Tribunes

SecNumCloud : quelle est la portée juridique réelle de la qualification de l'Anssi ?

Comme le souligne François-Pierre Lani, avocat associé au cabinet Derriennic Associés, « une règle opérationnelle n’est efficace que s’il est possible de contraindre contractuellement un prestataire à l’appliquer. » (Photo : D.R.)

Né comme une certification de cybersécurité, SecNumCloud se veut aussi une garantie contre la portée extraterritoriale du droit américain. Dans une certaine mesure. Le décryptage des avocats de Derriennic Associés.

PublicitéAlors qu'avait fait grand bruit la publication sur Linkedin par le directeur général de l'Anssi (Agence nationale de la sécurité des systèmes d'information), Vincent Strubel, d'un post au sein duquel ce dernier revenait sur les exigences et limites du service rendu par les prestataires disposant de la qualification SecNumCloud, notamment eu égard à l'application extraterritoriale du droit américain, la mise en place de prestations SecNumCloud au sein des entreprises demeure un défi nécessitant d'articuler compréhension juridique et enjeux opérationnels.

Les origines des prestations de service « qualifiées »

Définie et délivrée par l'Anssi, la qualification SecNumCloud fait partie d'un ensemble de qualifications d'offres de produits de sécurité ou de prestataires de services dit « de confiance » fournissant des services qui contribuent à la sécurité des systèmes d'information, allant de celle des prestataires d'administration et de maintenance sécurisées (PAMS) à celle des prestataires de réponse aux incidents de sécurité (PRIS) en passant par celle des prestataires de services sécurisés d'information en nuage qui font, donc, l'objet de la qualification SecNumCloud.

Historiquement passés du statut de simples « certifications » à celui de « qualifications », ces différents labels décernés par l'ANSSI sont tout d'abord institués pour conférer aux Opérateurs d'Importances Vitales (OIV), entités désignées par le gouvernement en vertu de la loi de programmation militaire de 2015, un cadre pour permettre à ces derniers de contractualiser avec des prestataires offrant les garanties de sécurité nécessaires à la préservation des intérêts nationaux et de sécurité portés par lesdits opérateurs.

Autrement dit, c'est pour permettre notamment aux OIV de satisfaire aux exigences légales qui sont à leur charge lors de leur recours à des prestataires externes que la notion de prestataire qualifié est introduite dans le code de la défense.

Adaptation des relations contractuelles

Cela étant dit, la précision et l'exigence des « référentiels » édictés par l'Anssi pour prétendre à une qualification en matière de services de cybersécurité permettent, selon la plupart de ces référentiels eux-mêmes, « d'apporter une réponse aux besoins exprimés dans plusieurs réglementations » voire d'« être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire ».

Que contiennent, alors, ces référentiels et, tout spécialement, SecNumCloud ? De nombreuses règles opérationnelles et/ou techniques sont édictées par ce dernier, allant de l'obligation de chiffrement des données stockées, des flux ou de hachage des mots de passe à celle de documenter la sélection des ressources humaines affectées à l'offre de service. Mais, plus encore, et tel que cela est bien souvent le cas en matière de conformité règlementaire, le référentiel SecNumCloud dresse un grand nombre de recommandations propres à la mise en place du véhicule contractuel du service.

PublicitéEn effet, l'Agence prend ici acte d'un constat largement répandu en matière de cybersécurité : une règle opérationnelle n'est efficace que s'il est possible de contraindre contractuellement un prestataire à l'appliquer. C'est pour cela, notamment, que le référentiel SecNumCloud prévoit, par exemple, que la convention de service doit être soumise au « droit d'un État membre de l'Union Européenne » et que le « droit applicable doit être identifié dans la convention de service. »

Limites juridiques et techniques des prestations SecNumCloud

Mais, plus encore, le référentiel SecNumCloud contient des exigences contractuelles et techniques portant, par exemple, sur la localisation des données hébergées. Ainsi, le prestataire qualifié doit-il « stocker et traiter les données du commanditaire au sein de l'Union Européenne ».

Pour autant, et comme l'écrit Vincent Strubel, une qualification SecNumCloud « ne signifie pas que le prestataire de cloud peut opérer à long terme en autarcie complète, sans s'appuyer sur des fournisseurs non européens ni disposer de mises à jour fournies par des tiers » mais bien que le risque d'application d'un droit extra-européen est limité par les exigences de localisation des dirigeants et d'origine des capitaux au sein de l'Union Européenne, effectivement prévues dans le référentiel.

Pour autant, ces garanties de localisation ne sont effectives que tant que le prestataire auquel est faite une injonction émanant d'une autorité non européenne et affectant ses clients européens, ne la suivra pas, « en tout cas, écrit encore Vincent Strubel, pas sans la contester en en référant aux autorités nationales et européennes »... De l'aveu même du directeur de l'Anssi, ainsi, une telle sécurité pourrait, par exemple, se révéler largement tributaire de l'interprétation des termes « possession », « custody » ou « control », présents dans le Cloud Act, par une juridiction disons américaine.

Tribune rédigée avec Jeremy Achour, avocat au sein du cabinet Derriennic Associés. Jeremy Achour assiste les clients du cabinet sur leurs problématiques liées à la propriété intellectuelle ainsi qu'au droit des nouvelles technologies, tant en conseil qu'en contentieux. Il intervient particulièrement en contentieux informatique ainsi qu'en négociation de contrats informatiques.

Article rédigé par

François-Pierre Lani, Avocat Associé - Derriennic Associés
François-Pierre Lani. Titulaire d'un DESS de Droit Informatique et Technologies Nouvelles de l'Université de Paris XI, François-Pierre a été juriste pendant plus de dix ans au sein de différentes directions juridiques, dont celles d'acteurs majeurs tels que AXA, la SLIGOS et le Groupe ELF AQUITAINE. Il a acquis une solide expérience dans le domaine des contrats internationaux. Fort de cette expertise, François-Pierre concentre aujourd'hui son activité sur les fusions-acquisitions en France et à l'international, le contentieux des nouvelles technologies, le droit social et de la distribution, notamment appliquée au domaine de l'énergie.