Présentation faite à la Chaire de recherche L.R. Wilson le 12 octobre 2011.
Présentation qui se concentre sur l\'examen des clauses contractuelles de services de Cloud computing à la lumière des lois sur la protection des consommateurs, et la Loi sur la protection des renseignements personnels et des documents électroniques
1. CLOUD
COMPUTING &
CONSOMMATEURS
A n t h o n y H É M O N D
a v o c a t u n i o n d e s
c o n s o m m a t e u r s
( l l . b , L L . M , D . E . A )
2. CLOUD COMPUTING
&
CONSOMMATEURS
Contexte: Recherche financée par le Bureau
de la consommation d’Industrie Canada
Précisions:
Pas une présentation technologique (SaaS,
IaaS, PaaS, Cloud public, Cloud privé,...)
N’aborde pas les problématiques propres
aux compagnies
3. CLOUD COMPUTING
&
CONSOMMATEURS
Qu’est ce que le «Cloud Computing»?
5. CLOUD COMPUTING
&
CONSOMMATEURS
fonctionnalités offertes par
les ordinateurs, capacités
COMPUTING =
de calcul, stockage de
données
6. CLOUD COMPUTING
&
CONSOMMATEURS
Définition du Cloud Computing?
Ce n’est pas parce que tout le monde parle du
«cloud computing» qu’il y a consensus sur la
définition
7. CLOUD COMPUTING
&
CONSOMMATEURS
Notre choix: la définition du Commissariat à
la vie privée du Canada
8. CLOUD COMPUTING
&
CONSOMMATEURS
Vous en connaissez tous, et vous en utilisez
certainement!
10. CLOUD COMPUTING
&
CONSOMMATEURS
Pourquoi choisir le «cloud computing»?
11. CLOUD COMPUTING
&
CONSOMMATEURS
Quelques avantages du «cloud computing»
Élasticité
Prix
Travail collaboratif
Pratique
Accessibilité, partage d’informations
Fiabilité
12. CLOUD COMPUTING
&
CONSOMMATEURS
Quels sont les services utilisés par les
consommateurs?
Selon une étude de KPMG de 2010
70% stockage de photos en ligne
68% services de courriel en ligne
56% réseaux sociaux
14. CLOUD COMPUTING
&
CONSOMMATEURS
National Institute of Standards and Technology: «the
biggest obstacle facing public cloud computing is
security»
Étude de Gfk: 61% des personnes interrogées sont
préoccupées par la sécurité des contenus stockés dans
le nuage
Sondage Harris Interactive: 58% des personnes
sondées en désaccord avec l’affirmation selon laquelle
les fichiers stockés dans le nuage sont plus en sécurité
que ceux conservés sur un disque dur local
15. CLOUD COMPUTING
&
CONSOMMATEURS
Étude PEW/Internet: 90% des utilisateurs
sont préoccupés par le fait que la compagnie
qui détient leurs données puisse les vendre à
une tierce partie.
80% des utilisateurs de Cloud sont
préoccupés par le fait que les compagnies
puissent utiliser leurs photos et les autres
données à des fins publicitaires
16. CLOUD COMPUTING
&
CONSOMMATEURS
Mais surtout: 68% des utilisateurs de «cloud
computing» se disent inquiets par la publicité
ciblée suite à l’analyse de leurs données
personnelles
17. CLOUD COMPUTING
&
CONSOMMATEURS
Tous ces services sont soumis à l’acceptation
d’un contrat
Ma question: Avez-vous lu ces contrats?
18. CLOUD COMPUTING
&
CONSOMMATEURS
Qualification juridique des contrats de «cloud
computing»
Conditions d’utilisation
Conditions de service
Notices juridiques
Politiques de vie privée...
19. CLOUD COMPUTING
&
CONSOMMATEURS
Contrats de «cloud computing» des contrats
de consommation?
Article 1384 du Code civil du Québec
20. CLOUD COMPUTING
&
CONSOMMATEURS
Décision de la Cour supérieure: St-Arnaud c.
Facebook inc. 2011 QCCS 1506
21. CLOUD COMPUTING
&
CONSOMMATEURS
[51] Although, there exists an adhesion contract, Facebook does not have a consumer relationship
with its Users.
