsabilité contractuelle et de la difficulté d'appliquer le régime de protection des données à caractère personnel aucloud computing.

D'une part, rappelons peut-être les doutes que pose la qualification juridiquedu contrat de cloud en doctrine française. La question de savoir si le régime juridique du contrat de dépôt pourrait être applicable aux opérations de stockage de données dématérialisées rouvrirait le débat opposant, au siècle passé, les défenseurs de la méthode d'interprétation exégétique à ceux de la libre recherche scientifique de F.Gény^264(*). Plus concrètement, les doutes relatifs à la qualification juridique des contrats de cloud soulignent lesdifficultés qui pourraient se poser à l'adaptation du cadre légal du Code civil français à la pluralité de pratiques dont le cloud peut faire l'objet et « qui n'ont en commun que l'externalisation des données »^265(*). Dans cet esprit, la perspective d'une définition légale générale des contrats de cloud pourrait être abandonnée au profit de qualifications, au cas par cas, de chacun des modèles de service proposé. Si l'on poursuit la réflexion, il faut alors s'attendre à voir émerger des notions jurisprudentielles telles que celles de contrat de dépôt dématérialisés que l'on distinguera des contrats de coffre-fort dématérialisés, a simili de la distinction actuellement opérable entre les contrats de dépôt et de coffre-fort « physiques ».

C'est, d'autre part, le régime de responsabilité applicable aux contrats de cloud qui peut être questionné, et plus particulièrement la validité des clauses exonératoires et limitatives de responsabilité. Le lien avec la qualification juridique du contrat est notable puisque de celui-ci dépendent les obligations respectives des contractants. À défaut d'obligations légales spéciales nous avons vu que les parties disposaient d'une certaine liberté dans l'aménagement du contenu contractuel et, en pratique, de l'insertion de clauses limitatives de responsabilité. Le régime français de responsabilité contractuelle autorise les professionnels à convenir entre eux d'éventuelles limites ou exonérations de responsabilité^266(*). Mais cette liberté est encadrée. Ainsi, les clauses d'exonération ou de limitation de responsabilité ne couvrent pas les cas d'inexécution dolosive d'une obligation^267(*), de faute lourde et, en principe, de la violation de l'obligation essentielle du contrat. Si la faute lourde se traduit par un manquement à une obligation contractuelle caractérisée par la gravité du comportement du débiteur de ladite obligation^268(*) et peut résulter de la seule méconnaissance d'une clause expresse^269(*), il est intéressant de noter l'évolution de la jurisprudence sur les effets d'une violation de l'obligation essentielle du contrat. Dans l'affaire Chronopost de 1996, la Cour de cassation reconnaissait alors qu'une clause de limitation de responsabilité était réputée non écrite si elle contredisait la portée de l'engagement pris^270(*). En 2006, dans un autre arrêt Chronopost la Cour retenait la même solution pour la violation d'une « obligation essentielle »^271(*) du contrat. Néanmoins, lors d'une affaire opposant la société informatique Oracle à Faurecia^272(*) en 2010, la Cour de cassation a eu l'occasion de se prononcer sur la validité de telles clauses dans les contrats informatiques et semble avoir assoupli sa position. En l'espèce, Oracle devait livrer un logiciel de gestion de production et de gestion commerciale à l'équipementier automobile Faurecia. Ce dernier se plaignait du défaut de livraison dudit logiciel dans le temps conventionnellement prévu, mais le contrat prévoyait une clause limitative de responsabilité plafonnant le montant de l'indemnisation au montant du prix payé par Faurecia pour la prestation. À l'appui de ses prétentions la société invoquait la méconnaissance par Oracle de l'obligation essentielle du contrat pour ne pas se voir opposer une telle limitation de responsabilité. Mais la Cour refusa cet argument au motif que « la clause limitative de réparation ne vidait pas de toute substance l'obligation essentielle de la société Oracle ». L'interprétation des clauses devient alors plus favorable à leur validité. Alors que les affaires Chronopost conduisaient à leur nullité systématique dès lors qu'elles allaient à l'encontre d'une obligation essentielle du contrat, désormais le client devra prouver que la clause vide l'obligation essentielle « de toute sa substance ». Par cetarrêt la Cour consacre la nécessité d'établir un examen in concreto du comportement fautif et redonne ainsi de la consistance au principe de la liberté contractuelle qui prévaut entre professionnels. Celadoit nous interroger à propos du cloud^273(*). Serait-il raisonnable qu'une clause limite la responsabilité d'un prestataire de cloud à un certain montant de dommages-intérêts en cas de dysfonctionnement du service^274(*) ou de mise en cause de l'intégrité des données^275(*) ? Si l'on se réfère à l'ordonnance en référé rendue dans l'affaire opposant l'UMP à Oracle, il a pu être considéré que le préjudice subit du fait du défaut du service empêchant la réversibilité des données ne pouvait pas faire l'objet d'une limitation de responsabilité. En effet, le juge aurait implicitement appliqué la jurisprudence relative à la violation d'une obligation essentielle du contrat. Il serait également intéressant de se demander sile législateur, par l'ordonnance du 10 février 2016 portant réforme du droit des contrats^276(*)devant entrer en vigueur le premier octobre 2016, n'a pas entendu donner raison à l'interprétation de la Cour dans l'affaire Oracle c/ Forecia en codifiant expressément dans le futur article1170 du Code civil que « toute clause qui prive de sa substance l'obligation essentielle du débiteur est réputée non écrite ». Un doute demeure sur le fait de savoir si les juges retiendront le même degré d'appréciation que celui de l'affaire Faurecia à savoir : la privation de « toute » la substance de l'obligation essentielle du contrat, alors que l'article n'y fait pas référence. Aussi est-il possible de se demander, dans un contrat de prestation de service de cloud, quelle obligation sera considérée comme « essentielle » : celle relative au niveau de sécurité à garantir, celle relative à la réversibilité des données, celle relative à la continuité du service ou une autre ?

