Le SaaS devant les tribunaux

L’UMP fait avancer la protection des utilisateurs du cloud dans l’affaire opposant le parti politique à la société américaine Oracle.

Le SaaS devant  les tribunaux

Marion Depadt-Bels, Avocate associée chez Gramond & Associés

Le nombre de contentieux portés devant les tribunaux en matière informatique reste relativement faible, conduisant parfois les praticiens du droit à manquer de précédents… Les contrats de cloud computing, et notamment le contrat Software as a Service (SaaS), ne font pas exception à la règle. Dans ce contexte, on comprend l’intérêt qu’a pu susciter la décision du tribunal de grande instance de Nanterre rendue, en référé, dans un litige opposant les signataires d’un tel contrat. 

A l’origine du contentieux se trouvait l’incapacité technique opposée par la société Oracle à son client, l’UMP, de permettre à ce dernier de récupérer ses données à la date prévue pour la fin de contrat, soit la fin de l’année 2012, du fait d’un bug de la 20e version de l’application Oracle CRM On Demand, accessible en mode SaaS. Pour tenter de s’exonérer de responsabilité, le prestataire faisait valoir que le contrat ne mettait à sa charge aucun engagement de correction des erreurs de service et en particulier aucun délai de correction des anomalies. Probablement peu confiant dans la portée de l’argumentation, le prestataire avait précisé au tribunal d’une part, que le compte du parti politique resterait actif jusqu’à ce que l’exportation complète soit réalisée et, d’autre part, que la fonction d’exportation des données serait maintenue sans frais pour une durée de 60 jours minimum au-delà du 31 décembre.

Ces précautions n’ont pas été jugées suffisantes par le tribunal. Après avoir relevé que le nouveau prestataire retenu par l’UMP pour succéder à la société Oracle ne pourrait pas être opérationnel le jour suivant la fin de la prestation de la société Oracle, s’il n’avait pas disposé auparavant d’un délai suffisant pour procéder à la reprise des données, le tribunal en a conclu, notamment en se basant sur la nécessaire exécution de bonne foi des conventions, qu’il appartenait à la société Oracle de permettre au parti de bénéficier de ses données pour permettre à son nouveau prestataire de les exploiter et d’être opérationnel dès la fin de sa propre prestation. Le tribunal a, en conséquence, ordonné à Oracle, sous astreinte de 5 000 euros par jour de retard, soit de fournir à l’UMP les moyens techniques lui permettant sans délai d’exporter l’ensemble des données nominatives hébergées, soit de garantir à l’UMP qu’elle assurerait sans frais la prolongation de l’accès au service concerné jusqu’ à l’expiration d’un délai de deux mois à compter du jour où l’UMP serait en mesure de procéder à ladite exportation.

Le SaaS devant  les tribunaux

Cette première décision rendue en matière de contrat SaaS démontre que les juges sont conscients de l’importance, pour les utilisateurs, d’être à même de changer de prestataire et donc, non seulement de reprendre les données confiées, mais également de le faire « en temps utile » de façon à ce que la transition avec le nouveau prestataire puisse s’opérer de façon satisfaisante.
Cette décision a été rendue en l’absence de stipulations contractuelles précises. Mais cela ne saurait faire oublier les risques pour l’utilisateur à signer des contrats de cloud qui ne comportent pas d’engagements clairs du prestataire, dans des domaines fondamentaux tels que la réversibilité, la sécurité ou encore la qualité.

Trait

Cybercriminalité répression renforcée.

Le Parlement et le Conseil de l’Union européenne ont adopté, le 12 août 2013, une directive dont l’objectif est de rapprocher le droit pénal des Etats membres dans le domaine des attaques contre les systèmes d’information (SI) en fixant des règles minimales concernant la définition des infractions pénales et les sanctions applicables. La directive vise également à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités judiciaires et les autres autorités compétentes.

L’accès illégal à un SI ou à son intégrité, l’atteinte illégale à l’intégrité des données, ou encore l’interception illégale de communications, font partie des infractions citées par la directive, laquelle met également en place des incriminations permettant de sanctionner la création de « réseaux zombie » qui visent à établir le contrôle à distance d’un nombre important d’ordinateurs en les contaminant au moyen de logiciels malveillants.

Les infractions visées seront passibles de peines d’emprisonnement maximales allant de deux à cinq ans. Les Etats membres ont jusqu’au 4 septembre 2015 pour se conformer à cette directive.

 
Photo : Antonia Torres-Marion

 

Cet article est extrait du n°6 d’Alliancy, le mag – Découvrir l’intégralité du magazine