Les excellents résultats de AWS (Amazon Web Services) au 2ème trimestre 2015 confirment l’attractivité de son offre, parfaite implémentation des principes du cloud computing. Cependant, les entreprises françaises gagneraient à bien mesurer les risques nés des termes du contrat AWS. Car ils sont inhabituels en droit français et justifient des mesures d’accompagnement.
Le
cours de l’action Amazon à bondi de 17% dès l’annonce des excellents résultats
de sa filiale AWS pour le second trimestre 2015 : un chiffre
d’affaires de 1,8 Mrd$, soit une croissance de +81% sur un an. Les clients
référencés par AWS sont prestigieux : NetFlix, AirBnB, Spotify, Shazam,
Expedia, Siemens, Novartis … Il suffit de visiter le site aws.amazon.com/fr
pour être séduit : leader du Gartner Magic Quadrant, ressources à la demande et
paiement à l’utilisation, abondant écosystème, gratuité la 1ère
année pour l’offre d’entrée (Amazon EC2). Tout est simple, clair, agréable,
ludique. C’est très complet, largement illustré et, bien entendu, rédigé en français.
Tout
en bas de la page d’accueil se trouve ainsi le lien : « Informations
juridiques », un peu perdu parmi d’autres sujets bien plus captivants,
tels que « Témoignages de réussite »,
« Evènements », « Livres blancs »,
« Solutions » « Ressources », ... Sitôt
cliqué sur « Informations juridiques », changement de décor ! Exit
le français, bonjour l’anglais juridique, bienvenu au royaume du
« Legal ».
Après
un rapide survol (I), quelques pistes d’actions peuvent être esquissées (II).
(I) Rapide survol du « Legal » AWS
Parmi
les sept documents auxquels renvoie le lien « Legal », le premier
d’entre eux mérite une attention particulière. Il s’agit du « AWS Customer Agreement » (1), complété
notamment par les documents contractuels annexes désignés par les six autres
liens (2).
(1) AWS Customer Agreement
Il regroupe
les principaux termes du contrat auquel consent tout client AWS.
En
cas de conflit avec les autres documents contractuels AWS, ceux du Customer
Agreement s’imposent, sauf s’agissant de l’annexe « AWS Services
Terms ». Plutôt que d’entrer dans les détails des 14 articles de ce
contrat (version du 19/6/2015), il convient de relever quelques règles particulièrement
importantes.
· Loi applicable au contrat et juridictions
compétentes
En cas de conflit, le Client ne pourra que se
référer à la loi de l’Etat de Washington et se tourner vers les juridictions
du King County, Etat de Washington.
· Changements
De
« temps en temps », les services offerts peuvent être modifiés ou
arrêtés. Il en va de même pour les SLA (Service Level Agreement) et les APIs
(Application Programming Interfaces), avec toutefois un délai de prévenance de
90 jours s’agissant des SLA et une relative stabilité sur 12 mois s’agissant
des APIs.
Les
termes mêmes du contrat peuvent être modifiés unilatéralement par AWS.
· Résiliation du contrat
Le contrat peut être résilié
pour convenance ou pour cause. AWS peut mettre fin au contrat dans un délai de
30 jours pour sa convenance ou immédiatement dans le cas d’une raison assez
grave. Quant au client, le délai de prévenance n’est pas précisé s’agissant
d’une résiliation pour convenance et il peut être de 30 jours en cas de
manquement non réparé dans un délai de 30 jours après notification.
· Support – assistance
Lorsque le contrat n’a pas été résilié pour cause, le client connaît le régime suivant durant les 30 jours post-résiliation : ses « contenus » (données et programmes) ne seront pas effacés; il pourra les retrouver s’il paie tous les montants dus, y compris ceux de l’utilisation post-résiliation des services AWS; AWS fournira la même assistance que celle habituellement disponible pour tous ses clients.
· Responsabilité
Le
contrat AWS l’exonère tant et si bien de sa responsabilité que l’on en arrive à
se demander dans quels rares cas celle-ci pourrait être engagée. Le sens très
large (bien plus que celui de notre Cour de cassation) donné à la Force Majeure
parachève l’édifice puisque le contrat qualifie ainsi « toute cause en
dehors du contrôle raisonnable » du prestataire. En tout état de
cause, l’indemnisation reste plafonnée
par le total des sommes payées par le client à AWS durant les 12 derniers mois.
· Sécurité et données privées
S’agissant
de la sécurité des « contenus », c’est le client qui est responsable
de leur back-up et de leur protection, devant même aller jusqu’à les encrypter
afin de se prémunir contre les accès non-autorisés.
Quant
aux données privées, AWS y range les données à caractère personnel au sens de
la CNIL et revendique son adhésion aux « safe harbor programs » développé
par le Département du Commerce américain avec l’Union Européenne d’une part
et la Suisse d’autre part.