Enfin, l'application du régime juridique de la protection des données à caractère personnel poserait actuellement problème aux activités de cloud computing entre professionnels. Mais, sur ce point, le règlement relatif à la protection des données à caractère personnel qui sera applicable deux ans après sa publication au Journal officiel de l'Union^277(*), et qui a été voté par le Parlement européen le 14 avril 2016, devrait clarifier la situation. Actuellement, la Directive 95/46/CE harmonise dans l'Union européenne le régime juridique applicable à la protection des données personnelles. Or, et comme on l'a déjà démontré, celle-ci intéresse les relations de cloud computing entre professionnels. Pour N. Martial-Braz, les limites de l'adaptation de cette directive au cloud computing sont doubles : d'une part, n'étant pas spécifiquement adaptée au cloud, elle n'appréhende pas la question du traitement des données après leur externalisation vers un prestataire^278(*), et d'autre part elle ne permet pas la qualification juridique de chacun des acteurs qui prennent part au traitement dans le nuage^279(*). Le groupe de travail de l'Article 29 (« G29 »), partage ce constat en admettant « la difficulté d'appliquer les définitions de la directive dans un environnement complexe qui permet d'envisager maints scénarios faisant intervenir des responsables du traitement et des sous-traitants, seuls ou conjointement avec d'autres, avec différents degrés d'autonomie et de responsabilité »^280(*). Plus concrètement encore, la carence du régime instauré par la directive proviendrait du fait qu'elle a été conçue pour la conception traditionnelle du traitement des données, impliquant seulement deux acteurs : l'individu concerné et le responsable du traitement. Or la pratique et le développement technologique ont permis, par le cloud, l'externalisation par le responsable du traitement initial de ses ressources informatiques sur les infrastructures d'un tiers prestataire, lequel peut lui-même sous-traiter, ou « sous-sous-traiter », certaines activités. Ainsi, au schéma binaire traditionnel du traitement s'oppose celui, répandu par le cloud, des chaînes de traitement des données à caractère personnel. Or, dans un tel cas, alors qu'il en conserve la responsabilité de droit, le responsable du traitement n'en a plus le contrôle de fait. Il est alors primordial pour le fournisseur de service de prévoir contractuellement les obligations et responsabilités de ses sous-traitants^281(*) et de s'assurer que ceux-là ne puissent également sous-traiter le traitement qu'avec son autorisation^282(*), puisque la directive n'instaure pas un régime de responsabilité des sous-traitants à l'égard des intéressés relativement au traitement de leurs données à caractère personnel. Cela dit, le règlement adopté au mois d'avril 2016^283(*), semble témoigner de l'adaptation du régime de protection des données à caractère personnel. Ce règlement prend en effet compte du phénomène de sous-traitance dès les dispositions relatives à son champ d'application^284(*), puis en y consacrant son article 28. Cet article invoque même les chaînes de sous-traitance en disposant qu' « un sous-traitant ne recrute pas un autre sous-traitant sans autorisation préalable du responsable du traitement ». Une autre nouveauté de ce règlement réside dans le statut qu'il crée de « responsable conjoint du traitement », prévu en son article 26^285(*)et qui intéresse également leur responsabilité en disposant en son troisième paragraphe que « la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement ».Ce règlement augure un renouveau du régime de la protection des données à caractère personnel qui influencera sans aucun doute la technique contractuelle des opérateurs et clients professionnels de service de cloud computing.

C'est ainsi que plusieurs facteurs participent à ralentir le développement des activités de cloud :alors que le cloud est une technique risquée pour l'utilisateur professionnel, les contrats de cloud ne leurs garantissent pas nécessairement la sécurité du service attendue et le droit lui-même peine à rétablir l'équilibre contractuel et manque, tout du moins,de clarté et de prévisibilité. À cela la Commission ajoute que ces défauts, génériques, sont souvent accentués pour les contrats internationaux de cloud. Or, cette fois-ci, c'estprincipalement ladiversité des droits potentiellement applicables qui est visée.

B - Les défauts liés à la diversité des droits nationaux applicables aux contrats internationaux de cloud computing

Les contrats internationaux de clouddevant être soumis à un droit national, il convient de s'interroger sur l'impact de la diversité des droits des contrats sur le développement du marché unique numérique. On remarque à cet égard que la Commission présume quasiment que la pluralité des droits constitueune entrave au bon fonctionnement du marché intérieur (1). Aussi, la possibilité pour les opérateurs de choisir le droit qui sera applicable au contrat rendrait possible le phénomène du law shoppinget, par extension, la concurrence normativeentre les États membres de l'Union (2).

1 - La diversité des droits nationaux comme entraveau bon fonctionnement du marché intérieur

La question suscite les débats. En doctrine, nombre d'auteurs considèrent que la diversité des droits nationaux des contrats nuit à la réalisation du marché unique^286(*), quand bien même il est difficile de le prouver^287(*). D'autres au contraire demeurent perplexes à cet égard^288(*) et jugent les études de l'Union « trop empiriques » et préfèreraient qu'elle«  [étaye]la justification [...] d'études académiques mettant en évidence les distorsions provoquées par les législations nationales»^289(*).

En ce qui concerne les contrats de cloud computing, dès 2012la Commission semblait considérer comme acquis que la « diversité des cadres juridiques nationaux » a comme conséquence « le morcellement du marché unique numérique » et que cela nuirait à la fourniture transfrontière de ces services^290(*). Il s'agit d'une position constante de la Commission de considérer que la multitude des droits des contrats nuise au marché intérieur^291(*). Aussi entendait-elle le démontrer dans ses communications sur le droit des contrats de 2001^292(*) et de 2010^293(*). Elle identifie d'abord comme frein aux échanges le fait que le choix du droit applicable aux contrats puisse être altéré par les dispositions impératives de la loi d'un autre pays^294(*). Elle pointe ensuite du doigt la méconnaissance, pour les consommateurs et les PME, des droits des contrats étrangers^295(*) et le coût que représente le conseil juridique ou le contentieuxpour les entreprises opérant sur le marché intérieur^296(*). Pour confirmer cette vision, la Commission a procédé à des consultations publiques. L'une d'entre elles est particulièrement intéressante en ce qu'elle a pour objectif d'identifier l'impact du droit européen des contrats dans les transactions entre entreprises^297(*). On y apprend par exemple que 49% des6476 dirigeants d'entreprises interrogés considèrent que le droit des contrats constitue un obstacle, même minime, sur leur activité commerciale avec les entreprises provenant d'autres États membres^298(*) et que la moitié d'entre eux opterait pour un remplacement des droits nationaux des contrats par un droit européen unique^299(*).

