Dans un arrêt du 19 novembre 2024 (n°23/04627), la Cour d’appel de Rennes s’est prononcée sur la responsabilité d’un prestataire informatique dans la cyberattaque subie par l’une de ses clientes.
Contexte : une société avait subi une perte de données à la suite d’une cyberattaque malgré la refonte récente de son système informatique
Une société, fabricante de portails, avait souhaité développer son infrastructure informatique et avait confié cette mission à un prestataire informatique.
Quelques mois après la refonte de son infrastructure, elle a été victime d’une cyberattaque par rançongiciel qui a chiffré l’ensemble de ses données, y compris sur ses systèmes de sauvegarde, stoppant intégralement son activité pendant une semaine.
Des diagnostics menés sur l’incident ont conclu à des failles du matériel informatique installé, qui ne comprenait notamment aucun mécanisme de sauvegarde déconnectée.
Le prestataire informatique ne s’estimait toutefois pas responsable, avançant que le contrat conclu ne consistait qu’en la fourniture de matériels et de logiciels pour remplacer les équivalents obsolètes, sans mission sur sauvegarde de données.
Solution : un prestataire informatique reconnu responsable de la perte des données
Un manquement du prestataire à son obligation de conseil
La Cour d’appel de Rennes rappelle tout d’abord qu’en matière de prestations informatiques comprenant l’installation d’un nouvelle architecture, considéré comme un produit complexe, le fournisseur a l’obligation de s’assurer que ses prestations répondent aux besoins de sa cliente, qu’il doit avoir analysé : cela fait partie de son devoir de conseil, souvent soulevé comme manquement en cas de contentieux.
En l’espèce, l’exposé des besoins de la cliente mentionnait une partie « Sauvegarde », montrant qu’elle souhaitait une modernisation de son système de sauvegarde. En réponse, la proposition commerciale du prestataire rappelait notamment que l’évolution du système informatique visait à une sécurité renforcée.
La Cour d’appel de Rennes indique ensuite qu’il appartenait au prestataire de conseiller sa cliente sur l’architecture nécessaire à la sécurisation de ses données et l’informer sur la nécessité d’adapter, et le cas échéant de modifier, son système de sauvegarde de manière à ce que ses données soient toujours sauvegardées et, le cas échéant, restaurées en cas de sinistre affectant le serveur.
Le prestataire ne démontrant pas qu’il avait informé sa cliente de ce risque et donc qu’il avait respecté son devoir de mise en garde, son manquement à ses obligations d’information et de conseil est retenu.
Un préjudice limité à la perte de chance de ne pas avoir subi de sinistre
La société cliente sollicitait l’indemnisation du préjudice subi du fait de la cyberattaque et de la perte de ses données.
La Cour d’appel de Rennes rappelle dans un premier temps que l’indemnisation doit être mesurée à la chance perdue d’éviter la cyberattaque mais ne peut être égale au dommage résultant de ce sinistre.
La cliente sollicitait notamment l’indemnisation des coûts internes engagés pour remédier au chiffrement de ses données, la majeure partie de ses salariés ayant dû consacrer une semaine entière pour réorganiser les données.
La Cour d’appel a toutefois considéré qu’il n’était pas établi que la société ait versé des salaires au titre d’heures supplémentaires ou fait appel à des recrutements dans le cadre de cette surcharge de travail ; dans la mesure où il appartenait quoi qu’il en soit à l’employeur de payer ses salariés, elle considère donc que ce poste de préjudice n’est pas justifié.
En revanche, les coûts engagés auprès de prestataires extérieurs pour la récupération de leur système informatique et des données, ainsi que le préjudice d’image lié à la longue période de recollement des données, sont reconnus par la Cour d’appel de Rennes, qui les a réduit (en raison de la perte de chance) à environ 75% des demandes.
En résumé, il relève de l’obligation de conseil d’un prestataire, chargé de la refonte d’une infrastructure informatique, de proposer à son client une solution permettant la sauvegarde et la récupération de ses données en cas de cyberattaque.
Vous souhaitez en savoir plus sur le sujet, un avocat en informatique du cabinet SOLVOXIA AVOCATS se tient à votre disposition.