[52]
Access to the Facebook website is completely free.
[53]
Therefore, there exists no consumer contract when joining and accessing the website, because it's
always free.
[54]
A consumer contract is premised on payment and consideration. It must be an onerous contract
as written by the Author Nicole L'Heureux.
« Le mot «service» n'est pas défini dans la L.p.c., on doit lui donner son sens courant d'exercice
d'une activité, d'un travail, acheté ou loué pour le bénéfice d'une personne, ou d'une prestation
fournie en relation avec la vente ou la réparation d'un bien. Le service se classe dans la catégorie
des biens meubles incorporels. On le définit en effet comme «toute prestation qui peut être
fournie à titre onéreux, mais qui n'est pas un bien corporel. (…) »
[55]
Users pay Facebook nothing at all. In joining and accessing the website, Users:
« (a)
do not pay Facebook;
(b)
do not undertake to pay Facebook at a later date;
(c)
do not undertake to remain Users for any period of time;
(d)
not undertake to post anything on the Website;
do
(e)
o not undertake to encourage friends or family to join the Website; and
d
(f)
do not undertake to promote the Website in any way. »
22. CLOUD COMPUTING
&
CONSOMMATEURS
La question essentielle: un service qui est
offert sans frais est-il nécessairement offert à
titre gratuit?
23. CLOUD COMPUTING
&
CONSOMMATEURS
L’absence de certaines obligations ne signifie
toutefois pas l’absence de toute obligation.
24. CLOUD COMPUTING
&
CONSOMMATEURS
Le modèle économique de Facebook repose
sur deux éléments: la publicité et les
informations personnelles des utilisateurs
pour finalement faire de la publicité ciblée.
25. CLOUD COMPUTING
&
CONSOMMATEURS
Facebook: Déclaration des droits et responsabilités: article 10:
Notre objectif est de proposer des publicités de façon avantageuse
pour les annonceurs, mais aussi pour vous.
Article 4: Les utilisateurs de Facebook donnent leur vrai nom et
de vraies informations les concernant, et nous vous demandons de
nous aider à ce que cela ne change pas.
Article 4.1: Vous ne fournirez pas de fausses informations
personnelles sur Facebook et ne créerez pas de compte pour une
autre personne sans son autorisation.
26. CLOUD COMPUTING
&
CONSOMMATEURS
William J. Robison: «In essence, a customer’s
privacy is the true cost of “free” cloud
computing services.» (Free at What Cost?: Cloud Computing Privacy
Under the Stored Communications Act, 98 Georgetown Law Journal 1195(2010) 1214)
27. CLOUD COMPUTING
&
CONSOMMATEURS
Contrats de «Cloud Computing» au Québec:
Contrat d’adhésion
Contrat de consommation
Contrat de service
Contrat à exécution successive
Contrat conclu à distance
Contrat à exécution successive de service fourni à distance
28. CLOUD COMPUTING
&
CONSOMMATEURS
Analyse des contrats de «cloud computing» à la lumière
de la Loi sur la protection du consommateur
Contrats examinés: MobileMe d’Apple,Facebook,
Adrive, Dropbox, Google Docs, Gmail, Picasa,
Hotmail, Office Web Apps, Yahoo!Mail, Flickr, Zoho,
Zumodrive
29. CLOUD COMPUTING
&
CONSOMMATEURS
Langue du contrat:
Contrats rédigés en anglais exception faite
de Microsoft, Google et Apple
Article 26 LPC: le contrat et les
documents qui s’y rattachent doivent être
rédigés en français. Ils peuvent être
rédigés dans une autre langue si telle est
la volonté expresse des parties. (...)
30. CLOUD COMPUTING
&
CONSOMMATEURS
Clauses d’exonération de responsabilité
Dans les contrats de Dropbox, MobileMe, Zoho et Zumodrive
Zumodrive: You expressly understand and agree that Company shall not
be liable for any direct, indirect, incidental, special, consequential or
exemplary damages, including but not limited to, damages for loss of
profits, goodwill, use, data or other intangible losses (even if Company
has been advised of the possibility of such damages), resulting from: (i)
the use or the inability to use the Service; (ii) the cost of procurement of
substitute goods and services resulting from any goods, data, information
or services purchased or obtained or messages received or transactions
entered into through or from the Service; (iii) unauthorized access to or
alteration of your transmissions or data; (iv) statements or conduct of
any third party on the Service; (v) or any other matter relating to the
Service
31. CLOUD COMPUTING
&
CONSOMMATEURS
Article 10 LPC: «Est interdite la stipulation par
laquelle un commerçant se dégage des
conséquences de son fait personnel ou de celui de
son représentant.»
