La clause d’interdiction de sous-traitance

Par Olivier ITEANU,
Avocat à la Cour d’Appel de Paris,
Chargé d’enseignement à l’Université de Paris I

« Le Prestataire s’interdit de sous-traiter, céder ou transférer, en tout ou en partie, y compris pour tout système de sauvegarde mis en place en cas de défaillance temporaire du Service, les droits et obligations issus du présent contrat. »

Nous avons fait le choix ce mois-ci, de commenter une clause extrême mais qui présente l’avantage de poser des problèmes cruciaux et inhérents au Cloud computing, la clause d’interdiction de la sous-traitance.

Bien évidemment, le client peut tempérer cette clause en, par exemple, stipulant à son contrat, une simple clause d’agrément préalable du sous-traitant. Dans ce cas, il lui suffira d’adjoindre à la clause la formule « Sans accord préalable, écrit et exprès du Client . etc. …. ». Les développements ci-après vont dans les deux cas d’interdiction ou d’agrément préalable de la sous-traitance.
La clause d’interdiction de sous-traitance est une clause importante pour qui veut contrôler le prestataire en charge de la prestation de Cloud computing confiée. Il y a trois raisons principales au recours à une telle clause. En premier lieu, le contrat de Cloud computing touche à l’externalisation de l’hébergement et éventuellement du traitement des données appartenant à l’entreprise. Cela signifie clairement une perte de contrôle plus ou moins étendue sur ces données qui sortent physiquement de l’entreprise.

Cette prestation est donc dès lors plus ou moins sensible, en fonction des données concernées. Le choix du prestataire est donc crucial. C’est même la première des précautions à prendre pour le client avant tout négociation d’un contrat. Trouver un prestataire sérieux, pérenne et de bonne moralité entre dans la démarche pré contractuelle. Aussi, il faut s’assurer que ce prestataire choisi pour ses qualités, n’en vienne pas à confier la prestation à un tiers inconnu qui, lui, ne présenterait pas les caractéristiques qui ont poussé le client à choisir le prestataire.

C’est la première des raisons à imposer l’interdiction de la sous-traitance. Cette interdiction en vient à confier la prestation à une entreprise capable d’assurer la chaine complète du service offert. A défaut, poser l’interdiction au contrat, revient à « faire sortir du bois » le prestataire envisagé, car certains ne le font pas savoir à leur client. S’il ne maitrise pas la chaine complète du service, mieux vaut pour le client le savoir à l’avance. Cela lui permettra au moins, s’il persévère dans son choix, d’agréer le sous-traitant. La seconde raison tient à la Loi relative à l’informatique, aux fichiers et aux libertés.

Le client est le responsable de traitement devant cette Loi. Il doit donc respecter et faire respecter un certain nombre d’obligations qui lui incombent. Par exemple et notamment, l’export de données à caractère personnel hors de l’Union européenne est interdite, sauf cas particuliers (pays adéquat, Safe Harbor, autorisation Cnil). La violation de cette règle est punie de 5 ans d’emprisonnement et 300.000 euros d’amende (article 226-22-1 du Code pénal). Ne pas maitriser la chaine complète et laisser un sous-traitant intervenir sans le contrôler, c’est prendre le risque de ce flux transfrontière illicite de données.

Enfin, la dernière raison tient à la qualité de service. Le sous-traitant est loin du client. En tous cas, il n’est pas le contractant direct du client, mais le contractant du prestataire. Cet éloignement peut avoir des conséquences sur la qualité de services car le sous-traitant n’aura pas été sensibilisé à la qualité de services par le client. En outre, la vie du sous-traitant peut avoir aussi des conséquences sur la qualité de services. Prenons le cas d’un sous-traitant en défaillance, en « faillite ». Comment gérer cette difficulté qui sera d’autant plus aigüe si le sous-traitant est justiciable d’une loi mal connue par le client ? La clause d’interdiction de la sous-traitance est une clause importante qu’il revient de ne pas négliger.