Par Maître Alexandra Iteanu, avocate à la Cour (numérique, cybersécurité et data).
Quel que soit le secteur d’activité, et comme nous l’a rappelé de manière malheureuse l’actualité de juillet avec la panne mondiale ayant affecté les services de Microsoft, le recours aux services Cloud est devenu incontournable dans tous les secteurs privés et publics.
Les fournisseurs de service Cloud connus du grand public se comptent eux sur les doigts d’une main, et sont pour la plupart des sociétés extra-européennes.
Les organismes sont ainsi de plus en plus dépendants de ces prestataires, leur confiant une partie de leurs ressources et une masse importante de données au degré de sensibilité varié.
Cette dépendance, assumée ou non, implique immanquablement le renforcement des mesures de cybersécurité associées à cette externalisation. Ces mesures sont bien évidemment d’ordre technique mais également traduites en obligations contractuelles.
La cybersécurité dépasse ainsi aujourd’hui le simple cadre réglementaire, et les contrats Cloud devront prendre en compte cette nouvelle réalité : au-delà des dispositions contractuelles, il faudra composer avec des normes toujours plus nombreuses, des obligations légales d’alerte et de notifications, et une chaine de sous-traitance toujours plus complexe.
L’obligation de cybersécurité : une obligation de plus en plus étoffée dans les contrats Cloud
Les contrats Cloud et leurs clauses ont beaucoup évolué ces dernières années au gré des usages techniques mais également des expériences malheureuses subies par prestataires et clients.
Le soucis de la cybersécurité ne s’applique pas qu’aux données externalisées, mais se trouve en réalité à tous les niveaux de la chaine. Chacun en effet, sait que pour pouvoir agir et interopérer sur les réseaux numériques, il va devoir se soumettre à un environnement technique qu’il ne maitrise pas.
Et l’enjeu est de taille : la question de la sécurité dans un environnement technique non totalement maitrisé par l’utilisateur, se retrouve partout et de manière cruciale. L’utilisateur doit donc parer à un éventuel risque industriel, qui, par une cyberattaque réussie, viendrait ruiner son patrimoine, notamment immatériel, et possiblement sa réputation.
Lorsqu’il le peut, le client utilisateur devra prendre soin d’introduire tout un dispositif pour prévenir toute suspension de service (panne) ou cyberattaque, composé d’obligations à la charge du prestataire Cloud. Il pourra ainsi, introduire au contrat, une clause d’audit qui aura pour but de lui permettre de contrôler la bonne application par le fournisseur des mesures techniques et organisationnelles imposées au contrat, notamment dans le domaine de la sécurité. Les fameuses SLA (« Service Level Agreement »), souvent perçues à tort comme un document purement techniques, devront être analysées et si possible négociées avec soin. Elles sont à double tranchant : d’un côté, ce document est l’épée du client qui dispose des moyens de prouver l’inexécution du prestataire ; d’un autre côté, les SLA constituent aussi le bouclier du prestataire qui dispose d’un moyen de prouver que le client a eu ce à quoi le prestataire s’était engagé. Leur rédaction précise est dès lors très importante.
Si une des obligations de cybersécurité n’a pas été respectée par le prestataire Cloud, le contrat Cloud devra dans ce cas prévoir l’après : clause de pénalité, plafond de responsabilité, ou même éventuelle résiliation.
De plus en plus de normes imposées et d’obligations légales à intégrer
En principe, c’est la « volonté des parties » qui devrait dicter la conclusion de contrat en droit commun. Dans les environnements Cloud, où la situation est oligopolistique, il s’agit pour la grande majorité des acteurs de proposer des contrats d’adhésion, c’est-à-dire non négociables.
Face aux déséquilibres des rapports de force, le législateur l’a bien compris, il fallut imposer des obligations à ces fournisseurs Cloud notamment en matière de cybersécurité.
Des clauses contractuelles obligatoires de sécurité ont notamment été imposées par le législateur européen, via le Règlement UE n°2016/679 dit « RGPD », qu’on ne présente plus. En présence de données à caractère personnel, l’article 32 du règlement impose ainsi que soient décrits les mesures « techniques et organisationnelles » adoptées pour leur protection.
D’autres textes, plus spécifiques selon les secteurs, sont également venus étoffer les Contrats cloud en imposant des obligations de cybersécurité supplémentaires, comme le règlement DORA[1], ou encore la Directive NIS2[2], adoptée il y a peu.
Par le recours à une telle méthode, le législateur cherche surtout à imposer aux parties qu’elles aient réfléchi à la question. Cependant, si elles ne le font pas, c’est bien le client qui s’en trouvera responsable.
En conclusion : dans le cadre du recours au Cloud, le client utilisateur doit rester maître de son destin
La cybersécurité dans les contrats de services cloud requiert aujourd’hui une attention particulière de la part des décideurs et chefs d’entreprises car les conséquences dépassent souvent les frontières de l’organisme. En intégrant des clauses claires et précises sur les obligations contractuelles de cybersécurité, la répartition des responsabilités et des protocoles en cas de violation de données / suspensions de service, le client utilisateur peut protéger ses données et assurer la continuité de ses activités.
Le contrat est désormais partie prenante de la cybersécurité.
Cybersécurité: la responsabilité de l’entreprise…
et de son dirigeant
En matière de cybersécurité, il est aujourd’hui possible d’être à la fois victime et responsable. La question de la responsabilité se pose en effet en cas d’ingérence dans le système d’information d’une entreprise: qui est responsable ? Le dirigeant ? L’entreprise elle-même ? La responsabilité du dirigeant d’entreprise, quelle que soit sa taille, l’incite à répondre de ses actes. Il convient de distinguer la responsabilité civile et la responsabilité pénale du dirigeant d’entreprise, dont l’objectif est différent.
Cette responsabilité n’a cessé de s’élargir ces dernières années, jusqu’à récemment avec la Directive dite NIS2[3] qui engage directement la responsabilité civile et pénale des dirigeants en cas de manquement à ses dispositions.
Dans le cas des cyberattaques il sera aisé de déterminer la responsabilité civile du dirigeant si ce dernier a violé une disposition législative (comme par exemple l’obligation de sécurité imposée par l’article 32 du RGPD[4], ou encore l’omission de formalités imposées), il sera en revanche plus délicat de déterminer une faute de gestion du chef d’entreprise, notion vague et déterminée au cas par cas par la jurisprudence. Cette faute de gestion pourra être caractérisée en cas d’abstention ou encore de négligence de la part du dirigeant, ce qui arrive fréquemment dans le cas de collecte de données.
Il ne fait aucun doute que les entreprises et particulièrement leurs dirigeants doivent prendre conscience des nouveaux risques menaçant leur cybersécurité et prendre les mesures adéquates pour les éviter. Ces risques engendrent un impact important tant sur les utilisateurs que sur la réputation de l’entreprise visée.
[1]Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector
[2] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union
[3] Directive UE 2022/2555
[4] Règlement UE n°2016/679
