L'apport du droit de l'union européenne en droit des contrats internationaux de cloud computing

SECTION 2 - L'INTÉRÊT DE L'UNION EUROPÉENNE POUR LES NORMATIVITÉS ALTERNATIVES EN MATIERE DE CLOUD COMPUTING

Au vu des difficultés posées par les procédés classiques d'unification et d'harmonisation du droit des contrats de cloud computing à l'échelle européenne, l'idée peut être avancée de se tourner vers d'autres formes de normativités. Ainsi, face aux limites des normativités européennes classiques, les instruments de soft lawont pu être présentés comme des « alternatives séduisantes » et de « nouveaux vecteurs d'intégration »^410(*). La soft law, traduite en français par l'expression de « droit souple », est également qualifiée dedroit « flou », « doux » ou « mou » pour ses attributs respectivement imprécis, dépourvu de caractère obligatoireou de sanction^411(*).Le droit souple s'inscrit doncen opposition à la conception classique du droit, composé de règles « socialement édictées et sanctionnées, qui s'imposent aux membres de la société »^412(*) et que l'on qualifie de « hard law » en opposition à la « soft law ».Le droit souple se posedonc en alternative au droit moderne, rationnellement hiérarchisé, contraignant et produit par l'État. Sous l'expression de droit souple on désigne en réalité une pluralité de normes que l'on regroupera ici sous le vocable de « normativités alternatives ». En l'espèce, il semble que le recours à ces types de normes ait un intérêt particulier afin de réguler et encourager les activités de cloud computing (§1). D'ailleurs, cela se confirme d'ores-et-déjà en pratique pour les professionnels opérant des transferts de données vers les États tiers de l'Union européenne (§2).

§ 1 - L'intérêt des normativités alternatives dans la régulation des activités internationales de cloud computing

Le recours à des normativités alternatives en vue de réguler les prestations internationales de service de cloud computing suscite l'intérêt particulier des institutions européennes. Celles-ci semblent particulièrement plébisciter l'emploi de mécanismes de corégulation conciliant les opérateurs privés et les organismes publics dans la production normative (A). Cependant, quelle que soit l'opportunité de ces modes de régulations pour les activités de cloud computing transnationales, force est de constater qu'ils sont susceptibles de faire l'objet de dérives et sont donc critiquables dans leurs fondements (B).

A - L'intérêt des mécanismes de corégulation en droit des contrats de cloud computing

La corégulation consiste en l'association des acteurs privés au processus décisionnel public. Elle se distingue de l'autorégulation qui laisse ces opérateurs privés libres de déterminer eux-mêmes les règles auxquelles ils se soumettront et donne lieu à l'émergence d'un droit « négocié » ou « spontané »^413(*). Ces modes de gouvernance ne sont pas totalement novateurs en ce sens qu'ils sont déjà mis en oeuvre par les institutions européennes. Ils ont néanmoins fait l'objet d'un regain d'intérêt depuis le début des années 2000. Un accord interinstitutionnel de l'Union européenne de 2003 visait en ce sent à « mieux légiférer »^414(*) en utilisant des « modes de régulations alternatifs » chaque fois que « le traité CE n'impose pas spécifiquement le recours à un instrument juridique »^415(*). Plus précisément, en ce qui nous concerne, il semblerait que les institutions européennes aient dès lors manifesté leur intérêt pour la corégulation des activités transnationales de cloud computing (1). D'ailleurs, ces modes de régulation semblent particulièrement adaptés aux spécificités des contrats de cloud computing et, plusgénéralement, à la nature des activités de commerce électronique (2).

1 - L'intérêt des institutions européennes pour la corégulation des activités de cloud computing

Il apparaît assez clairement que face aux difficultés que rencontreraient les institutions européennes dans l'unification d'un droit des contrats de service de cloud computing, ces dernières manifesteraient un intérêt particulier pour une harmonisation plus diffuse, passant par l'adoption d'actes de droit souple. Dans cet esprit l'Union européenne s'imposerait d'ailleurs comme un cadre institutionnel favorable au développement de nouvelles normativités. Cela se vérifie tant actuellement en pratique, par le recours à des instruments de soft law, que dans les projets européensvisant à favoriser le développement de l'informatique en nuage en Europe.

Tout d'abord, l'Union européenne s'impose sur la scène internationale comme le laboratoire de nouvelles formes de normativité^416(*) par l'adoption d'actes juridiques non contraignants. Si l'on se réfère aux Traités constitutifs de l'Union, il y est par exemple prévu que les institutions européennes émettent des avis et des recommandations, lesquels « ne lient pas »^417(*). Pour une partie de la doctrine, ces actes sont d'ailleurs l' « exemple le plus incontestable de soft law »^418(*) et témoignent de « l'importance déjà prise par ces formes souples de normativité dans le système communautaire »^419(*). En pratique ce constat se vérifie par l'adoption d'une grande diversité d'actes tels que des résolutions, déclarations et autres normes techniques, comme en témoignent les activités de normalisation et l'adoption de codes de bonne conduite, de lignes directrices, lois modèles, contrats-types ou communications. Ce phénomène affecte avant tout les compétences exclusives du droit de l'Union, comme le droit de la concurrence ou du marché intérieur. En ce sens, rappelons que la normalisation a contribué à l'établissement du marché unique^420(*). En effet, dès 1985 une « nouvelle approche » a été définie à l'échelle européenne en matière d'harmonisation technique et de normalisation^421(*). Cela s'est traduit concrètement par la mise en place de procédés de certification dont le marquage « CE » des marchandises qui présument du respect des exigences européennes et bénéficient en conséquent pleinement des libertés de circulation. Ces procédés ont permis de fluidifier les transactions européennes de marchandises et sont complémentaires à l'application du principe de reconnaissance mutuelle de l'équivalence des normes techniques nationales dans les domaines non harmonisés par le droit de l'Union européenne. Néanmoins, la question de la légitimité de l'Union européenne pour la production de ce type de normes dans des matières exorbitantes de son champ exclusif de compétence pourrait être posée. En effet, il a pu être démontré que les institutions européennes usaient d'une « soft law paralégislative » en droit privé des contrats pour favoriser les transactions transnationales, alors même que l'Union n'en est pas expressément habilitée^422(*). Dans le même esprit, et comme nous le démontrerons plus loin, on constate que les institutions européennes influencent déjà la pratique contractuelle des professionnels en matière de cloud computing par des procédés de corégulation et l'édiction actes de soft law.

Rappelonsensuite que dans sa communication de 2012, la Commission invoquait déjà, pour rétablir la confiance des opérateurs dans le cloud, la perspective d'établir des normes, des certificats, des clauses et conditions contractuelles assurant aux utilisateurs des contrats sûrs et équilibrés^423(*). Or, l'on constate en pratique que les activités de la Commission en matière de contrats de cloud computing privilégient principalement la recherche de solutions de droit souple en partenariat avec l'industrie du cloud, et des instances nationales chargées de la protection de la vie privée. Deux initiatives doivent principalement retenir notre attention : il s'agit du projet d'élaboration d'un code de conduite à destination des prestataires de service de cloud, ainsi que des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers.

D'une part, la possibilité pour les institutions européenne et les États membres de promouvoir la constitution de codes de conduite découle de l'article 27 de la directive 95/46/CE^424(*). Ainsi, un projet de code de conduite à destination des fournisseurs de services par le cloud^425(*) a été élaboré par le Cloud Select Industry Group (ci-après « C-SIG ») sous l'impulsion de la Commission européenne. Le C-SIG est essentiellement composé de représentants des principaux acteurs de l'industrie du cloud computing comme Oracle, Atos, Google ou Orange et d'un représentant de la Commission nationale française de l'informatique et des libertés. En l'espèce, le groupe a pour mission, à travers la réalisation de ce code de conduite, de clarifier les conditions dans lesquelles les opérateurs de cloud devraient fournir leurs services. Il s'agit plus principalement d'encourager les opérateurs à garantir un haut niveau de protection des données afin d'instaurer un climat de confiance propice au développement de cette technique^426(*). Le projet de code intéresse tant les activités de cloud fournies à l'attention des professionnels que des consommateurs. Celui-ci mentionne par exemple les rapports de sous-traitance de cloud computing et vise la promotion d'un niveau de service équivalent à celui prévu dans la relation entre le prestataire initial et l'utilisateur dont les données personnelles font l'objet d'un traitement^427(*). En général le code de conduite privé est l'apanage des procédés d'autorégulation par lesquels des acteurs économiques définissent les bonnes pratiques à adopter dans la réalisation de leurs activités, et qui fonctionne sur une base volontariste. En revanche ce projet de code de conduite en matière de services de cloud tend davantage à être assimilé à de la corégulation. Il a en effet été présenté pour approbation au Groupe de l'Article 29^428(*) (ci-après « G29 »), qui est l'instance européenne indépendante regroupant les autorités nationales chargées du respect de la vie privée à l'instar de la CNIL. Ce dernier a rendu un avis^429(*) soulignant que le projet de code du C-SIG, bien qu'allant dans le bon sens comme pour les questions de transparence, devait être précisé sur une dizaine de points. Parmi ces points figurent les conséquences liées à l'adhésion à ce code par les entreprises, le régime de responsabilité y afférant en cas de non respect de ses dispositions et les moyens concrets devant être mis en oeuvre pour garantir la sécurité des données. Cela démontre une coopération entre le secteur privé et public afin de déterminer des pratiques d'entreprises correspondant aux standards de protection fixés par les institutions dans les politiques publiques européennes comme nationales, le tout par des procédés distincts du processus législatif européen ordinaire. D'ailleurs, le 29 octobre 2015, le C-SIG s'est engagé à revoir le projet à la lumière des observations du G29 et de le lui soumettre de nouveau à fin d'approbation^430(*).

