Le recours croissant à des solutions fournies en mode « Software-as-a-Service » (SaaS) a mis en exergue le besoin pour le client d’avoir une maîtrise de ses risques, qui peuvent résulter tant de l’hébergement des données dans le cloud que de la nature des activités externalisées.
Corollaire de l’externalisation, la réversibilité vise à organiser soit la reprise des prestations externalisées par le client, soit leur transfert à un prestataire tiers.
La rédaction de la clause de réversibilité est essentielle pour organiser la fin d’une relation contractuelle. Cette dernière suscite bien souvent une appréhension dans sa mise en œuvre et soulève de nombreuses questions opérationnelles. A titre d’illustration :
La réversibilité implique-t-elle un transfert de données à caractère personnel au sens du RGPD ? Dans l’affirmative, quel est l’instrument approprié afin de garantir la sécurité du transfert ?
En cas de réversibilité confiée à un tiers, comment contractualiser cette opération ? Comment envisager l’articulation des obligations de l’éditeur de la solution et celles du prestataire chargé de la réversibilité ?
Compte tenu de l’impact de la réversibilité sur la continuité de l’activité économique, Mathias Avocats vous propose de revenir sur les principaux points de vigilance.
Cas d’usage
En pratique, la réversibilité est souvent actionnée en cas de différend entre le client et son prestataire. Elle peut résulter notamment de la persistance d’anomalies dans le cadre de l’utilisation d’une solution, de l’indisponibilité d’accès aux données stockées dans le cloud ou encore de la délocalisation des sites d’hébergement par le prestataire sans l’accord du client.
Les conséquences d’un audit, que ce dernier soit de conformité ou purement technique, peuvent également conduire à la mise en œuvre de la réversibilité.
A ce titre, et d’une manière générale, une recommandation serait d’organiser une vérification des modalités opérationnelles (phase de test) de la réversibilité sur un périmètre préalablement défini entre les parties.
Déroulement de la phase de réversibilité
La clause et son plan de réversibilité permettre d’anticiper le déroulement de la phase de réversibilité, afin d’encadrer notamment les modalités suivantes :
- Les prestations faisant l’objet de la réversibilité,
- La durée de la phase de réversibilité et le délai de préavis de sa mise en œuvre,
- Le transfert de savoir-faire accompagnant la restitution des données, notamment au moyen des formations réalisées auprès des équipes du client ou son nouveau prestataire,
- La collaboration attendue du client dans le cadre du déroulement de la réversibilité, notamment la disponibilité des équipes ou l’accès aux systèmes d’information,
- Le coût de la réversibilité qui peut être évalué en fonction du nombre de jours / homme nécessaires pour réaliser l’opération par le prestataire (avec les exceptions en cas de résiliation pour manquement, etc.),
- La recette intervenant à l’issue de la phase de réversibilité, afin de s’assurer de la mise en œuvre efficace de cette dernière,
- La suppression complète et sécurisée des données par le prestataire et ce, dans toutes les régions où les données sont stockées.
Pa ailleurs, la question de la propriété intellectuelle des livrables réalisés par le prestataire et des données produites ou agrégées par l’utilisation d’une solution doit être régie dans la clause de réversibilité. En effet, seuls les éléments appartenant au client pourront lui être restitués. Dans cette hypothèse, la restitution devra prendre en compte les éléments, données, livrables, tels qu’ils sont transmis au moment de la mise en œuvre de cette clause.
Bien entendu, la phase de réversibilité ne doit en aucun cas modifier la qualité, ainsi que les termes, conditions et les niveaux de services du contrat. A ce titre, la convention de service, ainsi que les éventuelles pénalités attachées aux taux de disponibilité de la solution, continuent à s’appliquer pendant la phase de réversibilité.
Modalités techniques de réversibilité
La clause de réversibilité ou le plan devra faire état des prérequis techniques et contraintes applicables à la mise en œuvre de la réversibilité.
A ce titre, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise, dans son dernier référentiel d’exigences applicables à un prestataire de services d’informatique en nuage (SecNumCloud), la mise en œuvre de la réversibilité selon l’une des modalités suivantes :
« la mise à disposition de fichiers suivant un ou plusieurs formats documentés et exploitables en dehors du service fourni par le prestataire ;
la mise en place d’interfaces techniques permettant l’accès aux données suivant un schéma documenté et exploitable (API, format pivot, etc.). »
En effet, outre la mise à disposition des données dans un format « ouvert », de nombreux éditeurs prévoient aujourd’hui la possibilité pour le client de télécharger lui-même ses données ou encore d’utiliser une interface applicative de programmation (API) afin de permettre une migration automatisée vers une solution tierce.
Ainsi, le Client devra prévoir le format de restitution (propriétaire ou non) ou à tout le moins préconiser que cette restitution s’effectuera selon les « standards du marché ».
A noter également que le Client devra disposer d’un délai suffisamment adapté à ses besoins et/ou à son métier, lui permettant de récupérer l’ensemble de ses actifs.
Activités ou fonctions importantes ou critiques
Les modalités contractuelles relatives à la réversibilité doivent répondre à la nature spécifique des opérations externalisées.
Il convient de porter une attention particulière en cas d’externalisation des activités ou fonctions importantes ou critiques au sens de la réglementation applicable notamment aux secteurs d’activité de la banque, des assurances.
Rappelons que l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) a formulé des orientations relatives à la sous-traitance à des prestataires de services en nuage.
De manière générale, l’entité concernée doit identifier et gérer les risques liés à l’externalisation des activités ou fonctions importantes ou critiques, notamment en termes de réversibilité.
A ce titre, elle doit élaborer et documenter en amont des stratégies de retrait, et de prévoir des garanties contractuelles de restitution des données, notamment « en cas d’insolvabilité, de résolution ou d’interruption des activités commerciales du prestataire de services en nuage ».
En tout état de cause, la clause de réversibilité devra être rédigée et négociée à la lumière de l’ensemble des autres stipulations du contrat, des besoins du client ou de la faisabilité pour le prestataire.