Hébergement des données et sauvegarde sur le même site : OVH responsable pour les pertes de données ?
11 février 2023.
OVH a-t-il manqué à ses obligations en hébergeant des données et leurs sauvegardes dans un même bâtiment ?
Que s’est-il passé ?
La SAS FRANCE BATI COURTAGE (ci-après le « Client »), qui développe quasi exclusivement son activité par le biais de son site internet, a conclu avec OVH :
- Un contrat de location de serveur, afin d’y héberger ses sites internet ;
- Un contrat « backup » selon lequel le serveur du client doit être sauvegardé, exporté et copié.
Le 9 mars 2021, un incendie se déclare dans les datacenters d’OVH situés à Strasbourg. Les sauvegardes et le serveur principal étaient stockés dans le même bâtiment, intégralement détruit par l’incendie. OVH informe donc le Client qu’il lui sera impossible de récupérer ses données.
Le Client assigne OVH devant le tribunal de commerce de Lille pour obtenir la réparation de son préjudice.
La décision du tribunal de commerce de Lille :
Le Tribunal commence par juger (i) que OVH avait l’obligation d’héberger les données de sauvegarde sur un serveur situé sur un lieu distinct du lieu d’hébergement primaire, avant de (ii) dire que la clause définissant les cas de force majeure doit être réputée non écrite, pour enfin (iii) écarter la clause de limitation de responsabilité et condamner l’hébergeur à indemniser le Client.
1/ Sur les conditions d’hébergement
Le tribunal relève que l’ensemble des documents commerciaux d’OVH mentionnait que l’option « backup » impliquait un hébergement des sauvegardes de secours physiquement isolé de l’infrastructure dans laquelle était hébergée le serveur principal.
- Alors qu’OVH soutient que le Client a mal compris ou mal interprété le contrat relatif à la sauvegarde automatique, le tribunal relève que « la mauvaise foi et le manque de loyauté de la SAS OVH sont ici patents ».
- Dès lors, le Client peut engager la responsabilité d’OVH du fait de son manquement à l’obligation de réaliser des sauvegardes du serveur du client, hébergées sur un lieu distinct dudit serveur.
2/ Sur la clause de force majeure
- Afin de s’exonérer de sa responsabilité, OVH tente d’invoquer la clause de force majeure des contrats qui stipule qu’« Aucune des Parties ne peut voir sa responsabilité engagée sur le fondement d’une défaillance résultant […] des actes de vandalisme, de guerre ou de menace de guerre, le sabotage, les actes terroristes, les incendies, les épidémies, les tremblements de terre, les inondations et explosions, ainsi que les coupures d’électricité en dehors du contrôle de la Partie affectée. »
- Le tribunal relève qu’avec de telles dispositions, tout type de sinistre sera considéré comme un cas de force majeure et libèrera OVH de ses engagements.
- Selon le tribunal, cette clause contredit l’essence même de l’obligation de réaliser des sauvegardes de secours. En effet, l’essence même des copies de sauvegardes est de pouvoir servir dans l’hypothèse d’un sinistre qui détruirait les données initialement stockées.
- C’est pourquoi le tribunal juge que « réaliser les copies de sauvegarde et les mettre en sécurité, en particulier en cas de sinistre ou d’incendie, est une obligation essentielle du contrat. La clause [de force majeure] du contrat OVH prive donc de sa substance l’obligation essentielle de la SAS OVH et doit donc être réputée non écrite. ».
3/ Sur la clause limitative de responsabilité
- OVH tente encore de limiter sa responsabilité en invoquant une clause qui limiterait l’indemnisation du Client au « montant des sommes payées par le Client à OVH en contrepartie des services impactés au cours des six mois précédent la demande d’indemnisation du client ».
- Le tribunal relève d’abord que les contrats ont été établis à l’avance par OVH, que le Client n’a pas eu la possibilité d’en modifier les termes et que lesdits contrats doivent donc s’analyser en contrat d’adhésion.
- Le tribunal applique donc les dispositions de l’article 1171 du Code civil, selon lequel, dans un contrat d’adhésion « toute clause non négociable, déterminée à l’avance par l’une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite.»
- Le tribunal relève ensuite que la clause limitative de responsabilité crée une véritable asymétrie entre les obligations de chacune des parties. La clause octroi un avantage injustifié à OVH, sans contrepartie pour le Client.
- Le tribunal juge donc que « cette clause transfère le risque sur l’autre partie de manière injustifiée et sans contrepartie pour cette dernière et doit donc être réputée non écrite. »
Ce qu’il faut retenir
Les points majeurs de cette décision :
- Lorsqu’en tant que prestataire, vous vous engagez à effectuer des sauvegardes de backup, il est impératif que celles-ci soient stockées sur un serveur distinct physiquement de celui où sont stockées les données primaires.
- Il est important de respecter un équilibre dans les négociations et la rédaction contractuelle. A défaut, les juges peuvent annuler des clauses clés, comme celle qui encadre la responsabilité des parties ou la définition de la force majeure.
- Cela est particulièrement vrai lorsqu’une partie est privée de pouvoir de négociation et se contente d’accepter le contrat de l’autre partie, que ledit contrat est donc un contrat « d’adhésion ». Tout déséquilibre significatif conduira à ce que la clause soit réputée non écrite.
- Il en va de même pour les clauses limitatives de responsabilité tellement larges qu’elles privent de leur substance une obligation essentielle du contrat.
Claudia Weber, avocat fondateur et Brian Robion, avocat | ITLAW Avocats
Besoin d’accompagnement pour négocier votre contrat d’hébergement, votre PRA ? ou pour gérer un contentieux relatif à la perte de vos données ?
Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.
ITLAW Avocats met à votre service son expérience et son expertise en la matière.
ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle ainsi que sa connaissance de l’écosystème IT pour vous accompagner dans la sécurisation de vos projets, la gestion des dérapages et votre compliance.
=> Autre jurisprudence “OVH” : Hébergement : l’information d’OVH sur la localisation du serveur de sauvegarde a-t-elle valeur contractuelle ?
Nous contacter