Dans la nuit du 9 au 10 mars dernier un incendie a causé la perte d’un des quatre datacenters d’OVH à Strasbourg et sérieusement endommagé un deuxième.

Cet incendie et la coupure de courant qui l’a accompagné ont entraîné des répercussions bien au-delà des frontières françaises. Ils ont ainsi affecté, selon OVH, « 12 000 à 16 000 clients ». Mais comme certains clients sont eux-mêmes hébergeurs, le nombre de sites touchés est beaucoup plus important : 464 000 noms de domaines distincts et 3,6 millions de serveurs Web liés à OVH cloud étaient inaccessibles après l’incendie, comme a pu le comptabiliser la société américaine Netcraft [1].

Par la suite, nous avons appris qu’un nouveau départ de feu avait éclaté sur le site d’OVH à Strasbourg le 19 mars, avant d’être rapidement maitrisé.

Bien qu’on ignore toujours les causes de l’incendie qui a ravagé le datacenter strasbourgeois d’OVH, des milliers de clients ont perdu, temporairement ou définitivement, leurs données. Les conséquences sont pour certains désastreuses et OVH temporise avec des gestes commerciaux allant de trois mois gratuits en cas d’une coupure de service et de six mois gratuits en cas de perte de données, soit un avoir de 30 euros.

Or, il faut s’interroger sur la pertinence d’accepter ce dédommagement, car il pourrait rendre impossible toute autre forme d’indemnisation qui pourrait pourtant s’avérer plus avantageuse.

Cet incident est l’occasion pour ITLAW Avocats de revenir sur des notions juridiques clés, telle que la force majeure et la responsabilité, et de rappeler quelques bons réflexes à avoir en tant que client.

 

1/ L’incendie déclaré est-il constitutif d’un cas de force majeure ?

Lorsque l’on parle de force majeure il faut être conscient qu’il s’agit à l’origine d’une notion jurisprudentielle fluctuante à laquelle il faut être extrêmement vigilant. L’article 1218 du Code civil issu de la réforme du droit des contrat précise désormais qu’« il y a force majeure en matière contractuelle lorsqu’un événement échappant au contrôle du débiteur, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées, empêche l’exécution de son obligation par le débiteur ».

La difficulté survient lorsqu’il s’agit de déterminer ce qui pouvait ou non être raisonnablement prévu lors de la conclusion du contrat, et pour éviter l’aléa dans l’interprétation que pourrait faire les tribunaux, les parties peuvent prévoir leur propre définition de la force majeure et préqualifier certains événements dans une clause spécifique de leur contrat.

C’est ainsi que l’article 7.7 de Conditions Générales de Service d’OVH cloud (version accessible en ligne à ce jour) qualifie l’incendie comme étant un cas de force majeure. L’entreprise s’exonère ainsi contractuellement de sa responsabilité dans ce cas sans que la question se pose concernant son caractère extérieur, imprévisible et irrésistible.

Si cette version des CGV vous est applicable, il faudra alors faire une analyse fine pour trouver d’autres axes permettant de mettre en jeux la responsabilité d’OVH.

 

2/ Quelles sont les causes de responsabilité possibles pour l’hébergeur OVH ?

Quelques exemples d’axes possibles de responsabilité d’OVH :

  • L’absence de sauvegarde

L’article 3.5 des Conditions Générales de Service d’OVH cloud (version accessible en ligne à ce jour) le rappelle, qu’à défaut d’option payante souscrite, « OVH n’effectue aucune sauvegarde spécifique du Contenu stocké dans le cadre des Services ».

Ces CGV précisent également qu’il « appartient au client de prendre toutes mesures nécessaires à la sauvegarde de ses Contenus afin de se prémunir contre les risques de perte ou de détérioration, quelle qu’en soit la cause ».

Face à ces dispositions il est toutefois possible de s’interroger sur la responsabilité d’OVH, en particulier ces clauses peuvent-elles être neutralisées par d’autres concepts juridiques tels que la notion de « contrat d’adhésion », ou d’  « obligation essentielle », ou d’ « obligation d’information », etc. 

  • Sur l’indisponibilité des services

La disponibilité des services permet d’assurer le bon fonctionnement des services ou applications proposées dans la continuité. L’incendie a causé une rupture dans la disponibilité des services.

La disponibilité et les pénalités qui y sont associées en cas de non-respect sont donc un enjeu important pour l’entreprise.

Suivant la disponibilité stipulée (ou non) dans votre contrat avec le prestataire OVH, ce dernier disposera d’un temps déterminé pour rétablir les services. Le cas échéant, en cas de non-respect de ces niveaux de services, si le contrat prévoit (ou non) des pénalités, ces dernières pourront s’appliquer.

Bien souvent, le point de crispation intervient lors du calcul des pénalités indiquées et qui peuvent :

  • se révéler être dérisoires,
  • être libératoires, c’est-à-dire que le versement de ces pénalités constituera l’indemnisation forfaitaire de l’ensemble des préjudices résultant du non-respect par le prestataire de ses engagements de niveau de service.

Or, il faut donc s’interroger sur la pertinence d’accepter l’application de ces pénalités, car elles pourraient rendre impossible toute autre forme d’indemnisation qui pourrait pourtant s’avérer plus avantageuse.

  • Sur la perte de données

Il faut comprendre que s’agissant de la question spécifique d’une éventuelle responsabilité de l’hébergeur OVH en cas de pertes de données, il faut distinguer la situation des clients ayant souscrit une option de sauvegarde, de ceux qui n’en dispose pas.

