Par Gérard Haas et Stéphane Astier
Nul besoin dans le contexte actuel de rappeler le niveau d’exposition de l’ensemble des acteurs publics comme privés au risque cyber.
Chaque jour de nouvelles attaques défrayent la chronique imposant toujours plus de vigilance. Cette tendance au cyber chaos ne fait que s’amplifier comme en attestent les derniers chiffres de l’ANSSI. Il est ainsi frappant de constater que le nombre d'attaques a bondi en 2021 de 37 % par rapport à 2020 avec plus de 1000 attaques critiques dans les réseaux informatiques français.
Evaluer les risques, identifier le niveau d’exposition de son organisme aux dangers cyber, accroitre sa visibilité et ses capacités de résilience, organiser la formation et la sensibilisation des équipes, négocier une assurance spécifique couvrant ce type de risque sont autant de bonnes pratiques à la charge des dirigeants dans le cadre du pilotage global de leur activité.
Sur un plan juridique, protéger son organisme contre ce type spécifique de sinistre supposera :
- Côté client: d’opérer un contrôle rigoureux des prestataires susceptibles d’avoir un impact sur les systèmes d’information et l’ensemble des métiers connectés.
- Côté prestataire : d’anticiper les exigences de ses clients (anticipation des audits, préparation de la documentation répondant aux prérequis des appels d’offres, clarification des obligations d’assistance en cas de crise cyber etc.)
Pour ce faire, il est désormais recommandé d’insérer au sein de ses contrats informatiques une clause spécifique ayant pour objet d’opérer un tel contrôle et de disposer des garanties adéquates : la clause « garanties cyber ».
La clause « Garanties cyber » : outil de conformité et de sécurisation juridique
Pour remplir les objectifs visés ci-dessus, chaque client de prestations informatiques (clients de solutions SaaS, de prestations de tierce maintenance applicative ou autres prestations informatiques) doit s’attacher à encadrer strictement ses relations avec ses prestataires.
Dès lors que le prestataire accède aux systèmes d’information du client ou édite une solution hébergeant des données à caractère personnel, un tel encadrement constitue un impératif légal.
L’article 28 du RGPD impose notamment au client responsable de traitement de formaliser par un acte écrit les engagements de son prestataire sous-traitant en matière de protection des données. Parmi ces engagements figurent notamment les garanties en terme de sécurité des données. Sur ce point précis, le prestataire doit justifier à son client des différentes mesures organisationnelles techniques mises en œuvre permettant d’assurer la sécurité et la confidentialité des données qui lui sont confiées ou auxquelles il accède. Le Client doit en outre être en mesure d’auditer la réalité de ces garanties et procédures ce qui n’est pas sans conséquence en termes d’organisation et d’obligations pour le client[1].
En sus de la conformité au RGPD, le dispositif contractuel de garanties Cyber à mettre en place devra s’attacher à intégrer une réponse globale aux exigences du droit général et notamment aux dispositions :
-
Du Code civil, et notamment des exigences ayant trait au devoir de conseil durant la phase de négociation (Art. 1112-1 CCiv). Par ailleurs la jurisprudence a entendu consacrer depuis plusieurs années un devoir de conseil, se traduisant plus spécifiquement dans les contrats informatiques en un devoir de bonne collaboration, lequel trouve aujourd’hui une résonnance dans le devoir d’exécution de bonne foi des prestations contractuelles (Art. 1104 CCiv) ;
-
Du Code de la santé publique, lorsque l’on est en présence de données de santé. Citons notamment des garanties de sécurité attendues des hébergeurs agréés de données de santé au sens des articles L 1111-8 et s. du Code de Santé Publique ;
-
Du Code du commerce, et notamment des exigences de sécurité imposées aux opérateurs afin de leur permettre de justifier de bénéficier de la protection du secret des affaires en justifiant au préalable du secret de certaines informations, ce qui nécessite la mise en œuvre de garanties de sécurité informatique dédiées (Art. L.151-1 et s. C.Com) ;
-
Du Code monétaire et financier, exigeant notamment depuis la transposition de la Directive Services de Paiement II des garanties de sécurité et de traitement d’incidents renforcées pour les paiements en ligne ;
-
De la loi du 26 février 2018 venant transposer la directive « Network and Information Security » relatives aux mesures de sécurité renforcées qui doivent être mises en œuvre par les Fournisseurs de Services Numériques (FSN) et les Opérateurs de Services Essentiels (OSE) ;
-
De la loi de programmation militaire 2019-2025 ayant pour objectif d’améliorer la sécurité informatique et les capacités de résilience des Opérateurs d’Importance Vitale ;
-
Des attentes de la loi CyberScope du 3 mars 2022 et qui rentrera en application le 1er octobre 2023, imposant aux opérateurs de plateformes d’informer notamment les internautes sur les garanties cyber relatives à la sécurisation des données ;
-
De manière plus générale, d’un nombre croissant de textes de lois visant à imposer aux différents acteurs publics et privés des exigences de sécurité plus importantes dans le cadre de la réalisation de leurs missions ou de la fourniture de produits et services.
