Que deviennent les données cloud lorsqu'une entreprise devient insolvable ? Entre le § 103 InsO, le RGPD et le Data Act européen, des questions complexes se posent concernant la sécurité des données, le verrouillage fournisseur et les stratégies de sortie contractuelles.
Quand le cloud devient un problème
La numérisation n'est pas une fin en soi – mais elle crée des dépendances qui peuvent devenir existentiellement menaçantes en période de crise. De plus en plus d'entreprises externalisent leurs données et processus critiques dans le cloud : systèmes ERP, comptabilité, bases de données clients, communication. Tant que tout fonctionne, c'est efficace et rentable. Mais que se passe-t-il lorsque l'une des deux parties contractantes – l'entreprise utilisatrice ou le fournisseur cloud – devient insolvable ?
La pratique montre que les contrats cloud deviennent souvent un point de friction en cas d'insolvabilité. Les données sont immatérielles, les dispositions contractuelles souvent lacunaires, et les instruments du droit de l'insolvabilité ne s'adaptent pas parfaitement aux modèles économiques numériques. Cet article examine les principales questions juridiques et fournit des conseils pratiques pour une rédaction contractuelle prévoyante.
Le droit d'option de l'administrateur judiciaire : § 103 InsO
La norme centrale pour les contrats synallagmatiques en cas d'insolvabilité est le § 103 InsO. Selon cette disposition, pour les contrats qui n'ont été entièrement exécutés par aucune des parties au moment de l'ouverture de la procédure, l'administrateur judiciaire peut choisir : exiger l'exécution ou refuser l'exécution.
Pour les contrats cloud, cela signifie concrètement :
- Insolvabilité de l'utilisateur du cloud : L'administrateur judiciaire de l'entreprise utilisatrice peut décider si le contrat cloud est poursuivi ou résilié. S'il choisit la non-exécution, le fournisseur cloud n'a qu'une créance indemnitaire en tant que créancier de la masse – en pratique un dividende souvent inférieur à 10 %.
- Insolvabilité du fournisseur cloud : C'est particulièrement délicat. Si l'administrateur judiciaire du fournisseur refuse l'exécution, l'entreprise utilisatrice perd l'accès à ses données et applications.
Le contrat cloud est-il un bail ou un contrat de service ?
La qualification juridique est déterminante, car le § 108 InsO prévoit que certaines obligations durables – notamment les baux et contrats de location – subsistent au profit de la masse de l'insolvabilité. L'opinion dominante tend à qualifier les contrats SaaS de contrats durables de type locatif, ce qui serait favorable à l'utilisateur du cloud : le contrat se poursuivrait initialement.
Toutefois, la situation juridique n'est pas définitivement tranchée. D'autres appréciations peuvent s'appliquer aux modèles Infrastructure-as-a-Service (IaaS) et Platform-as-a-Service (PaaS). Une réponse générale est impossible.
Accès aux données et droits de restitution
Le droit de distraction selon le § 47 InsO
Quiconque peut faire valoir un droit réel ou personnel sur un objet n'appartenant pas à la masse de l'insolvabilité est autorisé à la distraction en vertu du § 47 InsO. Mais : les données sont-elles des « objets » au sens de cette norme ?
La réponse est juridiquement controversée. Le droit des biens allemand ne connaît pas de « propriété des données » au sens classique. Néanmoins, il est de plus en plus reconnu que l'utilisateur du cloud dispose au minimum d'un droit contractuel de restitution de ses données. Celui-ci doit toutefois être clairement réglementé contractuellement – faute de quoi un bras de fer pénible avec l'administrateur judiciaire s'annonce.
La littérature spécialisée Haufe souligne à juste titre que l'insolvabilité du fournisseur cloud constitue l'un des risques les plus graves du cloud computing, car l'administrateur judiciaire n'est pas automatiquement tenu de restituer les données.
Défis pratiques
Même lorsqu'un droit de restitution existe, des questions pratiques se posent :
- Dans quel format les données seront-elles restituées ?
- Qui supporte les coûts de la migration des données ?
- Combien de temps les données restent-elles disponibles après la fin du contrat ?
- Les données sont-elles complètes et exportables de manière cohérente ?
Ces questions sont rarement résolues à l'amiable en période de crise si elles n'ont pas été réglées contractuellement au préalable.
Verrouillage fournisseur : le danger sous-estimé
Le verrouillage fournisseur (vendor lock-in) désigne la dépendance technique et économique à un fournisseur cloud particulier. Les formats de données propriétaires, les API spécifiques au fournisseur et l'absence de possibilités d'export rendent un changement de fournisseur coûteux, voire impossible.
En période de crise, le verrouillage fournisseur devient une menace existentielle : si l'administrateur judiciaire ne poursuit pas le contrat et qu'un changement rapide de fournisseur est techniquement impossible, l'entreprise se retrouve sans infrastructure informatique fonctionnelle.
L'Office fédéral de la sécurité des technologies de l'information (BSI) a formulé dans son catalogue de critères C5 des exigences portant également sur la portabilité et l'interopérabilité des services cloud. À partir de juillet 2025, la certification C5 devient obligatoire pour de nombreux services cloud.
