Alan WALTER Avocat au Barreau de Paris Tél : 01 45 01 45 01 – Fax : 01 45 01 45 00 – E-mail : alan.walter@runbox.com 51, rue Dumont d’Urville – 75116 Paris – Palais P 449 A : Stéphane Lubiarz / Jean-Paul Smets OBJET : Cloud et sécurité des données DATE : 13 septembre 2013 Bien avant les révélations d’Edward Snowden et le scandale « Prism », le souci de la confidentialité des données a toujours constitué une question de premier plan les utilisateurs de l’internet. Après les premiers virus informatiques de grande envergure1 et depuis le début des années 2000, point de départ de la généralisation massive de l’internet auprès du grand public, ont émergé les préoccupations liées à la sécurité informatique, la cybercriminalité, la cryptographie… Revenant aux principes mêmes de l’internet en allant jusqu’à appliquer la logique de réseau décentralisé aux infrastructures elles-mêmes, le Cloud se targue de pouvoir répondre aux exigences de sécurisation de ses clients. Néanmoins, le passage d’une informatique aux serveurs physiques et identifiés à une informatique dans les nuages n’a fait qu’opacifier les mesures et processus mis en œuvre, complexifier les questions et, in fine, aggraver la situation. Et pour cause ! L’informatique « centralisée » reposait sur une architecture simple : les données étaient détenues par une entité unique, implantée dans un seul pays et soumise à un droit homogène et identifiable. La sécurité des données était alors assurée, celles-ci n’étant mises en risques que lorsqu’elles transitaient sur les réseaux. A l’inverse, dans le Cloud, en dépit d’une concentration indéniable du marché des prestataires, les données sont morcelées sur plusieurs infrastructures techniques, potentiellement opérées par des prestataires distincts, dans plusieurs pays, sous l’empire de corpus législatifs divergents. Au surplus, ces infrastructures lourdes et complexes n’étant mise en œuvres et commercialisées que par des géants de l’industrie, ces derniers ont toute latitude pour imposer leurs conditions aux utilisateurs. Ainsi, indépendamment des aspects techniques, le Cloud ne semble pas aujourd’hui en mesure d’offrir à ses utilisateurs les garanties satisfaisantes au regard de la sécurité et de la confidentialité de leurs données. Les développements ci-après ont pour objet l’analyse des principaux obstacles réglementaires et contractuels qui contredisent l’impression de sécurité que confère les offres de Cloud aujourd’hui disponibles. 1 Notamment l’apparition de « Jérusalem » en 1987. 1 LA « SECURITE » N’EST PAS NECESSAIREMENT SYNONYME DE « SECURITE DES DONNEES » « La sécurité est un droit fondamental », proclamait l’article 1er de la loi relative à la sécurité quotidienne jusqu’à son abrogation2. Mais quelle sécurité ? Probablement celle des personnes mais certainement pas celle des données. Depuis la signature de la Convention sur la cybercriminalité à Budapest le 23 novembre 2001, les pays membres du G8 ont décidé de se doter d’un arsenal juridique leur permettant de lutter contre la criminalité informatisée et la criminalité informatique, toutes deux désignées comme la « cybercriminalité »3. A la suite des évènements du 11 septembre 2001, les pays membres du G8 ont formulé un certain nombre de recommandations visant à renforcer leur présence sur le réseau et à étendre leurs facultés d’intervention. S’en suivirent, en France, un certain nombre de textes législatifs visant à assurer à l’Etat un accès rapide et permanent aux données informatiques des personnes privées (1.1), imposant aux prestataires techniques une obligation de conservation (1.2). 1.1 Le régime d’accès aux données par les administration françaises Devant la généralisation de la cybercriminalité, le pouvoir judiciaire s’est doté de la possibilité d’intervenir sur les outils informatiques dans le cadre de toute enquête. 