Le 19 novembre 2024, la Cour d’Appel de Rennes [1] s’est penchée sur la question de la responsabilité d’un prestataire informatique dans le cadre d’une cyberattaque par rançongiciel chez l’un de ses clients.

Qu’est-ce qu’une attaque par rançongiciel ?

Une attaque par rançongiciel (ou « ransomware ») consiste en un blocage de l’accès d’un appareil électronique à la suite d’un chiffrement des données de la victime par un logiciel malveillant (ou « malware »), suivi par une demande de paiement d’une rançon par la victime pour rétablir l’accès et fournir la clé du chiffrement.

Que s’est-il passé dans cette affaire ?

Dans le cadre du renouvellement de son infrastructure informatique, une société fabricant des portails (« la société cliente ») a fait appel à un prestataire informatique, pour l’installation de matériels.

En novembre 2019, le prestataire informatique a installé le matériel chez la société cliente.

En juin 2020, la société cliente a été victime d’une cyberattaque par rançongiciel, entraînant le chiffrement complet de son système d’information, incluant ses systèmes de sauvegarde.

Estimant que la cyberattaque a eu lieu en raison du travail réalisé à l’époque par son prestataire informatique, la société cliente a assigné ce dernier devant le tribunal de commerce de Nantes, pour manquement à ses obligations d’information, de conseil et de délivrance.

Le tribunal a débouté la société cliente de ses demandes, considérant qu’elle n’apportait pas la preuve d’une faute qui serait susceptible d’engendrer la responsabilité de son prestataire informatique.

La société cliente a alors interjeté appel.

Quels sont les moyens invoqués par chaque partie ?

La société cliente met notamment en avant les diagnostics de la cyberattaque réalisés par des prestataires extérieurs, qui affirment que cette dernière a pu se faire compte tenu des mesures de sécurité insuffisantes (par exemple, concernant les configurations et les mécanismes de sauvegarde mis en place, l’absence d’antivirus, etc.).

Du côté du prestataire informatique, celui-ci invoque le fait que le contrat conclu entre les deux parties prévoyait uniquement le remplacement de matériels et de logiciels obsolètes. Selon lui, il avait répondu au cahier des charges de la société cliente et aucune mission de sauvegarde des données ne lui incombait dans le cadre de ses prestations. De même, puisque la société cliente possédait un service informatique, il était dispensé de ses obligations d’information et de conseil.

Qu’a retenu la Cour d’appel en l’espèce ?

La Cour d’appel de Rennes a infirmé le jugement du tribunal de commerce de Nantes, reconnaissant que le prestataire informatique avait manqué à ses obligations d’information, de conseil et de mise en garde vis-à-vis de la société cliente.

En effet, elle explique que le projet informatique était complexe. Ainsi, pour elle, « en matière de prestations informatiques comprenant l’installation d’une nouvelle architecture, considérées comme un produit complexe, le fournisseur a l’obligation de s’assurer que ses prestations répondent aux besoins de son client, qu’il aura analysés. Pour y parvenir il doit s’informer sur ses besoins pour lui présenter une proposition commerciale adaptée. » Elle relève dans les faits que :

  • Le cahier des charges de la société cliente mentionnait ses besoins concernant la partie sauvegarde. Le prestataire informatique l’avait prise en compte dans sa proposition commerciale.
  • Les CGV du prestataire informatique indiquaient par ailleurs qu’il s’engageait à mettre en œuvre les mesures de sécurité conformes « aux normes standards et aux usages internationaux applicables dans son secteur d’activités, notamment afin d’empêcher l’accès accidentel ou non autorisé aux infrastructures et données[…] ».

Ainsi, si le prestataire informatique estimait que les besoins et attentes exprimés par la société cliente n’étaient pas suffisamment précis, il lui revenait de la solliciter pour obtenir des précisions. Elle ajoute en ce sens qu’ « au besoin [le prestataire informatique] devait la conseiller sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées. »

Il appartenait au prestataire informatique d’informer la société cliente « de la nécessité d’adapter, et le cas échéant de modifier le système de sauvegarde, de manière à ce que ses données puissent toujours être sauvegardées et, le cas échéant, restaurées en cas de sinistre affectant le serveur ».

Elle souligne également que la société cliente n’était pas un professionnel de l’informatique et ne disposait pas des ressources internes suffisantes, raison pour laquelle elle avait fait appel au prestataire informatique, qui était un spécialiste du domaine.

La Cour d’appel relève enfin que le prestataire informatique n’a donc pas informé la société cliente d’un risque de sécurité, au regard des prestations fournies, alors même que la proposition commerciale du prestataire prévoyait l’accompagnement au changement.

Par conséquent, « le défaut d’information et de conseil [du prestataire informatique] sur les incidences d’une sauvegarde déconnectée a fait perdre à la société [cliente] la chance d’éviter le sinistre ».

Que faut-il retenir ?

  • La Cour d’appel de Rennes adopte une position stricte sur l’obligation d’information, de mise en garde et de conseil d’un prestataire informatique, dans le cadre d’un projet informatique complexe.
  • Il est vrai que le prestataire est tenu de telles obligations envers son client concernant des solutions liées à ses prestations informatiques, même si cela n’est pas explicitement prévu dans le contrat. Ainsi, le prestataire doit poser des questions et demander des précisions au client, s’il estime que les besoins ne sont pas suffisamment précis.
  • Néanmoins, il s’agit d’une décision prise au regard des faits, ce qui signifie que le client doit aussi rester vigilant et n’est pas dispensé de bien exprimer ses besoins et ses attentes, constitutif d’une obligation de sa part envers ses cocontractants.
  • Le contrat représente dès lors un outil incontournable pour bien encadrer les prestations informatiques et s’assurer que les relations soient équilibrées.

Claudia Weberavocat fondateur ITLAW Avocats et Marine Hardy, Avocat directeur des pôles Innovation & Sécurité ITLAW Avocats.

[1] Article – CA de Rennes, 3e Ch. Comm., 19 nov. 2024 – n° 23/04627

 

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des  données personnelles, de projets informatiques  complexesde  contrats, d’innovation et de  propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes. 

Nous contacter