La dématérialisation des données a pris une dimension particulière avec le développement du Cloud Computing. Ce modèle informatique de plus en plus omniprésent séduit massivement, de par sa simplicité d’usage, son efficacité, sa rentabilité et son évolutivité instantanée. Pour les entreprises, ces avantages doivent toutefois être évalués par rapport à la perte potentielle de contrôle lorsqu’elles font appel à des fournisseurs de Cloud Computing pour réaliser des processus clés. En partenariat avec Hiscox, Verspieren s’intéresse aux problématiques nées des violations de données et à la responsabilité dans le Cloud.
Par David Navettan Esq., CIPP Partner, InfoLawGroup LLP
Comment faire face aux violations de données dans le Cloud ?
Lorsqu’une entreprise envoie des données sensibles dans le Cloud, elle fait entièrement confiance aux dispositifs de sécurité et aux procédures de réponse aux incidents que le fournisseur de Cloud a prévu pour faire face aux violations de données. Un état de fait qui soulève nombre de questions fondamentales.
Quels sont les «intérêts» et de quelles parties considérés comme prioritaires ?
Lorsqu’une entreprise gérant ses propres données est victime d’une violation, il va de soi qu’elle mettra tout en œuvre pour traiter rapidement l’incident afin de défendre ses intérêts. Etant donné qu’elle contrôle ses systèmes et les données qu’ils contiennent, elle est en mesure d’agir promptement pour protéger ses intérêts et ce, du point de vue de son activité et de sa responsabilité juridique.
La situation est tout autre lorsqu’une entreprise fait appel à un fournisseur de Cloud.
Lorsqu’un fournisseur de Cloud est victime d’une violation menaçant les données de ses clients, ses intérêts ne sont pas forcément les mêmes que ceux de ses clients. Etant donné que sa responsabilité peut être engagée, le fournisseur de Cloud va très souvent déployer des dispositifs pour gérer toute violation de sécurité et sauvegarder avant tout ses propres intérêts. De leur côté, les clients du Cloud n’auront pas forcément le contrôle et un accès aux systèmes dont ils bénéficient pour enquêter, recueillir des preuves ou tenter de se prémunir d’une violation de données. Pour se préserver, quelques fournisseurs de Cloud pourraient être tentés de dissimuler certains faits à leurs clients. De même, d’autres pourraient accorder des traitements de faveurs aux clients les plus lucratifs en les considérant mieux que d’autres clients de moindre envergure.
Les procédures de réponse aux incidents du fournisseur du Cloud
Lorsqu’une entreprise souhaite adopter le Cloud Computing, il convient de porter une vive attention sur les procédures de réponse aux incidents proposées par les fournisseurs pour savoir comment les violations de sécurité sont traitées. Voici quelques questions à se poser pour guider votre réflexion :
- Qu’est-ce-qui constitue une violation de données aux yeux du fournisseur ?
- Quelles sont les processus et les technologies utilisés pour empêcher et détecter les violations de sécurité ?
- Quels outils utilise le fournisseur de Cloud pour enquêter sur les violations ?
- Comment les violations les plus graves sont-elles traitées ?
Les sociétés qui entreprennent cette démarche devront par ailleurs vérifier leurs propres dispositifs internes et les comparer à ceux du fournisseur pour s’assurer de leur concordance. Les politiques de réponse des deux entités aux incidents doivent également s’ajuster le plus étroitement possible. La coordination et la coopération avec le fournisseur de service constituent les clés pour optimiser son plan de réponse aux incidents.
Enquêtes judiciaires et investigations informatiques dans le Cloud
Une entreprise cliente auprès d’un fournisseur de Cloud peut naturellement s’interroger sur la possibilité de mener une enquête judiciaire à la suite d’une violation de données subie par son prestataire. Une démarche indispensable pour analyser la source d’une violation, éliminer ses facteurs, déterminer quelles données ont été les plus exposées ou encore évaluer dans quelle mesure l’entreprise a été exposée aux risques. Enfin, cette enquête peut également servir à recueillir des preuves informatiques dans le cadre d’une action en justice.
Les informations tirées d’une enquête judiciaire sont d’une importance capitale dans de nombreux cas de violation de données et peuvent servir de preuves déterminantes dans le cadre d’une procédure judiciaire.
Les expertises judiciaires exigent, normalement, que les enquêteurs aient un accès physique sur site aux ordinateurs victimes de ces violations, et ce, quand bien même les mesures judiciaires prises pour obtenir les données peuvent perturber le bon fonctionnement des systèmes. Dans ce contexte, un fournisseur de Cloud Computing peut interdire à ses clients d’accéder à ses serveurs lorsqu’une violation de données a été constatée. Certains fournisseurs de Cloud défendent cette position en arguant que, les serveurs étant partagés par de multiples entités, une acquisition judiciaire de données à partir de ces serveurs exposerait les informations confidentielles des autres clients du fournisseur (ce qui constituerait une infraction aux clauses juridiques de confidentialité). Cette action aurait également un impact sur la disponibilité des systèmes aux autres clients. En outre, il est possible qu’un fournisseur de Cloud souhaite limiter la faculté de ses clients à enquêter sur une violation de données afin de protéger ses intérêts propres et limiter sa responsabilité potentielle.
