Le RGPD, DORA et NIS2 redéfinissent en profondeur les contrats entre clients et prestataires IT. Ces nouvelles réglementations imposent la rédaction de clauses très précises mais aussi une sélection rigoureuse des prestataires et un audit régulier du respect de leurs obligations.

Ces dernières années ont été marquées par l’adoption d’un grand nombre de textes (règlements, directives ou lois) dans le domaine de la cybersécurité. Les plus marquants d’entre eux sont le RGPD pour les données personnelles, DORA pour le secteur bancaire financier et assuranciel et NIS2 pour les secteurs dits critiques.

Ces textes ont un point commun : ils s’immiscent directement dans la relation contractuelle entre le client et son prestataire IT. Le RGPD par exemple, dans son article 28, rappelle que le responsable de traitement (le plus souvent le client) ne peut faire appel à un sous-traitant (un prestataire) que si ce dernier lui apporte les garanties "suffisantes" quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée.

Le RGPD, DORA et NIS2 redéfinissent en profondeur les contrats entre clients et prestataires IT

Mais au-delà de l’obligation de sélectionner avec soin le prestataire, le RGPD impose également que le client et le prestataire s’entendent sur des dispositions contractuelles communément appelées DPA pour "Data privacy agreement". Ainsi, outre le contrat de service, le client et le prestataire devront notamment établir les modalités selon lesquelles le sous-traitant appliquera les "instructions documentées" du client, les conditions d’assistance fournies au client pour qu'il puisse s’acquitter de ses propres obligations, les procédures d’effacement ou de restitution des données à l’issue du contrat, ainsi que les modalités permettant au client d’auditer le prestataire.

Au total ce sont 8 dispositions contractuelles qui sont visées à l’article 28.3 et qui doivent figurer dans le DPA, sans compter les autres dispositions relatives à la responsabilité, par exemple en application de l’article 83. La Commission a d’ailleurs publié le 4 juin 2021, des clauses contractuelles types1 que très peu d’entreprises utilisent, les confondant fréquemment avec celles destinées aux flux transfrontaliers. Le Règlement DORA va encore plus loin dans l’immixtion des pouvoirs publics dans la sacro-sainte liberté contractuelle. Il repose sur un principe simple : les risques liés aux prestataires tiers de services TIC font partie intégrante du "cadre de gestion du risque lié aux TIC". Pour ce faire, comme pour le RGPD, le règlement DORA impose une sélection rigoureuse des prestataires IT.

S’agissant des clauses contractuelles, DORA va plus loin que le RGPD. Il impose plus de 9 clauses dans les contrats avec tous les prestataires tiers de services TIC et 6 clauses supplémentaires si le prestataire soutien des fonctions critiques ou importantes.

Les prestataires tiers de services TIC s’entendent de tout prestataire qui fournit des service TIC c’est-à-dire "des services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels".

Ces nouvelles réglementations imposent la rédaction de clauses très précises, mais aussi une sélection rigoureuse des prestataires

Tous les contrats conclus entre les entités soumises à DORA et leurs prestataires devront par exemple comporter une description précise des prestations, de leur localisation géographique, du recours ou non à des sous-traitants, des SLA précis et des modalités de leur mise à jour, des garanties relatives à l’accès, la récupération ou la restitution des données, des obligations d’assistance en cas d’incident ou de contrôle des autorités compétentes, etc.

Au cas particulier des prestataires qui soutiennent des fonctions critiques ou importantes, il convient d’ajouter des clauses d’objectif, des clauses de sortie, des modalités particulières pour les évolutions et montées des versions, des dispositions sur les plans d’urgence ou encore des durées minimums de préavis de résiliation pour éviter tout risque de rupture de service. DORA impose même des dispositions en matière de résiliation. Les entités soumises à DORA doivent ainsi veiller à ce que les contrats relatifs à l’utilisation de services TIC puissent être résiliés dans l’une des circonstances suivantes :

- le prestataire tiers de services TIC a gravement enfreint les dispositions législatives, réglementaires ou contractuelles applicables ;

- le suivi des risques liés aux prestataires tiers de services TIC a révélé l’existence de circonstances susceptibles d’altérer l’exécution des fonctions prévues par l’accord contractuel, y compris des changements significatifs qui affectent l’accord ou la situation du prestataire tiers de services TIC ;

- le prestataire tiers de services TIC présente des faiblesses avérées liées à sa gestion globale du risque lié aux TIC et, en particulier, dans la manière dont il assure la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, qu’il s’agisse de données à caractère personnel ou autrement sensibles, ou de données à caractère non personnel ;

- l’autorité compétente ne peut plus surveiller efficacement l’entité soumise à DORA en raison des conditions de l’accord contractuel en question ou des circonstances qui y sont liées. La directive NIS2 suit exactement la même philosophie même si à la différence du RGPD ou de DORA elle ne dresse pas une liste précise de clauses contractuelles imposées.

Tout est résumé dans le considérant 85 de NIS 2 qui dispose que : "Il est tout particulièrement important de répondre aux risques découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des données ou les fournisseurs de services de sécurité gérés et les éditeurs de logiciels, vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes de cyberattaques et où des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers."

Et le considérant de préciser que "les entités essentielles et importantes devraient en particulier être encouragées à intégrer des mesures de gestion des risques en matière de cybersécurité dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services directs (…)". La démonstration est faite que ces nouveaux textes redessinent le paysage contractuel entre les clients et leurs prestataires informatiques.

Il leur appartient aux uns et aux autres d’auditer les contrats existants pour s’assurer de leur conformité, de revoir les modèles de contrats qui sont généralement assez loin de ces nouveaux standards et enfin, et c’est sans doute un autre champ qui s’ouvre pour les juristes, de contrôler la bonne application de ces contrats nouvelle formule.

 

SUR L’AUTEUR

Eric Barbry codirige l’équipe IP, IT & Data du cabinet Racine Avocats, qui intervient sur toutes les questions relatives à la propriété intellectuelle, au droit des systèmes d’information (informatique, Internet, télécoms) et au droit des données personnelles. Il accompagne les entreprises dans leurs projets informatiques et numériques, tant en matière de conseil que de contractualisation et de contentieux. Il intervient sur l’ensemble des questions relatives au droit des données personnelles, notamment en ce qui concerne le RGPD (audit de conformité, mise en conformité, DPO externalisé, contrôle et contentieux devant la Cnil, assistance en cas de violation de sécurité). Eric Barbry est un expert reconnu dans le domaine de la cybersécurité, aussi bien pour des actions de prévention (contrats, conseil, chartes) que pour des interventions en réaction à des cyberattaques.

 

1 Décision d’exécution (EU) 2021/915 de la Commission du 4 juin 2021

Personne citée :

Eric Barbry

Eric Barbry

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Commander