Skip to main content

LA DOUILLE #55 – De l’audit à la faute, il n’y a qu’un pas

By 21 décembre 2025juin 7th, 2026No Comments

LA DOUILLE #55 – DE L’AUDIT À LA FAUTE, IL N’Y A QU’UN PAS

Audit de sécurité SaaS : quand un audit client devient le prétexte d’une résiliation pour faute

FlowSync : un grand client médical, un contrat long et un plafond illimité sur les données

L’entreprise d’Eugénie vient de changer de dimension.

FlowSync, son SaaS de synchronisation de données, devient le prestataire d’un grand groupe du secteur médical. Une catégorie de référence client qui rassure tout le monde : investisseurs, partenaires, équipes internes.

Le contrat de prestation de services conclu entre FlowSync et ce grand client est long (50 pages), dense et sérieux.

Evidemment, ce contrat prend des mois à être signé, avec un nombre d’aller-retours qu’on ne veut même plus compter.

Pendant la négociation, la responsabilité liée aux données personnelles est particulièrement débattue. Sur ce point, le client est inflexible. Il est d’accord pour un plafond de responsabilité classique sur les manquements contractuels, mais avec une exception prévoyant une responsabilité illimitée pour les obligations liées à la protection des données personnelles.

Eugénie s’en souvient très bien. Elle avait lâché.

À l’époque, cela lui avait semblé logique. FlowSync traitait des données sensibles et son client ne pouvait pas se permettre de prendre des risques sur ce point.

Au début, la licence FlowSync était très abordable, et puis chaque année elle augmentait.

Le client était content du produit, il n’avait jamais vraiment grincé des dents à l’annonce des augmentations.

Jusqu’en février 2025.

Le client râle, négocie, laisse entendre qu’il ne sera plus possible de travailler ensemble si cela continue.

Mais Eugénie tient bon. Elle assume le prix du service et rappelle ce qu’il couvre : des charges importantes pour assurer la sécurité des données, et une clause de responsabilité potentiellement illimitée en cas de problème.

Finalement, le contrat est renouvelé. C’est reparti pour 3 ans.

L’audit comme point de bascule

Un mois plus tard, le client informe qu’il souhaite exercer son droit d’audit sur les mesures de sécurité, conformément au contrat.

Le préavis est respecté. Les auditeurs signent un engagement de confidentialité.

Tout est juridiquement propre.

L’audit commence. Les consultants travaillent méthodiquement pendant trois jours.

Eugénie n’en revient pas quand elle reçoit le rapport : dix pages de « manquements aux obligations de sécurité prévues au contrat. »

Et encore moins lorsque, deux jours plus tard, elle reçoit une lettre recommandée l’informant de la résiliation du contrat pour faute.

Une faute juridiquement suffisante

Eugénie tente d’obtenir des explications.
De comprendre ce qui justifie une rupture aussi brutale alors que les manquements lui semblent largement exagérés et amplifiés.

En réponse, son client lui mentionne seulement qu’en plus de résilier le contrat, il pourrait même notifier les violations à la CNIL.

C’est là qu’elle comprend que la gravité réelle des manquements n’est plus le sujet.

Ils sont discutables. Corrigeables.

Aucun incident n’a eu lieu. Aucune donnée n’a été compromise.

Ce qui compte, c’est que ces manquements permettent juridiquement de qualifier une faute et que le contrat ne la protège pas bien pour démontrer que cela ne suffit pas pour résilier le contrat.

Sécuriser contractuellement un audit de sécurité client : obligation de moyens, périmètre et procédure

L’audit de sécurité est un outil légitime pour un client. Mais il peut aussi être détourné de son objectif.

Un client, cherchant à sortir d’un contrat, pourrait s’appuyer sur un audit pour identifier des failles mineures et les monter en épingle afin de fonder une résiliation pour faute grave.

Et c’est normal : la sécurité absolue n’existe pas. Un auditeur trouvera toujours quelque chose.

Le but n’est pas d’empêcher l’audit, mais de le neutraliser en tant que prétexte abusif.

Et ce n’est pas une fatalité, car vous avez totalement la main sur le cadre contractuel.

Voici ce que vous pouvez faire pour éviter ce type de mauvaise surprise :

Premier point clé : qualifier l’obligation de sécurité comme une obligation de moyens

C’est le point essentiel. Vous ne promettez pas une forteresse imprenable (obligation de résultat), mais vous vous engagez à mettre en œuvre les « règles de l’art » pour la protéger.

