Devant la multiplication des réactions de lecteurs depuis la publication de l’interview de jeudi 18 mars 2021, LTA est retourné interroger Maître Craponne pour davantage de précisions.

Quelles sont les chances de réussite des clients d’OVH dans leurs démarches d’indemnisation auprès des assureurs ?

Il est important de garder à l’esprit que le droit des assurances est avant tout un droit contractuel et ce de manière encore plus flagrante sur des polices relativement récentes comme celles couvrant les risques cyber. Aussi, il n’est pas envisageable de se prononcer sur la couverture ou non des risques dans le cadre de l’incendie OVH sans avoir analysé la (ou les) police(s) effectivement souscrite(s), que ce soit par OVH mais aussi par chacun des clients concernés.

Par ailleurs, si les aspects assurantiels sont intéressants et doivent nécessairement être examinés face à un tel sinistre, il ne s’agit pas de la seule et unique réponse à considérer : la conformité de chaque opérateur et les liens contractuels entre OVH et ses partenaires/clients ne peuvent être ignorés.

Le RGPD a posé de nouvelles règles (ou du moins des précisions sur des règles connues) en termes de responsabilité via les notions de responsable de traitement et de sous-traitant. Cette question est fondamentale : de la qualification du statut d’OVH dans ses relations avec son réseau découlera celle de l’étendue de sa responsabilité.

Il n’est en effet pas rare que les hébergeurs ne soient considérés que comme sous-traitant du point de vue du traitement des données, ce qui n’écarte pas de leur responsabilité mais la limite tout de même, s’agissant notamment de la détermination de la finalité du traitement.

Par ailleurs, le RGPD renforce les obligations de sécurisation des données traitées, ce qui implique notamment de s’assurer que les données ne pourront pas être détruites ou corrompues. Le fait de recourir à un hébergeur de données n’enlève rien à cette obligation et il revient bien à chaque responsable de traitement de prendre les mesures nécessaires pour la respecter.

A défaut de sauvegarde par exemple, le risque de perte des données doit être accepté par le détenteur de ces données et non pas par l’hébergeur (ou du moins pas en totalité), quoique les conséquences puissent être dramatiques.

L’anticipation est également une composante à part entière de la démarche de mise en conformité : une entreprise quelle qu’elle soit qui n’a mis en place aucun plan de reprise ou de continuation de l’activité subira de facto des pertes plus importantes sans que cela puisse être imputé en totalité au sinistre originel.

La Cnil s’est d’ailleurs emparée du sujet en déclarant officiellement (mais sans véritable surprise en réalité) que cet incendie constituait une violation de données impliquant donc des obligations déclaratives pour les entreprises concernées.

A nouveau, s’il s’agit d’un réel dommage pour les clients d’OVH (frais de notification), ce coût pourra difficilement être imputé en totalité à l’hébergeur de données, la responsabilité des dits clients étant également en cause.

Pourquoi la responsabilité d’OVH pourrait ne pas être recherchée ?

En termes d’hébergement, les clauses limitatives voire élusives de responsabilité ne sont pas rares et se justifient en fonction du rôle de l’hébergeur ainsi que des prestations annexes qu’il peut proposer (sécurité de l’hébergement, sauvegarde complémentaire, PCA/PRA …).

Naturellement, un hébergeur dont les obligations sont limitées au seul stockage de données brutes aura une responsabilité bien moins étendue que s’il était tenu à un niveau de sécurité déterminé et une garantie de reprise d’activité par l’intermédiaire d’une sauvegarde.

L’expérience montre que l’assurance, a fortiori en matière de cyber-risques, doit être envisagée pour couvrir des risques résiduels, c’est-à-dire après une véritable démarche de mise en conformité et de sécurisation destinée à réduire au maximum les risques. Cette démarche, pour être efficace, doit passer par une sécurité informatique, physique, juridique et logique, l’assurance venant ensuite couvrir l’aléa subsistant car le risque zéro n’existe pas.

La réponse assurantielle ne peut donc faire l’économie d’une analyse des contrats de l’assuré et de son fonctionnement interne et externe. C’est cette réalité que l’incendie du datacenter d'OVH met en évidence et non uniquement celle d’un débat entre assureurs sur la couverture ou non des risques.