Les entreprises recourant de plus en plus à des fournisseurs externes de services Cloud, la question de la sécurité des données occupe une place importante lors de la conception et de l’exécution de ces projets.

Par Garance MATHIAS – Avocat à la Cour – Associée Fondateur Mathias Avocats – Membre du CESIN
et Michel JUVIN – Expert en Cybersécurité – Membre du CESIN

Selon un rapport Symantec, le coût moyen d’une fuite de données dans le Cloud serait de 2 800 000 dollars (environ 2 539 600 euros). Dès lors, l’encadrement contractuel de la relation entre l’acheteur et le fournisseur de services Cloud s’avère essentiel. À part la réduction de risques de sécurité, cela permettrait de renforcer la confiance entre les professionnels et vis-à-vis des individus, dont les données sont la plupart du temps en cause.
Aussi, toute entreprise devrait prévoir une procédure à suivre lorsqu’elle recourt à une prestation de service Cloud. Cela nécessite un travail en commun, dès les négociations jusqu’à la signature du contrat, entre les différents acteurs de ladite entreprise, notamment le juriste ou l’avocat, le directeur cybersécurité et le responsable métier.

Appel d’offres : choisir son cocontractant

La sécurité est une question devant être prise en compte dès le début, notamment en incluant des prérequis juridiques dans les documents d’appel d’offres. Les réponses apportées par les candidats à ces prérequis peuvent constituer un critère d’évaluation de leurs offres, à l’aide par exemple d’un barème établi au préalable. Rappelons que cela constitue également un gage de rapidité dans les négociations à venir avec le candidat choisi.
Il est à noter que l’entreprise acheteur peut maintenir en concurrence plusieurs candidats jusqu’à la signature du contrat afin d’anticiper les risques liés au projet.

Négociations : équilibrer les relations

Les contrats informatiques sont souvent vus comme des contrats d’adhésion. En effet, nombreux sont ceux qui pensent qu’un contrat de prestations de services de Cloud ne peut pas être négocié.
En pratique et avec un peu de patience, il est possible de négocier certaines clauses du contrat. La réforme du droit des contrats avec la reconnaissance du contrat d’adhésion entre les professionnels a permis à ce secteur d’activité de rebattre les cartes des relations contractuelles et inciter les acteurs du secteur à modifier leur stratégie.
Rappelons que la sécurisation des négociations est aussi importante que le contrat lui-même. Ainsi, un accord de confidentialité (ou NDA – Non Disclosure Agreement) devra être précisé afin de protéger les informations confidentielles de chaque partie. Cet accord devra bien entendu déterminer la nature des informations qui seront qualifiées de confidentielles, les modalités d’échanges desdites informations, etc. Cela est recommandé dès le démarrage des pourparlers puisqu’un tel accord protégera les parties même en cas d’échec des négociations.

Rédaction du contrat : établir la confiance et anticiper les risques

Nonobstant le respect de normes techniques telles que l’ISO 27001 à l’ISO 27005, fixant les méthodes et pratiques en matière de système de management et de sécurité d’information, ou encore l’ISO 27017 portant plus spécifiquement sur la sécurité dans un système dans le Cloud, la rédaction du contrat est la clé pour une bonne gestion d’un projet de Cloud afin de créer un climat de confiance entre les différents acteurs y contribuant.

Certaines clauses sont indispensables afin de répondre aux enjeux que présentent les projets de Cloud, et notamment :