Ces allégations portées par la Commission sur le droit des contrats trouvent un écho dans leur application au cloud. De prime abord, le coût que supportent les opérateurs de cloud dans leurs prestations de service transfrontières est particulièrement visé dans la communication de 2015 relative aux contrats de services de la société d'information^300(*). La proposition de directive portant sur les contrats de fourniture de contenu numérique confirme cette tendance en souhaitant « réduire l'insécurité [...] du fait de la complexité du cadre juridique et des coûts liés aux différences entre les droits nationaux des contrats que doivent supporter les entreprises»^301(*). Mais rappelons que ce projet, bien que concernant les activités de cloud, ne vise que la protection des consommateurs.Ensuite, la méconnaissance des droits des contrats étrangers apparaît clairement dans le projet de règlement de droit commun européen de la vente. Le premier considérant dispose clairement que « les professionnels classent la difficulté de trouver les textes d'un droit des contrats étranger parmi les premières entraves aux transactions entre professionnels et consommateurs et à celles entre professionnels »^302(*). Enfin, plus juridiquement peut-être, certaines questions se posent relativement aux divergences des droits nationaux des contrats. Le groupe d'expert sur le cloud relève en ce sens que la validité des clauses limitatives de responsabilité au regard des droits nationaux expose des solutions qui diffèrent, et notamment entre le droitbritannique et les autres systèmes juridiques^303(*). Ces divergences concernent le droit des contrats en général, et ne sont pas spécifiques au cloud. Néanmoins, il est possible de s'interroger sur le fait que le développement du cloud entraînera tôt-ou-tard une intervention juridique, législative ou judiciaire, en droit national. Dans ce cas, en l'absence d'harmonisation européenne, les chances sont grandes pour que chacun des droits nationaux évolue indépendamment l'un de l'autre et donne lieu à de futures divergences. C'est donc tant la diversité actuelle des droits que leurs divergences futures qui devraient inquiéter quant au développement des échanges transfrontières portant sur les services de cloud.

C'est ainsi que, pour la Commission, la diversité des droits nationaux est clairement un obstacle au perfectionnement du marché unique numérique. Aussi, dans l'ombre de ces considérations, se poserait la question de savoir si la diversité des droits ne favoriserait pas le phénomène de concurrence normative entre les États membres de l'Union européenne.

2 - La diversité des droits nationaux comme source de concurrence normative entre États membres

Le phénomène de concurrence normative^304(*) ou régulatoire^305(*), résulte d'une approche économique du droit consistant à mesurer l'attractivité des systèmes juridiques que l'on perçoit dans une relation de compétitivité les uns par rapport aux autres^306(*). Trois conditions sont jugées nécessaires à l'existence de rapports concurrentiels entre les droits : la diversité des droits, la mobilité des acteurs économiques^307(*)et le fait que ces derniers aient un intérêt particulier à préférer un droit à un autre^308(*). On attribue à la concurrence normative deux conséquences opposées que sont la course vers le haut (« race to the top ») et la course vers le bas (« race to the bottom). Elle pourrait donc être tant source de progrès que de nivellement par le bas^309(*).

La question peut donc se poser de savoir si le droit applicable aux activités de cloudcomputingpourrait être à l'origine d'une concurrence normativeau sein de l'Union européenne. Il convient pour cela d'examiner si les trois conditions nécessaires à l'émergence d'un tel phénomène sont réunies. En ce qui concerne tout d'abord la diversité des droits nationaux, il a déjà été prouvé que celle-ci est actée puisque le droit des contrats est essentiellement d'origine étatique. Ensuite, la possibilité pour les opérateurs de cloud de choisir le droit qui leur est applicable se vérifie par la flexibilité des règles de droit international privée dont l'autonomie contractuelle des professionnels permet de choisir le droit applicable au contrat et le juge compétent lors d'éventuels litiges. Aussi, à défaut de choix des parties, la loi de l'État de résidence habituelle du prestataire de service devait être désignée comme régissant le contrat. Or, dans ce cas les opérateurs de cloudpourraient bénéficier des libertés d'établissement^310(*) et de prestation de service pour choisir le régime juridique auquel leurs activités de cloud seront soumises. Ce phénomène est plus connu du droit international privé sous le vocable de law shopping et de forum shopping et qui traduisent « la satisfaction des intérêts privés »^311(*) des opérateurs économiques. Il ne reste enfin qu'à se positionner sur la question de savoir si les prestataires de cloud auraient un intérêt à préférer un droit à un autre. De ce point de vue on peut distinguer le choix du droit applicable aux contrats internationaux de cloud de celui applicable à l'activité de l'opérateur de cloud. En ce qui concerne d'une part le droit applicable au contrat de cloud, on aétudié que des divergences peuvent exister entre les droits sur la question de la validité des clauses exonératoires ou limitatives de responsabilité qui composent souvent les contrats de cloud. Dans ce cas il y aurait un intérêt évident pour le prestataire à choisir la loi et le juge les plus enclins à admettre l'exonération de responsabilité en cas de dysfonctionnement de service ou d'atteinte à l'intégrité des données. Le fait que l'étude comparative des contrats de cloud ait mentionné que le droit anglais fût souvent choisi dans ces contrats^312(*), et que le groupe d'expert ait affirmé que ce droit était plus enclin que d'autres à tolérer la validité de ces clauses le confirmerait. En ce qui concerne d'autre part le droit applicable aux activités de cloud du prestataire, on a étudié que la directive relative au commerce électronique, par sa clause marché intérieur, instaurait un correctif a posteriori permettant de faire en sorte que les prestataires de services de la société d'information ne soient pas soumis, dans leurs activités, à des normes plus strictes que celles de leur État d'origine. Un tel principe permettrait donc à un prestataire de cloud de choisir l'État à partir duquel il diffusera ses services en fonction du droit auquel il préfère soumettre son activité de cloud computing. Néanmoins, les droits des États membres ne concernant pas encore spécifiquement les activités de cloud computing, il est possible de douter que de telles considérations constituent actuellement un élément de mobilité pour les opérateurs de cloud. Au contraire ce seront peut-être d'autres éléments, exogène au cloud et au droit des contrats, qui détermineront le choix d'établissement des prestataires. On pense alors aux domaines traditionnels faisant l'objet des études relatives à la concurrence normative que sont la fiscalité, les normes sociales ou environnementales.

C'est ainsi que le droit actuellement applicable aux contrats internationaux apparaît défaillant tant du fait de sa substance que de sa diversité. Or, il a déjà été présenté que la diversité des droits pouvait être coordonnée par les règles de droit international privé. D'ailleurs, le bon fonctionnement du marché intérieur implique des règles de droit internationalprivé fiables. En ce sens F.Viangalli rappelle qu' « aucune circulation des personnes ou des marchandises n'[est] possible lorsque les droits des personnes, et ceux qui s'exercent sur les marchandises ne sont pas reconnus au-delà des frontières qu'elles franchissent»^313(*). Mais qu'en serait-il si ces règles sont également empruntes de défauts ?

§2 - Les défauts des règles de droit international privé applicables aux contrats internationaux de cloud computing

L'inadaptation des règles de droit international privée résulte principalement des défauts des critères de rattachement instaurés par le droit européen (A). Néanmoins, il résulte des précédents développements que l'évolution du cloud computing passerait notamment par la protection des utilisateurs professionnels les plus vulnérables face aux risques de cette pratique. Or les règles de droit international privé semblent actuellement contradictoires à cet objectif (B).

A - Les défauts des critères de rattachement du droit international privé applicable aux contrats internationaux de cloudcomputing

Les critiques adressées au droit international privé applicable aux contrats internationaux de cloud concernent tant les conflits de juridictions (1) que les conflits de lois (2).

