Alors que de plus en plus d’entreprises sont victimes de cyberattaque et plus particulièrement de ransomware, une affaire jugée par la Cour d’Appel de Versailles nous rappelle que la menace informatique ne se situe pas uniquement hors des murs de l’entreprise (arrêt du 30 juin 2021).

 

Quels étaient les faits ?

En l’espèce, un directeur technique avait installé, avant son licenciement, un programme dans le système d’information de son entreprise lui permettant d’extraire toutes sortes de données, notamment bancaires. Après avoir quitté la société, cet ancien directeur technique a menacé anonymement son ancien employeur de les diffuser à moins que ce dernier ne lui verse une rançon d’un million d’euros sur différents comptes bitcoins.

Le paiement de la rançon devait être effectué avant le 15 janvier 2019, à défaut de quoi le pirate adresserait des spams aux partenaires, aux employés, aux concurrents avec toutes les données confidentielles en sa possession.

L’entreprise victime a tout de suite réagi en notifiant l’atteinte aux données personnelles auprès de la CNIL, et a présenté des requêtes au tribunal afin d’identifier l’auteur de cette action.

Cette mesure a permis d’identifier cet ancien directeur technique de l’entreprise, dont les fonctions avaient pris fin.

En première instance, le rançonneur, dont la responsabilité pénale a été reconnue, s’est également vu condamner sur le plan civil à réparer les préjudices causés à la société. Parmi ces préjudices, le tribunal correctionnel de Nanterre avait reconnu un préjudice moral constitué par le fait que la violation des données de l’entreprise et la menace brandie l’avait affectée.

Le refus renouvelé du préjudice d’affection des personnes morales

La Cour d’appel était ainsi invitée à se prononcer sur le caractère réparable du préjudice d’affectation revendiqué par la société victime.

Les juges ont confirmé le principe déjà reconnu en jurisprudence de réparabilité d’un préjudice moral subi par une personne morale en cas d’atteinte à sa réputation et/ou son image. En revanche, ceux-ci ont écarté le caractère réparable du préjudice d’affectation.

Pour la Cour d’appel dont la décision s’inscrit dans la droite lignée de la jurisprudence actuelle selon laquelle « seules les personnes physiques pouvaient se prévaloir d’un préjudice de stress, d’anxiété, de déception ou d’affection ».

En effet, à de multiples reprises, les juridictions ont pu considérer qu’« une personnes morale ne saurait éprouver un préjudice d’anxiété puisque celui-ci nécessite d’être doté de sentiment » (CA Douai 09/07/2015 ; CA Metz 06/04/2017 ; CA Aix-en-Provence 14/06/2017 ; CA d’Orléans 27/05/2020).

La centralisation autour de l’atteinte à l’image et la réputation

Le préjudice moral est défini par la Cour d’appel comme :

  • « le dommage atteignant les intérêts extra-patrimoniaux et non économiques de la personne, en lésant les droits de la personnalité, et qu’il en est ainsi, pour une personne morale en cas d’atteinte à sa réputation et/ou à son image ».

Selon cette décision, l’entreprise victime « n’invoque ni ne caractérise une quelconque diffusion dans les médias des faits dont elle a été victime ayant porté atteinte à son atteinte à son activité et à son image ».

Ainsi, les juges affirment que seuls les préjudices d’image et de réputation sont indemnisables au titre du préjudice moral d’une personne morale.

Il convient donc de prêter une attention toute particulière à la démonstration d’un préjudice moral en cas de cyberattaque comme de n’importe quel contentieux, en distinguant précisément le préjudice d’affectation, du préjudice d’image et de l’atteinte à la réputation.

Ce qu’il faut retenir :

Une entreprise victime d’une cyberattaque qui souhaiterait se prévaloir d’un préjudice moral devrait porter sa demande sur :

  • la dégradation concrète de sa réputation ou de son image auprès de ses clients, caractérisée par une quelconque diffusion dans les médias des faits dont elle aurait été victime, ou,
  • par un détournement de clientèle.

 

Comment se protéger ?

Cette affaire démontre que les risques de faille de sécurité doivent être vue largement, en particulier sur l’angle humain. Quelques idées de mesures à mettre en place afin de vous prémunir en interne :

  • Mettre en place des actions de sensibilisation
  • Pensez à votre charte d’utilisation des outils informatiques pour notamment cadrer le chargement des logiciels et informer sur la surveillance des outils informatiques
  • Prévoir les clauses adéquates au sein des contrats de travail
  • Prévoir des accès différents selon les fonctions et besoins des employés
  • Recourir à une double authentification pour les données sensibles
  • Mettre en œuvre une gestion des droits d’information

Lorsqu’une entreprise ou un particulier est victime cyberattaque, plusieurs actions sont impératives pour assurer de nouveau le plus rapidement possible la sécurité de son SI :

  • Pensez à porter plainte
  • Conservez le plus de preuves possibles pour que votre dossier ait plus de chances d’aboutir
  • … et contactez-nous ! 😉

 

Claudia Weber, avocat fondateur et Céline Dogan, avocat collaboratrice | ITLAW Avocats

Besoin d’aide pour défendre vos intérêts dans le cadre d’un contentieux ? Vous souhaitez vous assurer de la réparation intégrale des préjudices à la suite d’une cyberattaque ?

ITLAW Avocat mobilise ses talents et son expertise en matière de sécurité, de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle   pour vous accompagner dans la sécurisation de votre stratégie de sécurité ainsi que l’anticipation des failles de sécurité et dans la gestion de crise.

Découvrez nos offres innovantes en matière de sécurité ainsi que nos formations spécifiques en sécurité.

Pour découvrir nos packages “Sécurité” composé de nombreux modèles de document, notamment plaine pénale, ect… contactez-nous.

Nous contacter