Numero 124 | Avis d'expert
Sécurité du cloud
Tags :

Cloud : vers de nouvelles exigences pour certains clients

La fin de l’année 2022 a été riche sur le plan juridique pour les instances européennes, puisqu’après avoir adopté les règlements DSA et DMA, elles ont entériné celui du Digital Operational Resilience Act (Dora), le 10 novembre 2022

Fév 2023
Par Frédéric Forster

Dans un contexte marqué par de multiples attaques, et plus particulièrement par rançongiciel à l’encontre d’entreprises privées et publiques, telles que les hôpitaux, la criticité des conséquences de ce type d’agression sur les activités de certains acteurs économiques a conduit le législateur européen à les inviter à renforcer leurs mesures de prévention.

Quels sont les acteurs concernés ?

L’idée globale de cette règlementation européenne est que la résilience, c’est-à-dire la capacité de résister à des évènements et menaces sur l’activité, des entreprises des secteurs financier et assurantiel, soit assurée.

Sont donc concernés, en premier lieu :

  • les établissements de crédit ;
  • les établissements de paiement ;
  • les prestataires de services de cryptoactifs ;
  • les assureurs et réassureurs ;
  • les organismes de retraite professionnelle.

Si ces acteurs sont directement soumis aux dispositions issues de ce règlement, leurs prestataires de services le sont également, dès lors qu’ils concourent à leurs activités.

Les conséquences sur les prestataires de services cloud

Le règlement prévoit expressément que les prestataires de services, et donc ceux opérant sur le marché du cloud, devront :

  • s’interroger sur le fait de savoir si le service qu’ils proposent à leurs clients est un service « critique » ;
  • tenir compte « de l’ampleur, de la complexité et de l’importance de la relation de dépendance avec ce dernier ».

Par ailleurs, les prestataires de services cloud devront contribuer à accompagner leurs clients au cours de la mise en œuvre des obligations nouvelles qui vont peser sur eux. Parmi ces dernières, on citera l’obligation de réaliser une cartographie détaillée du système d’information et des flux de données internes comme externes. De cette façon, ces prestataires de services devront prendre en considération ces nouveaux éléments non seulement dans leurs offres techniques et commerciales, mais également dans les contrats qu’ils concluent.

Ainsi, ces accords devront notamment, adresser les sujets suivants :

  • lieu d’hébergement final des données ;
  • garanties d’accès, de récupération et de restitution des données en cas de défaillance du prestataire ;
  • possibilités d’audits techniques par des tiers ;
  • contribution à la réalisation, par les clients, des notifications d’incidents qu’ils devront réaliser auprès des autorités nationales, et des tests annuels de résilience.

Entrée en application

L’entrée en application de ces dispositions est fixée au mois de décembre 2024.

Bio express

Frederic Forster - Alain Bensoussan Avocats - Lexing

Avocat à la cour d’appel de Paris, Frédéric Forster dirige le pôle Télécoms du cabinet Alain Bensoussan Avocats Lexing depuis 2006. Il était précédemment directeur juridique du groupe SFR. Il est également vice-président du réseau international d’avocats Lexing.

Sur le même sujet