1 - Les défauts des règles de conflit de juridictions

Le principal défaut que l'on peut reprocher aux règles de conflits de juridictions instituées par le règlement Bruxelles 1bis consiste en l'obscurité des critères de rattachement qu'elles instaurent. Le critère général du « lieu d'exécution de l'obligation qui sert de base à la demande », en matière contractuelle, a fait l'objet d'une précision pour les contrats de prestation de service en désignant le for du lieu de l'État membre où le service a été ou aurait du être fournis^314(*). Mais des difficultés peuvent exister tant en ce qui concerne la qualification du contrat de prestation de service que la localisation du critère de rattachement^315(*). Il a déjà été étudié qu'en droit européen rien ne semble s'opposer à ce que le contrat de cloudcomputing soit qualifié de contrat de fourniture de service, en le rattachant à la notion de « service de la société d'information ». Par contre, les critères de rattachement retenus traditionnellement pour ces types de contrats s'avèrent difficilement applicables au cloud. C'est plus particulièrement la désignation du lieu de fourniture des services qui pose problème. La Cour de Justice ayant déjà précisé qu'en cas d'exécution de la prestation dans des lieux différents, seul le lieu de fourniture principale^316(*) devait être retenu, l'appréciation de celui-ci dans la prestation de service de cloud computing pourrait être particulièrement délicate à établir. Rappelons en effet qu'un contrat de cloud computing s'exécute via un réseau de communication et que la portabilité du service le rend alors disponible partout où l'utilisateur sera susceptible d'établir une connexion. Partant de ce constat, J. Sénéchal s'interroge alors sur les critères qui seront retenus : peut-être que ce seront tous les tribunaux des lieux où la connexion au service pourra être établie, ou qu'un critère propre au cloud sera créé ? Dans ce cas l'on pourrait retenir le lieu à partir duquel l'activité du fournisseur de service est déployée ou alors le lieu où le client accède habituellement au service. Or, chacun de ces critères pourrait également se dédoubler: le premier laissant le choix entre le lieu d'établissement du prestataire ou d'hébergement de son site et le second pouvant être rattaché au lieu de l'adresse de connexion ou à l'État du lieu de résidence du client^317(*).

Ces réflexions ne sont pas exhaustives des critères qui pourront être établis pour déterminer le rattachement d'un contrat de cloud.Le recours à la sous-traitance pourrait aussi complexifier cette démarche en décuplant les lieux de prestation du service. Ces difficultés appelleront nécessairement un éclaircissement par la Cour de Justice. En attendant, les contractants qui n'ont pas pris le soin de choisir conventionnellement la juridiction compétence en cas de litige demeurent dans l'expectative. Or, à ces lacunes de sens des règles de conflit de juridictions s'ajoutent celles des règles de conflit de lois.

2 - Les défauts des règles de conflit de lois

À l'instar des conflits de juridictions, les conflits de lois peuvent laisser les contractants de service de cloud dans une certaineincertitude quant à la loi qui sera désignée à défaut de choix exprès de leur part. L'obscurité de ces règles de conflit de lois est déduite tant des difficultés d'interprétation du règlement Rome I que des divergences de transposition de la directive sur le commerce électronique.

En ce qui concerne d'une part le règlement Rome I, il a déjà été expliqué que l'autonomie dont bénéficient les parties au contrat peut être limitée par l'application de dispositions impératives comme les lois de police du for^318(*). Or, ces termes ne recouvrent pas un contenu prédéfini et exhaustif, de sorteque la prévisibilité des relations contractuelles puisse être affectée. Ce sont ensuite à travers les règles de conflit de lois du règlement Rome I qu'on retrouverait des lacunes de sens. Celles-ci désignent en effet la loi du pays de résidence habituelle du prestataire^319(*). Cela dit, cette notion de « résidence habituelle » doit retenir notre attention en ce qu'elle laisse un certain nombre d'incertitudes^320(*). En effet le règlement désigne par là une pluralité de critères : le lieu de l'administration centrale^321(*), ou, le cas échéant, le lieu de la succursale, de l'agence ou de tout autre établissement devant fournir la prestation^322(*). Dans ce contexte, la libertéd'établissement permettant pour les entreprises de s'établir librement dans chacun des États membres de l'Union européenne, l'alternative possible entre la désignation de la loi de l'État sur lequel l'entreprise a son administration centrale et celle d'une succursale peut soulever des enjeux déterminants en matière de cloud computing.

Pour ce qui intéresse la directive relative au commerce électronique d'autre part, rappelons qu'après avoir réfutéque son article 3 traduise une règle de conflit de loi, la Cour de justice a ensuiterappelé que les États membres étaient libres de la transposer comme tel dans leur ordre juridique. En ce sens, J.Sénéchalidentifie troismanières différentes dont les Étatsauraient putransposer l'article 3 : soit en ce sens que la directive énonce une règle de conflit désignant le droit du pays d'origine du prestataire de service, soit qu'elle énonce ce principe en tant que loi de police, soit qu'elle n'énonce pas de règle de conflit^323(*). Or, si l'on se réfère aux conclusions de l'avocat général M. Cruz dans l'affaire eDate, la transposition de l'article 3 de la directive semble s'être réalisée de façon hétérogène entre les États membres^324(*). Il identifie à cet égard que dix-sept d'entre eux l'ont transposé fidèlement à la directive^325(*), dont l'Allemagne qui en a reproduit l'énoncé tel quel, et que sept autres l'ont intégré en droit nationalpar une règle de conflit de lois^326(*), dont la France. C'est plus particulièrement la loi de confiance pour l'économie numériquedu 21 juin 2004^327(*) qui l'a transposée en France. Son article 17 dispose qu'à défaut de choix des parties, les activités de commerce électronique sont soumises à « la loi de l'État membre sur le territoire duquel la personne qui l'exerce est établie ». La LCEN retient donc le critère de l'établissement, lequel s'entend, d'après l'article 14, comme l'établissement « stable et durable pour exercer effectivement son activité, quel que soit [...] le lieu d'implantation de son siège social ». La question pourrait donc se poser de savoir dans quelle mesure est-ce que cette disposition pourrait faire échec à la règle de conflit prévue par le règlement Rome I désignant la loi du lieu de la résidence habituelle du prestataire ? Rappelons ensuite que la clause « marché intérieur » instaure un régime correctif pouvant représenter une limite au choix de la loi applicable à l'activité des professionnels de la société de l'information^328(*).Cela a pour effet qu'il ne peut être imposé des exigences plus strictes aux opérateurs de services de la société d'information que celles prévues par le droit matériel applicable dans l'État membre de leur établissement^329(*). Une telle clause entretientdonc un flou sur le droit qui sera applicable à l'activité de cloud et nuit à la prévisibilité et donc à la sécurité juridique que le droit international privé était sensé instaurer.

