Cloud, la vision juridique

Les services Cloud (IaaS, PaaS, SaaS) ont connu ces dix dernières années une croissance exceptionnelle, laquelle s’est encore accentuée avec la crise sanitaire. Socle de la transformation numérique, le Cloud est aujourd’hui plébiscité aux fins d’agilité, de rationalisation des coûts en matière d’IT, et également de sécurité.

Dans le secteur de la santé, en France, le Cloud doit satisfaire aux exigences de sécurité du référentiel de certification relatif à l’hébergement des données de santé, et constitue désormais le cadre technique de référence des services innovants, de nombre de recherches, d’entrepôts de données de santé, et d’outils d’IA, outre bien sûr ses utilisations plus traditionnelles visant pour un client à externaliser auprès d’un hébergeur tout ou partie des activités d’hébergement de ses applications métiers encore fournies « on premise » par des éditeurs.

Dans ce contexte, la négociation des contrats Cloud est devenue une gymnastique tout aussi délicate que vitale.

Si bien entendu, le périmètre des prestations confiées au prestataire et le contexte du projet vont impacter les termes du contrat Cloud, il est bon d’acquérir quelques réflexes concernant les clauses essentielles et points de vigilance.  


1. Un préalable, les garanties suffisantes du prestataire

Nul doute de rappeler que le cœur du sujet est d’externaliser des applications associées à des données, bien souvent à caractère personnel, et donc d’assurer leur sécurité, confidentialité, disponibilité, intégrité et réversibilité.

A cet égard, le client constitue généralement le responsable de traitement, et le prestataire le sous-traitant, de sorte que le client est tenu de s’assurer, en amont de la contractualisation, que le prestataire présente les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du fameux RGPD [1].

Il appartient ainsi au client de vérifier ces garanties, et au prestataire de les démontrer, et ce notamment au travers de la PSSI et/ou du PAS, voire d’un projet d’analyse d’impact [2], et bien sûr en matière de données de santé, de la certification hébergeur de données de santé du prestataire ou du sous-traitant ultérieur sur lequel il s’appuie pour fournir ses services, avec un zoom sur le périmètre du certificat obtenu, sa validité, et les éventuels sous-traitants ultérieurs sur lesquels s’appuie l’hébergeur, le cas échéant.

En cas de recours par le prestataire à des sous-traitants ultérieurs hors UE, il faudra imposer des mesures additionnelles visant à limiter les risques associés au Cloud Act - pouvant fonder une communication des données à des autorités gouvernementales ou judiciaires américaines - (procédure de contestation de toute demande d’accès ne respectant pas la règlementation européenne, chiffrement des données…) outre la conclusion de clauses contractuelles types en cas de transfert.


2. Quelques clauses toujours cruciales

2.1. Droits de propriété intellectuelle et garanties

S’agissant de la fourniture d’applications hébergées, les droits d’utilisation sont souvent moins compliqués à appréhender que ceux d’un contrat « on premise », ils s’interprètent toutefois tout aussi restrictivement. Côté client, il convient bien sûr de s’attarder sur le nombre d’utilisateurs, et de s’assurer que la définition du terme est suffisamment large pour couvrir tout à la fois ses propres utilisateurs mais aussi ceux du groupe, du GHT le cas échéant, et les éventuels accès par les prestataires dans le cadre de leurs missions. Les conditions d’évolution du nombre d’utilisateurs peuvent utilement être précisées, de même que toute métrique impactant la facturation.

Pour ce qui est des garanties, une attention particulière est requise concernant les garanties de jouissance paisible, de conformité réglementaire et à l’état de l’art, d’évolution, de compatibilité ascendante…

2.2. Les niveaux de service

De manière générale, le client doit s’interroger sur les objectifs clefs de ses besoins : disponibilité ? performance ? sécurité ? intégrité ? et identifier, en fonction des engagements proposés par les prestataires (à supposer qu’une concurrence existe), l’offre la plus pertinente.

En matière de santé, certains prestataires sont relativement incontournables, et de facto leurs conditions sont moins négociables. En outre, les besoins susvisés sont tous essentiels.