Cas du fournisseur multi-Cloud
Dans certains cas un fournisseur de Cloud, auprès duquel une entreprise a passé contrat, peut solliciter les compétences d’un fournisseur tiers pour effectuer le traitement, le stockage et la transmission des données du client. Dans ces conditions, le fournisseur tiers qui est victime d’une infraction n’a pas toujours de relation contractuelle avec le client de Cloud. Pour sa part, ce dernier n’a pas forcément de droits en cas de violations de données. Les problèmes de conflit d’intérêt et d’accès aux serveurs pour mener des enquêtes judiciaires peuvent alors être source de conflit et exacerber les tensions en cas de défaillance de sécurité. S’il est difficile d’obtenir un accès aux serveurs d’un fournisseur avec qui on a noué une relation contractuelle, ceci peut se révéler virtuellement impossible quand un client n’a pas le moindre droit contractuel.
Comment résoudre les violations de données dans un contrat de Cloud ?
Comment le futur client peut-il résoudre ces questions pour se prémunir d’éventuelles déconvenues ? Assurez-vous que le contrat contienne des dispositions qui sécurisent tous les points abordés précédemment. Attention ! Les promesses faites sur le papier doivent être étayées par une procédure de mesures permettant au fournisseur de tenir ses engagements au sujet des violations de données et de la réponse aux incidents. Un client n’a nullement envie d’apprendre, dans une situation d’urgence, que son fournisseur lui a fait de fausses promesses !
En partenariat avec Hiscox, Verspieren vous conseille pour négocier des dispositions relatives aux violations de données, notamment en ce qui concerne :
Les procédures de réponse aux incidents. Essayez d’obtenir du fournisseur de Cloud qu’il respecte certaines procédures. Les obligations particulières de réponse aux violations de données peuvent comporter des mesures telles que :
- la réalisation d’enquêtes dès qu’une violation a été constatée,
- l’atténuation d’une violation et la solution appropriée tout en avisant rapidement le client,
- la fourniture de rapports écrits et la mise en place de points réguliers sur le traitement de l’incident,
- la conservation de certaines informations clés en cas de violation de données (logs, documents de planning, journal d’audits, etc.),
- la documentation relative aux mesures correctives.
Les obligations de préserver les données. Lorsqu’une violation de données intervient ou si un litige semble imminent, il peut être utile de conserver des données essentielles à des fins judiciaires. Le contrat devrait comporter des dispositions stipulant que le fournisseur de Cloud active cette mesure de conservation en cas de défaillance. Essayez d’obtenir également le droit d’effectuer vos propres enquêtes judiciaires et de mener des procédures de sauvegarde sur les systèmes du fournisseur de Cloud.
Les droits d’expertise judiciaire. Veillez à obtenir le droit d’effectuer une expertise judiciaire lorsque votre fournisseur de Cloud est victime d’une violation de données. Si cela s’avère impossible, l’obligation de le faire devrait être transférée au fournisseur de services en exigeant qu’il dispense des rapports et des informations sur la violation des données.
Le contrat peut également servir à limiter le recours à un fournisseur de Cloud tiers pour la gestion de vos données. Par exemple, des modalités peuvent être ajoutées pour empêcher que le fournisseur de services ne passe des données à un sous-traitant sans votre consentement préalable. S’il est prévu que des fournisseurs tiers soient employés, le contrat peut imposer que le fournisseur de services effectue au préalable une enquête confirmant que le sous-traitant respecte les obligations auxquelles le fournisseur direct s’est engagé.
Les risques de pertes suite à une violation de données. Les conditions les plus importantes du contrat sont celles qui déterminent quelle partie devra assumer les pertes à la suite d’une violation de données subie par le fournisseur de services. Les entreprises-clientes devraient négocier des modalités contractuelles qui transfèrent ce risque de perte à leur fournisseur de Cloud. Ceci peut se traduire par une clause de compensation selon laquelle le fournisseur indemnisera son client pour toutes les réclamations et pertes découlant d’une violation de données. Une entreprise-cliente peut être à même d’ajouter des conditions contractuelles qui imposent au fournisseur d’indemniser les coûts de notification de violation ainsi que les honoraires d’avocats, les frais de courrier, les frais de contrôle de crédit ou encore les dépenses de centre d’appels. Enfin, il est également vivement recommandé de contrôler, voire de modifier, les clauses de limitation de responsabilité et de dénégation de dommages consécutifs (ces clauses limitant la responsabilité du fournisseur en cas de rupture de contrat).
Attention ! Les exigences liées aux violations de données doivent être dûment formulées pour faire valoir une rupture de contrat.
Avant de faire votre entrée dans le Cloud, effectuez une analyse approfondie des risques et veillez à les prendre en compte au moment de la signature du contrat.