Saas et authentification, du bon usage du contrat

Le SaaS comporte une très grande variété de situations et de services obligeant prestataires et clients à signer des contrats délimitant avec précision le périmètre de la prestation offerte et rendue.

Le SaaS, pour « Software as a Service », également connu sous le terme d’ASP, pour Application Service Provider, est un mode de distribution des logiciels apparu en 2000.

Consistant à distribuer à distance des services et des logiciels associés, le SaaS, comme l’ASP, comporte une variété de situations et de services très importante qui oblige à avoir des contrats prestataire / client délimitant avec précision le périmètre de la prestation offerte et rendue.

Ces services vont de l’hébergement des données de l’utilisateur jusqu’à l’assistance à l’utilisation de l’application logiciel, en passant par la maintenance corrective ou évolutive, le tout étant systématiquement accompagné d’une licence de logiciel.

Du point de vue du prestataire de service, deux questions majeures de sécurité se posent. Comment, en premier lieu, réserver au seul utilisateur régulier, celui en contrat avec le prestataire, l’accès à distance au service.

En effet, si le prestataire laisse un tiers non autorisé accéder au service, prendre connaissance des informations concernant son client, lesquelles peuvent être confidentielles, quelle sera alors sa responsabilité ? Pour prévenir cet accès indu, la réponse est bien évidemment tout d’abord technique.

Mais cette réponse technique n’est que partielle. Pour prévenir le risque de responsabilité juridique, le prestataire dispose également d’un outil juridique efficace, le contrat. Ce contrat doit impérativement comporter un certain nombre de dispositions que nous exposons ci-après.

SaaS et authentification, du bon usage du contrat

Pour mémoire, l'authentification est le processus par lequel on vérifie que l'utilisateur est bien le propriétaire de l'identifiant que le prestataire SaaS aura attribué à son client en contrat. Les méthodes d'authentification sont classiquement rangées dans trois catégories : « ce que je sais » que je suis seul à connaître (un mot de passe par exemple), « ce que je possède » comme un badge ou, enfin, « ce que je suis » tel que mes empreintes digitales.

La méthode d'authentification la plus souvent utilisée par les prestataires SaaS est le recours au couple identifiant et mot de passe. Or, le prestataire a tout intérêt à intégrer dans son contrat une gestion juridique de ce couple.

Tout d'abord, il devra imposer une longueur minimale au mot de passe. La CNIL considère qu'un mot de passe doit être constitué de plus de quatre caractères et de préférence d'au moins huit et elle a déjà considéré que les mesures de sécurité étaient insuffisantes pour réserver l'accès aux fichiers (...) [qui] étaient accessibles grâce à un mot de passe de quatre caractères seulement » [1].

Le mot de passe est bien évidemment réservé à une personne ou un groupe de personnes. Il est donc, par essence, confidentiel. Cette confidentialité doit revêtir un caractère juridique, c'est à dire être obligatoire pour l'utilisateur. Cette obligation de confidentialité, pour être juridique, doit être rappelée à l'utilisateur dans le contrat qui le lie au prestataire. La disposition contractuelle qu'on retrouvera au contrat devra ressembler à la stipulation suivante : « l'ensemble des éléments permettant au client de s'identifier et de se connecter au service sont personnels et confidentiels [2] ».

Le manquement à cette obligation juridique n'est pas sans conséquence. Si l'utilisateur ne la respecte pas et qu'il se trouve victime d'un accès frauduleux, le prestataire SaaS pourra plus facilement dégager sa responsabilité.

En second lieu, le mot de passe doit avoir un détenteur légitime nominativement désigné au contrat. Ainsi, le contrat ou ses annexes devront désigner nommément les détenteurs légitimes des mots de passe, c'est à dire ceux des collaborateurs du client ayant le droit d'accéder au service.

Enfin, le prestataire SaaS ne devra pas oublier que le mot de passe est aussi un moyen de preuve qui peut, là encore, lui faire échapper à une responsabilité s'il s'agit de prouver l'intrusion d'un tiers non autorisé. Il peut en effet être retenu par les parties dans leur contrat pour constituer un moyen de preuve.

C'est ce qu'on appelle une « convention de preuve ». Cette pratique est reconnue par la loi depuis 2000 [3] et figure à l'article 1316-2 du Code civil, qui dispose que « lorsque la loi n'a pas fixé d'autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu'en soit le support ».

Quantité de contrats et de chartes stipulent que « la saisie du mot de passe confidentiel remis à l'utilisateur vaudra preuve de l'utilisation du service entre les parties ». Cette disposition est une « convention valable » au sens de la loi. Le mot de passe devient dans ces conditions le moyen de preuve décidé par les parties. Enfin, le mot de passe est une signature.

La carte bancaire est un exemple fameux de ce type de signature. Stipulée au contrat qui lie le client à sa banque, la saisie du code confidentiel vaut engagement du client à donner un mandat irrévocable à la banque de payer le commerçant concerné. Le mot de passe dépasse ici le statut de moyen d'authentification pour déborder sur celui, classique pour une signature, de preuve d'engagement et d'utilisation du service.

 

 

L'auteur est notamment administrateur de l'ASP Forum (www.aspforum-france.org) et co-auteur pour cette association professionnelle d'un contrat type ASP.

 


[1] CNIL, délibération n° 88-78, 5 juillet 1988

[2] Art. 11, conditions générales Internet Pro Orange (décembre 2007).

[3] Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.