La maîtrise du risque juridique des solutions Cloud est au cœur des problématiques posées aux Directions des Systèmes d’Information (DSI) des Entreprises. Elle revêt également une importance capitale pour les fournisseurs de ces solutions qui, pour conquérir des parts de marché, devront veiller à rassurer leurs clients.
A l’heure où l’Union Européenne et les Autorités nationales de protection des données à caractère personnel se penchent sur la définition d’un cadre juridique protecteur, il apparaît utile de revenir sur l’un des facteurs clés de réussite du projet Cloud : le contrat.
1. Pourquoi négocier un contrat Cloud ?
Cloud public (service mutualisé entre plusieurs clients), Cloud privé (service dédié à un client), Cloud hybride (public privé), Cloud en mode IaaS (hébergement d’infrastructure), Cloud en mode PaaS (plateforme de développement), Cloud en mode SaaS (fourniture de logiciel en ligne), l’offre Cloud est partout et représente un marché de plus de 4 milliards de dollars en 2014[1].
Chaque entreprise, qu’il s’agisse d’une PME ou d’un grand groupe doit aujourd’hui faire face à une offre pléthorique de solutions Cloud. Comment choisir ? Il y a le prix certes mais force est aujourd’hui de constater que le « paramètre juridique » prend de plus en plus de place, ne serait-ce qu’au niveau des garanties apportées en termes de sécurité et de confidentialité des données.
Or, dans la plupart des cas, les contrats proposés laissent a priori peu de marge de manœuvre aux clients : contrat d’adhésion sous forme de Conditions Générales complexes et obscures, application d’un droit étranger, etc. Il n’en demeure pas moins essentiel de vérifier plusieurs points clés quitte à négocier des conditions particulières tenant compte des spécificités de l’Entreprise cliente et des obligations légales qui lui sont opposables du fait de sa situation géographique.
L’Entreprise devra, dans cette optique, définir en amont son besoin ce qui supposera notamment :
– D’identifier les catégories de données et traitements visés par la solution Cloud (données à caractère personnel, données confidentielles de l’entreprise, données sensibles etc.)[2]
– De confronter les garanties du « référentiel sécurité »[3] mis en œuvre dans l’Entreprise avec les garanties contractuelles de la solution Cloud proposée et leur compatibilité.
Il est en effet essentiel pour l’Entreprise cliente de s’assurer que la souscription au service Cloud ne donnera pas lieu à une perte de gouvernance sur ses traitements, à une dépendance technologique trop forte ou encore à des failles de sécurité (modification, pertes, brèches dans la confidentialité etc.).
La négociation du Contrat encadrant la mise en œuvre de la solution de Cloud Computing prend ici tout son sens…
2. La définition du régime de responsabilité
Cartographier les risques juridiques liés à la mise en place d’une solution Cloud suppose au préalable d’identifier le régime de responsabilité applicable. Or, ce régime sera directement dépendant du statut du client – qui sera en toutes hypothèses responsable de traitement – et de celui de son prestataire – qui pourra être, suivant les cas, simple sous-traitant ou coresponsable du traitement.
Ainsi, suivant le niveau d’instruction donnée, le degré de contrôle du client, la valeur ajoutée par le prestataire sur le traitement ou encore le degré de transparence, il sera possible de déterminer si nous sommes ou non en présence d’une coresponsabilité.
Le débat est d’importance, car en cas de coresponsabilité, le prestataire, fournisseur de la Solution Cloud, pourra directement répondre d’éventuels écarts à la législation applicables devant les autorités compétentes pour la protection des données à caractère personnel.
A l’inverse, pour la sous-traitance classique, seul le Client est directement responsable. En cas de difficulté, il lui appartiendra de justifier qu’il s’est assuré – par la mise en place de clauses contractuelles spécifiques – que l’intervention de son prestataire est de nature à garantir la sécurité et la confidentialité des données. (Cf. https://www.haas-avocats.com/actualite-juridique/orange-avertie-par-la-cnil-suite-a-une-faille-de-securite/)
La définition du contrat Cloud devra ainsi clairement définir le statut des deux parties qui devront tirer les conséquences juridiques des paramètres choisis en fonction de la nature des services et de la relation.
3. Auditer – élaborer un contrat Cloud
A horizon 2020, la Commission Européenne table sur la création de 2,5 millions d’emplois en Europe et la réalisation d’un objectif financier annuel de 160 milliards d’euros grâce au Cloud. Or, pour parvenir à remplir ces objectifs ambitieux, la Commission met en avant les exigences suivantes :
– La normalisation des services Cloud afin d’assurer une meilleure lisibilité de l’offre
– Le développement de partenariat public dédié aux technologies du Cloud
– La création d’un modèle contractuel sécurisant et équilibré afin de favoriser le recours à cette technologie.