D'autre part, la Commission élabore régulièrement des clauses contractuelles types concernant le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. Il existe deux types de clauses contractuelles émises par la Commission sous forme de décisions : celles concernant les transferts de données entre responsables de traitement exportateurs et importateurs de 2001^431(*) et 2004^432(*), puis celles entre les responsables du traitement et leurssous-traitants, datant de 2001^433(*) et 2010^434(*). Les dernières clauses diffusées, celles de 2010, trouvent une utilité particulière pour les contrats de service de cloud computing conclusentre professionnels. Elles ont pour intérêt de déterminer clairement les obligations incombant aux prestataires de cloud sous-traitant des responsables de traitement de données. Ces clauses assurent par exemple que le traitement des données réalisé par le prestataire établi sur le territoire d'un pays tiers soit réalisé dans le strict respect des exigences définies par le droit de l'Union européenne, et notamment de la directive 95/46/CE. Au-delà de ces considérations, les clauses ont vocation à empêcher toute modification ultérieure du contrat sur les aspects tenant aux données personnelles^435(*) et prévoient la possibilité de résilier le contrat, et donc d'empêcher le transfert de données si l'importateur de données manque à ses obligations^436(*). Plus particulièrement, les clauses types de 2010 démontrent clairement une volonté de s'adapter à la complexification des montages contractuels et de la vie des affaires relatives aux nouvelles technologies. Elles ont pour particularité de prévoir, par exemple, un régime propre à la « sous-traitance ultérieure »^437(*) qui consiste, pour l'importateur établi dans un pays tiers ayant recours à la sous-traitance des activités de traitement des données à caractère personnel, d'obtenir l'accord de l'exportateur initial et de prévoir avec son sous-traitant le respect des obligations qui lui incombent. Aussi la clause n°3, dite « clause du tiers bénéficiaire », définit les droits de la personne concernée par le traitement des données à l'égard des différents opérateurs, fussent-ils sous-traitants, et notamment la possibilité d'engager la responsabilité de chacun d'entre eux^438(*). En termes d'activités de cloud computing, cela témoigne effectivement d'une volonté d'adapter les relations contractuelles à la pratique. En effet, nombre de prestataires de cloud sont des opérateurs étrangers (non-européens), et les chaînes de traitement des données à caractère personnel se développent et se complexifient. L'édiction de telles clauses contractuelles types par voie de décision de la Commission européenne a pour effet, non pas l'harmonisation ou l'unification des droits, mais celles des pratiques. On aura d'ailleurs l'occasion d'observer dans la partie consacrée au régime juridique des transferts de données à l'étranger^439(*), que les prestataires insérant ces clauses dans leurs contrats en retirent certains avantages, leur permettant par exemple d'être autorisés à procéder au transfert de données à caractère personnel vers un pays tiers quand bien même celui-ci ne bénéficierait pas d'un niveau de protection des données jugé adéquat à celui de l'Union européenne.

Enfin, il est intéressant de relever que les institutions européennes ne sont pas seules à porter un intérêt manifeste à la soft law en vue de réguler les activités de cloud entre professionnels. En effet, la CNIL a incontestablement suivi la même voie. Une initiative de cette Commission est plus particulièrement révélatrice de ce phénomène. Il s'agit des « Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing »^440(*), publiées en 2012, et dont l'objet est d'accompagner les professionnels dans leur souscription à des services de cloud en appelant à leur vigilance sur certains points clés des contrats. La CNIL conseille par exemple d'effectuer une analyse des risques, de définir les exigences attendues du service et d'en vérifier le respect par des audits réguliers. Mais ces recommandations s'accompagnent surtout de clauses contractuelles types pouvant être insérées dans les contrats de prestations de services de cloud. Ainsi stipulées dans les contrats, ces clauses apporteraient aux clients l'assurance de souscrire à un service présentant des garanties de sécurité suffisante et, à défaut, à ce que des droits de recours leurs soient ouverts. À titre d'exemple la Commission française conseille d'insérer la clause de réversibilité des données suivante :

« Au terme du Contrat ou en cas de rupture anticipée de ce dernier pour quelque cause que ce soit, le Prestataire et ses éventuels sous-contractants restitueront sans délai au Client une copie de l'intégralité des Données dans le même format que celui utilisé par le Client pour communiquer les Données au Prestataire ou à défaut, dans un format structuré et couramment utilisé.

Cette restitution sera constatée par procès-verbal daté et signé par les Parties.
Une fois la restitution effectuée, le Prestataire détruira les copies des Données détenues dans ses systèmes informatiques dans un délai raisonnable et devra en apporter la preuve au Client dans un délai raisonnable suivant la signature du procès-verbal de restitution. »^441(*)

Aussi, dans la consultation publique effectuée par la CNIL préalablement à la réalisation de cette recommandation, celle-ci concluait à la nécessité, partagée et revendiquée par les opérateurs de cloud consultés, de définir des références techniques et autres bonnes pratiques en matière de cloud computing. Elle prend d'ailleurs pour exemple le bénéfice retiré de la norme ISO 27 001 sur le management de la sécurité de l'information^442(*). Tout cela confirme l'intérêt porté aux normes alternatives, tant par les opérateurs économiques que les autorités publiques. M.-C. Roques-Bonnet, lorsqu'elle était représentante de la CNIL auprès du G29, mentionnait d'ailleurs que ces actions démontraient « l'existence d'un nouveau mode de régulation » destiné «  à donner aux prestataires de service de cloud des outils moins standardisés, plus souples, parce qu'ils constituent des options de soft law très intéressantes en ce qu'elles sont quasi contractuelles »^443(*). La CNILcollabore d'ailleurs au sein de l'Organisation Internationale de Normalisation (ci-après « ISO ») et a déjà pu participer à l'élaboration de normes ISO spécifiquement dédiées à la sécurité de l'information dans le cloud,pour les utilisateurs,privés^444(*)comme publics^445(*).

C'est ainsi que les autorités publiques manifestent un intérêt certain pour les mécanismes de corégulation et plus généralement pour la production de nouvelles formes de normativités destinées à réguler les activités de cloud entre professionnels. C'est d'ailleurs une tendance de plus en plus affirmée. À titre d'exemple le règlement général de protection des données (ci-après « RGPD »), qui sera applicable en 2018, tend à développer le recours aux codes de conduites et à la certification pour attester de la conformité des opérateurs aux obligations dudit règlement^446(*). Dans cet esprit, O. Tambou rappelle que « l'émergence d'une certification européenne en matière de protection des données personnelles répond à de fortes attentes [...] plébiscitées par le monde économique [en vue de rétablir] la confiance des utilisateurs »^447(*). En effet, le recours à des formes de normativités alternatives semble particulièrement adapté aux caractéristiques du cloud computing.

2 - Une pratique adaptée aux caractéristiques des contrats internationaux de cloud computing

Alors qu'on vient d'étudier que l'Union européenne est souvent présentée comme le laboratoire de nouvelles formes de normativités, d'autres, à l'instar de la présidente de la CNIL, I. Falque-Pierrotin, avancent que le cloud constitue, lui-même, un « laboratoire de la régulation »^448(*). Il est intéressant, en effet, de relever que le recours à des formes alternatives de normativité est particulièrement adapté à la régulation des activités de cloud computing, notamment vis-à-vis de son aspect technique et international.

