Présentation donnée dans le cadre du cycle de conférences "JuriTIC" organisé par le Centre de recherches information, droit et société (CRIDS) de l'Université de Namur, en mai 2011.
Cette présentation envisage l'archivage électronique sous un angle contractuel. Au-delà d'un régime légal très limité, quelles sont les clauses dont les parties doivent se soucier lors de la rédaction d'un contrat par lequel une organisation confie l'archivage électronique de ses données ou documents à un prestataire tiers.
Le point sur la responsabilité des intermédiaires de l'Internet [2012]
Le recours à un tiers archiveur, un contrat sur mesure [2011]
1. Le recours à un tiers archiveur,
un contrat sur mesure
JuriTIC | Namur | 13 mai 2011
François Coppens
Chercheur au Crids et Avocat (De Wolf & Partners)
2. Plan
Généralités
• Caractéristiques du contrat d’archivage
• Marchés publics
Obligations du tiers archiveur
Clauses spécifiques
•
•
•
•
•
Benchmark
Audit
Responsabilité et force majeure
Droits intellectuels
Données à caractère personnel
Réversibilité
2
4. Caractéristiques du contrat
d’archivage électronique
Caractéristiques principales
•
•
•
•
Longue durée
Complexe et technique
Forte dépendance vis-à-vis du prestataire
Parfois international (archivage in the cloud)
Un contrat nommé ?
• Un contrat de dépôt ?
• Un contrat d’entreprise !
Un encadrement légal limité
• Pas de cadre général contraignant (loi de 2007)
• Quelques obligations dans certains secteurs
4
5. Marchés publics d’archivage
électronique ?
Les considérations suivantes en matière
contractuelle sont également valables dans le
secteur public
• Dans un contrat en procédure négociée
• Dans un cahier spécial des charges
Attention cependant aux possibilités de déroger (ou
non) au cahier général des charges
• Nécessité de motiver les dérogations par rapport aux
circonstances spécifiques du marché d’archivage
électronique
5
7. Obligations du tiers archiveur
Pas de régime légal => liberté des parties
Obligations de moyen ou de résultat
Source d’inspiration : loi du 15 mai 2007 et avantprojets d’AR d’application.
7
8. Obligations spécifiques en matière
d’archivage électronique (avant-projet
d’AR)
prendre les mesures nécessaires au maintien de la lisibilité
des données pendant la durée de conservation convenue
(obligation de résultat)
empêcher, lors de la conservation, de la consultation ou du
transfert, toute modification des données électroniques
conservées, sous réserve des modifications relatives à leur
support ou leur format électronique
détecter les opérations, normales ou frauduleuses, effectuées
sur les données et veiller à permettre l’identification des
auteurs de telles opérations
protéger les données contre toute atteinte, frauduleuse ou
accidentelle lors de leur conservation et de leur transmission
8
9. Obligations générales en matière
d’archivage électronique (loi du 15 mai
2007)
faire preuve d’impartialité vis-à-vis des tiers
ne pas détourner, à quelque fin que ce soit, les données
transmises et ne les utiliser que dans la mesure
nécessaire à l’accomplissement de leurs services
mettre en œuvre les moyens d’assurer la sécurité
employer du personnel ayant les compétences
spécifiques nécessaires
confidentialité
avoir les ressources financières suffisantes et une
assurance appropriée
9
10. Autres obligations
Obligation d’information et de conseil
• Droit commun
• A propos des procédés techniques d’archivage
• A propos des durées de conservation ?
Obligation de certification
Garanties ?
• Fonctionnelles : lisibilité, intégrité, etc.
• « Juridiques »
• Valeur probante ?
• Obligations d’archivage ?
10
12. Durée du contrat
Pas nécessairement identique à la durée de
conservation des archives
Contrat d’entreprise : toujours révocable ad nutum
• Avant l’expiration du terme convenu : indemnisation
du prestataire
• Durée indéterminée : moyennant préavis raisonnable
Aménagements contractuels possibles
• Recommandation : durée indéterminée + délai de
préavis asymétrique (plus long pour le fournisseur qui
veut mettre fin au contrat)
12
13. Compétitivité de l’offre sur la durée:
Clauses de benchmarking
Challenge de la qualité et du prix par rapport à l’état
du marché
Que comparer:
Par rapport à qui?
Quand le faire ?
