Virus informatique et force majeure : Mainteneurs, attention à l’obligation de résultat

Victime du rançongiciel « Locky » le 24 février 2016, une société spécialisée dans les équipements de monétique n’a pu restaurer son système informatique à partir de ses sauvegardes suite à la défaillance de son mainteneur informatique dans l’exécution de son obligation de résultat.

Dans un arrêt du 7 février 2020, la Cour d’appel de Paris est venue rappeler qu’un virus informatique, comme l’est un rançongiciel, n’est pas un cas de force majeure, ni un cas fortuit permettant au mainteneur d’exclure sa responsabilité contractuelle.

L’entreprise cliente avait souscrit un contrat de prestations d’assistance technique et de maintenance en 2012 avec un prestataire de services informatiques, ayant notamment pour mission d’effectuer la sécurisation et la sauvegarde des données d’une vingtaine de postes informatiques. L’entreprise cliente, qui a été victime d’un rançongiciel ayant totalement chiffré ses données, a fait intervenir son prestataire informatique au titre du contrat qu’elle avait souscrit. Or le mainteneur n’a pu remédier à la situation ni restaurer le système à partir des sauvegardes. En effet, bien que toujours facturées, les dernières sauvegardes n’étaient plus effectuées depuis 6 mois en raison d’un manque de capacité de stockage selon le mainteneur. Suite à cette défaillance, la cliente résilia son contrat et mis en œuvre la responsabilité de son prestataire, qui chercha à s’exonérer de toute responsabilité.

Le contrat précisait que « le prestataire reste le seul maître d’œuvre pour l’obtention du résultat par le client ». En effet pour le mainteneur, compte tenu de son obligation de résultat, seule la survenance d’un cas de force majeure lui aurait permis d’être exonéré de responsabilité. Or la Cour a jugé que le mainteneur avait manqué à son obligation de résultat concernant la réalisation et le contrôle des sauvegardes ainsi qu’à son obligation d’information et de conseil en continuant à facturer des sauvegardes, qui n’étaient plus réalisées depuis 6 mois, et n’ayant pas alerté sa cliente sur le manque de capacité de stockage, faute d’apporter la preuve contraire sur ce dernier point. Ainsi, le mainteneur ne pouvait pas se prévaloir d’une exonération de responsabilité en raison d’un cas de force majeure, c’est-à-dire la survenance du rançongiciel chez sa cliente.

La force majeure a été exclue à raison, puisque la survenance du virus n’a fait que révéler les manquements contractuels du mainteneur. Du fait de ces manquements, le préjudice subi par la cliente du fait du rançongiciel a été aggravé par l’absence de sauvegardes exploitables permettant la restauration des données.

La Cour d’appel a confirmé la condamnation du mainteneur, qui est tenu d’indemniser au titre de dommages et intérêts le préjudice de  perte de données subie par sa cliente comprenant, outre la perte de données, les frais d’audits de sécurité permettant la récupération et la réintégration des données, la récupération des archives comptables ainsi que les frais inhérents à la saisine manuelle en urgence des déclarations de TVA de la cliente, mais aussi la rançon versée et les frais d’huissier et d’expertise constatant les défaillances du mainteneur.

Lien utile : https://www.doctrine.fr/d/CA/Paris/2020/C2DE991797E0877355C41