En ce qui concerne l'aspect technique des services de cloud, il est intéressant de rappeler qu'il s'agit là avant tout d'une des limites à l'adaptation du droit actuel aux activités d'informatique en nuage. En effet, son caractère protéiforme, complexe et sa soumission aux changements augurés par l'avancée technologique compliquent particulièrement la tâche du législateur ou du juriste souhaitant, soit adapter les concepts classiques du droit au cloud, soit en unifier le droit applicable à l'échelle européenne. Or, à cet égard, les normativités alternatives seraient beaucoup plus adaptées. En ce sens, dans un rapport de 2013 sur le droit souple, le Conseil d'État mentionnait le caractère « réactif et adaptatif »^449(*), notamment au progrès technologique, de ces types de normes. Il citait d'ailleurs à titre d'exemple la recommandation adressée par la CNIL aux professionnels désireux de souscrire à des services de cloudcomputing. Toujours dans le même esprit, V. Lasserre observe une tendance qui fait que « le droit, aux prises avec les sciences et les techniques, change et se technicise »^450(*) et avance le concept de « technodroit »^451(*) pour en rendre compte. De plus, sans unification du droit applicable aux activités et aux contrats de service de cloud computing en Europe, l'harmonisation des pratiques par l'encouragement du recours aux labels de qualités et à la certification des politiques internes d'entreprises par les autorités publiques pourraient être des moyens alternatifs permettant de garantir aux clients le respect d'un certain niveau de sécurité de l'information stockées sur le cloud. En effet, cela participerait peut être à rétablir la confiance des utilisateurs de services de cloud, notamment pour ce qui concerne les professionnels les plus faibles. C'était d'ailleurs ce que la Commission européenne souhaitait réaliser en 2012 dans l'objectif d'exploiter le potentiel de l'informatique en nuage. En revanche, l'usage de ces normes et labels est limité dans ses effets sur le régime juridique applicable aux activités de cloud et à la relation contractuelle liant le client au prestataire. En effet, en cas de non respect des exigences d'un label, d'une certification ou d'un code de conduite par le prestataire, rien ne garantit en soi au client qu'il puisse engager la responsabilité du prestataire. On a pu dénoncé en ce sens la « force symbolique de la normalisation technique »^452(*) qui favorise l'activité économique davantage par des arguments commerciaux que par l'instauration d'un cadre juridique fiable. Cela dit, la diffusion de contrats, clauses contractuelles types ou l'insertion dans les contrats de l'obligation de respecter les exigences liées à une certification ou un label permettrait de répondre à ces critiques. Ainsi, si l'on prend l'exemple des clauses contractuelles diffusées par la CNIL en 2012 pour les contrats de prestations de services de cloud à usage professionnel, l'une d'entre elle visait à donner une valeur contractuelle au respect de la certification des prestataires de services de la société d'information en stipulant :

« Par ailleurs, il [le prestataire] s'engage à maintenir pendant toute la durée du Contrat les critères permettant de répondre aux exigences de la certification obtenue. »^453(*)

Plus généralement, le recours à ces types de normativité, par la CNIL, témoigne d'une volonté d'adopter une approche horizontale et non plus seulement verticale des modes de régulation, en privilégiant une réglementation « pédagogique et intuitu personae »^454(*). Cette approche concilierait d'ailleurs l'intervention publique au respect de la liberté contractuelle. Dans cet esprit, l'adaptation du droit, par d'autres formes de normativités, aux spécificités des activités numériques apparaît essentielle. En ce sens, M. Mosse, directeur des affaires juridiques de Microsoft, déclarait à propos du droit applicable au cloud qu'il était nécessaire que le droit soit « plus souple que jamais [...] de sorte que la technique ne soit pas la seule à englober les formes culturelles et civilisationnelles de demain »^455(*).

En ce qui concerne par ailleursle caractère international du cloud, il s'avère que ces normes seraient particulièrement adaptées à la régulation supranationale des activités. Le recours à des normes édictées internationalement par les professionnels du secteur informatique, comme c'est le cas des normes ISO précitées, est ici révélateur. Plus généralement, l'uniformisation des techniques permettrait la facilitation des échanges de produits et services à l'international en se posant comme le gage de la qualité du service fourni et la certification de la qualité du matériel utilisé pour la fourniture du service. Ainsi, l'émergence de ces types de normativités semble incontestablement portée par la globalisation et marque l'affaiblissement du rôle des États dans une économie mondialisée. Ce mouvement n'est pas propre au numérique, au contraire toutessortes d'activités commerçantes s'appuient sur ce type de normes. Mentionnons par exemple les International Commercial Terms (« INCOTERMS ») produits par la Chambre de Commerce Internationale de Paris qui sont des termes définissant chacun un régime d'obligations lié aux modalités de transport et d'assurance devant incomber à chacun des opérateurs. À titre d'exemple la mention de l'INCOTERMS« EXW » (pour « Ex Works ») dans un contrat international de vente de marchandises stipule que l'acheteur aura la charge de récupérer et procéder au transport des marchandises, des locaux du vendeur jusqu'aux siens. À l'inverse, l'INCOTERMS « DAP » (pour « Delivered At Place ») imposera au vendeur l'obligation de remettre la marchandise au lieu de livraison conventionnellement définie. Ainsi, par la mention des trois lettres composant un INCOTERMS dans un contrat international de vente, c'est toute l'économie du contrat - les obligations de transport, d'assurance, de documentation et donc le prix de la vente - qui sera bouleversée. Mais ce qui est valable pour le commerce en général l'est d'autant plus pour le commerce électronique qui procède d'échanges dématérialisés, à distance et rapides de biens et de services. Pour désigner le cyberspace marchand, K. Seffar et K. Benyekhlef font d'ailleurs « référence à une zone d'achalandage planétaire où les magasins deviennent virtuels et sans territoire propre »^456(*). Face à ce phénomène, la réglementation étatique est limitée dans sa propension à appliquer des règles imposables internationalement et le droit international privé n'est pas toujours satisfaisant pour y pallier^457(*). De cette situation résulte d'une part la volonté des États de s'organiser, internationalement ou régionalement, en vuede s'accorder sur les règles à imposer aux opérateurs de commerce électronique et, d'autre part, la volonté des acteurs économiques de s'accommoder de la pluralité de règlementations étatiques par la souscription à des standards, codes ou labels,destinés à gagner la confiance des autorités publiques et de leurs clients. Ainsi, à la lex mercatoria regroupant les usages de la communauté internationale de marchands succèderait une lex electronica définissable comme « l'un des ensembles de règles de droit encadrant les activités se déroulant dans l'espace virtuel »^458(*). En ce qui nous concerne plus précisément à propos du cloud, il est intéressant de noter que la production de droit souple ne se cantonne pas à l'échelle européenne mais s'organise déjà à l'échelle internationale. En effet, la Cloud Security Alliance se présente comme une organisation mondiale chargée de définir les pratiques exemplaires (« best practices ») et de la certification des prestataires de service de cloud computing^459(*).

C'est ainsi, que le pragmatisme des institutions européennes les conduit à privilégier la régulation des activités transnationales ou européennes de cloud computing par des formes de normativités particulièrement adaptées à leur technicité et leur internationalité. Pour autant, si intéressant puisse être le recours à ces formes de régulation, il convient tout de même de rappeler qu'elles font aussi l'objet de critiques.

B - Les défauts des procédés alternatifs de régulation des activités de cloud computing

Malgré ses potentielles opportunités, la gouvernance des activités transnationales de commerce électronique par des mécanismes de corégulation ou d'autorégulation se confronte à nombre de critiques, notamment en doctrine. Celles-ci concernent essentiellement le déficit démocratique de ces procédés (1) et le défaut de juridicité des normes alternatives (2).

1 - Le défaut de légitimité démocratique des régulations alternatives

L'argument essentiel des pourfendeurs des méthodes de régulation et des normativités alternatives a trait à leur manque de légitimité démocratique. En réalité, invoquer le déficit démocratique de ce type de normes revient plus largement a remettre en cause les caractéristiques propres à ces modes de régulation. Aussi, ces critiques se vérifieraient dans l'application de ces normes au cloud. Il convient donc de nuancer ici l'idée selon laquelle le recours à des normativités plus souples serait davantage adapté à la régulation et à la promotion des activités de cloud computing au sein du marché intérieur.

En ce qui concerne d'une part le défaut de légitimité démocratique des modes alternatifs de régulation, cela se remarque tant quant à la conception qu'à l'accessibilité des normes. En ce qui concerne tout d'abord la conception des normes, l'essentiel des critiques consiste à remettre en cause la place attribuée aux opérateurs privés et l'origine des financements de l'oeuvre normative. En effet, l'essentiel, si ce n'est la totalité, de la procédure de conception se réalise hors des parlements nationaux. En ce sens, V. Lasserre note d'ailleurs la tendance qu'ont les autorités publiques à déléguer la régulation de certaines activités aux acteurs de la société civile et parle à ce titre de « dépolitisation de l'action publique »^460(*). Aussi, force est de constater que l'argument du déficit démocratique est souvent celui utilisé par les opposants à l'Union européenne et vise généralement la cooptation de ses membres et les limites affectant les pouvoirs du Parlement européen. Or, l'intérêt que portent les institutions de l'Union pour les normativités alternatives ne participerait-il pas à attiser les critiques portées généralement à l'Union ? À cette question, J. Porta répond à l'affirmative en constatant que « ces [procédés] rompent avec une conception moderne de la légitimité » et s'interroge sur la question de savoir s'il ne s'agit pas là de « signes avant-coureurs d'un rabaissement des exigences démocratiques dans l'Union européenne ? »^461(*). Pour ce qui intéresse ensuite les difficultés liées à l'accessibilité des normes, ce sont tant leur transparence que leur intelligibilité qui sont mises en cause. Un défaut de transparence peut être opposé aux normes d'origine privée comme les codes de conduites internes aux entreprises. Mais cela est encore plus notable en ce qui concerne les normes dont on ne peut prendre connaissance que moyennant un paiement préalable. Cela est le cas des normes ISO, dont les deux précitées concernant le cloud valent respectivement 138 et 118 Francs suisses. En ce qui concerne leur intelligibilité, ces normes, du fait de leur technicité, s'avèrent généralement complexes et donc difficilement compréhensibles pour les non initiés. Ces difficultés d'intelligibilité et de transparence participent pleinement à la critique de déficit démocratique de ces normes etserait facteur d'une dégradation de la qualité du droit, peu souhaitable^462(*).