Qui supporte les honoraires et les coûts ?
Qui va l’effectuer ?
Que fait-on des résultats ?
13
14. Vérification du respect du contrat :
Clause d’audit
But
• Vérifier que le prestataire respecte la loi et le contrat
• Surtout utile si perte de maitrise du client
• Auditer la qualité des archives
Fréquence, nombre maximum
• Ex: pas la première année ; max. 1 fois par an, etc.
Périmètre
• Quelles informations?
Modalités
• Sur site ou à distance (communication documents, données des
logs, etc.)
Qui paie?
Conséquences – sanctions – plafond
15. Responsabilité du tiers archiveur
Impact de la nature des obligations (moyen/résultat)
Pas de contrat de dépôt
• Pas d’obligation de résultat de restitution
Clauses limitatives de responsabilité
• Limites : dol et obligations essentielles du contrat
• Faute lourde ?
Exclusion des dommages indirects
• Attention à la formulation (ex : pertes de données)
Assurances
15
16. Force majeure
Rappel du droit commun
Clause classique
Attention à la formulation – clause de « force
majeure renforcée »
• Certains évènements sont exclus de la force majeure
• « la notion de force majeure sera interprétée en
tenant dûment compte de ce que CLIENT a
précisément choisi la solution d’archivage proposée
par ARCHIVEUR en considération des dispositifs de
protection fournis par ARCHIVEUR »
16
17. Droits intellectuels – différents
aspects
Sur les documents archivés
• L’archivage entraine des actes de reproduction
• Autorisation donnée au tiers archiveur
• Garantie d’éviction donnée par le client
Sur les logiciels et formats d’archivage
•
•
•
•
Droit d’auteur + brevets éventuels
Licence d’utilisation pour le client
Pourra s’étendre au-delà de la fin du contrat
Accès aux codes sources – Escrow Agreements
17
18. Clauses sur la protection des données
à caractère personnel
Article 16 de la loi du 8 décembre 1992 concernant les données à caractère
personnel [sous-traitance] :
• Lorsque le traitement est confié à un sous-traitant, le responsable du
traitement ou, le cas échéant, son représentant en Belgique, doit :
1° choisir un sous-traitant qui apporte des garanties suffisantes au regard
des mesures de sécurité technique et d'organisation relatives aux
traitements;
2° veiller au respect de ces mesures notamment par la stipulation de
mentions contractuelles;
3° fixer dans le contrat la responsabilité du sous-traitant à l'égard du
responsable du traitement;
4° convenir avec le sous-traitant que celui-ci n'agit que sur la seule
instruction du responsable du traitement et est tenu par les mêmes
obligations que celles auxquelles le responsable du traitement est tenu en
application du paragraphe 3;
5° consigner par écrit ou sur un support électronique les éléments du
contrat visés aux 3° et 4° relatifs à la protection des données et les
exigences portant sur les mesures visées au paragraphe 3.
19. Données à caractère personnel –
Transfert hors UE
Conditions de l’article 22 de la loi
Sinon utilisation des clauses –types approuvées par la Commission:
distinction selon que le transfert a lieu du responsable du traitement
vers un sous-traitant ou vers un autre responsable du traitement :
De RT à RT :
• Décision 2001/497/CE
• OU
• Décision 2004/915/CE
De RT à ST:
• Décision 2010/593/CE
• Permet un transfert ultérieur du ST vers un second ST
20. Autres clauses
Confidentialité
SLA
• Performance ? (accessibilité, disponibilité, etc.)
• Qualité ? (intégrité, lisibilité, etc.)
(non-)exception d’inexécution et continuité des
services
Indépendance / sous-traitants / changement de
contrôle
20
22. Droit de « propriété » du client sur ses
archives ?
Droits intellectuels éventuels
• Seulement droit d’autoriser ou d’interdire, ne comprend
pas le droit de récupérer ses œuvres ;
• Droit d’accès ?
Protection de la vie privée ?
• Uniquement s’il s’agit de données à caractère personnel
• Uniquement si le client est responsable du traitement
Contrat de dépôt ?
