Se prémunir contre les risques juridiques découlant du Saas
Le Saas (Software as a service) décolle. Or, une entreprise doit verrouiller son contrat la liant à son prestataire principal et le répercuter en cascade, car les éditeurs, les hébergeurs et les intégrateurs méconnaissent totalement les risques juridiques. « Les engagements pris avec un prestataire ne se retrouvent pas dans la relation avec les sous-traitants de ce prestataire ». Cet avertissement émane de François-Pierre Lani, avocat-associé au cabinet Derriennic associés, et spécialiste du Saas (Software as a Service) qui s'est exprimé lors d'un séminaire tenu par le Syntec Informatique, le syndicat des fournisseurs IT, mardi 16 mars. Avec les offres de Saas, il y a la coexistence entre une relation visible et une relation plus cachée. Dans la première, le client (une entreprise) contractualise avec un couple éditeur-intégrateur. Dans la seconde, le même contrat mobilise en cascade plusieurs acteurs : hébergeurs, opérateurs de télécoms, fournisseurs de matériels, fournisseurs de solutions de sauvegarde. Les risques sont relativement bien identifiés sur la première relation. Ils sont minorés car nettement plus complexes sur la seconde. C'est pourtant dans cette seconde partie que se situent les risques juridiques les plus élevés. « Les sinistres et les risques viennent de cette chaîne d'acteurs qui n'est pas bien contractualisée » souligne François-Pierre Lani qui met le doigt sur les risques engendrés par la cascade de sous traitants qui assurent les services en Saas. Après plus de dix ans d'existence des formules en Saas, et auparavant en ASP (Application Service Provider), les juristes disposent de conclusions sur les risques juridiques entraînés par ces formules. François-Pierre Lani les classe en deux grandes catégories : les risques liés à l'externalisation et ceux liés à la mutualisation. Les risques liés à l'externalisation sont des problèmes sécuritaires classiques liés à la pollution des données ou à la non atteinte des niveaux de services (SLA ou Service Level Agreement) promis. Dans ce cadre, le client n'a pas toujours de recours. Quant au prestataire principal, il n'a pas toujours d'emprise sur ... Photo : François-Pierre Lani, avocat-associé au cabinet Derriennic associés (D.R.) ... l'accès aux données et aux services. Les problèmes peuvent être extrêmement divers : connexion, fonctionnement des systèmes électriques, mauvaise conservation des données, risques en cas de sinistre chez l'hébergeur physique. Quant aux risques liés à la mutualisation ou au partage de ressources, ils sont d'un autre ordre. Par exemple, la divulgation détaillée d'informations du client, l'absence de partitionnement des disques durs contenant les données de plusieurs clients, ou même le fait qu'un client emporte son disque d'accès, même de façon involontaire. Il existe un risque particulier avec les prestataires américains. François-Pierre Lani relève également des cas particuliers, comme la divulgation volontaire de données. Si le prestataire est américain, il peut être obligé de divulguer des informations sur injonction des agences gouvernementales, et ce, même si l'entreprise cliente est étrangère. Un tel cas de figure, doit être prévu dans le contrat. La question de la défaillance d'un prestataire sous-traitant est une autre question cruciale. Le prestataire principal servant de guichet unique sera-t-il en mesure d'assurer la défaillance d'un de ses sous-traitants ? Bien souvent lui-même a tendance à ne pas respecter correctement ses propres sous traitants. On arrive là au coeur des risques juridiques en Saas. « La responsabilité contractuelle du prestataire peut être engagée non seulement en cas de dysfonctionnement de lui-même, mais aussi au titre des défaillances des autres intervenants » annonce François-Pierre Lani. Le cabinet Derriennic associés a d'ailleurs élaboré une matrice des risques liés au Saas et préconise la mise en place de contrats miroirs pour répercuter le contrat signé par le client sur tous les sous-traitants de toute la chaîne et la souscription d'une assurance adaptée au risque.