  • Clauses portant sur les transferts des données à caractère personnel et leur sécurisation: dès les négociations, une réflexion devrait être engagée sur la qualification juridique des parties au sens de la réglementation applicable (responsable du traitement, sous-traitant ou responsable conjoint). En effet, les obligations des parties varient en fonction de leur qualification juridique, étant précisé que ces obligations doivent figurer dans le contrat qui les lie. En ce sens, la CNIL a publié un guide du sous-traitant, ce qui pourrait être utile dans le cadre d’un contrat Cloud. La confidentialité devra également faire l’objet d’une stipulation contractuelle spécifique.
  • Clause dite de « Service Level Agreement » (SLA): elle constitue, pour l’entreprise acheteur, la garantie « ultime » que le prestataire satisfera à un certain niveau de qualité prédéfini, reposant sur des critères objectifs de mesure de performance pour chacun des services concernés.
  • Clause de « réversibilité »: elle met en place les modalités permettant à l’entreprise acheteur de récupérer ses données à l’issue du contrat. Dès lors, elle est l’une des clauses majeures d’un contrat Cloud puisque la récupération de certaines données ou bases de données peut s’avérer cruciale pour le fonctionnement d’une entreprise. Cette clause resurgit le plus souvent lorsqu’il y a un litige alors qu’il faudrait avant tout la penser, et donc la négocier en amont, lors de la formation du contrat.
  • Clause sur le droit applicable et le tribunal compétent: cette clause est d’une importance particulière en raison du caractère international que peuvent revêtir les contrats Cloud. Le choix du droit et de la juridiction résulte d’une véritable réflexion stratégique, qui commande de prendre en compte la taille respective des contractants, l’existence ou non d’implantations de l’un ou de l’autre dans le pays où la décision sera rendue et la facilité d’obtention de l’exéquatur de la décision dans le pays de l’autre partie.
    Il convient de signaler que la résolution des litiges issus de l’exécution d’un contrat Cloud se fait de plus en plus par la voie de l’arbitrage, ce qui s’explique par l’internationalisation des relations entre les différents acteurs.

Rappelons que cette liste n’est pas exhaustive et que la rédaction d’un contrat Cloud nécessite une collaboration entre les différents services de l’entreprise acheteur afin de pouvoir anticiper l’ensemble des risques.

Audits : gérer les risques

Bien que le contrat constitue l’étape principale pour assurer une bonne gestion des projets de Cloud, il ne suffit pas à lui seul à gérer les risques.
Par exemple, en ce qui concerne la protection des données à caractère personnel, le responsable de traitement des données a l’obligation de réaliser des audits auprès du sous-traitant(*) afin de s’assurer qu’il respecte ses obligations lui incombant en vertu de la réglementation applicable.
D’autres audits peuvent également être envisagés afin de s’assurer du niveau de cybersécurité du prestataire. À ce titre, l’expert en cybersécurité peut mettre en place un système d’évaluation, réalisé à l’aide d’un questionnaire à destination du prestataire. Cela peut être envisagé à la fois en amont et pendant l’exécution du contrat, permettant d’anticiper et d’évaluer les risques de cybersécurité tout au long de la relation contractuelle.
En outre, il peut être utile, voire conseillé de prévoir des audits réguliers chez le prestataire afin de vérifier que les conditions permettant la mise en œuvre éventuelle des opérations de réversibilité sont bien respectées.
Ces audits devront figurer dans le contrat, les clauses d’audit dépendant des caractéristiques de chaque projet Cloud.
Enfin, il est indispensable de prévoir un plan d’action afin de répondre à tout incident de sécurité qui pourrait être relevé pendant un audit ou par le prestataire au cours de l’exécution du contrat.

Pour conclure, l’utilisation des solutions de type Cloud est en forte croissance, et tend à devenir la solution informatique des entreprises, la mise en œuvre d’une procédure d’achat avec une contractualisation adaptée aux besoins métiers est donc indispensable.
Cette contractualisation avec l’accompagnement du juridique donnera lieu à des échanges avec les différents protagonistes clefs de l’entreprise cliente notamment les achats, le Directeur Cybersécurité, le DPO, les métiers. Indépendamment de ces prérequis financiers et juridiques, l’instauration d’une relation pérenne avec un partenaire impose aussi des évaluations des risques qui devront être menées sous l’égide du Directeur Cybersécurité pour la préservation de la sécurité de l’entreprise et du DPO concernant les données à caractère personnel.
Ces analyses de risques impliquant une révision contractuelle devront être menées de manière récurrente eu égard à l’évolution des besoins et à la complexité des solutions proposées.
La confiance se construit avec une vision à 360° des besoins de l’entreprise.

(*) Article 28, §3, h) du Règlement général sur la protection des données