• Ne peut porter que sur des choses corporelles
(controverse)
• Suppose une dépossession de la chose
Droit de propriété
• Malaisé pour des données incorporelles
22
23. Une source d’inspiration
Avant-projet d’AR d’exécution de la loi du 15 mai 2007
Le fait pour le destinataire du service de confier des données à un
prestataire de service d’archivage électronique n’entraîne aucun transfert
de droits sur les données
Le prestataire de service d’archivage électronique ne peut opposer au
destinataire du service un quelconque droit de rétention des données
A la fin du contrat, le prestataire demande quel est le sort à réserver aux
données
À la demande du destinataire du service et dans un délai raisonnable, le
prestataire de service d’archivage électronique, selon le cas :
• restitue au destinataire du service les données que ce dernier lui indique,
sous une forme lisible et exploitable convenue avec le destinataire ;
• transmet loyalement les données que le destinataire lui indique à un autre
prestataire de service d’archivage électronique en vue de la reprise du
service ;
• détruit définitivement les données que le destinataire du service lui indique,
de telle sorte qu’elles ne puissent plus être reconstituées, en tout ou en
partie.
23
24. Clauses de réversibilité – du côté du
client (I)
Les clauses concernant la réversibilité doivent
pouvoir être mises en œuvre quelles que soient les
raisons et circonstances de l’expiration du contrat
Obligation générale de collaboration, d’assistance et
de fourniture d’information
Maintenir l’accès aux ressources informatiques
prévues dans le contrat jusqu’à la fin des opérations
concernant la réversibilité
Charger le prestataire (ou les deux parties en
collaboration) d’établir un plan de réversibilité en
cours de contrat
24
25. Clauses de réversibilité – du côté du
client (II)
Clauses concernant les données :
• Établir expressément la « propriété » du client sur les
archives et l’obligation du prestataire de les restituer
• Indiquer le format (standard) dans lequel les archvies
seront conservées et/ou restituées, qui permettra leur
importation dans un autre système
• Restitution des métadonnées et d’une copie de la politique
d’archivage et de sécurité
• Éventuel « escrow agreement » portant sur les archives
(par exemple dans un modèle SaaS ou Cloud Computing)
• Obligation du prestataire de conserver une copie de
sauvegarde des archives jusqu’à la (bonne) fin des
opérations de réversibilité
25
26. Clauses de réversibilité – du côté du
client (III)
Clauses concernant les opérations de réversibilité :
• Obligation du prestataire d’accepter de fournir les
prestations demandées par le client, sauf pour des
motifs sérieux et légitimes
• Allouer les ressources prévues au contrat aux
opérations de réversibilité (sans coûts
supplémentaires)
• Etablir les conditions financières d’éventuelles
prestations supplémentaires
26
27. Clauses de réversibilité – du côté du
prestataire (I)
Reconnaissance de ses droits intellectuels, de son
know-how et de la confidentialité de ces éléments
Intervention du prestataire lui-même ou d’une entreprise
tierce et indépendante en cas de transfert vers un
système fourni par un concurrent
Qualification des obligations du prestataire (de moyens
ou de résultats)
Éventuelles garanties offertes
Délais d’exécution
Conditions financières
Etc.
27
-
29. Conclusions
Droit commun = contrat d’entreprise ( + de dépôt ?)
Grande liberté des parties
Caractéristiques communes à beaucoup de contrats
informatiques (notamment outsourcing)
Certaines clauses « classiques » méritent un
traitement particulier dans ce contexte
Il reste une incertitude juridique sur la valeur légale
des documents archivés, qui ne peut pas être
totalement écartés par le contrat.
29
30. Merci de votre attention
François Coppens
Chercheur au CRIDS
francois.coppens-1@fundp.ac.be
Avocat au Barreau de Bruxelles (De Wolf & Partners)
francois.coppens@dewolf-law.be
30
Notes de l'éditeur
Que comparer:Le prix et/ou la qualité?Chaque élément ou le tout ?Par rapport à qui?“Best of class”?En Belgique ? En Europe ? N’importe où?Marge de tolérance (ex. 10 %) ?Quand le faire ?De manière régulière ?Seulement à défaut d’accord sur une révision ?Qui supporte les honoraires et les coûts ?Le client, qui demande le benchmarkChacun la moitiéLe fournisseur, si le benchmark est “révélateur”Qui va l’effectuer ?Choix du benchmarkerConfidentialité, concurrenceQue fait-on des résultats ?Obligation d’adapter?Quid d’une augmentation des prix ?Renégociation?Possibilité, à défaut d’accord, de mettre fin au contrat ? Avec quelles conséquences ?