Néanmoins, ces remarques peuvent être nuancées par l'existence de certains carcans, spécifiquement en ce qui concerne la corégulation. En effet, les autorités publiques ont la possibilité, voire le devoir, de contrôler le bien fondé des normes d'origine privée. L'exemple déjà invoqué du code de conduite à destination des opérateurs de cloud conçu par le Cloud Select Industry Group est particulièrement révélateur de ce fait. Rappelons en effet que le G29, qui est l'instance regroupant les autorités nationales de protection des données l'a contraint à améliorer son premier projet de Code et le validera in fine. C'est aussi le cas de la certification qui n'est pas ipso facto une activité déléguée à un opérateur privé, mais qui peut se réaliser par les autorités publiques elles-mêmes. À titre d'exemple, en France, l'agrément autorisant les prestataires de cloud à opérer un traitement de données de santé est soumis à une pluralité de contrôles dont un avis de la CNIL et une validation finale par le ministère de la santé. En réalité, les critiques dénonçant le déficit démocratique des méthodes alternatives de régulation permettent essentiellement la mise en garde contre certaines dérives, notamment lorsqu'elles impliquent l'autorégulation des activités. D'ailleurs, en réaction à ces critiques, on a pu proposer la démocratisation de la normalisation, soit en instituant un contrôle des travaux par les Parlements soit en promouvant leur publication gratuite^463(*). En somme, les autorités publiques démocratiquement élues ont la possibilité de garder un certain contrôle sur ces formes de normativités, mais à défaut, le risque tendrait à ce que la soft law se supplée à la hard law.

D'autre part, certains doutes méritent d'être formulés quant aux qualités que l'on octroie généralement aux normes alternatives. En effet, bien qu'on puisse critiquer la lenteur du processus législatif (notamment en visant le fait que la directive de 1995 ait rapidement été dépassée par l'évolution de la technique et que l'adaptation du régime juridique applicable aux données personnelles n'a donné lieu qu'à une réforme tardive qui sera applicable en 2018), force est de constater que la production du droit souple peut également être longue. Le projet de code de conduite est encore une fois là pour nous le prouver. Le droit souple, par son caractère technique et le consensus qu'il appelle entre acteurs privés, peut également résulter d'un long processus de conception. De plus, le prix des normes ISO précitées pourrait être un facteur de discrimination entre les opérateurs de cloud, voire entre les clients de services de cloud, selon qu'ils soient des PME, TPE ou start-up. Enfin, il est possible de critiquer le régime de certification prévu par le RGPD. En effet, l'article 42 paragraphe 7 du règlement dispose qu'une certification d'une durée maximale de trois ans peut être accordée aux acteurs opérant un traitement de données à caractère personnel pour attester de leur conformité au droit européen. L'article 43 paragraphe 4 du même règlement dispose lui que les organismes de certification peuvent être agréés, c'est-à-dire habilités à accorder ou renouveler les certifications, pour une durée maximale de cinq ans, par les autorités nationales de contrôle ou des organismes nationaux d'habilitation. Or, ces durées de trois ans et cinq ans ont pu être critiquées comme étant particulièrement longues « étant donné l'évolution rapide des technologies »^464(*).

C'est ainsi que l'on peut opposer aux normativités et modes de régulation alternatifs un certain déficit démocratique et que, même si des garanties de contrôle par les autorités publiques existent, des risques de dégradation de la qualité et de l'accessibilité du droit persistent. À cet argument s'ajoute celui des doutes entourant la juridicité des normes de droit souple.

2 - La problématique de la juridicité des normes alternatives

Après la question du déficit démocratique, c'est celle de leur juridicité^465(*) qui se pose aux normes de soft law. Il est souvent reproché aux formes alternatives de normativité de faire partie d'un ordre « volontaire », distinct de l'ordre juridique. Cela se confirme d'ailleurs dans la jurisprudence de la Cour de cassation française. Ainsi, par exemple, la Cour a pu conclure que le seul respect par un entrepreneur des DTU - normes françaises définies par les experts du bâtiment - n'était pas un fait exonératoire de sa responsabilité^466(*). Les réformes récentes des droits français et européen confirment cette tendance. L'article 17 du décret de 2009^467(*) réformant la normalisation prévoit en effet que « les normes sont d'application volontaire » et le règlement européen de 2012 relatif à la normalisation européenne le rappelle également à quatre reprises^468(*).

Néanmoins, ces normes ne sont pas ipso facto dépourvues d'intérêt juridique. En effet, V. Lasserre qualifie les règles de droit souple de « normes en devenir juridique »^469(*). En ce sens par exemple, l'article 17 du décret français de 2009 précité, dispose également que « les normes peuvent être rendues d'application obligatoire par arrêté signé du ministre chargé de l'industrie et du ou des ministres intéressés ». Cela témoigne d'un parfait exemple de corégulation. Plus généralement encore, l'absence de juridicité per se de ces normes n'est pas opposable lorsque leur respect est explicitement prévu dans un contrat. À ce titre le Conseil d'État estime que « sur le plan juridique, l'usage développé du contrat facilite la réception du droit souple par le droit dur »^470(*). Ainsi, la mention du respect d'une norme ISO, d'un code de conduite ou autre label par un contrat européen de prestation de service de cloud lierait le prestataire au respect des normes de qualité de service stipulées.

C'est ainsi que l'on ne peut que souscrire aux propos de K. Seffir et K. Benyekhlef concluant que « la régulation étatique doit subsister en s'internationalisant mais surtout en apprenant à coexister avec l'autorégulation par les opérateurs du commerce électronique ». Appliqué à notre champ d'étude, la régionalisation de la régulation des activités de cloud entre professionnels serait d'autant plus pertinente que le cadre institutionnel de l'Union européenne est particulièrement propice au développement de nouvelles formes de normativités. Cela dit, il faut veiller à ce que les opérateurs privés n'aient pas un trop grand contrôle de la production de ces normes. La corégulation doit plutôt permettre d'apporter une certaine forme légitimité démocratique à ces normes comportementales. Or, à cet égard, le régime juridique applicable au transfert de données à caractère personnel est symbolique : s'il révèle l'intérêt pratique des règles internes d'entreprises et des contrats-types, il questionne également leur capacité à prévenir les atteintes aux droits fondamentaux des personnes privées.

§ 2 - Le rôle des normativités alternatives dans le transfert des données à caractère personnel vers un État tiers

L'importance des normativités alternatives applicables aux contrats de prestation de service de cloud prend particulièrement corps lorsqu'on étudie le régime juridique entourant le transfert de données à caractère personnel vers un États tiers. En effet, le principe général posé par la Directive 95/46/CE impose comme condition préalable à tout transfert de ce type de données, que le pays de destination garantisse un niveau de protection adéquat et qu'une décision d'adéquation en atteste (A). Or, suite à l'invalidation par la Cour de Justice du désormais célèbre Safe Harbor, qui n'est rien d'autre que la décision d'adéquation autorisant l'exportation de données à caractère personnel aux États-Unis, la pratique a révélé l'intérêt des méthodes de corégulation permettant aux entreprises de passer outre cette invalidité (B).

A - La méthode classique de la décision d'adéquation

Le principe prévu par le droit de l'Union européenne est celui de l'autorisation du transfert de données à caractère personnel vers un États tiers à condition que ce dernier garantisse un niveau de protection des données jugé adéquat à celui de l'Union européenne (1). L'invalidation de la décision de Safe Harbor par la Cour de Justice et les négociations actuelles en vue d'aboutir à un nouvel accord avec les États-Unisdénommé « Privacy Shield » témoignent de la difficile conciliation entre les impératifs de sécurité nationale et le droit fondamental au respect de la vie privée des individus (2).