C'est ainsi qu'à défaut de choix exprès des parties, les règles de droit international privé désignant le droit applicable aux contrats internationaux de cloud pourront être sujettes à des difficultés d'interprétation. À ces lacunes de sens pourrait s'ajouter une carence du droit international privé actuel. Si l'on se réfère à l'intérêt que portent les institutions européennes pour les utilisateurs professionnels les plus faibles dans leur accès au cloud et qu'on rappelle que les PME, TPE et les start-up sont les premières entreprises à être exposées aux risques du cloud computing et à la difficulté d'opérer des transactions internationales, il ne serait alors pas exclu que le développement du cloud dans l'Union européenne passe par l'instauration de critères de droit international privé protecteurs des professionnels les plus faibles.

B - Vers des critères protecteurs des utilisateurs professionnels les plus faibles ?

L'attention particulière que semble porter la Commission européenne aux plus petites entreprises dans sa stratégie relative au cloud doit conduire à questionner les défauts des critères de rattachement actuels (1)et l'opportunité que constituerait la possibilité d'instaurer des critères de rattachement destinés à protéger les utilisateurs professionnels les plus vulnérables (2).

1 - Les défauts de la désignation de la loi du pays d'origine du prestataire de service

La question se pose de savoir dans quelle mesure est-ce que le critère de la loi du pays d'origine du prestataire de service ou de l'État du lieu de sa résidence habituelle, peut être un frein à la conclusion transfrontière de contrats d'informatique en nuage au sein de l'Union européenne ?

Tout d'abord la première entrave pourrait simplement consister en la méconnaissance de ce droit par le client, notamment lorsqu'il s'agit d'une PME, TPE ou d'une start-up. En effet, puisque ce critère vise à désigner un droit étranger de celui de l'utilisateur, ce dernier pourrait alors rencontrer des difficultés pour se renseigner sur ce droit. Ces difficultés peuvent être liées tant à la non-maîtrise de la langue, qu'aux coûts supplémentaires générés par un éventuel conseil juridique. Or, a contrario, ce principe trouve toute sa légitimité dans un autre fondement. En effet, appliquer le droit des utilisateurs pourrait être encore plus préjudiciable aux activités transfrontières de cloud computing. Dans ce cas-làle prestataire serait contraint de devoir s'adapter aux règlementations nationales de chacun de ses clients, ce qui, pour des activités se déroulant sur internet comme le cloud computing, s'avère être particulièrement contraignant, sinon impossible.

Ensuite, la référence au phénomène de concurrence normative laisserait craindre que le prestataire ne choisisse comme État d'origine que celui le plus permissif en termesdes obligations lui incombant dans la réalisation de ses activitésde cloud computing. Or, cette recherche du droit le moins-disant pourrait être préjudiciableà la qualité des services de cloud computing, notamment lorsque seront concernées les normes de sécurité liées au matériel utilisé ou aux garanties légales apportées.D'un autre point de vue, la conception libérale de la concurrence défendrait au contraire que les différences de législations puissent-être un atout pour la compétitivité des services et pour l'innovation des entreprises européennes.

On se rend alors compte que la désignation de la loi du pays d'origine du prestataire de service pourrait particulièrement nuire à la conclusion de ces services par les PME, TPE ou start-up. Or, il ne semblerait pas impossible que de tels défauts soient compensés par des règles de conflit protectrices des professionnels les plus faibles.

2 - L'opportunité de la protection des utilisateurs professionnels les plus faibles

La protection des professionnels les plus faibles par le droit international privé ne s'impose pas de soi. Elle n'a en effet aucune reconnaissance dans le droit actuel, et n'apparaît pas mêmeen droit prospectif. Cette perspective pourrait néanmoins être pertinente à certains égards. Admettre que les règles de droit international privé soient défaillantes suppose en effet que, pour une partie au contrat, la loi désignée ou le juge compétent lui soit défavorables. Aussi, après avoir souligné l'intérêt que portent généralement les institutions de l'Union européenne aux PME dans leur stratégie de développement de l'économie numérique, on ne saurait s'empêcher d'avancer l'idée qu'une protection de ces entreprises serait nécessaire pourfaciliter leur accès au cloud. Au-delà, sécuriser la relation contractuelle des PME, TPE et start-up pourrait atténuer leurs réticences à la souscription de ces services et bénéficierait alors au développement de l'économie numérique en Europe. Certains éléments nous laisseraient penser qu'une telle protection serait possible à l'échelle européenne. D'une part, force est de constater que l'unification du droit international privé de source européenne s'est établie sur le principe commun de la protection des parties faibles que sont le consommateur, le salarié ou encore l'assuré. D'autre part, rappelons aussi que l'idée d'une protection des PME, similaire à celle des consommateurs, a déjà été proposée par le projet de règlement de droit commun européen de la vente. De cela découle l'idée selon laquelle la réalisation du marché intérieur passe par l'instauration d'un climat de confiance entre ses acteurs et donc par une clarification du droit applicable. Vouloir protéger les entreprises les plus faibles dans leur souscription de service de cloud pourrait donc passer par l'édiction de règles de conflits qui désigneraient une juridiction compétente et une loi applicable qui bénéficierait aux utilisateurs de cloud les plus faibles. En l'espèce il pourrait simplement s'agir de garantir aux entreprises les plus vulnérables que tant le juge compétent que le droit applicable soient ceux de l'État du lieu de leur résidence habituelle.

Il convient pourtant de prendre quelques précautions vis-à-vis de ce qui vient d'être décrit. En effet rien ne permet d'assurer qu'un tel critère de rattachement au bénéfice des entreprises les plus faibles sera un jour proposé. Aussi, retiendrons-nous de ce développement que les règles de droit international privée participent à la désignation d'un droit qui, dans tous les cas pour les activités de cloud, sera au bénéfice d'une partie et au détriment de l'autre. Dans ce contexte, entre le droit de l'État de résidence de l'utilisateur et celui du prestataire, aucun de ces choix ne paraîtra satisfaisant pour sécuriser la relation contractuelle. Dans une telle configuration, le droit international privé semble trouver ses limites dans sa capacité à ordonner la diversité des droits et impose donc d'examiner par quels autres moyens l'Union européenne pourrait intervenir.

C'est ainsi que l'état du droit applicable aux contrats de cloud computing révèle nombre de défauts empêchant le bon fonctionnement du marché unique numérique. Bien que le droit de l'Union ait contribué à créer un espace sans frontières intérieures, la diversité des droits s'y poseraiten entrave. Cette situation perturberait tant le développement de l'économie numérique en Europe que la réalisation du marché intérieur. Si le droit international privé lui-même ne semble pas suffireà pallier les défauts de la diversité des droits applicables aux contrats internationaux de cloud, force est de constater que la solution réside ailleurs etpourquoi pas dans l'unification du droit des contrats de cloud ?En tout cas, tellesemble être la position de la Commission européenne dans sa communication de 2012. Mais alors, quel pourrait être le réel apport du droit de l'Union européenne en droit des contrats de cloud computing ?