1 - A cette fin, l’article 56 du code de procédure pénale dispose que : « Si la nature du crime est telle que la preuve en puisse être acquise par la saisie des papiers, documents, données informatiques ou autres objets en la possession des personnes qui paraissent avoir participé au crime ou détenir des pièces, informations ou objets relatifs aux faits incriminés, l'officier de police judiciaire se transporte sans désemparer au domicile de ces derniers pour y procéder à une perquisition dont il dresse procès-verbal ». De la même façon, dans le cadre des perquisitions et saisies, l’article 97 du code de procédure pénale dispose qu’il est possible de procéder à : « la saisie des données informatiques nécessaires à la manifestation de la vérité en plaçant sous main de justice soit le support physique de ces données, soit une copie réalisée en présence des personnes qui assistent à la perquisition ». Néanmoins, sous couvert d’extension de la lutte contre la cybercriminalité, cette faculté a été étendue, par le biais de l’article 62 de la loi de finances rectificative pour 2001, aux agents du trésor public, des douanes et de l’AMF.4 Depuis lors, chaque agent de ces administrations dispose de la faculté d’exiger la communication de toute information et documents auprès des « opérateurs de télécommunication »5. 2 Article 1er de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité introduit par la loi n° 2001- 1062 du 15 novembre 2001 relative à la sécurité quotidienne et abrogé par l’ordonnance n° 2012-351 du 12 mars 2012 - art. 19 (V). 3 Convention consultable à l’adresse . 4 Article 62 de la loi n° 2001-1276 du 28 décembre 2001 de Finances rectificative pour 2001 qui a modifié l’article 65 du Code des douanes, l’article L 621-10 du Code monétaire et financier et l’article L 83 du Livre des procédures fiscales. Alan WALTER 2 / 10 13 septembre 2013 Il convient alors de s’interroger sur la définition, très large, de l’« opérateur de télécommunication », à savoir « une entreprise qui fournit ou est autorisée à fournir un réseau de communications public ou une ressource associée »6. Face à la rédaction de cette définition et en particulier de la référence à une « ressource associée », force est de constater que tout acteur de l’internet, qu’il soit fournisseur d’accès, hébergeur ou même fournisseur de caching se verra soumis à ces dispositions qui permettent un accès par diverses administrations. 2 - Toutefois, les administrations ne sont pas seules à pouvoir accéder légalement aux données stockées par un tiers. En effet, en matière d’atteinte aux droits de propriété intellectuelle, par le biais de la saisie- contrefaçon7, ou bien, dans toutes les autres matières, par le biais de la procédure in futurum8, toute personne peut requérir du juge que soient mises en œuvre des mesures d’instruction. En matière de propriété intellectuelle et/ou industrielle, ces dispositions légales permettent donc, à celui qui pourra démontrer avoir un intérêt et la qualité pour agir, de voir ordonnées « toute mesure urgente destinée à prévenir une atteinte aux droits […] ou à empêcher la poursuite d'actes portant prétendument atteinte à ceux-ci »9. De la même façon, dans toute autre matière, notamment dans le cadre d’un contentieux civil ou commercial, « S'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé »10. Ainsi, dès lors que la compétence des juridictions françaises sera reconnue, toute donnée hébergée pourra être extraite et copiée en application d’une ordonnance rendue au visa de l’un de ces textes. Il convient de préciser que, sous réserve de justifier de sa demande auprès du magistrat compétent, le demandeur pourra agir sur requête, c’est-à-dire en dérogeant au principe du contradictoire. Dans une telle hypothèse, ni le propriétaire ni le détenteur des données ne seront informés de la mise en œuvre d’une telle procédure. Si le détenteur des données (le plus souvent l’hébergeur) sera informé de la mesure d’instruction lors de sa mise en œuvre, celui qui en est le propriétaire, quant à lui, pourra ne jamais être informé d’un tel accès à ses données. 3 - Tel qu’exposé précédemment, les données stockées par les prestataires techniques de l’économie numérique peuvent donc être l’objet d’intrusions légales par les autorités judiciaires et/ou administratives. 5 On notera l’absence de mise à jour de cette disposition qui fait encore référence non seulement au terme « télécommunications » alors que celui-ci a depuis plusieurs années été remplacé par l’expression « communications électronique » mais aussi à des articles abrogés. 6 Directive 2002/19/CE du Parlement Européen et du Conseil du 7 mars 2002 relative à l'accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu'à leur interconnexion (directive « accès »). 7 Selon que l’affaire concerne de la contrefaçon de droit d’auteur, de marque, de brevet, de logiciel et/ou de base de données, les textes applicables diffèrent mais restent similaires. 8 Cf. Article 145 et suivants du code de procédure civile. 9 Extrait de l’article L 343-2 du code de la propriété intellectuelle. 