32. CLOUD COMPUTING
&
CONSOMMATEURS
Certains contrats mentionnent la non-
application de la clause d’exonération de
responsabilité:
Flickr, Yahoo!Mail, MobileMe, Adrive,
Google, Microsoft
33. CLOUD COMPUTING
&
CONSOMMATEURS
Mais attention à l’article 19.1 LPC: «Une
stipulation qui est inapplicable au Québec en
vertu d’une disposition de la présente loi ou
d’un règlement qui l’interdit doit être
immédiatement précédée, de manière évidente
et explicite, d’une mention à ce sujet.»
Absence de ce la mention du Québec dans les
contrats examinés!
34. CLOUD COMPUTING
&
CONSOMMATEURS
Clause d’exclusion de garantie
Contrats de Dropbox, Zoho, Zumodrive,
Microsoft, Google, Yahoo, Apple,
Facebook, Adrive...bref tous contiennent
une telle clause
35. CLOUD COMPUTING
&
CONSOMMATEURS
Article 34 LPC: «La présente section [des
garanties] s’applique au contrat de vente ou de
louage de biens et au contrat de service.»
Article 40 LPC: «Un bien ou un service fourni doit
être conforme à la descritpion qui en est faite dans
le contrat.»
Article 41 LPC: «Un bien ou un service doit être
conforme à une déclaration ou à un message
publicitaire faits à son sujet par le commerçant ou
le fabricant.»
36. CLOUD COMPUTING
&
CONSOMMATEURS
Comme la garantie légale est un droit que la
Loi accorde au consommateur et que la Loi
prévoit qu’on ne peut déroger à la présente loi
par une convention particulière (art. 261
LPC) et que à moins qu’il n’en soit prévu
autrement dans la présente loi, le
consommateur ne peut renoncer à un droit
que lui confère la présente loi (art.262 LPC)
37. CLOUD COMPUTING
&
CONSOMMATEURS
Conséquence: les clauses qui tentent d’écarter
la garantie légale sont inapplicables au
Québec
38. CLOUD COMPUTING
&
CONSOMMATEURS
Clause soumettant le contrat à l’application de
lois ou de juridiction étrangères
Tous les contrats examinés ont une telle
clause!
Exemple: art. 20.7 Conditions
d’utilisation de Google
39. CLOUD COMPUTING
&
CONSOMMATEURS
Article 19 LPC: «(...) une clause d’un contrat
assujetissant celui-ci, en tout ou en partie, à
une loi autre qu’une loi du Parlement du
Québec ou du Canada est interdite.»
Également application de l’article 19.1 de la
LPC!
40. CLOUD COMPUTING
&
CONSOMMATEURS
Clauses d’arbitrage
Dans deux contrats seulement...(Zoho,
Adrive)
41. CLOUD COMPUTING
&
CONSOMMATEURS
Pour mémoire: Article 11.1 de la LPC: «Est
interdite la stipulation ayant pour effet soit
d’imposer au consommateur l’obligation de
soumettre un litige éventuel à l’arbitrage, soit de
restreindre son droit d’ester en justice,
notamment en lui interdisant d’exercer un
recours collectif, soit de le priver du droit d’être
membre d’un groupe visé par un tel recours. Le
consommateur peut, s’il survient un litige après
la conclusion du contrat, convenir alors de
soumettre ce litige à l’arbitrage»
42. CLOUD COMPUTING
&
CONSOMMATEURS
Actualité: Sony: Clause de son nouveau contrat: TOUTE
PROCÉDURE DE RÉSOLUTION DE LITIGES, QUE CE
SOIT PAR ARBITRAGE OU AU TRIBUNAL, SERA
UNIQUEMENT EFFECTUÉE SUR UNE BASE
INDIVIDUELLE ET NON DE FAÇON COLLECTIVE OU
REPRÉSENTATIVE OU EN TANT QUE MEMBRE
NOMMÉ OU NON D'UNE ACTION COLLECTIVE,
CONJOINTE, REPRÉSENTANTE OU MANDATAIRE, À
MOINS QUE VOUS ET L'ENTITÉ SONY AVEC
LAQUELLE VOUS AVEZ UN LITIGE VOUS ACCORDIEZ
SUR CE POINT PRÉCIS PAR ÉCRIT À LA SUITE DU
DÉBUT DE L'ARBITRAGE. CETTE CLAUSE NE FAIT
PAS OBSTACLE À VOTRE PARTICIPATION À UN
RECOURS COLLECTIF DÉPOSÉ LE OU AVANT LE 20
AOÛT 2011.