* ²¹³ Le petit Robert, op. cit. note 24, n°4, p.646.

* ²¹⁴L. SIORAT, Le problème des lacunes en droit international, Librairie générale de droit et de jurisprudence, Paris, 1959, 479 pages.

* ²¹⁵Idem, p.35.

* ²¹⁶Idem, p.8.

* ²¹⁷ F. VIANGALLI, op. cit. note 162, p.270 : « il y a en effet lacune en droit lorsque manque, à l'intérieur d'un système juridique, une norme dont le juge puisse faire usage pour résoudre correctement un cas déterminé ».

* ²¹⁸Idem, pp. 281-306.

* ²¹⁹ Article 5 TUE : « 1.Le principe d'attribution régit la délimitation de compétences de l'Union. » ; « 2. En vertu du principe d'attribution, l'Union n'agit que dans les limites des compétences que les États membres lui ont attribuées dans les traités pour atteindre les objectifs que ces traités établissent. Toute compétence non attribuée à l'Union dans les traités appartient aux États membres ».

* ²²⁰ F. VIANGALLI,  op. cit. note 162, p. 278.

* ²²¹L. SIORRAT, op. cit. note 213,p.85.

* ²²²Ibid.

* ²²³ L. SIORRAT, op. cit. note 213,p.63.

* ²²⁴ F. VIANGALLI, op. cit. note 162, p. 298.

* ²²⁵ Notamment la Commission européenne, le Parlement européen, le Conseil économique social et environnemental et le Contrôleur européen de la protection des données.

* ²²⁶ Principalement la CNIL et le Groupe de l'article 29.

* ²²⁷ Groupe d'expert institué par la Décision de la Commission du 18 juin 2013 (2013/C 174/04), dont les travaux sont disponibles en ligne sur < http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm >.

* ²²⁸ À titre d'exemple : les données bancaires, comptables, de ressources humaines ou des données de santé et à caractère personnel des tiers.

* ²²⁹ Les prestataires de services sont particulièrement attentifs aux risques d'incendie, d'inondation et autres catastrophes naturelles susceptibles de menacer leur infrastructure.

* ²³⁰ VPN pour « Virtual Private Network », c'est-à-dire le réseau privé virtuel, comparable à un réseau local mais auquel deux ordinateurs distants peuvent avoir accès.

* ²³¹ Ce qu'on nomme communément la « réversibilité » des données.

* ²³² Ce qu'on nomme communément l' « interopérabilité » des systèmes.

* ²³³ Étude IBM et Ponemon Institute : 2015 Cost of Data Breach Study: Global Analysis, mai 2015 : sur l'étude de 350 entreprises le coût moyen d'une violation des données est de 3,8 millions de dollars US et que 45 % des infractions proviennent d'attaques malveillantes.

* ²³⁴ J.-P. BRIFFAUT et F.STEPHAN, Cloud computing,évolution technologique, révolution des usages, Lavoisier, 2013, Paris, p.17.

* ²³⁵ Cf. Annexe 1, p.115.

* ²³⁶Ce que l'on qualifie de « pay as you go ».

* ²³⁷ Contrôleur européen de la protection des données, avis relatif à la communication de la Commission intitulée « exploiter le potentiel de l'informatique en nuage », 2013/C 253/03, p. 6, pt 21 : « Si les gouvernements et les grandes entreprises peuvent disposer de nuages privés établis selon leurs propres exigences ou négocier des accords de services avec les prestataires de service en nuage sur un pied d'égalité, les petites et moyennes organisations des secteurs public et privé et les consommateurs individuels devront accepter les clauses et conditions imposées par les prestataires de services pour les services en nuage publics ».

* ²³⁸A. BENSOUSSAN, « Le cloud au service de l'avocat », op.cit.

* ²³⁹ L'accès au cloud privé des avocats est sécurisé, les données archivées ainsi que les courriels envoyés sont chiffrés.

* ²⁴⁰ C. LE DOUARON, « Numérique : le cloud privé des avocats sera opérationnel en décembre 2015 », op. cit. note 148.

* ²⁴¹ À titre d'exemple : SFR BUSINESS, « le catalogue de logiciels cloud pour TPE-PME », disponible en ligne sur < https://store.saas.sfrbusinessteam.fr/catalogue/>.

* ²⁴² EU Expert Group on Cloud Computing Contracts, « Cloud Computing Contracts - Discussion Paper on Subcontracting », march 25, 2014, p.3 : « Cloud computing [...] has become unthinkable without subcontracting ».

* ²⁴³CNIL, « Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing », op. cit. note 17, p.4.

* ²⁴⁴ EU Expert Group on Cloud Computing Contracts, op. cit. note 241, p.10 : « subcontracting chains, not necessarily long ones, are susceptible to security breaches ».

* ²⁴⁵ F. CHAFFIOL-CHAUMONT et A. DAVID, « Entrer dans l'ère du Cloud Computing en maîtrisant ses aspects contractuels », Cahiers de droit de l'entreprise n°2, 2010, p.2 : « sécuriser contractuellement l'externalisation vers le cloud computing ».

* ²⁴⁶ E. DURKHEIM, Leçonsdesociologie, PUF, Quadrige, Paris, 2015, p.342.

* ²⁴⁷ Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.12.

* ²⁴⁸Idem, p.13.

* ²⁴⁹CNIL, « Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing », op. cit. note 17, p.1.

* ²⁵⁰P. LE TOURNEAU, Contrats informatiques et électroniques, op. cit., page 378 : « Pour une société importante, le contrat sera évidemment individualisé ; mais la majorité des contrats de cloud computing sont des contrats types, à prendre ou à laisser ».

* ²⁵¹ N. MARTIAL-BRAZ, « Le droit des contrats à l'épreuve des géants d'Internet», L'effectivité du droit face à la puissance des géants de l'Internet, Sous la direction de M.BEHAR-TOUCHAIS, IRJS éditions, p.63.

* ²⁵² Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p. 13 : respectivement « En ce qui concerne les utilisateurs professionnels » et « En ce qui concerne les particuliers et les petites entreprises ».

* ²⁵³Ibid.

* ²⁵⁴ Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final - 2011/0284 (COD), article 7 paragraphe 1.

* ²⁵⁵Idem, article 7 paragraphe 2.

* ²⁵⁶Idem, considérant n°2.

* ²⁵⁷Résolution législative du Parlement européen du 26 fév. 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente ( COM(2011)0635 - C7-0329/2011 - 2011/0284(COD)), article 7.