10 Article 145 du code de procédure civile. Alan WALTER 3 / 10 13 septembre 2013 S’agissant des ordonnances rendues sur requête, il s’agit bien entendu d’un point ayant trait à la force exécutoire des décisions de justice et au respect des droits de la défense. En effet, dans une telle hypothèse, celui dont les données sont saisies dispose bien entendu de voies de recours, sous réserve qu’il ait été informé de l’identité du saisissant, ce qui peut ne pas toujours être le cas. En tout état de cause, s’agissant de ces procédures engagées devant les juridictions civiles, le saisi bénéficie d’une forme de protection du fait du contrôle exercé par le juge : la requête aux fins de saisie doit être examinée et validée par un juge, ce dernier étant tenu de s’assurer, lors dudit examen, que la dérogation au principe du contradictoire est justifiée et que la mesure d’instruction sollicitée ne pourra être « un moyen détourné pour obtenir des informations confidentielles de son concurrent sur son activité, sa clientèle ou son savoir faire »11. Dans de telles conditions, aucune donnée stockée sur un cloud auprès d’un prestataire soumis à la législation française n’est réellement sécurisée : le prestataire ne pourra refuser de communiquer les informations requises sous peine d’engager sa responsabilité pénale. 1.2 L’obligation de conservation des données imposée aux prestataires techniques L’universalité de la faculté d’accès constatée, il est nécessaire de s’interroger sur la nature des données ainsi accessibles. 1 - L’article 6 II de la loi pour la confiance dans l’économie numérique (« LCEN »)12 prévoit que « les [fournisseurs d’accès à internet13] et [hébergeurs14] détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires ». Dans le même esprit que la définition des opérateurs de communications électroniques, la définition des hébergeurs est suffisamment large pour englober non seulement les hébergeurs de sites web mais également tous les hébergeurs de solutions en ligne, cloud compris. Cette obligation de conservation assure bien entendu l’efficacité des dispositions précitées (cf. Erreur ! Source du renvoi introuvable.). 2 - L’article 6 II de la LCEN est complété par les dispositions d’un décret ad hoc15, l’article 1 2° duquel précise que les hébergeurs doivent conserver : « a) L'identifiant de la connexion à l'origine de la communication ; b) L'identifiant attribué par le système d'information au contenu, objet de l'opération ; c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ; d) La nature de l'opération ; 11 TC Châteauroux, 24 jan. 2007, RG : 2006/882, à rapprocher de Cour d’appel de Paris – Pôle 1 Chambre 4 – 11 mars 2010 n°0913381 s’agissant d’un huissier qui excède les limites de sa mission et ainsi aggrave le risque d’atteinte à la confidentialité des donnés informatiques copiées. 12 Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. 13 Définis comme « Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne » (Article 6 I 1° de la LCEN). 14 Définis comme « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services » (Article 6 I 2° de la LCEN). 15 Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne. Alan WALTER 4 / 10 13 septembre 2013 e) Les date et heure de l'opération ; f) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ». Au surplus, l’article 1 3° de ce décret, afin de s’assurer de la capacité à identifier le propriétaire des informations détenues, impose également aux hébergeurs, lors de la souscription du contrat, de recueillir : « a) Au moment de la création du compte, l'identifiant de cette connexion ; b) Les nom et prénom ou la raison sociale ; c) Les adresses postales associées ; d) Les pseudonymes utilisés ; e) Les adresses de courrier électronique ou de compte associées ; f) Les numéros de téléphone ; g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ». On remarquera bien entendu en particulier les stipulations de l’alinéa g) qui imposent que soient conservés le mot de passe ainsi que les moyens de le modifier et/ou de la vérifier. Sur ce point, la conservation de la « question secrète » ne pose pas question. Toutefois, il n’en va pas de même pour la conservation du mot de passe en lui-même. Cette conservation pose en effet un double problème : d’abord de capacité technique mais aussi et surtout de respect de la vie privée. Sur le plan de la vie privée, il apparaît parfaitement choquant qu’un prestataire technique conserve, en clair, le mot de passe de ses utilisateurs et, pis encore, soit contraint de le communiquer si la demande lui en était faite. La pertinence de cette disposition peut être discutée dans la mesure où, sur réquisition, tout prestataire est tenu de fournir les données qu’il détient. Ainsi, quelle peut être l’utilité de la conservation des mots de passe, si ce n’est leur éventuelle utilisation pour accéder à des services qui seraient hors du champ d’action des dispositions légales permettant un accès aux données fondé ? 