En tout état de cause, les engagements en termes de plage horaire du support, de temps d’intervention et de temps de rétablissement/ contournement des anomalies bloquantes ont un impact important sur le prix. C’est donc la criticité des usages métiers qui fondera la décision, étant rappelé que le prestataire et en particulier l’hébergeur de données de santé à caractère personnel a un devoir de conseil à cet égard.

Enfin, nul besoin de préciser qu’assortir de pénalités le non-respect des engagements de niveaux de service est de nature incitative, sous réserve toutefois que les plafonds de pénalités prévus ne viennent pas trop en limiter la portée. Dans le même sens, si les pénalités peuvent être libératoires pour le prestataire - c’est-à-dire exclusives de tous dommages et intérêts complémentaires - encore faut-il circonscrire ce caractère libératoire aux seuls éventuels dommages et intérêts portant sur des manquements déjà sanctionnés par les pénalités concernées.

2.3. La responsabilité

Dans la mesure où le recours au Cloud est désormais souvent justifié par des considérations de sécurité, il conviendra de s’assurer que les plafonds de responsabilité applicables en cas de manquements aux obligations de sécurité, exigences réglementaires ou relevant du périmètre de la certification reflètent l’engagement du prestataire. A cet égard, les plafonds traditionnels de responsabilité à 6 mois ou 1 an du montant de service réglé par le client dans l’année sont clairement obsolètes dans le contexte du RGPD et des risques financiers associés. En pratique, des plafonds différenciés de responsabilité selon les manquements contractuels peuvent être mis en place. Il convient de relever que les engagements financiers des prestataires doivent être en cohérence avec leurs couverture assurantielle, étant rappelé qu’une attestation listant les activités couvertes et détaillant les plafonds doit être fournie avant conclusion du contrat.  

De même, la vigilance est de mise s’agissant des exclusions de responsabilité. Si l’indemnisation des dommages indirects est exclue par le droit commun [3], pour autant la préqualification en dommages indirects de la perte de données par un hébergeur n’est pas acceptable.


3. Beaucoup de clauses obligatoires

Les couches de réglementation s’empilent et se traduisent concrètement par nombre de mentions obligatoires.

Naturellement, les mentions de l’article 28 du RGPD encadrant les traitements confiés au prestataire par le client. A cet égard, relevons notamment que le client a tout intérêt à préciser les mesures techniques et organisationnelles appropriées que le prestataire doit respecter, en visant les référentiels sectoriels applicables, les éventuelles normes à respecter, certifications à obtenir, et plus généralement l’état de l’art, tout en rappelant le caractère non exhaustif desdites mesures spécifiées. Côté client, toute formulation de type « le prestataire fera ses meilleurs efforts pour » est à proscrire à cet égard, celle-ci traduisant l’engagement en une obligation de moyen induisant un renversement de la charge de la preuve au bénéfice du prestataire.

Bien sûr également, si personne n’ignore que des clauses relatives à l’hébergement de données doivent obligatoirement figurer dans le contrat d’hébergement liant l’hébergeur à son client [4], en revanche rares sont les contrats cloud conclus par un client avec un prestataire recourant à un hébergeur en qualité de sous-traitant ultérieur, reproduisant ces clauses, ce qui est pourtant tout aussi obligatoire [5]. Certes, cette obligation n’est assortie d’aucune sanction réglementaire, toutefois l’obligation de reproduire ces clauses se justifie par la nécessité pour le client final d’être en mesure d’apprécier les prestations d’hébergement dont bénéficie son prestataire, et ce notamment afin de s’assurer de la cohérence des engagements pris par le prestataire à son égard  (le back to back entre contrats), et ce notamment s’agissant des niveaux de service, des conditions de réversibilité, du recours à des tiers, des conditions d’assurance…

On ne peut faire l’impasse sur l’intégration des 135 GHT dans la liste des opérateurs de services essentiels (OSE) qui va supposer de respecter et donc de faire respecter par leurs prestataires, avec une traduction contractuelle, les règles de sécurité idoines…

Enfin, on relèvera que les services d’IA supposeront des contrats tenant compte des exigences du futur fameux Artificial Intelligence Act, mais à ce sujet je vous invite à plonger ici,

Nul doute désormais que le diable est dans les détails.


[1] Art. 28.1 RGPD

[2] Art. 35 RGPD

[3] 1231-3 code civil

[4] R1111-11 CSP

[5] R1111-11 II CSP