L’incendie survenu en mars dans le datacentre strasbourgeois de l’hébergeur OVHCloud a jeté un froid chez ses clients et ceux des opérateurs Cloud. Me Bensoussan parle même de « sidération ». Cet expert reconnu du droit numérique nous explique les droits et responsabilités des différentes parties en cas de perte de leurs données, ainsi que les éventuels recours en justice pour les entreprises sinistrées.
Olivier Bellin, Solutions Numériques : Que vous inspire l’incendie du datacentre d’OVH et l’émotion des entreprises qui en sont victimes ?
Alain Bensoussan, avocat du cabinet Alain Bensoussan-Avocats, président du réseau Lexing :
Il existe une sidération légitime chez ces clients, et les PME notamment. Cet incendie leur a démontré le caractère souvent « nuageux » du cloud. D’autant que les utilisateurs ne sont pas forcément toujours conscients de la nécessité de sécuriser la sauvegarde de leurs données. Ils n’en réalisent l’importance qu’en cas de problème, mais il est alors parfois trop tard.
Ces entreprises pourraient-elles intenter une action en justice à l’encontre d’OVH ?
Il n’est pas exclu que certains clients d’OVH déclenchent une action pour obtenir réparation en cas de perte injustifiée de leurs données. Mais tout dépend de leurs contrats, des conditions générales signées et des options souscrites.
Qui porte la responsabilité en cas de sinistre et de pertes des données?
Les règles générales du droit s’appliquent, y compris dans ce type de sinistre, même si rien ne va de soit dans le domaine de l’informatique et particulièrement du cloud, surtout en cas de problème…
Et dans le cas où c’est un éditeur ou un prestataire IT qui héberge, indirectement, les données ou les applications de ses clients chez un hébergeur tiers spécialisé ?
Il ne faut pas hésiter à demander alors à son prestataire Saas s’il est son propre hébergeur ou s’il confie les données qui lui sont confiées à un tiers, auquel cas, ce dernier doit obtenir a minima du client de lui donner son consentement s’il s’agit de données à caractère personnel (RGPD, article 28).
La sauvegarde des données dans le datacenter d’un tiers est-elle une obligation contractuelle pour l’hébergeur ?
Le client doit être maître de ses données, mais il doit aussi bien étudier son contrat et ses options avant de le signer. Celui-ci prévoit-il la duplication en temps réel des données ? Je lui conseille de s’assurer que la sauvegarde des données est incluse, même si elle n’est proposée qu’en option.
L’hébergeur doit-il déclarer à ses clients qu’il sauvegarde leurs données ?
L’hébergeur qui déclare qu’il sauvegarde des données est tenu à une obligation d’information, de conseil et de mise en garde vis-à-vis de ses clients, qui s’applique à tous les matériels et services. Il doit notamment leur expliquer la façon dont il réalise la sauvegarde et s‘il s’agit d’une zone distincte du datacenter où sont hébergées les données de ses clients. Dans tous les cas de figure, il a un devoir de conseil vis-à-vis d’eux.