43. CLOUD COMPUTING
&
CONSOMMATEURS
Non respect de 19.1 LPC: «Si une disposition de la
présente Section 15 (autre que la clause de renonciation
à un recours collectif ci-dessus) est jugée illégale ou
inapplicable, cette disposition sera supprimée de la
Section 15, sans aucune incidence sur l'applicabilité des
autres dispositions de ladite Section. Si la disposition
sur la renonciation au recours collectif est jugée illégale
ou inapplicable, toute la Section 15 sera réputée
inapplicable, et le Litige sera réglé par un tribunal ;
vous et l'entité Sony avec laquelle vous avez un Litige
acceptez de renoncer en ce cas, dans toute la mesure
autorisée par la loi, à tout jugement par un jury.»
44. CLOUD COMPUTING
&
CONSOMMATEURS
De façon générale, les clauses qui
contreviennent aux dispositions des lois sur la
protection du consommateur seront
inopposables aux consommateurs – on pense
ici, notamment, aux clauses d’arbitrage, aux
clauses d’exonération de responsabilité, aux
clauses soumettant le contrat à l’application
de lois ou de juridictions étrangères.
45. CLOUD COMPUTING
&
CONSOMMATEURS
Clauses abusives: «celle qui désavantage le
consommateur (…) d’une manière excessive et
déraisonnable, allant ainsi à l’encontre de ce
qu’exige la bonne foi ; est abusive, notamment, la
clause si éloignée des obligations essentielles qui
découlent des règles gouvernant habituellement le
contrat qu’elle dénature celui-ci. » Dans un contrat
de consommation, une telle clause est nulle ou
« l’obligation qui en découle réductible. »
46. CLOUD COMPUTING
&
CONSOMMATEURS
Article 8 de la LPC: «Le consommateur peut
demander la nullité du contrat ou la réduction
des obligations qui en découlent lorsque la
disproportion entre les prestations respectives
des parties est tellement considérable qu’elle
équivaut à de l’exploitation du consommateur,
ou que l’obligation du consommateur est
excessive, abusive ou exorbitante.»
47. CLOUD COMPUTING
&
CONSOMMATEURS
Recours individuels des consommateurs?
avantages coûts/bénéfices
Recours collectifs comme dans cas
Facebook?
Plaintes à l’OPC?
48. CLOUD COMPUTING
&
CONSOMMATEURS
Contrats de «Cloud computing» et LPRPDE
49. CLOUD COMPUTING
&
CONSOMMATEURS
Pourquoi LPRPDE?
Entreprises situées à l’étranger
Transfert de RP à l’étranger
50. CLOUD COMPUTING
&
CONSOMMATEURS
Article 3 LPRPDE: Objectif de la Loi
logiques opposées circulation des RP et
protection vie privée
51. CLOUD COMPUTING
&
CONSOMMATEURS
LPRPDE repose sur 10 principes:
responsabilité, détermination des fins de la
collecte des renseignements, consentement,
limitation de la collecte, limitation de
l’utilisation, de la communication et de la
conservation, exactitude, mesures de
sécurité, transparence, accès aux
renseignements personnels, possibilité de
porter plainte à l’égard du non-respect des
principes
52. CLOUD COMPUTING
&
CONSOMMATEURS
Analyse en fonction des principes:
transparence, consentement, mesures de
sécurité, responsabilité
53. CLOUD COMPUTING
&
CONSOMMATEURS
Principe de transparence: Une organisation doit
faire en sorte que des renseignements précis sur ses
politiques et ses pratiques concernant la gestion
des renseignements personnels soient facilement
accessibles à toute personne
Ces renseignements doivent être fournis sous une
forme généralement compréhensible.