3 - En tout état de cause, il est par ailleurs précisé par l’article 3 de ce même décret que les données sont conservées pendant une durée d’un an. 4 - Par ces dispositions, fortement critiquées lors de leur adoption, les pouvoirs public se sont assurés, tant pour les personnes privées que pour les administrations d’Etat, de la possibilité de saisir tout contenu accessible en ligne et de pouvoir en identifier l’auteur. Cette obligation qui pèse sur les hébergeurs, couplée aux facultés d’accès aux données qui sont ouvertes tant aux personnes publiques qu’aux personnes privées permettent de douter avec force de la sécurité réellement possible s’agissant de l’accès par des tiers aux données hébergées dans un cloud. Alan WALTER 5 / 10 13 septembre 2013 2 CLAUSE CONTRACTUELLES ET SECURITE DES DONNEES OU « COMMENT NE RIEN PROMETTRE » Il est usuel dans le milieu de l’informatique de négocier ses différents contrats, étant entendu que tant le client que le prestataire tenteront chacun de protéger leurs intérêts au mieux, sans pour autant nuire à l’équilibre général de la relation contractuelle. Dans le domaine du cloud, nombre de contrats se révèlent être contrats d’adhésion sur lesquels le client n’a pas de prise16. Une analyse de ces contrats permet aisément de démontrer que le prestataire n’offre aucune garantie, en particulier au regard de la conservation des données (2.1) et exclut autant que possible sa responsabilité (2.2), ce que les tribunaux français ont été amenés à valider dans certaines conditions (Erreur ! Source du renvoi introuvable.). 2.1 Exclusions de garantie Une analyse des conditions générales de services des principaux prestataires de Cloud permet de relever que les garanties fournies en standard sont quasi-inexistantes. 2.1.1 Exclusion générale de toutes les garanties non prévues au contrat Il convient de constater que, parmi les contrats analysés, la totalité exclu les garanties suivantes : 1 - “merchantability”, généralement usitée dans les seuls contrats de droit anglo-saxon, cette garantie vise les qualités du produit et leur respect des standards en vigueur permettant sa mise sur le marché. L’exclusion de cette garantie pourra permettre au prestataire, dans l’hypothèse où son produit ne serait pas jugé conforme aux standards du marché, d’exclure tout ou partie de sa responsabilité vis-à-vis du client. 2 - “fitness for [a particular] purpose” qui protégé le prestataire dans l’hypothèse où le service fourni ne serait pas en adéquation avec les besoins du client. De manière générale, le vendeur professionnel17, en tant que « sachant », est tenu à une obligation de conseil. En effet, la jurisprudence constante considère que : « tout vendeur doit, afin que la vente soit conclue en connaissance de cause, s'informer des besoins de l'acheteur et informer ensuite celui-ci des contraintes techniques de la chose vendue et de son aptitude à atteindre le but recherché »18. En excluant cette garantie, le prestataire édulcore son obligation d’information, limitant ainsi les possibilités de recours pour les clients. 3 - “satisfactory quality”, probablement l’exclusion la plus surprenante, par laquelle le prestataire indique, sans ambiguïté, que son service pourrait ne pas être d’une qualité jugée « satisfaisante ». 16 Il a été procédé à l’analyse des conditions générales des services suivants : « Cloud Terms of Service RackSpace US » ; « CloudSigma Terms of Service » et « Amazon Web Services Customer Agreement ». 17 La notion de « vendeur » est ici entendue au sens large et pas seulement dans son acception stricte de « transfert de propriété ». Ainsi, l’obligation de conseil pourra être invoquée dans le cadre d’une licence de logiciel ou bien d’un contrat de prestation de services. 18 Cass. com., 5 janv. 1999 ; pourvoi n° 96-16521. Alan WALTER 6 / 10 13 septembre 2013 Il convient ici de renvoyer à la notion d’obligations essentielles. En effet, si le prestataire venait, par le truchement de cette clause, à vider le contrat de se substance de sorte qu’il ne serait plus tenu à aucun engagement, le droit français tendrait à l’annulation de cette stipulation. Néanmoins, dans l’hypothèse de l’application d’un droit étranger, il ne peut être préjuge de la validité ou de l’invalidité d’une telle clause, laquelle pourrait s’avérer dévastatrice pour un client qui souhaiterait engager une action à l’encontre de son prestataire. 