La sécurité de l'écosystème : Un point de vue juridique

La sécurité de l'écosystème : Un point de vue juridique

Dans le cadre du sujet de Février, sur la sécurité de l’écosystème, nous vous donnons rendez-vous avec le cabinet Cornet Vincent Ségurel, l’un de nos partenaires sur les questions juridiques. Cabinet spécialisé en droit des affaires et présent sur toute la France, leur expertise est clé pour, par exemple, relire et ou préparer un contrat de sous-traitance intégrant toutes les protections nécessaires en matière de cybersécurité. Maitre Jérémie Courtois, avocat directeur au bureau de Lille, s’est prêté au jeu de l’interview.

 

L’avènement du SaaS et des services externalisés ont rendu nécessaires le cadrage contractuel de la sécurité, et en particulier des exigences à faire porter sur les tiers et sur l’écosystème.

Quel serait votre premier conseil pour une organisation qui n’a pas encore travaillé ce volet contractuel ? Par où doit-elle commencer ?

 

Prendre conscience de l’importance de contractualiser ce sujet est évidemment un bon début. Puis, il faut s’assurer que des contrats ont effectivement été négociés (et signés !) ou, à défaut, prévoir d’initier les négociations et contractualisations pour sécuriser juridiquement ces situations.

Car, si la sécurité repose en partie sur des mesures internes elle doit également être encadrée avec tout tiers appelé à intervenir dans l’écosystème.

En interne, les protections physiques, organisationnelles et/ou logiques doivent être accompagnées de protections juridiques. Ces protections juridiques pourront se formaliser par exemple au niveau d’une charte informatique annexée au règlement intérieur, d’un Plan d’assurance sécurité, des contrats de travail et procédures internes, des Conditions Générales d’Utilisation ou d’Intervention pour les accès extérieurs, etc.

Cela permet d’inciter les personnes concernées à veiller à la sécurité et cela procure en outre des fondements juridiques aux actions nécessaire en cas de difficultés.

Dans les relations avec des tiers, il est important d’obtenir des engagements de sécurité. Un contrat doit prévoir que le tiers s’engage à prendre toutes les précautions nécessaires et mesures adaptées pour assurer la protection des données et du système, l’absence d’accès non autorisé ainsi que l’intégrité.

Pour cela, il convient de prendre le temps de préparer (avec des personnes maitrisant le sujet) la rédaction ainsi que la négociation contractuelle en intégrant notamment :

  • Des niveaux de service (SLA) ;
  • Des précisions sur ce qu’il faut entendre par précautions nécessaires ou mesures adaptées ;
  • Une obligation d’alerte en cas de risque identifié ;
  • Des garanties de rétablissement ;
  • L’obligation de garantir l’intégrité, la confidentialité, l’absence d’accès extérieur ;
  • Des référentiels de sécurité à respecter (normes, préconisations de l’ANSSI, règles de l’art, le Plan d’Assurance Sécurité applicable dans votre structure, …) ;
  • Un droit d’audit.

 

Enfin, dernier petit conseil très juridique pour tous ceux qui envisageraient de mettre en œuvre une contractualisation après démarrage : pensez à la possibilité de prévoir une entrée en vigueur rétroactive du contrat afin de sécuriser également la période avant signature du contrat et pas uniquement l’avenir…

 

Le RGPD a été l’occasion, pour de nombreuses structures, de travailler leurs contrats et d’y intégrer des éléments relatifs à la protection des données. Le chapitre IV introduit notamment l’obligation d’audits.

Comment faire pour intégrer cela dans les contrats avec les sous-traitants ? Avez-vous identifié des points d’attention particulier ?

 

Le principe de l’audit est aisé à prévoir notamment en s’appuyant sur les dispositions du RGPD.

Cela étant, l’enjeu de la contractualisation est justement de préciser et encadrer les modalités de cet audit et donc sa portée et son efficacité réelle.

A ce titre, voici les principaux points d’attention à garder à l’esprit dans la majorité des situations (chaque cas étant évidemment spécifique) :

  • S’assurer de l’objet de l’audit (est-il limité à la sécurité des traitements de données à caractère personnel ou a-t-il vocation à porter sur la vérification de toutes les obligations liées au contrat/services) ;
  • Vérifier et encadrer à votre avantage les modalités de réalisation de l’audit (audit sur pièces et/ou sur place, préavis avant réalisation, …), la manière dont l’auditeur est choisi, sa marge de manœuvre, …
  • Formaliser l’accord du cocontractant et lui imposer une obligation de coopération (visant à fournir tout élément utile, imposant de formaliser et conserver les éléments de nature à permettre de s’assurer du respect des obligations, …)
  • La fréquence de réalisation des audits est à vérifier. Un nombre d’audit maximal par période est souvent stipulé (un par an ou par période contractuelle). Or, il est pertinent de prévoir une certaine souplesse notamment afin de permettre la réalisation d’un audit en cas de découverte d’éléments laissant présager un risque alors que l’audit annuel aurait déjà eu lieu.
  • Envisager les suites de l’audit selon plusieurs hypothèses (conformité, non-conformité mineure, non-conformité majeure) ainsi que les conséquences (régularisation, sanction) ;
  • Déterminer qui supporte les frais de l’audit (dans un premier temps puis dans l’hypothèse où une non-conformité serait découverte).

 

Une question « polémique » pour conclure !

Le contrat protège-t-il vraiment de tout ? Comment faire lorsque survient une question de sécurité entre un donneur d’ordre et un fournisseur ? Est-on obligé d’en référer au contrat ?

 

Il serait illusoire de penser que le contrat protège de tout. Tout comme il serait utopiste de croire qu’un contrat est inutile en raison d’une situation opérationnelle saine et maitrisée.

Contrat solide et bonnes pratiques opérationnelles doivent coexister et être pensés et travaillés ensembles. Un contrat bien rédigé sera alors en mesure de vous fournir des garanties et solutions pour résoudre d’éventuelles situations conflictuelles.

Il est vrai que même en présence d’un contrat, les parties signataires peuvent décider de ne pas l’appliquer ou de l’exécuter autrement. Il convient néanmoins de prêter une attention particulière à la formalisation de cet accord notamment en tenant compte du contrat initial.

En toutes hypothèses, un contrat bien rédigé et bien négocié vous permettra non seulement de sécuriser votre responsabilité et votre activité, mais également de disposer d’arguments forts dans le cadre d’une négociation qui surviendrait suite à une difficulté.

Il vous permettra en outre de mettre en œuvre des procédures judiciaire pour obtenir l’indemnisation d’un dommage subi ou, en amont, pour tenter de mettre fin à certaines pratiques ou forcer des mesures conservatoires en vue d’éviter un dommage.

Benjamin Leroux, Innovation & Marketing, Advens