* ²⁵⁸ Proposition de directive du Parlement européen et du Conseil concernant certains aspects des contrats de ventes en ligne et de toute autre vente aÌ distance de biens, 2015/0287 (COD).

* ²⁵⁹ Cf. Chapitre 2, Section 1, §1, B., 1., p. 51 et s.

* ²⁶⁰ ENISA, « Cloud Security Guide for SMEs, Cloud computing security risks and opportunities for SMEs », April 2015, disponible sur < www.enisa.europa.eu >.

* ²⁶¹Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p. 13.

* ²⁶² E.SORDET et R.MILCHIOR, « La définition des contours juridiques du cloud Computing », Communication Commerce Electronique, 2012, p.5 :  « Il est incontestable que le cloud Computing ne s'intègre pas encore dans un régime juridique établi et stable ».

* ²⁶³ On interprète généralement de l'article 4 du Code civil la capacité du juge français de pallier à une lacune du droit pour éviter le non liquet. Cf. L. BACH, « Jurisprudence », Répertoire de droit civil, Dalloz,2009, pt. 125 :« Le législateur sait que la règle qu'il édicte est incomplète, mais il charge le juge [...] de la compléter. Il s'agit d'un procédé commode de législation, caril permet au juge d'adapter les lois aux besoins nouveaux de la société [...] l'article 4 du code civil français admet aussi implicitement la licéité de son utilisation ».

* ²⁶⁴ N. PIERRE, « François Gény et la responsabilité civile : le droit-science et le sens de l'histoire », in.La pensée de François Gény, sous la direction de O. CACHARD, F.-X. LICARI et F. LORMANT, Dalloz, Paris, 2013, p. 154 : « Critiquant le postulat de la plénitude et de la perfection de la loi écrite, revendiquant clairement son attachement à la nature des choses ainsi qu'aux réalités sociales et économiques, Gény fait place, à côté des sources formelles du droit que sont la loi écrite et la coutume, à la libre recherche scientifique, source subsidiaire forgée par un interprète qu'il veut guidé par les impératifs de justice et d'utilité générale ».

* ²⁶⁵N. MARTIAL-BRAZ, « Les géants de l'Internet et le Cloud Computing », in. L'effectivité du droit face à la puissance des géants de l'Internet, Sous la direction de M. BEHAR-TOUCHAIS, IRJS éditions, p. 107.

* ²⁶⁶ Article 1150 du Code civil : « Le débiteur n'est tenu que des dommages et intérêts qui ont été prévus ou qu'on a pu prévoir lors du contrat, lorsque ce n'est point par son dol que l'obligation n'est point exécutée ».

* ²⁶⁷Ibid. ; confirmé en jurisprudence : Cass., 1^èreCiv., 4 fév. 1969, Soc. des comédiens français, n°60.

* ²⁶⁸Cass., Com., 29 juin 2010, n°732.

* ²⁶⁹Cass., 1^èreCiv., 2 déc.1997, n°95-16720.

* ²⁷⁰Cass., Com., 22 oct. 1996, n° 93-18632 : « en raison du manquement à cette obligation essentielle la clause limitative de responsabilité du contrat, qui contredisait la portée de l'engagement pris, devait être réputée non écrite ».

* ²⁷¹Cass., Com., 30 mai 2006, n°04-14.974.

* ²⁷²Cass., Com. 29 juin 2010, n° 732 : « Mais attendu que seule est réputée non écrite la clause limitative de réparation qui contredit la portée de l'obligation essentielle souscrite par le débiteur [à condition] que la clause limitative de réparation [vidait] de toute substance l'obligation essentielle de la société Oracle ».

* ²⁷³ G. CHANTEPIE,« L'inexécution du contrat de cloud computing », RLDI nov. 2013, n° 3272, p. 118.

* ²⁷⁴ Cf. « Contrat service cloud Oracle », pt.12.2 : « Oracle ne garantit pas que (a) les services seront exécutés exempts d'erreur ou de manière ininterrompue ou qu'oracle corrigera toutes les erreurs des services ». Contrat disponible sur < http://www.oracle.com/us/corporate/contracts/saas-csa-france-fr-2069247.pdf >.

* ²⁷⁵Idem, pt.13 « Aucune des parties ne sera responsable de dommages indirects, ou consécutifs, ou de toute perte de bénéfices ou de chiffre d'affaires (en dehors des redevances au titre du présent contrat), de données ou d'utilisation des données. La responsabilitéì totale d'oracle pour tous les dommages au titre du présent contrat ou de votre commande, sera limitée aux sommes totales effectivement payées à oracle pour les services au titre de la commande donnant lieu a la responsabilité dans la période des douze (12) mois précédent immédiatement l'évènement donnant lieu a ladite responsabilité diminuée du remboursement ou des crédits que vous avez reçus d'oracle au titre de ladite commande ».

* ²⁷⁶Ordonnance n° 2016-131 du 10 fév. 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JORF n°0035 du 11 fév. 2016.

* ²⁷⁷Article 99 du règlement non publié au J.O et disponible sur < http://data.consilium.europa.eu/doc/document/ST-7530-2016-INIT/fr/pdf >.

* ²⁷⁸ N. MARTIAL-BRAZ, « Les géants de l'Internet et le Cloud Computing », op. cit., p. 110.

* ²⁷⁹ Idem, p.111.

* ²⁸⁰ G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant», 16 fév. 2010, 00264/10/FR WP 169, p.36.

* ²⁸¹ G29, Avis 05/2012 sur l'informatique en nuage, 1er juil. 2012, 01037/12/FR WP 196, p.11.

* ²⁸²Idem, p.12.

* ²⁸³ Règlement du Parlement européen et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données « RGPD ») (UE) 2016/679, JO L 119 du 4/5/2016

* ²⁸⁴Idem, art. 3§2.

* ²⁸⁵Idem, art 26§1 : « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ».

* ²⁸⁶ Cf. J. BASEDOW, « Un droit commun des contrats pour le Marché commun », R.I.D.C, 1998, vol. 50, n°1, pp. 7-28.

* ²⁸⁷ K. GARCIA, Le droit civil européen, nouvelle matière, nouveau concept, Larcier, Bruxelles, 2008, p.285 : « Il n'existe aucune preuve pratique qu'un marché unique appelle un instrument contractuel unique et que la diversité des droits constitue une entrave à la libre circulation. Rien n'établit à l'inverse que la diversité favorise cette libre circulation ».

* ²⁸⁸ Sous la direction de M.BEHAR-TOUCHAIS et M.CHAGNY, Livre vert sur le droit européen des contrats. Réponses du réseau Trans Europe Experts, Société de Législation Comparée, D011, Paris, p.19.