1 - L'autorisation des transferts de données à caractère personnel vers des États tiers ayant un niveau de protection adéquat

En vue de protéger la vie privée des personnes physiques, le droit de l'Union européenne conditionne la capacité des responsables de traitement de données à caractère personnel d'opérer un transfert de ces données vers l'étranger à ce que l'État d'expédition assure un « niveau de protection adéquat » à celui du droit de l'Union. Cette condition est prévue par la directive 95/46/CE, en son article 25, et est reprise dans le RGPD, en son article 45.

Le régime juridique prévu par la directive prévoit cinq étapes préalables à ce que la Commission reconnaisse, par voie de décision, l'adéquation du niveau de protection des données à caractère personnel par un État tiers. L'initiative revient à la Commission qui présente une proposition au G29 et au Comité de l'article 31, regroupant des représentants des États membres. Ceux-là rendent chacun un avis consultatif préalable et ensuite le Parlement européen et le Conseil de l'Union contrôlent que la Commission ait respecté ses compétences d'exécution attribuées par la directive. Ils peuvent à ce titre la contraindre à modifier ou retirer le projet de décision. Enfin, la Commission adopte la décision d'adéquation. Les conditions d'adéquation fixées par la directive sont vagues. Elle précise seulement qu'il faut prendre en compte « la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées »^471(*). Une grande marge de manoeuvre semble être laissée aux institutions dans l'appréciation finale du respectd'un niveau de protection adéquat. Avec le RGPD, le régime juridique des transferts de données à caractère personnel vers des États tiers est voué à se généraliser. Ainsi le transfert de données à caractère personnel pourra être envisagé à destination d'organisations internationales et non plus seulement des États^472(*). Les conditions que les États tiers ou les organisations internationales devront respecter pour que la décision d'adéquation soit adoptée ont également été précisées. Ainsi, la Commission devra désormais s'assurer que les personnes concernées par le transfert se voient garantir des « droits effectifs et opposables » et des « recours administratifs et judiciaires » effectifs^473(*) par le régime juridique de l'État ou de l'organisation de destination. Il faudra également vérifier l'existence de « plusieurs autorités de contrôle indépendantes [...] chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer »^474(*). Cela semble témoigner d'une volonté de l'Union européenne de diffuser, voire d'imposer, son modèle régional de protection de données à caractère personnel. Elle conditionne en effet l'autorisation du libre transfert de données vers un États tiers à des niveaux d'exigences propres au droit de l'Union :en désirant traiter avec des organisations internationales, en imposant le respect du droit à un recours effectif et en exigeant qu'un contrôle soit exercé par des organismes indépendants sur ces activités.

Actuellement, l'Union européenne a adopté douze décisions d'adéquation dont l'une a fait l'objet d'une invalidation par la Cour de Justice et est aujourd'hui en voie de renégociation. Ainsi, l'Andorre^475(*), l'Argentine^476(*), le Canada^477(*), la Suisse^478(*), les îles Féroé^479(*), Guernesey^480(*), l'État d'Israël^481(*), l'île de Man^482(*), Jersey^483(*), la Nouvelle-Zélande^484(*) et l'Uruguay^485(*) sont considérés comme garantissant un niveau de protection adéquat à celui du droit de l'Union européenne. De la sorte, les opérateurs de cloud proposant leurs services à des professionnels qui sont responsables du traitement de données à caractère personnel pourrontopérer des transferts vers ces États dans des conditions similaires aux transferts de données effectués au sein de l'Union européenne.

Ces décisions d'adéquation ont donc un intérêt particulier pour les opérateurs de cloud computing qui se voient ainsi ouvrir de plus grands marchés.À cet égard,l'invalidationde la décision d'adéquation 2000/520/CE^486(*) qui autorisait les transferts de données à caractère personnel vers les États-Unis pourrait avoir une incidence importante pour les opérateurs de cloud computing. C'est ainsi que la Commission européenne négocie actuellement un nouvel accord réévaluant les garanties que les institutions américaines devraient apporter pour faire de nouveau l'objet d'une décision d'adéquation.

2 - La négociation du Privacy Shield entre l'Union européenne et les États-Unis suite à l'invalidation du Safe Harbor

Par un arrêt rendu en grande chambre le 6 octobre 2015^487(*), la Cour de Justice de l'Union européenne a invalidé la décision d'adéquation de la Commission européenne considérant que les États-Unis justifiaient d'un niveau de protection des données adéquat à celui du droit de l'Union. Dans cette affaire, un litige opposait M.Schrems, résident autrichien, au Commissaire européen suite à son refus d'enquêter sur la question de savoir si les transferts de données à caractère personnel opérés par l'entreprise Facebook Ireland Ltd vers les États-Unis respectaient les droits fondamentaux et la directive 95/46/CE. Dans cette affaire, la Cour de Justice s'est prononcée sur la validité de la décision dite Safe Harbor qui attestait de la conformité des « principes de la sphère de sécurité » américaine aux standards européens. Ces principes mettent en place un régime d'auto-certification des entreprises américaines important des données à caractère personnel en provenance de l'Union européenne. Sur cette base, plus de 5 000 entreprises se sont auto-certifiées de respecter les exigences européennes en matière de sécurité des données et de garantir de respect des droits fondamentaux^488(*). La Cour critique principalement le fait que la décision d'adéquation de la Commission n'ait que peu tenu compte du cadre règlementaire des États-Unis. En effet, elle constate d'une part que la décision 2000/520/CE ne prévoyait pas de disposition en vue de « limiter les éventuelles ingérences dans les droits fondamentaux des personnes dont les données sont transférées depuis l'Union vers les États-Unis »^489(*) ni ne garantissait « l'existence d'une protection juridique efficace contre des ingérences de cette nature »^490(*). La Cour de Justice considère d'autre part que le droit américain n'apportait pas non plus l'assurance d'une protection effective de la vie privée des personnes privées dans le traitement de leurs données à caractère personnel. Au contraire elle reproche à la réglementation américaine d'autoriser « de manière généralisée la conservation de l'intégralité des données à caractère personnel [...] sans qu'aucune différenciation, limitation ou exception soit opérée en fonction de l'objectif poursuivit et sans que soit prévu un critère objectif permettant de délimiter l'accès des autorités publiques aux données et à leur utilisation »^491(*). En somme, pour toutes ces raisons, la décision d'adéquation de la Commission n'assurait pas effectivement que les États-Unis d'Amérique garantissent un niveau de protection adéquat des données à caractère personnel^492(*). C'est ainsi que la Cour jugea de l'invalidité de la décision d'adéquation en ce qu'elle méconnait les exigences de la directive 95/46/CE lues à la lumière de la Charte des droits fondamentaux^493(*).

Cette décision est, en quelque sorte, la conséquence logique des révélations d'E. Snowden en 2013 à propos de l'Affaire PRISM et des pratiques de surveillance massive des communications électroniques des individus par l'Agence américaine de renseignements. La Cour y fait d'ailleurs explicitement référence en citant la High Court Irlandaise qui retenait que « les révélations de M.Snowden avaient démontré que la NSA et d'autres organes fédéraux avaient commis des excès considérables »^494(*). D'ailleurs, depuis 2013, les négociations ont été rouvertes entre l'Union et les États-Unis pour réviser l'accord du Safe Harbor. Mais, c'est en réalitél'arrêt Schrems qui a relancé le dialogue entre les deux partenaires. Ainsi, à l'ancien SafeHarbor devrait succéder un nouveau PrivacyShield (« Bouclier de protection de la vie privée ») dans lequel les autorités américaines devront assurer les garanties nécessaires en vue d'un droit de recours effectif des particuliers contre le traitement illégal de leurs données et une autorité indépendante chargée de vérifier le respect des droits fondamentaux desdits particuliers dans le traitement fait de leurs données à caractère personnel. En ce sens, le 29 février 2016 la Commission européenne a rendu public le projet d'accord négocié avec les États-Unis^495(*). Se prononçant à ce sujet, la commissaire européenne à la Justice, V. Jourová, a déclaré que « pour la première fois, les États-Unis ont fourni à l'Europe des assurances écrites que l'accès des pouvoirs publics [...] sera soumis à des limitations claires et à des mécanismes de contrôle [...]. Tout citoyen considérant que leurs données ont été mal utilisées aura à sa disposition de nombreuses possibilités pour rétablir la situation »^496(*). Or, à cet égard, la Commission s'est attirée les critiques des associations défenderesses des libertés publiques^497(*)et de la doctrine^498(*). Les avis à propos du nouvel accord restent en effet partagés. Dans l'ensemble le G29 a rendu un avis plutôt favorable à l'accord^499(*) en notant « the major improvements the Privacy Shield offers compared to the invalidated Safe Harbour decision »^500(*). L'essentiel dont on peut se réjouir serait la désignation par les États-Unis d'un ombudsman indépendant chargé des médiations entre les autorités américaines et les personnes concernées par le traitement de leurs données^501(*) et l'examen périodique par la Commission européenne de l'adéquation du niveau de protection garanti par les États-Unis^502(*). Aussi, le G29 exprime quelques méfiances et recommandations, dont notamment la nécessité de ne pas conserver les données collectées plus longtemps que ce qui s'avère nécessaire pour garantir la sécurité publique, que l'administration s'engage explicitement à ne plus collecter massivement et aléatoirement les données ainsi que de garantir que les pouvoirs du médiateur soient effectifs en droit américain^503(*). Dans le même sens I. Falque-Pierrotin regrette que l'accord soit complexe et qu'il se base encore sur la directive 95/46/CE alors qu'il aurait pu anticiper la réforme du règlement général sur la protection des données qui entrera en vigueur en 2018^504(*).

