Les fuites de données régulières chez des grandes sociétés de vente en ligne françaises rappellent l’importance de bien négocier la question des risques cyber dans les contrats informatiques.

Dans ces contrats, la clause de plafond de responsabilité destinée à couvrir ces risques graves fait généralement l’objet d’une négociation. Le client veut couvrir le mieux possibles les risques, qui peuvent être considérables. Par exemple, si le système de paiement d’une chaine de magasin est bloqué pendant plusieurs jours, l’enjeu va être la survie même de l’entreprise. Et si les données ont été piratées, les sanctions de la CNIL peuvent être importantes, et le risque d’image peut l’être encore beaucoup plus.

Le prestataire, de son côté, veut limiter sa responsabilité par rapport au coût facturé des prestations. C’est ici qu’intervient l’assurance cyber, qui en principe couvre le montant du risque en cas de sinistre.  Mais depuis deux ans, la multiplication des sinistres, notamment avec les piratages donnant lieu à demandes de rançons, a amené les assurances à augmenter considérablement les primes, et à réduire les plafonds couverts. Les prestataires sont donc pris entre deux feux : des clients qui négocient des plafonds de responsabilité élevés, et des assurances qui baissent les plafonds assurés.

Le prestataire peut donc être amené à signer un plafond de responsabilité mal couvert par son assurance. Pour le client, ce plafond devient virtuel dès lors qu’il n’est pas couvert par l’assurance ou par la capacité financière propre du prestataire.

Notre conseil : lors de la négociation de votre contrat informatique, il est donc essentiel de vérifier la cohérence entre le plafond de responsabilité, le montant assuré et la capacité financière globale de votre prestataire. Voici une checklist de 7 questions pour vous guider dans votre analyse stratégique .

• Le plafond traduit-il le niveau de dépendance opérationnelle du client au service concerné ?
  → Un plafond standard basé sur le coût du contrat ne suffit pas si le service conditionne une part essentielle du chiffre d’affaires ou de la continuité d’activité. La responsabilité doit être calibrée sur la criticité réelle.

• Le périmètre de responsabilité est-il clair sur les causes indirectes ?
  → Les interruptions de service ou pertes de données entraînent souvent des préjudices en cascade. Une exclusion trop large des “dommages indirects” revient à neutraliser la garantie.

• Le lien entre assurance et plafond est-il contractuellement établi ?
  → Certains contrats mentionnent l’existence d’une assurance sans engager le prestataire sur le maintien de sa couverture. Or, sans obligation de continuité, le plafond devient théorique.

• Le contrat prévoit-il une articulation entre les plafonds de responsabilité et les obligations de sécurité ?
  → Si les obligations de sécurité sont contractuellement définies (ex. normes ISO, patch management, continuité d’activité), le plafond doit refléter le niveau de risque associé à leur manquement.

• La responsabilité contractuelle tient-elle compte des obligations réglementaires applicables ?
  → Les exigences du RGPD, de DORA ou des référentiels de l’ANSSI peuvent imposer un niveau de diligence supérieur. Un plafond trop bas peut être jugé déséquilibré si le prestataire est soumis à ces obligations.

• Le contrat distingue-t-il les différents régimes de responsabilité ?
  → Certains incidents (ex. violation de données personnelles) relèvent d’une responsabilité légale spécifique. Prévoir un sous-plafond unique peut fragiliser le client en cas de cumul d’incidents.

• Existe-t-il une clause de réévaluation ou d’ajustement du plafond en cas d’évolution du risque ?
  → Les contrats pluriannuels devraient intégrer une clause de révision automatique du plafond (ou du montant assuré) en cas de changement substantiel du périmètre, des technologies ou des obligations réglementaires.

Notre équipe peut vous accompagner dans pour toute question liée à vos contrats informatiques en conseil, négociation et contentieux.