* ²⁸⁹ Sous la direction de D. VOINOT et J. SÉNÉCHAL, Vers un droit européen des contrats spéciaux, Larcier, Bruxelles, Code économique européen, 2012, p.12.

* ²⁹⁰Communication « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.6.

* ²⁹¹B. BONNAMOUR, « Modernisation du marché unique, Cadre Commun de Référence et droit privé européen, RLDA, 2008, n°23, p. 62.

* ²⁹² Commission européenne, communication au Conseil et au Parlement européen, « le droit européen des contrats », COM(2001) 398 final, p.9, pt. 23.

* ²⁹³ Livre vert de la Commission relatif aux actions envisageables en vue de la création d'un droit européen des contrats pour les consommateurs et les entreprises, 1^er juil. 2010, COM(2010) 348 final.

* ²⁹⁴ Commission européenne, communication au Conseil et au Parlement européen, « le droit européen des contrats », COM(2001) 398 final, pt .28.

* ²⁹⁵Idem, pt. 30.

* ²⁹⁶Idem, pt. 32-33.

* ²⁹⁷ Commission européenne, « le droit européen des contrats dans les transactions interentreprises », résumé flash eurobaromètre, rapport 2011.

* ²⁹⁸ Cf. Annexe n°4.

* ²⁹⁹ Cf. Annexe n°5.

* ³⁰⁰ Commission européenne, communication au Parlement européen, au Conseil et au Comité économique et social européen, « Contrats numériques pour l'Europe - Libérer le potentiel du commerce électronique », COM(2015) 633 final, p.4 : « les coûts résultant des différences entre les droits nationaux des contrats ».

* ³⁰¹ Proposition de Directive du Parlement européen et du Conseil concernant certains aspects des contrats de fourniture de contenu numérique, 2015/0288 (COD), p.2.

* ³⁰² Proposition de règlement du Parlement européen et du Conseil relatif à un droit commun européen de la vente, COM/2011/0635 final - 2011/0284 (COD), considérant n°1.

* ³⁰³ Expert group meeting on cloud computing contracts synthesis of the meeting of 11/12 dec. 2014, disponible en ligne : < http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm>, p.2 : « Experts agreed that any liability clauses should comply with the applicable law. [...] Experts recognised that, especially in the commercial environment, clauses on remedies and liability, on top of compliance with diverging national laws, reflect market practices which equally differ - for example in the UK the limitation of liability is very common in contrast to other legislations in the Member States ».

* ³⁰⁴Sous la direction de R. SEFTON-GREEN et L. USUNIER,La concurrence normative, mythes et réalités, Société de législation comparée, Collection de l'UMR de droit comparé de Paris, Vol. 33, 2012, 298 pages.

* ³⁰⁵ B. FRYDMAN, Petit manuel pratique de droit global, Académie Royale de Belgique, Col. L'Académie en poche, vol.48, Bruxelles, 2014, 128 pages.

* ³⁰⁶ L. USINIER, « La concurrence normative, un mode de représentation des rapports entre les systèmes juridiques en vogue », in.La concurrence normative, mythes et réalités, op.cit. note 303, p.16.

* ³⁰⁷ Idem, pp. 30-31 : « la faculté qui leur est accordée d'influer d'une façon ou d'une autre sur le droit qui leur est applicable ».

* ³⁰⁸L. USINIER et R. SEFTON-GREEN, « Conclusion », in.La concurrence normative, mythes et réalités, op.cit. note 303, pp. 261-278.

* ³⁰⁹L. USINIER, « La concurrence normative, un mode de représentation des rapports entre les systèmes juridiques en vogue », op. cit. note, p.31.

* ³¹⁰ Les arrêts de la Cour de Justice : Centros (CJCE, 9 mars 1999), Überseering (CJCE, 5 nov. 2002) et Inspire Art (CJCE, 30 sept. 2003), témoignent de la flexibilité des libertés d'établissement dont les opérateurs économiques peuvent bénéficier pour s'incorporer dans un État membre de l'Union européenne tout en ayant leur siège réel dans un autre État membre.

* ³¹¹D. SINDRES, « Contrat, principe d'autonomie et analyse économique du droit international privé », in.La concurrence normative, mythes et réalités, op.cit. note 303, p.176.

* ³¹² Final Report, Annex 2, Methodology and sample country selection, p.8 : « In relation to standard contracts, [...]it appears that typically the law of the jurisdiction in which the provider has its principal place of business will apply. For standard contracts where this law has not been appointed as applicable law, the research indicates that often, English law is chosen either for customers inside of England or even outside of England » (soulignement ajouté).

* ³¹³ F. VIANGALLI, La théorie des conflits de lois et le droit communautaire, op.cit., page 17.

* ³¹⁴ Règlement Bruxelles I bis, art. 7. b).

* ³¹⁵ M.-L. NIBOYET et G. DE GEOUFFRE DE LA PRADELLE, Droit international privé, LGDJ, Lextenso éditions, Issy-les-Moulineaux, 2015, pp. 348-351.

* ³¹⁶ CJUE, Wood Floor, 11 mars 2010, affaire C?19/09.

* ³¹⁷J. SÉNÉCHAL,« Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir », RLDI, nov. 2013, n° 3269, p.94.

* ³¹⁸ Règlement Rome I, op. cit., art.3§3 et 3§4.

* ³¹⁹Idem, art. 4.1.b)

* ³²⁰J. SÉNÉCHAL,« Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir », op.cit., p. 99.

* ³²¹ Règlement Rome I, op. cit., art. 19§1.

* ³²²Idem, Article 19§2.

* ³²³J. SÉNÉCHAL, « Les règles applicables au contrat international de cloud computing : des règles bien imparfaites pour un contrat d'avenir », op. cit., p.95.

* ³²⁴ Cf. conclusions de M. CRUZ VILLALON, affaires jointes C-509/09 et C-161/10, pt. 75.

* ³²⁵ La République fédérale d'Allemagne, le Royaume de Belgique, la République de Chypre, le Royaume de Danemark, la République d'Estonie, la République de Finlande, la République hellénique, la République de Hongrie, l'Irlande, la République italienne, la République de Lettonie, la République de Lituanie, la République de Malte, le Royaume des Pays-Bas, le Royaume d'Espagne, le Royaume de Suède, la Roumanie et le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord.

* ³²⁶ Il s'agit de la République d'Autriche, de la République française, du Grand-Duché de Luxembourg, de la République tchèque, de la République de Pologne, de la République portugaise et de la République slovaque.

* ³²⁷Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

* ³²⁸ G. BUSSEUIL, « Le choix de la loi applicable au contrat électronique, in Le règlement communautaire « Rome I » et le choix de loi dans les contrats internationaux », op. cit., p.413.

* ³²⁹ CJUE, 25 oct. 2011, eDate et Martinez, affaires jointes C?509/09, C?161/10, pt. 68.