Il convient de se référer au contrat conclu avec l’hébergeur OVH afin de déterminer précisément les stipulations contractuelles applicables à la responsabilité du prestataire en cas de pertes de données et de se faire accompagner afin de déterminer les recours juridiques qui vous sont ouverts.

Il convient de noter que la perte de donnée relève d’une « faille de sécurité  » au sens du RGPD et qu’il convient donc d’appliquer les obligations qui en découle.

 

3/ Et maintenant, que faire ?

Si votre site web est hébergé par OVH, et que celui-ci connait une interruption depuis l’incendie, vous êtes concerné. Tous les datacenters du site de Strasbourg n’ont cependant pas été touchés. Afin de connaître l’étendue des dégâts, référez-vous à votre espace client OVH pour connaître le nom de votre serveur.

Si vous êtes touchés, nous recommandons notamment de :

  • Déclarer le sinistre à votre assureur,
  • Vérifier si vous devez notifier la destruction des données à la CNIL[2]: la destruction des données étant en effet une faille de sécurité au sens du RGPD,
  • Analyser les clauses de votre contrat,
  • Ecrire à OVH pour notamment :
    • Réserver vos droits à réclamer vos préjudices
    • Demander réparation
    • Demander les informations utiles pour faire votre notification à CNIL, si applicable pour vous
    • Autres selon votre cas d’espèce
  • Travailler sur vos préjudices et faire un constat d’huissier, si nécessaire,
  • Réfléchir sur la pertinence d’accepter les dédommagements proposés spontanément par l’hébergeur
  • Etablir une stratégie vis-à-vis de vos clients si vous êtes vous-même hébergeur.

Pour connaitre l’étendue de vos droits, il convient notamment de s’interroger que la qualification de la faute à l’origine de l’incendie : est-elle grave, relève-t-elle d’une faute lourde pouvant engager OVH au-delà de son plafond de responsabilité ? la sécurité physique du centre relève-t-elle d’une obligation essentielle ? avez-vous suffisamment été informé en l’absence de sauvegarde ? qu’en est-il de la sauvegarde sur le même site ?

 

4/ Le maître-mot : anticiper

Cette affaire incite à la prise de conscience : les données, les fichiers, les applications, les sites internet, les plateformes, les développements, bien qu’elles soient immatérielles, reposent avant tout sur des infrastructures matérielles.

La sécurité physique et matérielle est toute aussi importante que la sécurité logique.

L’anticipation, même des cas les plus inimaginables, doit devenir une nécessité, un réflexe dans la construction des projets, des business model, des services pour s’assurer la continuité d’activité.

Il en est de même pour la sécurité logique :  il est devenu nécessaire d’anticiper les cyberattaques pour les éviter autant que faire se peut et pour se préparer dans l’hypothèse où une attaque surviendrait.

Cette anticipation se matérialise notamment par la rédaction et la négociation d’un contrat sur mesure intégrant ces points et par la mise en place d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) également sur mesure adapté à votre infrastructure et à votre organisation.

Pour les petites entreprises qui auront le plus grand mal à négocier leur contrat avec ces grands hébergeurs : il conviendra de mettre en place une solution de replis opérationnelle qui passera sans nul doute pour une procédure de sauvegarde documentée et mise en pratique

Nous sommes aujourd’hui tous soumise à des risques technologiques de plus en plus complexes. Cet incident révèle aussi la tendance des nombreux à se reposer sur leur prestataire, et de n’avoir, pour certain, pas anticipé et donc pas pris de précautions leur permettant une reprise d’activité sereine.

Se reposer sur son prestataire : cela rend-il pour autant le client responsable ? Doit-il, seul subir les dommages qui lui sont causés ? D’autres questions juridiques auquel il faudra répondre.

5/ Comment faire ?

Si l’externalisation informatique représente assurément certains gains, elle ne libère pour autant pas les acteurs qui y recourent des responsabilités qui lui incombe : elle les transforme.

Connaitre ses obligations, mais aussi ses droits, lorsque vous faites appel à un hébergeur ou un prestataire cloud est primordial aujourd’hui, tant la complexité est importante.

Tant de questions à se poser pour mieux anticiper les risques et mieux connaitre les limites de ces prestataires, et des assurances souscrites.

Le contrat auquel seront annexés notamment une politique de sécurité, un PRA et un PCA, permet de sécuriser votre activité, pensez-y !

Autre question que se posent actuellement les entrepreneurs et petites structures : une action de groupe serait-elle possible ? Réponse dans un prochain article.

 

Claudia Weber, Avocat fondateur & Céline Dogan, Avocat | ITLAW Avocats

 

Besoin d’aide pour y voir plus clair dans votre relation avec OVH ?

Ou plus généralement pour construire et négocier vos contrats ?

ITLAW Avocats accompagne ses clients depuis 25 ans dans la rédaction et la négociation des contrats IT, y compris d‘innovation , de projets informatiques complexes et de propriété intellectuelle  et mobilise ses talents , ses expertises , ainsi que sa connaissance de l’écosystème IT, y compris des achats, pour vous accompagner dans la sécurisation et vos projets.

Nous avons également créé des formation destinés aux juristes, non juriste, DSI, Acheteurs et Commerciaux.

 

[1] 3.6 million websites taken offline after fire at OVH datacenters, 10/03/2021, Netcraft

[2] Incendie OVH : faut-il notifier à la CNIL ?

Nous contacter