4 - “quiet enjoyment” et “non-infringement” : il s’agit ici de la garantie d’éviction et de son pendant en matière de propriété intellectuelle ; la garantie de contrefaçon. Ces garanties permettent au client d’avoir un recours dans l’hypothèse où les éléments qui lui sont fournis (i.e. services, logiciels, documentation…) en application du contrat porteraient atteinte aux droits de tiers (e.g. contrefaçon, concurrence déloyale…). Même si elle n’a pas directement trait aux données des utilisateurs, elle permet d’assurer une continuité de service dans l’éventualité visée ci-avant. En l’absence d’une telle garantie, le client n’aura que très peu de recours à sa disposition dans l’hypothèse d’une action dirigée par un tiers qui considèrerait que le produit en cause porte atteinte à ses droits. 5 - De la même façon, il est généralement indiqué que le service ne sera pas ininterrompu et/ou exempt de bugs et erreurs. Lorsque la prestation concerne la seule délivrance d’un logiciel (à l’exclusion de toute autre prestation ou fourniture de matériel associés), ce qui empêche de qualifier le contrat de « vente », la jurisprudence admet que la présence de « bugs » est inhérente à la matière19. Ainsi, sauf à démontrer que le contrat pouvait être qualifié de vente ou bien à invoquer un engagement contractuel spécifique, une exclusion de garantie relative à la subsistance de bugs reste valables, laissant le client à la merci d’une action corrective du prestataire. 2.1.2 Exclusion de toute garantie relative aux données De manière bien plus spécifique, il convient de relever que les contrats étudiés excluent de manière systématique toute obligation relative aux données. Quelques exemples de clause permettent d’appréhender l’étendue de ces exclusions : - “to be solely and entirely responsible for maintaining at least one current backup copy outside of CloudSigma’s network of all data (including but not limited to operating systems, content and programs) stored on CloudSigma’s network to ensure that the potential for losses is mitigated” ; - “We make no representations or warranties that the Services will be […] secure or that data stored using the Services will be secure or otherwise safe from loss or damage” ; - “You are responsible for properly configuring and using the Service Offerings and taking your own steps to maintain appropriate security, protection and backup of Your Content, which may include the use of encryption technology to protect Your Content from unauthorized access and routine archiving Your Content” ; 19 CA Paris 5e Ch. 7-2-1986, Caisse de retraite des notaires c/ MAP Informatique : Expertises 1986 n°87 p.235. Alan WALTER 7 / 10 13 septembre 2013 - “Any unauthorized access to, alteration of, or the deletion, destruction, damage, loss or failure to store any of your content or other data” ; - “You acknowledge that there are risks inherent in Internet connectivity that could result in the loss of your privacy, Customer Data, Confidential Information, and property”. Le client étant informé dès la conclusion du contrat qu’aucun garantie n’est prise et que toute responsabilité est exclue relativement à ses données, il ne pourra que très difficilement recherché la responsabilité du prestataire de ce fait. L’insertion de cette clause rend nulle ou difficilement applicable tout autre engagement pris par le prestataire en terme de qualité de services. 2.2 Limitation de responsabilité 1 - Les prestataires n’hésitent pas à limiter voire exclure totalement leur responsabilité aux termes des différents contrats. Pour ce faire, ils peuvent (i) exclure leur responsabilité en cas de survenance de certains dommages listés au contrat, (ii) prévoir que le service est fourni « en l’état », excluant ainsi totalement la mise en jeu de leur responsabilité ; ou bien (iii) en limitant par avance le montant des dommages et intérêts qu’ils sont susceptibles de verser en cas de condamnation. 