Résolution des violations de données dans un contrat de Cloud
Que peut envisager le futur client d’un Cloud pour résoudre ces questions ? Un contrat solide peut-il être utile ? Bien sûr que oui, et il devrait s’attacher à résoudre ces questions par des dispositions contractuelles. Toutefois, on ne soulignera jamais assez que les promesses faites sur papier doivent aussi être étayées par une procédure de « mesures nécessaires » permettant au fournisseur de Cloud de tenir ses promesses au sujet des violations de données et de la réponse aux incidents.
Les clients du Cloud devraient en somme envisager de négocier les dispositions suivantes pour tenir compte des violations de données : Procédures de réponse aux incidents Le client de Cloud doit essayer d’obtenir du fournisseur de Cloud qu’il respecte certaines procédures qui devraient correspondre ou s’intégrer aux procédures internes de réponse aux incidents du client. Les obligations particulières de réponse aux violations de données peuvent comporter en particulier des mesures telles que :
- réaliser des enquêtes dès qu’une violation a eu lieu ;
- atténuer une violation et y remédier ; aviser rapidement le client (en quelques heures) ;
- fournir des rapports écrits et faire régulièrement le point sur l’incident ;
- conserver certaines informations qui pourraient être pertinentes en cas de violation de données (logs, documents de planning, journal d’audits, enregistrements et rapports, etc.) ;
- et documenter les mesures correctives.
Obligations de préserver les données
Si une violation de données a lieu ou si un litige semble imminent, il peut être nécessaire d’entamer un « litigation hold » (conservation documentaire à usage judiciaire) et de préserver les données pertinentes. Le contrat devrait exiger du fournisseur de Cloud qu’il active cette mesure de conservation ou de préservation documentaire si ces événements sont révélés. Le client devrait également essayer d’obtenir le droit d’effectuer ses propres enquêtes judiciaires et procédures de préservation sur les systèmes du fournisseur de Cloud.
Droits d’expertise judiciaire
Le client de Cloud devrait essayer d’obtenir le droit d’effectuer une expertise judiciaire du fournisseur de Cloud si ce dernier est victime d’une violation de données. En cas d’impossibilité, l’obligation de le faire devrait être transférée au fournisseur de Cloud en exigeant par ailleurs qu’il établisse des rapports et fournisse des informations sur la violation de données.
Limites relatives aux fournisseurs de Cloud tiers
Le contrat peut servir à limiter le recours à un fournisseur de Cloud tiers pour la gestion des données. Des modalités peuvent être ajoutées pour empêcher que le fournisseur de Cloud ne passe des données à un fournisseur de Cloud tiers sans le consentement préalable du client. S’il est prévu que des fournisseurs tiers soient employés, le contrat peut imposer au fournisseur de service qu’il effectue une enquête sur les « mesures nécessaires » visant à confirmer que le sous-traitant est en mesure de remplir les obligations auxquelles le fournisseur direct s’est engagé. Le client de Cloud peut aussi exiger des modalités contractuelles obligeant le fournisseur de Cloud à imposer lui-même des obligations similaires à celles signées par le fournisseur direct et dont le but est de permettre au fournisseur direct de remplir ses propres obligations.
Risques de pertes suite à une violation de données
Enfin, les conditions les plus importantes du contrat sont celles qui définissent quelle partie devra assumer la perte si un fournisseur de service est victime d’une violation de données. Les clients devraient négocier des modalités contractuelles qui transfèrent ce risque de perte au fournisseur de Cloud victime de la violation. Ceci peut se traduire par une clause d’indemnisation selon laquelle le fournisseur de Cloud indemnisera le client pour toutes les réclamations et pertes découlant d’une violation de données. Des conditions peuvent être ajoutées pour exiger que le fournisseur de Cloud indemnise les coûts de notification de violation ainsi que les honoraires d’avocats, frais de courrier, frais de contrôle de crédit et frais de centre d’appels. Il est également conseillé aux clients de contrôler, et éventuellement de modifier, les clauses de limitation de responsabilité et de dénégation de dommages consécutifs. Ces clauses limitent la responsabilité du fournisseur de service en cas de ruptures de contrat. Les clients de Cloud peuvent donc envisager de négocier une responsabilité illimitée en cas de violation de données (ou au moins des limites de responsabilité plus élevées pour ces violations).
Notez bien que les exigences liées aux violations de données doivent être soigneusement formulées pour faire valoir une rupture de contrat, et que l’absence de conditions de responsabilité valables dans un contrat pourrait rendre l’imposition de ce type d’exigences peu efficace en premier lieu.
Article extrait de la Hiscox Global Technology news n°1 dédiée au Cloud computing David Navetta, Esq., CIPP Partner, InfoLawGroup LLP