Conséquence : la simple découverte d’une faille ne suffit pas à prouver votre faute. Le client devra démontrer que vous n’avez pas été diligent.

Deuxième levier : définir strictement le cadre de l’audit

L’audit ne doit pas être une pêche aux informations ou une exploration libre de toute l’infrastructure. Le contrat doit fixer les règles du jeu :

  • Le périmètre : limitez l’audit aux seuls systèmes et environnements liés au service fourni et excluez tout ce qui n’est pas directement en lien avec le service fourni.
  • Prévoyez un référentiel : c’est votre « loi » en matière de sécurité. Si la sécurité est un point important, prévoyez une annexe la plus précise possible sur les exigences de sécurité. Si vous le respectez, vous êtes couvert.

Troisième point souvent sous-estimé : verrouiller la procédure d’audit

Pour cela, voici les points à prévoir :

  • Imposez un préavis (par exemple, trente jours ouvrés) pour ne pas être pris de court.
  • Exigez un accord de confidentialité de l’auditeur tiers pour vous protéger et imposez également qu’il ne soit pas un concurrent.
  • Encadrez les coûts : prévoyez que l’audit devient payant au-delà d’une certaine durée (par exemple, deux jours). C’est très efficace pour décourager les audits à rallonge.

Réagir à un rapport d’audit : plan de remédiation et anticipation de la faute grave

Et si un rapport d’audit pointe des vulnérabilités ? Ne paniquez pas et répondez méthodiquement.

Voici un panel d’actions possibles :

  • Qualifiez les failles : utilisez une grille de criticité objective (par exemple le score CVSS) pour distinguer les failles mineures des failles critiques.
  • Proposez un plan de remédiation : pour chaque faille avérée, proposez un délai de correction réaliste et proportionné à sa criticité. C’est la meilleure preuve de votre bonne foi et de votre diligence.
  • Contestez les « fausses failles » : n’hésitez pas à réfuter les points qui ne sont pas de réelles vulnérabilités mais des choix d’architecture conformes à votre référentiel.
  • Anticipez l’argument de la « faute grave » : c’est le seul argument qui justifierait une résiliation immédiate. En proposant un plan de remédiation, vous montrez que vous exécutez votre obligation de moyens. La mise en demeure du client de « corriger la faute » devient sans objet, car vous êtes déjà en train de le faire. Vous lui coupez l’herbe sous le pied.

FAQ sur l’audit de sécurité client dans un contrat SaaS

Comment qualifier l’obligation de sécurité dans un contrat SaaS ?

Comme une obligation de moyens et non de résultat. Le prestataire s’engage à mettre en œuvre les « règles de l’art » pour protéger les données, sans promettre une forteresse imprenable. Conséquence : la simple découverte d’une faille ne suffit pas à prouver la faute du prestataire ; le client devra démontrer que celui-ci n’a pas été diligent.

Comment encadrer le périmètre d’un audit client de sécurité ?

Limiter l’audit aux seuls systèmes et environnements liés au service fourni et exclure tout ce qui n’est pas directement en lien avec le service. Prévoir en annexe un référentiel de sécurité aussi précis que possible : c’est la « loi » applicable à l’audit. Si le prestataire respecte ce référentiel, il est couvert.

Quelle procédure d’audit prévoir dans un contrat SaaS ?

Imposer un préavis (par exemple 30 jours ouvrés), exiger un accord de confidentialité de l’auditeur tiers et qu’il ne soit pas un concurrent, et prévoir que l’audit devient payant au-delà d’une certaine durée (par exemple deux jours) pour décourager les audits à rallonge.

Comment répondre à un rapport d’audit qui pointe des vulnérabilités ?

Qualifier les failles avec une grille de criticité objective (par exemple le score CVSS), proposer un plan de remédiation avec des délais réalistes et proportionnés à la criticité, contester les « fausses failles » qui sont en réalité des choix d’architecture conformes au référentiel, et anticiper l’argument de la faute grave en montrant que le prestataire exécute déjà son obligation de moyens.

Toute ressemblance avec des faits et des personnages existants ou ayant existé serait purement fortuite et ne pourrait être que le fruit d’une pure coïncidence.