Par Stéphane ASTIER et Ambre BERNAT

Les mesures de confinement ont poussé les entreprises qui le peuvent à généraliser le télétravail et l’ensemble des mesures dédiées à la continuité de l’activité.

Cela impacte fortement les systèmes d’information et suppose à la définition d’un cadre technique et sécuritaire en bonne intelligence avec les prestataires informatiques concernés.

Parmi les recommandations précédemment formulées, chaque client est invité à vérifier son contrat de prestation de service informatique afin de garantir, en cette période particulière la sécurité de ses systèmes et de ses données.

L’occasion de revenir plus en détail sur différents points d’attention au niveau contractuel :

1. Un Plan d’Assurance Sécurité (PAS)

Le PAS permet au prestataire de service informatique de présenter à ses clients ou prospects les règles qu’il s’impose, et par conséquent les garanties qu’il offre en termes de sécurité informatique. Il fait en principe partie des annexes de votre contrat de prestation informatique.

Il fait partie des documents auxquels vous devez vous référer pour évaluer la sécurité de vos données. Le prestataire doit en effet y détailler son architecture technique, son organisation informatique, les moyens de prévention et de réponse aux risques informatiques (piratage, perte ou corruption de données etc). Cela devrait permettre au client de déterminer si les mesures de sécurité prises par son prestataire sont adaptées à cette période de crise.

Dans la majorité des cas, le contrat prévoit la possibilité d’intervenir à distance sur votre système d’information pour les cas d’assistance ou de dépannage.

Des protocoles et technologies appropriées à l’accès à distance doivent ici être définis afin que cet accès soit sécurisé - qu’il soit réalisé depuis les locaux du prestataire ou depuis le domicile de ses collaborateurs.

Si toutefois la généralisation du télétravail au sein de l’entreprise de services informatiques devait fragiliser ses protocoles de sécurité et qu’elle n’était plus en mesure de garantir le niveau de sécurité contractuellement certifié, il doit en avertir son client et aider ce dernier à prendre les mesures qui s’imposent pour préserver son système d’information tout en essayant d’impacter le moins possible la continuité de son activité.

2. Un Plan de Continuité d’Activité (PCA) et un Plan de Continuité Informatique (PCI)

Le plan de continuité informatique (PCI) est une sous partie du plan de continuité d’activité (PCA), destiné à permettre la reprise du système d’information lorsqu’il est impacté par une situation de crise, sinistre ou défaillance majeure. Les objectifs sont de redémarrer l’activité le plus rapidement possible et de minimiser la perte de données.

La crise actuelle pouvant générer des failles de sécurité ou des difficultés d’accès aux données tant du côté client que du côté prestataire, il apparaît ainsi essentiel de solliciter la communication de cette documentation (côté prestataire) afin d’en contrôler l’existence et les garanties. Cela permettra également au client d’alimenter sa propre documentation interne dans une logique d’accountability.

Des comités de projet et de pilotage dédiés peuvent être utilement organisés à cet effet. En cas de crise et de difficultés, ces Comités - souvent prévus au sein des contrats de prestation de service informatique - permettront de faciliter les échanges en vue de solutions pour parvenir à rétablir l’exécution normale du contrat.

3. La clause de protection des données

Pour répondre aux exigences du RGPD, les contrats de prestations informatiques liés à des traitements de données à caractère personnel doivent prévoir une clause mettant notamment à la charge du prestataire une obligation de confidentialité, d’intégrité et de sécurité physique et logique des données personnelles qu’il traite dans le cadre de l’exécution du contrat.

Le fait que les collaborateurs du prestataire travaillent depuis chez eux, ne doit pas impacter le respect de cette obligation générale de sécurité. Il appartient ainsi au prestataire de prévoir des moyens matériels et techniques adaptés pour ne pas voir apparaitre l’émergence de failles ou de vulnérabilités dû aux conditions de travail des équipes de maintenance ou d’assistance. Le client aura lui, l’obligation de s’assurer de l’existence de ce type de garantie et pourra procéder à tout audit pour effectuer ce contrôle.

D’une manière générale, le prestataire pourra être invité à justifier de la mise en place d’une Charte « Utilisateurs des systèmes d’information » intégrant un dispositif d’encadrement du travail à domicile soit avec les outils de l’entreprise soit à partir de ses propres outils personnels (BYOD).

4. La clause de force majeure

Même si la force majeure pourrait être retenue pour se défaire de l’exécution de certains contrats, l’article 1218 du Code civil ne peut être invoqué dans le cas de contrat de prestation de service informatique surtout si celui-ci prévoyait déjà la possibilité d’une intervention à distance et des mesures de gestion de crise, comme cela devrait être le cas.

En effet, dans ce cas précis, l’impossibilité d’exécuter les obligations ne se justifie pas, ce qui suppose en principe, que le client puisse bénéficier de l’intégralité des services contractés.

Précisons néanmoins que le prestataire pourrait valablement faire appel au mécanisme de l’imprévision prévu par l’article 1195 du Code civil afin de renégocier le contrat en cas de déséquilibre significatif dû à une exécution du contrat beaucoup plus difficile en raison des conditions de travail imposées. Il faudra toutefois que le prestataire démontre que l’exécution du contrat devient excessivement onéreuse pour lui et qu’il n’en a pas accepté le risque.

5. Exemples de bonnes pratiques

Parmi les bonnes pratiques à observer en cette période de crise, retenons les 6 principes suivants proposés par le CIGREF qui participent à la sécurité juridique des relations entre un prestataire informatique et son client :

• Principe de résilience : dès lors que c’est possible, et autant que nécessaire, chaque partie prend toutes les mesures à sa disposition pour honorer les contrats en cours, sans céder au désarroi provoqué par la crise, afin de participer au maintien de l’activité ou préparer les conditions de sa reprise.

• Principe de proportionnalité : les ajournements, résiliations, interruptions ou annulations de contrats de prestation de toute nature doivent être proportionnés aux enjeux de perte de chiffre d’affaires en lien avec la crise sanitaire, en s’interdisant tout effet d’aubaine.

• Principe de gradualité : donneurs d’ordre et prestataires, ensemble, sont appelés à définir, dans le dialogue, des plans de baisse de charge progressifs, en préparant, dans toute la mesure du possible, la sortie de crise et la reprise d’activité.

• Principe de différentiation : les ajournements, résiliations, interruptions ou annulations de contrat de prestations de toute nature devront être mis en œuvre si nécessaire, en privilégiant le maintien d’activité des prestataires les plus faibles, les plus fragiles ou le moins en capacité de supporter la baisse de leur chiffre d’affaires.

• Principe de responsabilité : le respect, voire la réduction, des délais de paiement en cette période si difficile pour les prestataires les plus faibles, les plus fragiles ou le moins en capacité de supporter la baisse de leur chiffre d’affaires, est une nécessité absolue.

• Principe de solidarité : en fonction du secteur d’activité des donneurs d’ordres, et notamment lorsque ceux-ci sont particulièrement impliqués dans la lutte contre la pandémie ou que les conséquences de la pandémie sur leur activité sont paroxystiques, leurs prestataires seront attentifs aux conditions de préservation de la capacité de leurs clients à sortir de la crise et à reprendre une activité en régime régulier.

Il n’est enfin jamais inutile de rappeler que la communication et la négociation de bonne foi sont toujours plus efficaces et plus rapides pour trouver des solutions adaptées.

***

Vous souhaitez en savoir plus sur les principes de cybersécurité à observer en temps de crise ? Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner. Pour nous contacter, cliquez-ici.