OVH une nouvelle fois condamné à indemniser un Client pour la perte des données dans l’incendie !

Un jugement du tribunal de commerce de Lille, le 9 mars 2023, vient de condamner une seconde fois OVH pour la perte des données consécutive à l’incendie intervenue sur son site de Strasbourg.

Le Prestataire Cloud a commis plusieurs fautes, notamment celle d’avoir communiqué une information erronée sur la localisation des serveurs à son Client.

Que s’est-il passé ?

La société BLUEPAD (ci-après le « Client ») est un éditeur de logiciel SaaS qui a conclu avec OVH :

  • Un contrat de location de serveur afin d’y héberger son serveur de production. OVH a informé le Client lors de la souscription que ce serveur était localisé dans son bâtiment « SBG1 », sur son site de Strasbourg.
  • Un second contrat de location de serveur, afin d’y héberger un serveur de sauvegarde. Ce deuxième serveur a été localisé par la société OVH dans son bâtiment « SBG2 », également sur le site de Strasbourg.

L’espace client de OVH mentionnait bien que les deux serveurs étaient situés dans deux bâtiments distincts. En outre, lors de la souscription du Client, un document de tests de conformité lui avait été communiqué et confirmait la localisation desdits serveurs.

Dans la nuit du 9 au 10 mars 2021, un incendie se déclare dans les datacenters d’OVH situés à Strasbourg. Par la suite, OVH informe le Client que les serveurs étaient en réalité localisés dans le même bâtiment « SBG2 », intégralement détruit dans l’incendie, et qu’il lui sera impossible de récupérer ses données.

Le Client considère que OVH a commis une faute en communiquant des informations erronées. Ce dernier assigne alors OVH devant le tribunal de commerce de Lille afin d’obtenir la réparation de son préjudice.

La solution du tribunal de commerce de Lille :

  • 1/ Sur la localisation des serveurs et la faute commise par OVH

Le tribunal relève que OVH a commis une faute dans la localisation du serveur communiquée à son Client. Dès lors, le Client peut engager la responsabilité d’OVH.

  • Alors qu’OVH soutient que la localisation d’un serveur n’est pas contractuelle, le tribunal souligne que : « la société BLUEPAD n’avait aucune raison de douter de l’exactitude des informations fournies par la société OVH et aucun moyen de le vérifier par elle-même ». De plus, OVH ne s’explique pas sur la raison de cette erreur.
  • En outre, les CGV stipulent que « OVH s’interdit de modifier, sans l’accord du Client, la localisation ou zone géographique prévue à la Commande ». Selon les juges, cela démontre que la localisation du serveur possède une valeur contractuelle.
  • 2/ Sur la restitution des données du serveur par OVH

Les juges retiennent que OVH a commis une seconde faute en « remettant en service le second serveur un mois après avoir annoncé à son Client qu’il avait brûlé dans l’incendie, sans l’accord et sans avertir ce dernier ».

  • Afin de s’exonérer de sa responsabilité, OVH affirme que ses équipes techniques ont réussi à récupérer les données du serveur de sauvegarde, un mois après l’incendie.
  • Cependant, le tribunal souligne que l’étude des pièces montre que OVH n’a pris aucune précaution lors du redémarrage du serveur et qu’il a été restitué vide de données au Client. Le Prestataire aurait dû au minimum avertir son Client ou lui confier la remise en service du serveur.
  • 3/ Sur la clause d’exclusion pour cas de force majeure
  • OVH tente encore de s’exonérer de sa responsabilité en invoquant que l’incendie est un cas de force majeure. De ce fait, selon le Prestataire, la clause d’exclusion pour cas de force majeure présent dans le contrat est applicable.
  • Néanmoins, le tribunal de commerce retient que « il apparaît de manière incontestable que ce sont les erreurs de la société OVH qui ont conduit à la perte des données des deux serveurs […] et non l’incendie ».
  • En conséquence, la société n’est pas fondée à invoquer cette clause.
  • 4/ Sur les préjudices et la clause de limitation de responsabilité du contrat OVH
  • Le Client évoque plusieurs préjudices, notamment l’indisponibilité des serveurs pour ses clients finaux, la perte des données et l’engagement de frais pour reconstruire ses serveurs et les remettre en service.
  • OVH soutient que les CGV acceptées par le Client limitent explicitement sa responsabilité : « au montant des sommes payées par le Client à OVH en contrepartie des services impactés au cours des six (6) mois précédant la demande d’indemnisation du client ou au préjudice direct subi par le client s’il est inférieur ».
  • Le tribunal rappelle qu’il s’agit en l’espèce d’un contrat d’adhésion. Conformément à l’article 1171 du Code civil, « toute clause non négociable, déterminée à l’avance par l’une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite». Or, le Client n’a pas été en mesure de négocier cette clause rédigée à l’avance par OVH.

Ainsi, le tribunal considère que OVH ne peut pas limiter sa responsabilité car cette clause doit être réputée non écrite. Le Client est donc fondé à demander à être indemnisé de manière intégrale.

En conséquence, après avoir écarté l’application de la clause de limitation de responsabilité, le tribunal de commerce condamne OVH à indemniser BLUEPAD à hauteur de 144 836,69 €.

Que faut-il retenir ?

  • Lorsqu’un Prestataire communique sur la localisation d’un serveur auprès d’un Client ; la réalité doit correspondre aux écrits. En l’espèce, le tribunal a retenu que ces informations avaient bien une valeur contractuelle.
  • Avant de redémarrer un serveur, le Prestataire doit nécessairement avertir le Client et obtenir son accord. A défaut, cela constituerait une faute qui pourrait faire l’objet d’une demande d’indemnisation par le Client.
  • Il faut porter une attention particulière à la manière dont sont rédigées les clauses limitatives de responsabilité, notamment dans les contrats d’adhésion. A défaut, ces dernières seront réputées non écrites car elles entraînent un déséquilibre significatif entre les parties. En pratique, il faut éviter les clauses octroyant un avantage injustifié au Prestataire sans contrepartie pour le Client.

 

Claudia Weber, avocat fondateur et Jean-Baptiste OLIVO, juriste stagiaire| ITLAW Avocats

Besoin d’accompagnement pour négocier votre contrat d’hébergement, votre PRA ? ou pour gérer un contentieux relatif à la perte de vos données ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT  pour vous accompagner dans la sécurisation de vos projets, la gestion des dérapages et votre compliance.

 

=> Autre jurisprudence OVH : Hébergement des données et sauvegarde sur le même site : OVH responsable pour les pertes de données ?

Nous contacter