C'est ainsi que la méthode actuelle procédant par une décision d'adéquation à l'autorisation des transferts de données à caractère personnel vers un États tiers n'est plus efficiente en ce qui concerne les transferts vers les États-Unis. Or, en dépit de ce que la Cour de Justice de l'Union européenne a pu considérer, il est intéressant d'observer qu'en pratique des méthodes alternatives de régulation permettent encore aux opérateurs de cloud computingde procéder au transfert de données à caractère personnel aux États-Unis.

B - La méthode pragmatique des normativités alternatives

Suite à l'invalidation du Safe Harbor par la Cour de Justice, il peut paraître étonnant que les transferts de données à caractère personnel à destination des États-Unis n'aient pas cessé. Cela est juridiquement possible parce qu'en plus du mécanisme de décision d'adéquation, le droit de l'Union prévoit un régime d'exception par le recours à des procédés alternatifs de régulation. Nous étudierons ainsi que par des Binding Corporate Rules (ci-après « BCR »), c'est-à-dire des règles d'entreprises contraignantes, et par l'utilisation des contrats-types de la Commission, le transfert de données à caractère personnel vers un États tiers de l'Union européenne peut être autorisé (1). Ces procédés ont, sans nul doute, un effet économique favorable à l'industrie du cloud, notamment parce que les États-Unis recensentle nombre le plus important de data centers, mais également car les principaux opérateurs de services de cloud y sont implantés originellement. Outre cet intérêt pratique, il peut néanmoins paraître étonnant de constater le silence de la Cour à l'égard de la juridicité de ces procédés, et de douter de leur conformité aux droits fondamentaux (2).

1 - Les normes permettant le transfert de données à caractère personnel à destination d'un État tiers n'assurant pas un niveau de protection adéquat

La directive 95/46/CE ainsi que le règlement général sur la protection des données prévoient deux mécanismes alternatifs permettant le transfert de données à caractère personnel vers un État tiers, quand bien même ce dernier n'assurerait pas un niveau de protection adéquat à celui de l'Union européenne. Il s'agit principalement des règles d'entreprises contraignantes et des clauses contractuelles types de protection des données, mais le RGPDsemble en étendre la liste.

Tout d'abord, l'article 26 paragraphe 2 de la directive sur la protection des données à caractère personnel prévoit cette dérogation. Conformément à cet article, un État membre de l'Union européenne peut autoriser le transfert de données « lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes » et que « ces garanties peuvent notamment résulter de clauses contractuelles appropriées ». Si il est explicitement fait référence aux clauses contractuelles, dont la directive précise qu'il revient à la Commission de les définir^505(*), les règles contraignantes d'entreprises ne sont pas expressément nommées. Elles sont plutôt issues des nécessités de la pratique qui se traduisent dans la rédaction de codes de bonne conduite, que la directive incitait en son article 27. Ainsi, il apparaît qu'une entreprise justifiant d'une part d'une politique interne respectueuse du niveau de protection des données garanties par la directive ou d'autre part de l'exécution d'obligations contractuelles prises sur fondement des clauses contractuelles types de la Commission, puisse opérer un transfert de données vers les États-Unis sans même qu'ils soient considérés comme garantissant un niveau de protection adéquat à celui de l'Union. En ce qui concerne tout d'abord les BCR, il revient aux entreprises souhaitant en bénéficier de communiquer à une autorité nationale de protection des données les engagements de conformité pris en vertu de sa politique interne d'entreprise et justifiant un respect du droit de l'Union européenne dans le traitement des données à caractère personnel, même lorsque ceux-là sont effectués physiquement à l'étranger. L'instruction, par les autorités nationales des procédures de certification des BCR est unifiée à l'échelle européenne par le G29 agissant par voie de recommandation. Ainsi, deux types de BCR sont actuellement admises par les autorités de protection de données européennes, les premières règles ont trait aux transferts intragroupe de données et sont dites « BCR responsable de traitement »^506(*) et les secondes s'appliquent aux activités de sous-traitance du traitement des données et sont dites « BCR sous-traitant »^507(*). Pour pouvoir bénéficier de la dérogation permettant le transfert de données dans un États tiers, les BCR des entreprises devront justifier du respect de grilles d'analyses également produites par le Groupe de l'Article 29 à l'échelle européenne^508(*). À l'issue de la procédure de conformité, l'autorité nationale certifie la compatibilité des règles d'entreprises contraignantes aux principes de la directive 95/46/CE. Les entreprises justifiant de BCR auront ainsi la possibilité d'opérer des transferts sans tenir compte de l'existence préalable d'une décision d'adéquation. À titre d'exemple, la CNIL opère par déclarations simplifiées. Elle en a actuellement délivrées 27 concernant les BCR responsables de traitement et 5 concernant les BCR sous-traitant. Les bénéficiaires de ces règles internes sont essentiellement des grandes entreprises a l'instar de Michelin^509(*) et Capgemini^510(*). La Commission européenne diffuse une liste complète des entreprises bénéficiant de BCR^511(*). En ce qui concerne ensuite les clauses contractuelles types permettant le bénéfice de la dérogation déjà présentées au préalable, celles-ci permettent d'obtenir une autorisation préalable de l'autorité nationale de protection des données pour les entreprises souhaitant opérer des transferts de données vers l'étrangers en application d'un contrat les stipulant. L'intérêt de ces clauses est, rappelons-le, de prévoir contractuellement la répartition des responsabilités entre les responsables des traitements successifs ou les sous-traitants et, partant, les droits des personnes intéressées à leur encontre en cas de violation des obligations de protection de leurs données à caractère personnel. Dans les deux cas ces modes de régulation auront vocation à permettre aux clients professionnels de prestataires de cloud de continuer à avoir recours à de la sous-traitance avec des opérateurs américains et ainsi d'opérer des transferts de données à caractère personnel vers les États-Unis.

Il est intéressant, ensuite, d'étudier que le RGPD semble accroître l'intérêt accordé à ces types de normativités et, partant, aux exceptions à la décision d'adéquation. En effet, dans un article dédié aux « transferts moyennant des garanties appropriées »^512(*), le règlement met fin à l'obligation d'autorisation préalable des autorités de contrôle certifiant le respect des exigences du droit européen dans l'exportation de données. En revanche, le même article s'inscrit en continuité du régime de la directive qu'il remplacera en faisant explicitement référence aux « règles d'entreprises contraignantes » et « clauses types de protection des données adoptées par la Commission »^513(*). Mais à cela il ajoute 4 autres alternatives : « un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics », « des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission », un « code de conduite » ou « un mécanisme?de certification » tous deux assortis d'un engagement contraignant pris par l'importateur de données justifiant ainsi l'application de garanties appropriées^514(*).

C'est ainsi qu'actuellement les opérateurs de cloud computing souhaitant opérer des transferts intragroupe ou à destination d'un sous-traitant situé dans un État ne justifiant pas d'un niveau de protection adéquat peuvent tout de même y procéderavecl'autorisation de la CNIL en France ou de toute autre autorité nationale en Europe. Pour cela, il leur faudra prouver que le contrat ayant pour objet ledit transfert ou que leurs règles internes d'entreprises justifient des procédés conformes aux exigences du droit de l'Union. À l'avenir, le RGPD semble instaurer une présomption de licéité du transfert de données en n'exigeant plus d'autorisation préalable du transfert et élargit le champ des normes pouvant servir de fondement à la licéité du transfert. Cela témoigne d'une volonté déjà exprimée mais vouée à s'étendre, de la part des institutions européennes, de privilégier le recours à des modes alternatifs de normativités afin de réguler les activités de cloud computing entre professionnels et à l'échelle internationale. Mais la compatibilité de ces procédés avec les droits fondamentaux des individus au respect de leur vie privée et de la protection de leurs données à caractère personnel peut être questionnée.

2 - Le silence de la Cour de Justice sur la juridicité de ces normes

Ce qui vient d'être décrit témoigne de l'intérêt pratique des normes alternatives pour le commerce électronique et notamment pour les opérateurs de cloud computing. Il n'en demeure pas moins que des doutes sur la valeur juridique de ce type de norme persistent en théorie. Or, à cet égard, il peut être regrettable que dans l'affaire du Safe Harbor la Cour de Justice n'ait pas traité de la juridicité des normes que l'on a décrites. Pour autant, l'arrêt de la Cour s'est brièvement prononcé sur la validité du système d'auto-certification américain.