Le Data Act européen : nouvelles règles pour la portabilité du cloud
Avec le règlement (UE) 2023/2854 – le Data Act – l'Union européenne a établi pour la première fois des règles contraignantes pour le changement de fournisseur cloud. Depuis le 12 septembre 2025, les exigences suivantes s'appliquent notamment :
- Délai de préavis : Les clients cloud peuvent résilier avec un préavis de deux mois et initier un changement.
- Période de transition : Le fournisseur cloud doit permettre le changement dans un délai de 30 jours. Ce n'est qu'en cas d'impossibilité technique que le délai peut être prolongé à un maximum de sept mois.
- Suppression des frais : À partir de janvier 2027, aucun frais ne pourra en principe être facturé pour le changement.
Ces dispositions renforcent considérablement la position de l'utilisateur du cloud – y compris et surtout en période de crise. Toutefois, elles s'appliquent principalement aux changements réguliers de fournisseur. La question de leur applicabilité en cas d'insolvabilité du fournisseur n'est pas encore définitivement tranchée.
Implications du RGPD : art. 28 et sous-traitance
Le cloud computing constitue régulièrement un traitement de données pour le compte au sens de l'art. 28 RGPD. Le fournisseur cloud traite des données personnelles pour le compte de l'entreprise utilisatrice. Cela engendre des obligations spécifiques :
- Contrat de sous-traitance : Un contrat écrit régissant le traitement des données doit être en place.
- Traitement sur instruction : Le fournisseur cloud ne peut traiter les données que conformément aux instructions du responsable du traitement.
- Obligation de suppression : Après la fin du contrat, les données personnelles doivent être supprimées ou restituées.
En cas d'insolvabilité du fournisseur cloud, ces obligations entrent en conflit avec les pouvoirs de l'administrateur judiciaire. L'administrateur judiciaire n'est en principe pas lié par les instructions du responsable du traitement mais agit dans l'intérêt de l'ensemble des créanciers. Un chaos en matière de protection des données menace si cette constellation n'a pas été anticipée.
Séquestre et stratégies de sortie : la prévoyance est un devoir
La meilleure prévention des crises est une stratégie de sortie bien conçue dans le contrat cloud. Les éléments suivants devraient être obligatoires :
1. Séquestre de données
À l'instar du séquestre logiciel, les données peuvent être régulièrement déposées auprès d'un tiers de confiance indépendant. En cas d'insolvabilité, l'utilisateur du cloud a alors un accès direct à une sauvegarde actuelle de ses données.
2. Clauses contractuelles de restitution des données
- Délais de restitution : Délais concrets pour la restitution des données après la fin du contrat (par ex. 30 jours)
- Formats standards : Spécification de formats de données ouverts et courants (CSV, JSON, XML, dumps SQL)
- Garantie d'exhaustivité : Assurance que toutes les données, métadonnées incluses, sont exportables
3. Conception résistante à l'insolvabilité
- Droit de résiliation spécial en cas de demande d'insolvabilité du fournisseur cloud
- Accord de continuation : Obligation du fournisseur cloud de maintenir l'exploitation pendant une période transitoire
- Droits de substitution : Possibilité de faire poursuivre l'exploitation par un tiers
4. Sauvegarde régulière des données
Indépendamment des dispositions contractuelles, chaque entreprise devrait créer régulièrement des sauvegardes locales de ses données cloud. Cela semble évident, mais c'est alarmant à quel point c'est souvent négligé.
Liste de contrôle : rendre les contrats cloud résistants aux crises
Pour les dirigeants et les responsables informatiques, la vérification suivante des contrats cloud existants est recommandée :
- Qualification juridique : Le contrat est-il qualifié de bail, de contrat de service ou de contrat d'entreprise ?
- Restitution des données : Des dispositions claires pour la restitution des données sont-elles prévues ?
- Formats : Des formats de données ouverts et portables sont-ils convenus ?
- Séquestre : Une sauvegarde fiduciaire des données est-elle convenue ?
- Clauses d'insolvabilité : Des dispositions pour l'insolvabilité du fournisseur sont-elles prévues ?
- Conformité RGPD : Un contrat de sous-traitance conforme est-il en place ?
- Stratégie de sauvegarde : Des sauvegardes propres sont-elles régulièrement effectuées ?
- Multi-cloud : L'architecture informatique dépend-elle d'un seul fournisseur ?
Conclusion : la dépendance numérique exige une protection juridique
Le cloud est devenu indispensable dans la vie économique moderne. Mais la transformation numérique ne doit pas conduire les entreprises à céder leurs données critiques sans garanties juridiques. L'insolvabilité d'un fournisseur cloud ou de sa propre entreprise peut survenir à tout moment – et les fondements contractuels doivent alors être solides.
L'interaction entre le droit de l'insolvabilité (§§ 103, 108 InsO), le droit de la protection des données (art. 28 RGPD) et les nouvelles règles du Data Act européen crée un cadre réglementaire complexe qui doit être pris en compte dès le départ lors de la rédaction des contrats.
Chez compleneo, nous vous accompagnons dans la conception de contrats cloud résistants à l'insolvabilité et le développement de stratégies de sortie pour votre infrastructure informatique. Contactez-nous.
