C’est la question que s’est posée la Cour d’appel de Paris en février 2020.

Contrat d’assistance et de maintenance ayant pour objet l’assistance, l’entretien et le dépannage des postes informatiques ainsi que la sécurisation et la sauvegarde de données informatiques, quelles obligations pour le prestataire ?

En 2016, la société E, cliente de ce contrat d’assistance et de maintenance est victime d’un virus informatique, de type ransomware, rendant nombre de ses fichiers inutilisables car cryptés. La société M, prestataire et cocontractante de la société E, est intervenue pour tenter de résoudre les dommages ainsi causés, mais n’a pas été en mesure de restaurer les données de son client.

En effet, il est apparu que depuis plusieurs mois, les sauvegardes des données n’étaient plus réalisées, faute de capacité de stockage suffisante sur les serveurs.

Le prestataire avait averti son client, la société E, de cette insuffisance de stockage et établi plusieurs devis. Le client n’y avait pas donné suite. Le prestataire avait dès lors continué à facturer le service de stockage suivant les conditions contractuelles initiales.

Face à ce constat, le client résilie le contrat avec son prestataire et sollicite l’indemnisation du préjudice subi du fait de la perte de ses données.

Le prestataire répond en soutenant que la perte des données de son client résulte de l’action du virus X, qui présente les caractéristiques d’un cas de force majeure, à défaut d’un cas fortuit, excluant sa responsabilité.

La décision de la Cour d’appel de Paris : Confirmant le jugement de première instance, la Cour d’appel de Paris énonce notamment que :

  •  « Aucune faute (du client) n’est démontrée, ni au titre de la sauvegarde de ses données, ni au titre de l’ouverture d’un courriel contenant le virus informatique, aucun élément établissant que cette opération a été faite intentionnellement et en connaissance de cause (…) en dépit de prétendus avertissements donnés par l’appelante » ;
  •  « La circonstance que l’intimée [le client] ait subi sur sa messagerie une infection par le virus X causée par des faits étrangers à l’appelante [le prestataire] et non imputables à celle-ci n’est pas de nature à exonérer l’appelante de sa responsabilité au titre de ses propres manquements contractuels. » ;
  •  « L’appelante a en outre manqué à son obligation d’information en poursuivant la facturation de prestations de sauvegarde de données de l’intimée qu’elle savait non réalisées, sans l’indiquer à sa cliente » ;
  •  « Un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue pas un cas de force majeure, ni même un fait fortuit exonératoire de responsabilité. L’exécution par l’appelante de ses obligations n’ayant nullement été empêchée par les causes étrangères qu’elle invoque, sa responsabilité contractuelle est donc engagée » ;
  •  « Ainsi que l’a jugé avec pertinence le tribunal, en présence de sauvegardes totalement exploitables, l’infection du système informatique de l’intimée par le virus X n’aurait pas eu les conséquences dommageables constatées »

En conclusion, la Cour reconnait donc le bienfondé de la résiliation contractuelle pour faute du prestataire et condamne ce dernier à indemniser son client pour la perte de ses données et les préjudices liés de la somme de 41 172, 16 €.

Cet arrêt, particulièrement motivé, rappelle que la notion complexe de force majeure s’apprécie au cas par cas.

Pour mémoire, rappelons que les parties peuvent aménager contractuellement la gestion de la notion de force majeure notamment en :

– listant des cas préqualifiés de force majeure,

– prévoyant une procédure d’escalade

Nous recommandons une analyse fine des contrats afin de mettre les clauses en cohérence avec les prestations, le projet et leurs enjeux afin d’anticiper et prévoir les rôles et responsabilités de chaque partie en cas d’atteinte au SI du client.

Marine Hardy, Avocat Directeur des pôles Innovation et Sécurité ITLAW Avocats & Claudia WEBER, Avocat Fondateur ITLAW Avocats

 

Besoin d’aide ?

Nous accompagnons nos clients dans cette anticipation et aussi dans la défense de leurs intérêts en cas d’attaque sur leur système d’information.

En cas de problème et quelle que soit la nature de l’attaque contre votre SI, nous sommes à vos côtés pour protéger vos intérêts et gérer au mieux la sortie de crise.

 

ITLAW Avocat mobilise ses talents et son expertise en matière de sécurité, de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT pour vous accompagner dans la sécurisation de vos contrats ainsi que l’anticipation des failles de sécurité et dans la gestion de crise.

Découvrez nos offres innovantes en matière de sécurité ainsi que nos formations spécifiques en sécurité.

Pour découvrir nos packages “Sécurité” composé de nombreux modèles de document, notamment plaine pénale, etc… contactez-nous.

 

(1) 7 février 2020 (n°RG 18/03616).

Nous contacter