54. CLOUD COMPUTING
&
CONSOMMATEURS
«
Décision Facebook de la Commissaire à la vie privée du Canada: D’abord,
en considération des principes 4.1.4d), 4.2.1, 4.3.2, et 4.8, je suis préoccupée
à l’idée que, eu égard au rôle essentiel et prédominant que la publicité joue
dans les activités de Facebook, Facebook ne fasse pas d’efforts raisonnables
pour documenter et expliquer, dans sa Politique de confidentialité, son usage
de la publicité, l’utilisation des renseignements des utilisateurs à des fins de
publicité ciblée et la mesure dans laquelle les utilisateurs peuvent refuser de
recevoir de la publicité sociale»
«En somme, en matière de documentation et d’explication des fins relatives à
la publicité, je constate que Facebook ne respecte pas des normes
raisonnables en l’espèce, tel que le prévoient les principes 4.1.4d), 4.2.1,
4.3.2 et 4.8.»
55. CLOUD COMPUTING
&
CONSOMMATEURS
En réalité peu de transparence dans les
contrats de cloud computing qu’il s’agisse de
MobileMe, Microsoft, ou Google
56. CLOUD COMPUTING
&
CONSOMMATEURS
Principe de Consentement: pierre d’assise de
la Loi
57. CLOUD COMPUTING
&
CONSOMMATEURS
Consentement à plusieurs formes...Article
4.3.7 de l’Annexe I LPRPDE
58. CLOUD COMPUTING
&
CONSOMMATEURS
Consentement positif ou négatif
Négatif sous conditions...énoncées par la
Commissaire à la vie privée du Canada
59. CLOUD COMPUTING
&
CONSOMMATEURS
Constatation dans les contrats de Cloud
Computing examinés
utilisation du consentement négatif pour
des utilisations secondaires aux fins de
publicité
60. CLOUD COMPUTING
&
CONSOMMATEURS
Problème: il faut lire attentivement les
contrats pour trouver les options permettant
d’effectuer le «opt-out», et les parcourir
longuement.
61. CLOUD COMPUTING
&
CONSOMMATEURS
Mesures de sécurité:
Rappel la sécurité est importante pour les
consommateurs!
Article 4.7 de l’Annexe I de la LPRPDE
62. CLOUD COMPUTING
&
CONSOMMATEURS
Problème pour le consommateur: Comment
savoir si les renseignements personnels qui
transitent par les services de «Cloud
Computing» sont bien protégés par les
compagnies et si celles-ci mettent en place des
mesures de sécurité propres au niveau de
sensibilité de ces renseignements personnels?
63. CLOUD COMPUTING
&
CONSOMMATEURS
Le septième principe crée pour les entreprises
qui offrent des services de cloud computing
une obligation de protéger les renseignements
personnels « au moyen de mesures de sécurité
correspondant à leur degré de sensibilité ».
64. CLOUD COMPUTING
&
CONSOMMATEURS
Équilibre à trouver entre la transparence et
les impératifs de sécurité
65. CLOUD COMPUTING
&
CONSOMMATEURS
Compagnies limitent la divulgation à une
déclaration qui indique que des mesures
raisonnables sont prises pour protéger la sécurité
des renseignements personnels des utilisateurs du
service
Est-ce suffisant pour rassurer les consommateurs?
Pratiques inégales
Meilleurs élèves: Google et Yahoo plus loquaces
sur le sujet
66. CLOUD COMPUTING
&
CONSOMMATEURS
Principe de responsabilité (art. 4.1 Annexe1
LPRPDE): «une organisation est responsable
des renseignements personnels dont elle a la
gestion et doit désigner une ou des personnes
qui devront s’assurer du respect des principes
énoncés ci-dessous»
67. CLOUD COMPUTING
&
CONSOMMATEURS
Art. 4.1.3 Annexe 1 LPRPDE : « [l’]
organisation est responsable des
renseignements personnels qu’elle a en sa
possession ou sous sa garde, y compris les
renseignements confiés à une tierce partie aux
fins de traitement. L’organisation doit, par
voie contractuelle ou autre, fournir un degré
comparable de protection aux renseignements
qui sont en cours de traitement par une tierce
partie.»