Selon
la CNIL, « Safe Harbor » désigne un ensemble de principes de
protection des données personnelles publié par le Département du Commerce
américain, auquel des entreprises établies aux Etats-Unis adhèrent
volontairement afin de pouvoir recevoir des données à caractère personnel en
provenance de l'Union européenne. Le Safe Harbor permet donc d’assurer un
niveau de protection suffisant pour les transferts de données en provenance de
l'Union européenne vers des entreprises établies aux Etats-Unis.
Tout
client peut choisir les régions du monde dans lesquelles il souhaite que ses
contenus soient stockés. AWS conserve toutefois la faculté de s’affranchir de
ce choix à la condition de notifier ce changement.
· Notifications
Toutes
les notifications aux clients peuvent être communiquées par simple affichage
sur le site internet AWS. Tous les mails envoyés par AWS sont réputés bien lus
par chaque client. Après délai de prévenance, toute modification publiée sera
réputée acceptée du fait de l’utilisation postérieure des services.
(2) Documents contractuels annexes
Au delà de l’AWS Customer
Agreement, six autres documents sont proposés dans la section
« Legal ». Il s’agit successivement :
- des règles d’utilisations propres à certains services AW
- des interdictions relatives à l’utilisation des services AW
- des règles protégeant les droits de propriété intellectuelle AW
- des règles relatives à l’utilisation de site internet AWS
- de la politique AWS de respect des données privées
- de renseignements relatifs aux aspects fiscaux.
Dans le cadre du présent
survol, un exposé rapide de ces documents annexes n’aurait guère de pertinence.
Il suffit de retenir que ces documents annexes sont tous traversés par un même
état d’esprit : protéger les droits de AWS, limiter ceux des clients et
les responsabiliser.
En cas de conflit de règles avec
l’AWS Customer Agreement, celui l’emporte sur les documents annexes, à
l’exception des règles d’utilisations propres à certains services AWS. Ce qui
paraît de bon sens et n’est rien d’autre que l’application de vieil adage
« Specialia generalibus derogant ».
II) Esquisse de pistes
d’actions
A l’issue de ce premier survol,
il apparaît clairement que le contrat AWS n’est pas fait pour plaire aux
directions juridiques des entreprises françaises. Ce serait même plutôt le contraire.
Plusieurs clauses apparaissent
potestatives puisque AWS se laissent de nombreuses possibilités de s’affranchir
de ses obligations : certains juges y trouveraient d’ailleurs matière à
intervenir. Mais le droit français ne s’applique pas car le contrat impose de se
référer à la loi de l’Etat de Washington et de se tourner vers les juridictions
du King County. En définitive, chacune de ses règles serait à elle seule une
bonne raison de dire « niet » à AWS.
De leur coté, les DSI ne
devraient guère apprécier de devoir subir les changements que s’autorise AWS,
notamment en matière de services, d’API ou de SLA. Encore moins peut-être de se
voir exposées à un délai de prévenance de 30 jours en cas de résiliation. Point
de rassurant plan de réversibilité ici ni de zakouskis financiers pour
compenser les dysfonctionnements du prestataire.
Plus généralement, les DSI
sont placées dans une situation particulièrement inconfortable car elles
devront supporter de très nombreuses obligations si elles entendent être
irréprochables : encryptage des données, sauvegardes, suivi permanent des
notifications et adaptations aux changements …
Dans ces conditions, pourquoi
diable s’embarrasser avec AWS ? Pour autant, ses 81% de croissance
annuelle résultent-ils d’entreprises irrationnelles ? Le marché français est-il rendu atypique,
voire impénétrable, par les principes protecteurs de son droit ?
En partie oui, mais seulement
en partie. Car il est bien évident que les entreprises françaises sont elles
aussi soumises aux lois d’airain du business : flexibiliser leurs charges
et adapter leurs ressources IT aux besoins du marché. Tandis que les
prestataires IT ne sont pas des entreprises philanthropiques.
« Think large, start
small, upgrade fast » : le motto à la mode aux premières heures de
l’internet trouve dans le cloud sa parfaite illustration, spécialement avec
AWS. Quelle start-up, même française, pourrait résister aux charmes du modèle de
l’informatique « élastique » ? Mais quelle entreprise bien établie
accepterait de se rendre trop vulnérable en dépendant d’un prestataire si
puissant ?
Pour autant, rejeter
systématiquement AWS serait dommage. Comme aimait à le dire J.P. Morgan :
« je ne paie pas mon juriste pour qu’il me dise ce que je ne dois pas
faire … ».
Encore une fois, le bon
équilibre se trouve probablement dans les modalités de mise en œuvre de
l’externalisation. Délimiter les domaines
candidats, identifier les risques associés, fixer ses mesures d’accompagnement
et valoriser tous les coûts associés restent indispensables. Bien entendu,
l’étude comparative des solutions concurrentes, sans oublier les françaises, devra
faire partie du processus de décision. Et une fois le contrat signé, il s’agira
de le faire vivre opérationnellement pour mitiger ses risques. Mais ceci est une autre histoire …
Michel PASOTTI
Paris, le 5 août 2015.