Sur ce dernier impératif de sécurisation contractuel, il est possible de dégager les points clés suivants lors de l’audit ou de l’élaboration d’un contrat Cloud :
(a) sécurité et confidentialité des données
Les garanties apportées en termes de sécurité et de confidentialité constituent la préoccupation essentielle devant diriger l’élaboration ou la négociation d’un contrat Cloud. L’externalisation de l’hébergement de processus, de données clients ou encore de données stratégiques de l’entreprise est en effet particulièrement sensible et suppose la mise en place d’engagements de niveau de service (SLA[4]) incluant les problématiques de protection des données à caractère personnel (PLA[5]).
Ainsi le prestataire sous-traitant devra tenir à disposition du client le détail des mesures de sécurité mise en place (politique de gestion des incidents[6], mesures de sécurités logiques et physiques, mesures pour assurer la disponibilité, l’intégrité et la confidentialité des données, mesure de notification des failles de sécurité, certifications obtenues[7], mise en place de procédure d’audit etc.)
(b) la réversibilité
Si la nécessité de définir un plan de réversibilité constitue une réalité pour les contrats informatiques dans leur ensemble, cette exigence est d’autant plus vraie dans le domaine des contrats Cloud.
Il est ainsi essentiel pour le Client d’une solution Cloud de s’assurer que son prestataire lui garantisse une restitution de ses données en fin de contrat quelle qu’en soit la cause et que cette restitution se fasse dans un format exploitable. Il s’agit en effet d’éviter toute situation de dépendance technologique et de création de situation captive.
Le plan de réversibilité devra ainsi notamment prévoir les garanties de poursuite de l’activité sans rupture de service, les responsabilités entre ancien et nouveau prestataire, les délais et coûts applicables, ou encore la procédure de recette et les modalités de restitution et de destruction des données.
(c) Localisation, transfert des données
Afin de permettre au client de la Solution Cloud d’informer les personnes visées par les traitements suivant les dispositions de l’article 32 de la loi informatique et libertés, le Contrat Cloud devra prévoir que le prestataire informe le client :
– des personnes destinataires des données
– des pays hébergeant les serveurs
– l’existence de BCR[8] ou de clauses contractuelles type avec assurance d’une protection adéquate à l’étranger
– le cas échéant, d’une limitation des transferts de données vers des pays tiers assurant un niveau de protection adéquat
*
* *
Maîtriser juridiquement les risques liés à la mise en œuvre d’une solution suppose de porter une attention toute particulière au dispositif contractuel prévu pour encadrer la relation entre le prestataire offreur de la solution et l’entreprise cliente.
Du côté du prestataire, la prise en compte du facteur juridique sera déterminante pour rassurer les clients, se distinguer de la concurrence et optimiser ainsi ses perspectives de développement sur un marché en pleine explosion.
Du côté du client, s’assurer contractuellement des mesures prises au titre de la sécurité et de confidentialité des données constitue certes un impératif légal mais également un impératif stratégique et commercial dans la mesure où toute faille de sécurité impactera directement l’image de l’entreprise et ses performances.
L’intervention des professionnels du droit dans le cadre d’audits, de négociations ou d’élaboration des contrats Cloud apparaît dès lors comme une garantie essentielle tant pour les clients que pour les prestataires de telles Solutions.
Vous souhaitez en savoir plus ? Contactez nous en cliquant ICI
[1] Cf. Etude Markess International
[2]A titre d’exemple viser des données de santé supposera de faire appel à un hébergeur agréé
[3] Référentiel incluant par exemple la Charte Utilisateur des SI, la politique de gestion des incidents, ou encore la Politique de conservation des données.
[4] Service Level Agreement
[5] Privacy Leval Agreement
[6] Voir sur cette question précise : https://www.haas-avocats.com/actualite-juridique/une-reponse-juridique-aux-besoins-de-la-securite-la-politique-de-gestion-des-incidents/
[7] Notons que courant juillet 2014 a été publiée une nouvelle Norme ISO 27018 définissant les bonnes pratiques pour la protection des données dans les services de Cloud Computing
[8] Binding Corporate Rules : règles contraignantes d’entreprise
[1]A titre d’exemple viser des données de santé supposera de faire appel à un hébergeur agréé
[2] Référentiel incluant par exemple la Charte Utilisateur des SI, la politique de gestion des incidents, ou encore la Politique de conservation des données.
[1] Cf. Etude Markess International