Points clés
- L'intégration de la sécurité dans les contrats fournisseurs est une condition nécessaire — mais insuffisante — d'une gestion mature du risque tiers.
- Des clauses contractuelles de sécurité efficaces définissent des obligations précises, mesurables, assorties de mécanismes de vérification et de conséquences en cas de non-respect.
- DORA impose un ensemble de clauses contractuelles obligatoires pour les contrats avec les prestataires ICT critiques des entités financières.
- Le modèle de clauses contractuelles de sécurité publié par l'ENISA pour NIS2 fournit une base de référence pour les entités essentielles européennes.
- Les clauses de droit d'audit sont les plus difficiles à négocier mais les plus déterminantes pour la capacité de vérification réelle des pratiques de sécurité.
Un contrat fournisseur sans clauses de sécurité substantielles est un accord de confiance implicite sans mécanisme de vérification. Les clauses génériques — "le prestataire respectera les bonnes pratiques de sécurité en vigueur" — sont insuffisantes : elles ne définissent pas d'obligations mesurables, ne prévoient pas de mécanismes de vérification et ne spécifient pas les conséquences du non-respect.
La rédaction de clauses de sécurité efficaces est un exercice de précision : elle doit définir ce qui est attendu, comment ce sera vérifié, et ce qui se passe en cas de défaillance. Cette précision demande une collaboration entre les équipes juridiques, sécurité et achats — une collaboration qui n'est pas toujours naturelle dans les organisations.
Les clauses fondamentales de sécurité fournisseur
Un contrat fournisseur gérant des données ou des accès sensibles doit inclure au minimum les clauses suivantes. Les exigences de certification : le prestataire maintient et peut prouver des certifications de sécurité définies (ISO 27001, SOC 2 Type II selon les cas) pendant toute la durée du contrat. Les exigences de notification d'incident : le prestataire notifie l'organisation cliente de tout incident affectant ses données ou ses accès dans un délai contractuellement défini (généralement 24 à 72 heures). Les droits d'audit : l'organisation peut réaliser ou faire réaliser des audits de sécurité chez le prestataire selon un préavis défini. Les exigences sur les sous-traitants : le prestataire impose les mêmes obligations de sécurité à ses propres sous-traitants accédant aux données ou systèmes de l'organisation.
Les clauses spécifiques DORA
DORA impose un ensemble de clauses contractuelles minimales pour les contrats entre entités financières et prestataires ICT. Ces clauses incluent : la description des services et la garantie de leur niveau de qualité et de disponibilité, les mesures de sécurité applicables, les dispositions relatives à la gestion des incidents ICT, les obligations de participation aux tests de résilience, les droits de résiliation et les plans de sortie (exit strategy), et la localisation des données. Ces clauses sont non-négociables pour les entités financières soumises à DORA — leur absence dans un contrat constitue une violation de l'obligation de gestion des risques ICT.
La négociation des clauses de sécurité
La négociation des clauses de sécurité dans les contrats fournisseurs est un exercice de pouvoir de marché autant que de technique juridique. Les grandes organisations ont généralement le pouvoir d'imposer leurs exigences aux prestataires. Les organisations de taille plus modeste peuvent se heurter à des prestataires dominant leur marché qui refusent de modifier leurs contrats standards. Dans ce cas, les alternatives sont : accepter les conditions du prestataire avec des mesures compensatoires techniques (surveillance renforcée, limitation des données partagées, segmentation des accès), choisir un prestataire alternatif, ou documenter formellement l'acceptation du risque résiduel.
Le FTC a engagé plusieurs procédures contre des organisations de santé ayant transmis des données à des prestataires sans Business Associate Agreement (BAA) conforme HIPAA. Ces procédures ont conclu à des amendes et des obligations de programme de conformité pour les entités de santé responsables — non pour les prestataires. Ce précédent illustre que l'absence de clause contractuelles de sécurité adéquates engage la responsabilité de l'organisation cliente, pas uniquement celle du prestataire défaillant.
L'ENISA a publié en 2024 un guide de référence sur les clauses contractuelles applicables aux relations entre entités financières et prestataires ICT dans le cadre de DORA. Ce guide, élaboré avec les Autorités Européennes de Supervision, détaille les obligations minimales applicables à chaque catégorie de clause. Il inclut des formulations types adaptables par les juristes des entités concernées. Ce guide est devenu la référence de marché pour la rédaction des contrats de services ICT dans le secteur financier européen.
La MAS a publié en 2021 un guide sur les clauses minimales à inclure dans les contrats avec les prestataires de services technologiques critiques pour les institutions financières de Singapour. Ce guide détaille les exigences applicables aux contrats cloud, aux contrats de services de paiement et aux contrats d'externalisation ICT. Il impose notamment des clauses de droit d'audit directes et via des auditeurs tiers, des clauses de notification d'incident et des clauses de plan de sortie permettant une migration vers un autre prestataire sans dépendance excessive au prestataire initial.