A l’occasion de la Journée mondiale de la Sauvegarde du 31 mars, Me Olivier Iteanu nous a expliqué les risques encourus par les trop nombreuses entreprises qui négligent la sauvegarde de leurs données et de leurs sites externalisés. Cet avocat expert en droit Numérique nous décode les responsabilités de chacun dans un sinistre, comme celui survenu chez l’hébergeur OVHCloud, et les clauses qui excluent la responsabilité du prestataire…
Olivier Bellin, magazine Solutions Numériques : De nombreuses sociétés ont perdu leurs données ou leurs sites web lors de l’incendie survenu en mars dans le datacentre d’OVHCloud. Cette situation aurait-elle pu être évitée ?
Me Olivier Iteanu, avocat fondateur du cabinet Iteanu et membre de l’association Eurocloud :
Oui, mais malheureusement, de nombreux clients pratiquent encore la politique de l’autruche en matière d’hébergement et de sauvegarde de leurs données ou de leurs applications. Ils veulent croire que tout est réglé quand ils les externalisent chez un tiers car ils sont obnubilés par le service rendu, son prix ou d’autres considérations… Résultat, le client refuse souvent de voir les risques encourus tant que le service fonctionne, surtout quand il pense y trouver beaucoup d’avantages. Cette tendance perdure en France depuis près de 20 ans. Or, quel que soit le prestataire choisi, le client qui externalise son SI est dépendant de lui et de l’infrastructure IT qu’il met en place pour assurer le bon fonctionnement de ses applications et sites web.
L’hébergeur ou l’opérateur cloud sont-ils obligés de sauvegarder les données et les sites, voire de les héberger en miroir sur un 2e site distant pour les sauvegarder en cas de catastrophe ?
Il est clair que les règles de l’art en matière de sécurité l’exigent de la part de l’hébergeur et de l’opérateur cloud. Mais si le contrat ne le prévoit pas, surtout dans un contrat entre professionnels, cela se discute. En tous cas, la jurisprudence n’a pas encore tranchée ce point. Cela devrait venir prochainement aux vues de la multiplication des incidents et des cyberattaques.
Les niveaux de responsabilité sont-ils les mêmes pour l’opérateur cloud et/ou l’hébergeur qui héberge les serveurs ou les données en cas de sinistre ?
Le cloud a mis à jour la réalité de la chaîne de responsabilités et l’importance du droit en cas de sinistre. Le premier outil juridique pour analyser les responsabilités respectives des uns et des autres est le contrat. Mais le contrat n’est pas tout. Une responsabilité se détermine aussi en fonction d’une réalité tant technique qu’opérationnelle. Ainsi, concernant OVH, l’intéressé possède une triple casquette, celle de vendeur de serveurs, d’hébergeur de site web et d’opérateur de datacentres.
Mais dans le cas où l’entreprise est d’abord cliente d’un éditeur de logiciel en mode Saas hébergé chez un tiers, qui sous-traite lui-même son hébergement dans le datacenter d’un prestataire tiers, elle doit être informée de cette chaîne de sous-traitances. La cliente n’a alors qu’un seul interlocuteur son co-contractant, l’éditeur de logiciel. C’est à lui qu’elle va s’adresser car elle le considère comme responsable de ses données. Il s’en suivra une suite d’appel en garantie, l’éditeur appelant en garantie l’hébergeur qui appellera en garantie le datacentre.
Existe-t-il des clauses qui permettent à un hébergeur ou à un opérateur cloud de se dédouaner en cas de sinistre ?
Oui, cela existe entre professionnels. Pour les consommateurs, ces clauses sont dites léonines et ne s’appliquent pas. Ces clauses qui excluent la responsabilité du prestataire dans un contrat entre professionnels sont admises de principe par les Tribunaux qui les contrôlent cependant strictement. Dans trois cas, le prestataire ne peut exclure et même limiter sa responsabilité. Lorsqu’il a menti au moment de la signature du contrat, on appelle ça un dol. Lorsqu’il y a faute lourde, c’est-à-dire faute intentionnelle, et selon une jurisprudence complexe dite Chronopost et Faurecia, lorsque la limitation de responsabilité porte sur une obligation dite essentielle. En clair, avec ce genre de clauses, le prestataire pense être l’abri, mais il y a quantité de possibilités que la clause ne soit pas la bouée de sauvetage que le prestataire pensait.
Un incendie est-il un cas de force majeur qui dédouane l’hébergeur de ses responsabilités contractuelles ?
Un incendie peut être un cas de force majeure s’il est défini comme tel au contrat, et s’il revêt un caractère irrésistible, comme c’est le cas pour une guerre, et non prévisible, tel un tsunami. Mais un incendie est-il imprévisible dans le cas d’un datacentre dont la mission est de fournir aux clients des locaux sécurisés avec des flux (réseau, électricité, climatisation, etc.) dans le cadre d’un bail spécialisé ? Cela se plaide.
Comment s’assurer que le contrat souscrit avec un hébergeur ou un opérateur cloud offre les bonnes garanties et les meilleures qualités de service (SLA) ?
Le client doit être vigilant et bien lire le contrat. Ces contrats ne sont pas simples à lire car ce sont souvent des contrats d’adhésion non négociables et écrits par un seul acteur, l’offreur de service. Aussi, le recours à un professionnel du droit pour connaître l’étendue de son risque, est fortement conseillé pour l’entreprise cliente.
Un client peut-il demander à son hébergeur de vérifier son dispositif de sauvegarde des données et ses niveaux de service contractuels ?
En règle générale, grâce au RGPD, on trouve de plus en plus une clause d’audit au contrat. En effet, le RGPD l’impose lorsqu’il y a stockage ou sauvegarde de données personnelles, notamment dans un contrat d’hébergement. On observe cependant sur le marché, qu’un certain nombre d’hébergeurs cherchent à contourner cette faculté d’audit reconnue au client. On peut s’attendre dans les mois et années prochaines que des jugements viennent rappeler à certains professionnels leurs obligations sur cette question.
L’hébergeur a-t-il l’obligation de restituer au client ses données dans de bonnes conditions si celui-ci change de prestataire ?
Là encore, le RGPD répond à la question pour les données personnelles et la réponse est oui. Le client doit avoir le choix, soit qu’on lui restitue les données, soit que le prestataire s’engage à les détruire, au choix du client et au terme du contrat.