D'une part, la Cour a en effet considéré que « le recours, par un pays tiers, à un système d'autocertification n'est pas, par lui-même, contraire à l'exigence [...] selon laquelle le pays tiers concerné doit assurer un niveau de protection adéquat »^515(*). On en retient que le mécanisme d'autorégulation mis en place par les États-Unis devant attester du respect des entreprises américaines de principes dits de « la sphère de sécurité » pourrait être valide en soi. La Cour de Justice précise en revanche par la suite que la fiabilité de ce système d'auto-certification dépendrait de certains garde-fous que le régime juridique étranger devrait instaurer à travers des « mécanismes efficaces de détection et de contrôle permettant d'identifier et de sanctionner [...] d'éventuelles violations des règles assurant la protection des droits fondamentaux ». Ainsi la Cour entend conditionner la validité d'un mécanisme de régulation alternatif étranger aux garanties juridiques que prévoit le cadre règlementaire de l'État en question.

D'autre part, la Cour ne se prononce à aucune reprise sur la validité des BCR ou des contrats-types permettant aux entreprises d'opérer des transferts de données à caractère personnel vers les États-Unis d'Amérique. Aucune mention n'en est faite. Cela se justifie probablement par le fait que la Cour n'ait pas été saisie de la question de leur validité. Mais peut-être pourrions nous voir ici, a similidu raisonnement appliquéà l'auto-certification américaine, une validation implicite de ces normes européennes du fait qu'elles font l'objet d'un contrôle préalable des autorités nationales européennes de protection des données et qu'un droit de recours effectif est garanti aux particuliers qui auraient intérêt à agir. Néanmoins, la question mériterait d'être posée. En effet, qu'en serait-il de la conformité de ces normes aux droits fondamentaux sous le régime juridique du règlement général de la protection des données à caractère personnel qui abolit la condition d'autorisation préalable ? Aussi, la problématique soulevée par l'invalidation du Safe Harbor a trait à la conciliation entre le droit fondamental à la protection de la vie privée des individus et l'objectif légitime de maintien de la sécurité aux États-Unis. La Cour met d'ailleurs en cause la disproportion des mesures prises par les autorités américaines qui conduisent, pour des motifs sécuritaires, à opérer un traitement massif et systématique des données à caractère personnel des personnes privées européennes. Or, une question doit alors nous interpeller : comment est-ce que l'emploi, par une entreprise, de BCR ou de clauses contractuelles types pourrait assurer aux utilisateurs d'un service opérant un transfert de données vers les États-Unis que les autorités américaines ne portent pas atteinte au respect de leur vie privée ? Il semblerait en effet que si ces mécanismes sont profitables à l'économie numérique et donnent des solutions viables pour les opérateurs de cloud computing dans leurs activités entre professionnels, celles-ci ne garantissent pas aux utilisateurs, personnes physiques, que leurs données n'échappent au contrôle des autorités américaines chargées de la sécurité. Cette remarque a déjà été soulevée par le Parlement européen qui, dans une note de 2013, se prononçait sur le système des clauses-contractuelles types diffusées par la Commission. Ildéclarait clairement que :

« Les révélations concernant le programme PRISM illustrent de manière frappante le caractère insensé de ce stratagème juridique. Aucune autorité ne peut, dans un contexte civil impliquant des acteurs privés, garantir le droit au respect de la vie privée lorsqu'un acteur tel que la NSA enfreint ce droit en tentant d'accéder aÌ des données en opérant selon des règles qui lui sont propres et de manière légale aÌ ses yeux. 

[...]

En leur qualité réputée de mécanismes juridiques de protection des droits et d'obtention de réparations en cas de mesures de sécurité insuffisantes ou de mauvaises pratiques en matière de protection de la vie privée, ces contrats (et leurs clauses « modèles ») se sont avérés inutiles, dans la mesure ouÌ ils n'ont donneì lieu aÌ aucune procédure juridique. »^516(*) (mention en gras non ajoutée).

* ⁴¹⁰ J. PORTA, op. cit. note 333, p.17.

* ⁴¹¹ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, LexisNexis, 2015, p.202

* ⁴¹² G.CORNU, Vocabulaire juridique, op. cit. note 22, p.375, « DROIT ».

* ⁴¹³ M.SARR, Droit souple et commerce électronique, Jurisdoctoria n°8, 2012, p. 58, <  http://www.jurisdoctoria.net/pdf/numero8/aut8_SARR.pdf>.

* ⁴¹⁴ Parlement européen, Conseil de l'union européenne, Commission européenne, Accord interinstitutionnel -- « mieux légiférer », (2003/c 321/01),?journal officiel n° c 321 du 31/12/2003 p. 0001 - 0005.

* ⁴¹⁵Idem, §16 et s.

* ⁴¹⁶ V. LASSERRE, op. cit. note 410, p.246 : « laboratoire de normes ».

* ⁴¹⁷ Article 288 TFUE.

* ⁴¹⁸ V. LASSERRE, op. cit. note 410, p.277.

* ⁴¹⁹ J. Porta, op. cit. note 333, p.17.

* ⁴²⁰ V. LASSERRE, op. cit. note 410, p. 242.

* ⁴²¹ Résolution du Conseil, concernant une nouvelle approche en matière d'harmonisation technique et de normalisation, 7 mai 1985, OJ C 136, 4.6.1985, pp. 1-9.

* ⁴²²M. EMANEMEYO, « La force normative « invisible » de la Soft law para-législative de l'Union européenne en droit privé des contrats », Revue de l'Union européenne, 2014 p.94.

* ⁴²³ Communication, « Exploiter le potentiel de l'informatique en nuage en Europe », op. cit. note 26, p.11.

* ⁴²⁴Directive 95/46/CE, article 27 : « 1. Les États membres et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les États membres en application de la présente directive. [...] 3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l'article 29 ».

* ⁴²⁵ Cloud Select Industry Group, Draft Data Protection Code of Conduct for Cloud Service Providers, 50 pages.

* ⁴²⁶ Cloud Select Industry Group, Draft Data Protection Code of Conduct for Cloud Service Providers, p.1 : « The transparency created by the Code will contribute to an environment of trust and will encourage a high default level of data protection in the European cloud computing market ».

* ⁴²⁷Idem, p.16, point 5.4 : « The [Cloud Services Provider] must ensure that any subcontractors engaged in the processing of personal data provide an equivalent level of protection to that agreed between the CSP and the customer in the Services Agreement applicable to the subcontractors processing activities ».

* ⁴²⁸ Le « G-29 » a été institué sur fondement de l'article 29 de la directive 95/46/CE.

* ⁴²⁹ ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 02/2015 on C-SIG Code of Conduct on Cloud Computing, 22 September 2015, 2588/15/EN WP 232.

* ⁴³⁰ Cf. Minutes of the plenary meeting of the Cloud-Select Industry Group (C-SIG), 29 October 2015, 10h00-17h00, BU25, Brussels, Belgium, 8 pages.

* ⁴³¹ Décision de la Commission, 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE, 2001/497/CE.

* ⁴³² Décision de la Commission, 27 déc. 2004, modifiant la décision 2001/497/CE en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, 2004/915/CE.

* ⁴³³ Décision de la Commission, 27 déc. 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE, 2002/16/CE.

* ⁴³⁴ Décision de la Commission, décision 2010/87/UE, 5 fév. 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil.

* ⁴³⁵Idem, clause n°10.

* ⁴³⁶Idem, clause n°5. A).

* ⁴³⁷Idem, clause n°11.

* ⁴³⁸ À ceci près que la personne concernée ne pourra faire appliquer la clause aux sous-traitants de l'importateur des données que si celui-ci (l'importateur) a « matériellement disparu », « cessé d'exister en droit » ou est devenu insolvables.

* ⁴³⁹ Cf. § 2, p. 104 et s.

* ⁴⁴⁰ CNIL, Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing, op. cit. note 17.

* ⁴⁴¹Idem, p. 14.

* ⁴⁴² CNIL, Synthèse des réponses aÌ la consultation publique sur le Cloud computing lancée par la CNIL du 17 octobre au 17 novembre 2011 et analyse de la CNIL, p.10.

* ⁴⁴³ M.-C. ROQUES-BONNET, « Cloud computing : les actions de la CNIL démontrant l'existence d'un nouveau mode de régulation », RLDI, 2013, p.131.

* ⁴⁴⁴ Cf. ISO/IEC 27017:2015 - Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services.

* ⁴⁴⁵ Cf. ISO/IEC 27018:2014 - Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

* ⁴⁴⁶ RGPD, op. cit. note 282, art. 40, 41, 42 et 43.

* ⁴⁴⁷ O.TAMBOU, « l'introduction de la certification dans le règlement général de la protection des données personnelles : quelle valeur ajoutée ? », RLDI, n°125, avr. 2016, parti politique. 51-52.

