Datacenter, la Ronde des responsabilités

Par Céline Barbosa - Avocat au Barreau de Paris

Un accident survient et c’est une ronde qui se forme, celle des responsabilités que chacun va imputer à l’autre, tout en cherchant à limiter ses risques d’entreprise.

Une histoire d’acteurs, de prestations, de préjudices financiers

Là où en français, le terme « responsabilité » est utilisé à tout va, le droit anglais nous offre cette distinction entre la responsabilité technique (‘responsibility’ ou ‘périmètre des prestations’) et la responsabilité financière (‘liability’).

1 – Les responsabilités techniques

Prestations – (exclusions + limites de prestations) = obligations à exécuter au titre du Contrat.

Céline Barbosa, avocat

Etre responsable de la conception-production d’un équipement ne détermine cependant pas la responsabilité d’une entreprise dans la survenance d’un dommage, directement ou indirectement. C’est ainsi qu’avant de pointer du doigt des responsables personnes physiques ou des personnes morales, c’est la recherche des causes qui devra être engagée. Rechercher la cause d’un dommage, c’est d’abord examiner la partie des prestations concernées, endommagées ou en cause et la société en charge des prestations.

Toute expertise contradictoire portant sur un dommage sera menée, afin d’identifier les acteurs, les personnes morales qui sont intervenues techniquement et celles qui ont pris des décisions lors de l’exécution d’un projet.

Un accident survient et c’est une ronde qui se forme, celle des responsabilités que chacun va imputer à l’autre, tout en cherchant à limiter ses risques d’entreprise. « L’autre », c’est celui qui est intervenu dans le projet (sous-traitant de rang 1, 2…). Il a été un acteur dans sa réalisation et il aurait donc potentiellement des responsabilités dans la survenance d’un dommage.

Viser un seul responsable médiatiquement identifiable est si simple. Il suffirait de pointer du doigt une marque reconnue dans son secteur d’activité ou le personnel de maintenance. Plus les acteurs sont nombreux, les prestations imbriquées, plus on se rapproche d’une répartition des responsabilités financières mais pas forcément d’une dilution des responsabilités.

Pour identifier les acteurs (dont les sous-traitants) ainsi que ceux qui conduisent cette ronde des responsabilités, il faut donc procéder à un état des lieux, rassembler les éléments techniques, de conception, de fabrication (onduleurs, batteries…), d’exploitation des équipements (alertes DCIM, la formation…), les limites dans la chaîne de décision technique dans le contrat (exclusion de garantie, périmètre des prestations) et lors de l’exécution du projet. La documentation des risques des datacenters sera utile et il faut relire la boîte à outils de la lettre du Data Center Magazine de mars 2021.

Responsabilités techniques et état des lieux

Cet état des lieux des responsabilités techniques permettra de :

  • identifier les sous-traitants entraînés dans cette ronde et qui doivent se préparer à justifier leurs interventions, leurs choix techniques et tenir à jour la documentation de leurs équipements fournis si celle-ci n’est pas déjà dans la documentation des ouvrages exécutés ;
  • connaître celui ou ceux qui devait(ent) intervenir sur les serveurs, les salles, les équipements, si les procédures ont été respectées et ceux n’ont pas réalisé leurs prestations ou qui les auront mal réalisées ;
  • établir un lien de causalité entre le dommage et le préjudice et donc vérifier si une cause est la cause unique ou non.

2 – Une histoire de responsabilités financières et de stratégie

L’état des lieux des responsabilités financières des acteurs devra être abordé par chacun des acteurs qui s’appuieront sur le contrat et les actes, leurs engagements pendant la réalisation du projet.

Il y a trois types de responsabilité financières, celle visée au Contrat, celle résultant des polices d’assurance et celles résultant des lois et règlements.

  • La stratégie de l’hébergeur et du sous-traitant

Une stratégie contentieuse ne s’échafaude pas lors d’un dommage ou d’un incident. C’est la politique contractuelle de l’entreprise qui la définit à l’égard de ses clients et de ses sous-traitants. Cette politique contractuelle suit la politique commerciale de la société dans son processus de vente.

  • La stratégie contractuelle de l’hébergeur

Un hébergeur de données est à la fois un industriel qui construit, exploite des équipements, en assure la sécurité/sûreté et un fournisseur de services.

L’hébergeur de données, en qualité de propriétaire-exploitant d’un datacenter cherchera à reporter un maximum de risques sur les acteurs externes intervenant au projet (risques industriels) et il souhaitera limiter ses propres risques client.

En qualité de gardien du datacenter, l’hébergeur supporte la responsabilité de la sécurité et de la sûreté du datacenter, charge à celui-ci de démontrer qu’il a sous-traité une partie des obligations qui lui incombent. Son assureur le lui rappellera.

En qualité d’hébergeur de données, il fournit à ses clients des prestations à tiroir, régies par des contrats d’adhésion. Si le client n’a pas payé pour une solution de sauvegarde de ses données, ni pratiqué une sauvegarde de ses données, il découvrira peut-être surpris, l’étendue des obligations qu’il a contractées, seulement au moment du dommage.

L’hébergeur reste malgré tout exposé financièrement à des sanctions au titre de la réglementation RGPD (responsabilité financière limitée mais avec un plafond élevé), à titre d’exemple…

Au titre de ses assurances contractées, l’hébergeur devra supporter les éventuels montants que l’assurance laissera à sa charge, selon les garanties des polices qu’il aura souscrites et selon sa responsabilité dans la survenance du dommage.

La stratégie contractuelle des sous-traitants

Dans la ronde des responsabilités, les sous-traitants auront eu une autre approche des risques et auront cherché à les minorer, à les forfaitiser pour limiter leur responsabilité financière dans le cadre de la vente au donneur d’ordre, des équipements sous-traités dans des contrats d’entreprise. Une erreur serait effectivement de penser que la responsabilité du sous-traitant est illimitée quelle que soit la nature de la faute, du manquement à l’exécution d’une obligation.

Dans une perspective de limitation des risques, la nature de l’obligation (de livrer dans les délais, de fournir un équipement qui répond aux performances, à une disponibilité…) la ‘responsibility’ doit dans une bonne politique contractuelle, trouver une correspondance en termes de conséquences financières (‘liability’) en cas de non exécution, de mauvaise exécution, de retard. Un sous-traitant cherchera à forfaitiser sa propre exposition financière.

La forfaitisation d’un risque passe par la rédaction d’une clause pénale (=la clause au forfait) quand on est dans la position du prestataire/fournisseur et par la recherche d’une responsabilité illimitée quand on est dans la position du donneur d’ordre. L’ajustement entre ces deux positions est une question de négociation, en fonction des risques évalués préalablement, de l’expérience client/fournisseur, des garanties apportées et de la confiance qu’on porte dans un projet, dans les équipements, dans les équipes…

Certaines obligations et certains risques financiers liés à des obligations légales ne peuvent pas être forfaitisés quand on est dirigeants ou sous-traitants (ex du RGPD, compliance).

Les acteurs indirects

Tous les acteurs ne sont pas identifiables et ne font pas partie de cette chaîne d’experts de l’ingénierie du datacenter. Ils pourraient envisager un acte malveillant en ciblant une infrastructure. Ce sont les hacker ou des activistes, selon le cas, ce qui pose la question de la sûreté d’une infrastructure, aux côtés de sa sécurité. Je vous invite à une veille de votre environnement, afin de vous assurer que votre activité n’est pas la cible du moment. Une ronde à laquelle il ne faut pas oublier d’inviter vos juristes et votre avocat en tant que conseil risk manager.