Le 10 mars dernier, un incendie ravageait les serveurs d’un datacenter de l’hébergeur OVH, impactant plusieurs milliers de clients et rendant totalement inaccessibles « 464 000 noms de domaines et 3,6 millions de serveurs web ». Cet incident rappelle que la data, considérée comme l’or noir du 21e siècle, reste une valeur bien fragile sans un système fiable de sauvegarde et de restauration des données afin d’atteindre la cyber-résilience attendue.

Par Me Pierre-Randolph Dufau
Avocat à la cour, fondateur de la SELAS PRD avocats

L’ hébergement de données désigne la mise à disposition d’un espace de stockage sur des serveurs, mais pas sa sauvegarde.

Dès lors, pour se protéger, il est primordial que la personne en charge des systèmes d’information de l’entreprise porte une attention particulière à la rédaction des contrats, et tout particulièrement aux clauses de sauvegarde, mais aussi à celles relatives à la responsabilité et aux garanties en cas de dommage sur les données.

En effet, selon les services qu’il propose, l’hébergeur n’a pas une obligation de mise à disposition d’une solution de sauvegarde. Le client ayant souscrit une simple prestation d’hébergement peut de fait se retrouver dans l’impossibilité de récupérer ses données et de continuer ses activités.

C’est spécifiquement cette « faille » dans les contrats de services d’hébergement que l’incendie a mis en lumière. La sauvegarde des données dépend du champ contractuel négocié. Dans le cas d’une simple prestation d’hébergement, le client doit donc procéder régulièrement à ses propres sauvegardes afin d’anticiper un sinistre. C’est l’objet notamment de la mise en œuvre des plans de continuité et de reprise informatique, tant en amont avec un « plan de continuité d’activité (PCA) » qu’en aval avec le « plan de reprise d’activité (PRA) », ou encore avec le plan de communication de crise (PCC).

Le PCA a pour objectif d’anticiper les sinistres par l’élaboration, par exemple, d’une architecture informatique miroir sur un site distant, permettant une bascule immédiate en cas de sinistre lourd. Ce système permet d’empêcher tout arrêt de l’activité de l’entreprise.

À l’inverse, le Plan de reprise d’activité (PRA) est là pour gérer ce risque. Dès lors que le système d’information de l’entreprise n’est plus disponible, le PRA va décrire l’ensemble des procédures nécessaires à un redémarrage au plus vite du système informatique et permet de vérifier qu’aucune perte de données n’est à déplorer.

Le DSI peut négocier, lors de la signature de son contrat avec l’hébergeur, des clauses prévoyant de tels plans d’action ou les conditions de sauvegarde des données. Il pourra également se protéger en recourant aux services d’un prestataire tiers.

Une telle stratégie prend une résonnance particulière à l’aune de l’invalidation du Privacy Shield par la Commission européenne en juillet dernier. Cette décision, prise par la volonté d’imposer une zone de sécurité juridique optimale pour les données, interdit ou presque dans les faits leur transfert vers les États-Unis, et trouve ainsi ses limites si l’Europe n’est pas également en mesure d’assurer la sécurité des matériels.