Le Flash DGSI de janvier 2024 est consacré aux risques associés au recours à des cabinets d’audit étrangers. A l’instar de ces bons vieux FISA et Cloud Act, nombre de législations étrangères ont pour effet, voire pour objet, de transmettre des informations confidentielles à des autorités extraeuropéennes. Face à un tel risque, comment vous protéger?
Notre service de contre-espionnage rappelle l’existence d’une « loi de blocage », en France. Elle interdit la demande, comme la communication, de documents « stratégiques », dans des procédures judiciaires ou administratives à l’étranger. Sauf que… Ces demandes ne surviennent pas exclusivement dans le cadre de telles procédures. A titre d’illustration, les entreprises américaines recourant à des prestataires européens réalisent souvent des audits poussés, notamment en termes de cybersécurité.
D’accord, mais comment allier sécurité juridique et réalité opérationnelle? Car ne pas répondre à un tel audit équivaut souvent à l’impossibilité de transformer le prospect en client.
Il existe d’autres instruments juridiques permettant d’atteindre cet objectif. Ces mesures de sécurité organisationnelle passent pour la plupart par le biais du contrat, mais pas exclusivement.
Au niveau contractuel, deux mesures importantes :
1) Restreindre les transferts de données personnelles à un tribunal étranger : En effet, ces informations ne sont pas protégées par de la loi de blocage. Exiger le respect des lignes directrices relatives à l’article 49 du règlement 2016/679 est alors la solution. Trois lignes dans le contrat, et vous vous éviterez une position délicate entre le marteau américain et l’enclume « cnileuse ».
2) Assujettir le contrat à la Convention de La Haye n° 0.274.132 du 18 mars 1970 sur l’obtention de preuves à l’étranger en matière civile et commerciale : L’idée sous-jacente, vous assurer la mise en oeuvre par les juges d’un régime probatoire « à la française ». Exit alors le risque de déballer vos secrets au milieu d’un tribunal étatsunien.
C’est bien tout ça, mais ce n’est pas très axé sur la prévention. Certes. Ici, la meilleure solution consiste à recourir à un tiers de confiance. L’idée est simple : comme en matière de certification HDS, il s’agit alors de demander à un certificateur d’émettre un certificat permettant de garantir que votre organisation respecte des règles spécifiques. L’HDS a peu de chances de convaincre un auditeur californien ou new-yorkais. En revanche, si vous visez une certification 27001 ou 27701, sa valeur sera reconnue à l’international.
Avez-vous déjà été contraints de transférer des informations stratégiques à des autorités étrangères ? Des RETEX, des craintes ou des axes de préparation différents? Partagez-les en commentaires.
Et si vous avez besoin de vérifier la robustesse de vos contrats et/ou procédure, n’hésitez pas à me contacter.