2 - Quelques exemples parmi les plus parlants : - « the immediately preceding month in which the event (or first in a series of connected events) occurred” ; - “The service offerings are provided “as is”.” ; - “we and our affiliates or licensors will not be liable to you for any direct, indirect, incidental, special, consequential or exemplary damages (including damages for loss of profits, goodwill, use, or data)” ; - “our and our affiliates’ and licensors’ aggregate liability under this agreement will be limited to the amount you actually pay us under this agreement for the service that gave rise to the claim during the 12 months preceding the claim”. En choisissant voir cumulant ce type de formulations, le prestataire se met donc à l’abri de nombreuses difficultés. 3 - De manière indirecte, en prévoyant généralement des définitions extensives de la “force majeure”, les prestataires se réservent par là la possibilité d’exclure leur responsabilité en cas de virus informatique. En effet, pour être qualifié de cas de force majeure et ne pas engager la responsabilité des parties en cas d’inexécution, l’évènement en cause doit remplir trois critères cumulatifs, à savoir être extérieure aux parties (même si ce dernier critère n’est plus retenu de manière aussi absolue), imprévisible et irrésistible20. 20 Article 1148 du Code civil et, pour la définition des trois critères, Cass. Soc. 16 mai 2013, pourvoir n° : 10-17.726. S’agissant d’un certain relâchement quant l’exigence du caractère d’extériorité, voir : Cass. Civ. , 30 oct. 2008 : Bull. Civ. I, n°243. Alan WALTER 8 / 10 13 septembre 2013 Même si la jurisprudence est rare sur cette question, certaines décisions nous renseignent sur la question de la responsabilité de celui qui transmettrait un virus. En l’état actuel de la jurisprudence, même si le virus informatique est « un risque connu dans le domaine informatique », rien n’empêche que son caractère imprévisible (par son ampleur ?) et irrésistible (faute de moyen pour combattre efficacement un nouveau virus ?) pourrait être démontrés21. Dans une telle hypothèse, un prestataire pourrait ainsi exclure sa responsabilité. 2.2.1 Le plafonnement voir l’exclusion de responsabilité, même rédigés de manière très large, peuvent être valables Laissé à la libre appréciation des parties en raison de la liberté contractuelle, l’aménagement de la responsabilité est de droit. Contrairement à la responsabilité délictuelle (lorsque la faute à l’origine du dommage est constitutive d’une infraction), la responsabilité contractuelle peut donc être encadrée, limitée ou exclue, d’un commun accord entre les parties22, sauf dans certaines circonstances, limitativement énumérées par la loi et la jurisprudence : - le dol23. Si le dol est prouvé, la convention se trouve annulée, faisant perdre toute efficacité aux clauses qu’elle contient. Dès lors, toute limitation ou exclusion ne peut plus trouver à s’appliquer ; - la faute lourde, qui entraîne l’inefficacité de la clause de responsabilité, car elle est la faute grossière, quasi-inexcusable, la « négligence grossière que l’homme le moins averti ne commettrait pas dans la gestion de ses propres affaires »24 ; - les dommages aux personnes, qui, de jurisprudence constante, rend nulle toute clause de limitation ou d’exclusion de la responsabilité25. Pendant longtemps, les tribunaux français ont hésité sur le sort à réserver aux clauses qui aménagent la responsabilité des parties en cas de manquement à une obligation essentielle. En effet, comment ne pas considérer qu’un tel manquement, s’il n’est pas (ou peu) réparé, reviendrait à vider de sa substance le contrat en permettant aux parties de ne pas se soumettre aux obligations qu’elles ont contracté26. Toutefois, cette position des juridictions des juridictions françaises s’est depuis lors infléchi, considérant qu’il peut ressortir de l’équilibre général du contrat une limitation des engagements du prestataire, lequel peut valablement aménager, limiter et/ou exclure sa responsabilité27. 21 Cass. Com. 25 novembre 1997, jursidata: 1997-004692. 22 Cass. Crim. 12 décembre 1946, JCP 1947, II, 3621, note R. Rodière. 23 Cf. article 1116 du code civil : « Le dol est une cause de nullité de la convention lorsque les manœuvres pratiquées par l'une des parties sont telles, qu'il est évident que, sans ces manœuvres, l'autre partie n'aurait pas contracté ». 24 Cass. Civ. 1er mai 1983: D. 1983 IR p. 256. 25 CA Toulouse, 23 octobre 1931 : D. 1935 II p.49 note L. Mazaud. 26 Voir sur ce point les décisions « Chronopost », en particulier Cass. Com. 22 octobre 1996, Contrats conc. consom. 19987, p. 0 note anonyme. 27 Cass. civ. 1e , 24 février 1993 Alan WALTER 9 / 10 13 septembre 2013 * * * * * Alan WALTER 10 / 10 13 septembre 2013