* ⁴⁴⁸ I.FALQUE-PIERROTIN, Introduction, in.Le cloud computing, l'informatique en nuage, Société de législation comparée, op. cit.

* ⁴⁴⁹CONSEIL D'ÉTAT, Le droit souple, étude annuelle 2013, n°64, p. 241.

* ⁴⁵⁰ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit., p.15.

* ⁴⁵¹Idem, p.18.

* ⁴⁵² V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit., p.207.

* ⁴⁵³CNIL, Recommandations pour les entreprises qui envisagent de souscrire aÌ des services de Cloud computing, op. cit., p. 20.

* ⁴⁵⁴ M.-C. Roques-Bonnet, « Cloud computing : les actions de la CNIL démontrant l'existence d'un nouveau mode de régulation », op. cit., p. 132.

* ⁴⁵⁵ M. Mosse. « Le nuage saisi par le droit », in.Le cloud computing, l'informatique en nuage, Société de législation comparée, op. cit note 12.

* ⁴⁵⁶K.SEFFAR et K. BENYEKHLEF, « Commerce électronique et normativités alternatives », University of Ottawa law & technologie journal, 2006, 3:2 UOLTJ 353, p.361.

* ⁴⁵⁷ Cf. M.SARR, Droit souple et commerce électronique, op. cit., pp. 53-74.

* ⁴⁵⁸ P. TRUDEL, « La Lex Electronica » in. Charles-Albert Morand, Le droit saisi par la mondialisation (Bruxelles : Éditions Bruylant, 2001), disponible en ligne sur < https://papyrus.bib.umontreal.ca>

* ⁴⁵⁹ Il s'agit principalement des CSA Security, Trust & Assurance Registry (STAR) et Certificate of Cloud Security Knowledge (CCSK).

* ⁴⁶⁰ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit., p.212.

* ⁴⁶¹ J. Porta, La réalisation du droit communautaire. Essai sur le gouvernement juridique de la diversité, op. cit., p.19.

* ⁴⁶² C'est l'avis du Conseil d'État, dans son étude annuelle sur le droit souple de 2012 précité, op. cit. note 448, pp. 47-51.

* ⁴⁶³ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit., p.215.

* ⁴⁶⁴ O. TAMBOU, « l'introduction de la certification dans le règlement général de la protection des données personnelles : quelle valeur ajoutée ? », op. cit. note 446, p.54.

* ⁴⁶⁵ G. CORNU, Vocabulaire juridique, op. cit. note 22, p. 586 : « JURIDICITÉ » : « Caractère de ce qui relève du Droit, par opposition aux moeurs, à la morale, aux convenances ».

* ⁴⁶⁶Cass., 3^ème civ., 22 oct. 1980, n°78-40.830 : «  LE SEUL FAIT QU'UNE TECHNIQUE AIT ETE COURANTE ET CONSIDEREE COMME VALABLE AU REGARD DES DTU A L'EPOQUE OU ELLE A ETE EMPLOYEE NE CONSTITUE PAS UNE CAUSE ETRANGERE EXONERATOIRE DE RESPONSABILITE POUR L'ENTREPRENEUR ».

* ⁴⁶⁷Décret n° 2009-697 du 16 juin 2009 relatif à la normalisation, JORF n°0138 du 17 juin 2009, p. 9860.

* ⁴⁶⁸ Règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 oct. 2012 relatif à la normalisation européenne, OJ L 316, 14.11.2012, p. 12-33, Cf. considérants n°1, 2, 10 et 11.

* ⁴⁶⁹ V. LASSERRE, Le nouvel ordre juridique, Le droit de la gouvernance, op. cit. note 410, p.12.

* ⁴⁷⁰ Conseil d'État, Rapport sur le droit souple, Op. cit. note 448, p.40.

* ⁴⁷¹ Directive 95/46/CE, article 25 § 2.

* ⁴⁷² RGPD, op. cit. note 282, art. 44.

* ⁴⁷³Idem, art. 45. 2) a.

* ⁴⁷⁴Idem, art. 45. 2) b.

* ⁴⁷⁵ Décision 2010/625/UE.

* ⁴⁷⁶ Décision 2003/490/CE.

* ⁴⁷⁷ Décision 2002/2/CE.

* ⁴⁷⁸ Décision 2000/518/CE.

* ⁴⁷⁹ Décision 2010/146/UE.

* ⁴⁸⁰ Décision 2003/821/CE.

* ⁴⁸¹ Décision 2011/61/UE.

* ⁴⁸² Décision 2004/411/CE.

* ⁴⁸³ Décision 2008/393/CE.

* ⁴⁸⁴ Décision 2013/65/UE.

* ⁴⁸⁵ Décision 2012/484/UE.

* ⁴⁸⁶ Commission européenne, Décision du 26 juil. 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique, 2000/520/CE.

* ⁴⁸⁷ CJUE, Schrems, 6 oct. 2015, C-362/14.

* ⁴⁸⁸ La Federal Trade Commission tient d'ailleurs une liste de ces auto-certifications disponible en ligne sur : < https://safeharbor.export.gov/list.aspx >.

* ⁴⁸⁹ CJUE, Schrems, 6 oct. 2015, C-362/14, pt. 88.

* ⁴⁹⁰Idem, pt. 89.

* ⁴⁹¹ CJUE, Schrems, 6 oct. 2015, C-362/14, pt. 93.

* ⁴⁹²Idem, pt. 97.

* ⁴⁹³Idem, pt.98.

* ⁴⁹⁴Idem, pt. 30.

* ⁴⁹⁵ Draft, Commission implementing decision of XXX, pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, disponible sur < http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf >.

* ⁴⁹⁶ European Commission, Press release, EU Commission and United States agree on new framework for transatlantic data flows : EU-US Privacy Shield, Strasbourg, 2 February 2016.

* ⁴⁹⁷ Observatoire des Libertés et du Numérique, Lettre ouverte à Vìra Jourová : du Safe Harbor au Privacy Shield, des promesses et du vent, 10 fév. 2016, disponible sur < http://www.laquadrature.net/fr/lettre-ouvertr-vera-jourova-safe-harbor-privacy-shield >.

* ⁴⁹⁸ S. PEYROU,Transfert de données personnelles de l'UE vers les États-Unis : du « Safe Harbor » à l' « EU-US Privacy Shield », réel épilogue ou simple péripétie ?, Réseau Universitaire Européen CDRE, 14 fév. 2016, disponible sur < http://www.gdr-elsj.eu/2016/02/14/droits-fondamentaux/transfert-de-donnees-personnelles-de-lue-vers-les-etats-unis-du-safe-harbor-a-l-eu-us-privacy-shield-reel-epilogue-ou-simple-peripetie/ >.

* ⁴⁹⁹ Article 29 data protection Working Party, Opinion 01/2016 on the EU - U.S. Privacy Shield draft adequacy decision, adopted on 13 April 2016, 16/EN WP 238.

* ⁵⁰⁰Idem, p.5.

* ⁵⁰¹ Draft, Commission implementing decision of XXX, op. cit. note 494, pt. 53 ; pts 100-104.

* ⁵⁰²Idem, pts 120-124.

* ⁵⁰³ Article 29 data protection Working Party, op. cit. note 498, p.57.

* ⁵⁰⁴ Site de la CNIL, 14 avr. 2016,« G29 : le « Privacy Shield », une avancée certaine source d'inquiétudes », RLDI, mai 2016, n°126, p.35.

* ⁵⁰⁵Directive 95/46/CE, article 26 § 4.

* ⁵⁰⁶Recommendation 1/2007 on the Standard Application for Approval of Binding Corporates Rules for the Transfer of Personal Data, WP133, 10 January 2007.

* ⁵⁰⁷Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities, WP135a, 17 september 2012.

* ⁵⁰⁸Cf. les recommandations n° WP153 et n°WP135.

* ⁵⁰⁹Délibération n° 2015-258 du 16 juil. 2015 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » du groupe Michelin (BCR-010) , JORF n°0170 25 juil. 2015, texte n°99.

* ⁵¹⁰ Délibération n° 2016-055 du 10 mars 2016 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » et « sous-traitant » du groupe Capgemini (BCR-027), JORF n°0073, 26 mars 2016, texte n° 101.

* ⁵¹¹ La liste compte actuellement 90 BCR octroyés à 90 entreprises européennes. La liste est disponible sur < http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm >.

* ⁵¹² RGPD, op. cit. note 282, article 46.

* ⁵¹³Idem, 2. b) et c).

* ⁵¹⁴ RGPD, op. cit. note 282, 2. a), d), e) et f).

* ⁵¹⁵ CJUE, Schrems, 6 oct. 2015, C-362/14, pt. 81.

* ⁵¹⁶ Parlement européen, Direction générale des politiques internes, Note : Les programmes de surveillance des États-Unis et leurs effets sur les droits fondamentaux des citoyens de l'UE, PE474.405, p.34.