Données en danger dans la faillite du cloud-provider

lundi, 13.01.2020

Bruno Pasquier* et Aurélien Pasquier**



On le sait désormais tous, les données digitales peuvent avoir une valeur considérable. Le succès économique d’une entreprise peut dépendre d’une liste d’informations sur ses clients ou d’un secret de fabrication. Il est donc primordial, voire vital, d’enregistrer les données importantes de manière sûre. Justement, parmi d’autres motifs, la sécurité informatique peut inciter des entreprises à confier leurs données digitales à un tiers, appelé dans le jargon cloud-provider. La faillite de ce dernier peut toutefois avoir de graves conséquences.

Le droit de l’exécution forcée ne prévoit actuellement aucune règle spécifique aux données et la littérature juridique, dans sa majorité, rechigne à considérer les données comme des choses ou à admettre un droit de revendication dans la faillite. La créance en restitution des données est alors une simple créance de faillite. Elle est convertie en argent et donne droit au paiement d’un dividende de faillite, souvent peu élevé. Et les données? Comme tout actif ayant une valeur, elles sont vendues au plus offrant dans la faillite. Ainsi, en cas de faillite, l’entreprise qui a confié ses données au mauvais cloud-provider pourrait bien se mordre les doigts.

Quelles sont les mesures pour éviter la réalisation des données en faveur d’un tiers en cas de faillite du cloud-provider? La première est de nature technique. Les données peuvent, bien qu’elles soient confiées à un cloud-provider, être cryptées; ainsi, malgré la faillite, leur réalisation en faveur d’un tiers n’est pas possible. La seconde mesure est de nature légale. Lorsque des données personnelles sont concernées, le droit de la protection des données peut s’opposer à la réalisation de ces dernières. Puisque l’office de la faillite traitant les données est un organe cantonal, le droit de la protection des données du canton dans lequel la faillite est exécutée s’applique.

En se penchant sur cette problématique dans un avis datant de novembre 2017, le préposé à la protection des données du canton de Zurich était arrivé à la conclusion suivante: selon le droit zurichois, l’office de la faillite doit procéder, pour savoir s’il doit réaliser des données personnelles dans la faillite, à une pesée des intérêts en tenant compte de la relation contractuelle du failli et de son créancier. A notre avis, une interdiction contractuelle explicite de transférer les données peut en particulier peser contre la réalisation. Si le cloud-provider est zurichois ou dans un canton avec une législation similaire, une telle clause contractuelle peut être utile.

Un projet de loi du Conseil fédéral, qui sera discuté par le Parlement suisse en 2020, pourrait bien supprimer le risque de perte de données dans la faillite du cloud-provider. En effet, le nouveau droit permettrait de revendiquer les données dans la faillite du cloud-provider à qui celles-ci avaient été confiées. Les données devraient alors être restituées au client et ne pourraient pas être réalisées en faveur d’un tiers. Cette modification permettrait d’être plus serein dans le transfert de données à un cloud-provider suisse.

* Avocat et professeur, HEG Fribourg

** Avocat, Loyens & Loeff