L’objectif est clair : responsabiliser les acteurs en leur imposant de procéder à un encadrement contractuel strict intégrant un certain nombre d’exigences de sécurité.
Suivant cette logique, la clause « garanties cyber » à intégrer aux contrats s’attache à préciser les engagements et garanties du prestataire en matière de sécurité informatique. Le périmètre est ici toutefois plus large que celui de la protection des données car il couvre à la fois :
- les données à caractères personnel,
- les données financières,
- les données stratégiques,
- le savoir-faire et autres secrets de fabrique de l’organisme.
Ainsi, au-delà de la conformité au RGPD qui va conduire le prestataire à justifier contractuellement de ses mesures organisationnelles et techniques, la clause « garanties Cyber » constitue un outil de sécurisation juridique essentiel.
La clause « Garanties Cyber » s’impose en effet comme un complément nécessaire faisant le lien entre
- l’accord sur la protection des données, la police d’assurance cyber, le Plan Assurance Sécurité (PAS), la Politique de Sécurité des Systèmes d’Information (PSSI), la Politique de gestion des incidents ou autre Plan de continuité et de reprise d’activité
et
- les prestations auxquelles le contrat de prestation de service informatique ou de licence est attaché.
Elle vient en outre préciser utilement les procédures, le formalisme ainsi que les niveaux d’engagement du Prestataire en cas de survenance d’une crise cyber.
La clause « Garanties cyber » outil de gestion de crise
Lors de la survenance d’une crise cyber, le client et/ou le prestataire victimes de ladite crise ont une responsabilité commune : mettre tout en œuvre pour limiter l’impact du sinistre, assurer la résilience des systèmes et respecter les délais légaux lorsque des notifications et/ou informations des autorités de contrôle et personnes concernées sont requises.
Dans le cadre du pilotage juridique de la crise cyber, l’activation de la clause « garanties cyber » permettra au client comme au prestataire de disposer d’une feuille de route claire ainsi que d’une délimitation des responsabilités et rôles de chacun.
Allant au-delà des seuls cas de violations de données à caractère personnel prévus aux articles 33 et 34 du RGPD et encadrés normalement par l’accord sur la protection des données visé supra, la clause « Garanties Cyber » s’attache en effet à opérer une répartition des rôles pour tout type d’incident dans une logique d’équilibre contractuel et de sécurité juridique.
Concrètement, le dispositif contractuel spécifique aux garanties cyber détaillera notamment – en sus des engagements généraux au titre de la sécurité et de la conformité - :
- Les dispositifs de réaction à incidents et délais associés
- Les dispositifs de veille et de prévention mis en œuvre
- Le support spécifique en cas de crise cyber et ses modalités financières éventuelles
- Les engagements de responsabilité associés à la réponse à incident, à son succès
- Les garanties de confidentialité et de contrôle commun de la communication de crise à mettre en œuvre.
En définitive, force est de constater que par l’introduction d’une telle clause :
-
le Prestataire répondra à un besoin fort de ses clients et pourra être avancé en garantie complémentaire source de confiance. Peu d’acteurs pensent à mettre ainsi en valeur leurs procédures internes et garanties. Pourtant une telle clause constitue à n’en pas douter à la fois un levier de différenciation concurrentielle assurant la valorisation de prestations d’urgence mais également une garantie de sécurisation juridique des relations et d’anticipation de litiges clients particulièrement dure.
-
Le Client s’attachera à cuirasser son activité avec un dispositif de protection juridique à large spectre couvrant toute typologie d’incident. Outil de conformité la clause « Cyber Garanties » a vocation à s’installer naturellement en dispositif contractuel de gestion de crise permettant de gagner en résilience et en efficacité face à l’un des principaux risques actuels.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tiennent à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques ainsi que pour rédiger, amender, négocier vos contrats informatiques. Pour en savoir plus, rendez-vous ici.
[1] En effet cette exigence de contrôle tend à renforcer drastiquement le niveau de responsabilité du client ainsi que les charges mises sur ses épaules (organisation des audits, financement, temps consacré au contrôle etc.). Depuis l’entrée en vigueur du RGPD en mai 2018, nombre d’accords sur la protection des données ont ainsi pu être régularisés entre prestataires du secteur numérique et leurs clients. Du reste, la CNIL contrôle désormais strictement ce formalisme et n’hésite pas à sanctionner sévèrement le non-respect de cette obligation