68. CLOUD COMPUTING
&
CONSOMMATEURS
Ex: Apple: Apple partage des données personnelles avec des sociétés qui
fournissent des services tels que le traitement de l’information, l’extension
du crédit, l’exécution des commandes clients, la livraison des produits, la
gestion et le développement des données clients, la fourniture du service
client, l’évaluation de votre intérêt pour nos produits et services et la
réalisation d’enquêtes de satisfaction ou de développement de clientèle.
Ces sociétés sont obligées de protéger vos données et peuvent se trouver
dans tout pays dans lequel Apple exerce des activités
Microsoft: Il nous arrive de faire appel à des sociétés qui fournissent des
services pour notre compte, par exemple le traitement et la distribution
des publipostages, l'assistance clientèle, l'hébergement de sites Web, le
traitement des transactions ou l'analyse statistique de nos services. Ces
prestataires de service n'ont accès qu'aux données personnelles dont elles
ont besoin pour fournir le service. Il leur est demandé de respecter la
confidentialité de ces informations, qu'elles ne doivent en aucun cas
utiliser à d'autres fins
69. CLOUD COMPUTING
&
CONSOMMATEURS
Bon élève Google: Nous transmettons lesdites
informations à nos filiales, sociétés affiliées ou
autres sociétés ou personnes de confiance qui les
traitent pour notre compte. Nous veillons à ce
que ces dernières acceptent de traiter lesdites
informations uniquement selon nos instructions
et conformément aux présentes Règles de
confidentialité et s’engagent à mettre en œuvre
des mesures appropriées de sécurisation et de
protection de la confidentialité des données
70. CLOUD COMPUTING
&
CONSOMMATEURS
Formuler une plainte au Commissariat à la vie
privée du Canada?
Article 4.10 Annexe 1 LPRPDE: « toute
personne doit être en mesure de se plaindre
du non-respect des principes énoncés ci-
dessus en communiquant avec le ou les
personnes responsables de les faire respecter
au sein de l’organisation concernée.»
71. CLOUD COMPUTING
&
CONSOMMATEURS
Pistes de solutions
La règlementation: l’Europe semble tentée
par cette solution
RP: Europe : clauses contractuelles types
pour le tranfert de données à caractère
personnel vers des pays tiers
72. CLOUD COMPUTING
&
CONSOMMATEURS
Obligation de notification en cas de risque
relatif à la sécurité des données
exception: cryptage
73. CLOUD COMPUTING
&
CONSOMMATEURS
Privacy by design
7 principes sur lesquels repose ce concept
Groupe de travail « Article 29 »
74. CLOUD COMPUTING
&
CONSOMMATEURS
«Do Not Track»: One way to facilitate consumer choice is to
provide it in a uniform and comprehensive way. Such an
approach has been proposed for behavioral advertising,
whereby consumers would be able to choose whether to
allow the collection and use of data regarding their online
searching and browsing activities. The most practical method
of providing such universal choice would likely involve the
placement of a persistent setting, similar to a cookie, on the
consumer’s browser signaling the consumer’s choices about
being tracked and receiving targeted ads. Commission staff
supports this approach, sometimes referred to as “Do Not
Track”
75. CLOUD COMPUTING
&
CONSOMMATEURS
«Bill of rights»
droit de connaître l’emplacement exact des données
droit de connaître précisément les mesures de sécurité des RP
droit d’être informé du nom des compagnies qui sous-traitent
certains des services et des mesures prises pour assurer la
sécurité des RP
droit de notification en cas de violation de la confidentialité
droit à indemnisation et restriction des exclusions de
responsabilité en cas de violation de la confidentialité
76. CLOUD COMPUTING
&
CONSOMMATEURS
reconnaissance que les RP appartiennent aux
consommateurs et qu’ils ne peuvent être
utilisés que pour des finalités précises
Notification des consommateurs en cas
d’accès aux RP par les autorités
Procèdures pour destruction des RP et pour
accès par consommateurs aux RP