La cybersécurité des systèmes d’information est une thématique qui gagne continuellement en intensité. Sur le plan des textes, plusieurs réglementations récentes portent l’accent sur cet impératif pour les organisations, qu’il s’agisse de la Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 dite « NIS2 », du Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, ou des recommandations de l’ANSSI en la matière.
La jurisprudence n’est pas en reste, puisqu’outre ces réglementations qui imposent des obligations de gouvernance et de réactivité dans de nombreux secteurs économiques, une décision de la Cour d’appel de Rennes a récemment renforcé les obligations du professionnel de l’informatique auprès de ses clients en matière de cybersécurité (CA Rennes, 3e ch. 19 novembre 2024).
L’obligation d’information et de mise en garde en matière informatique
L’obligation d’information, de conseil et de mise en garde n’est pas récente dans les contrats informatiques : le client est réputé « profane », et lorsqu’il fait appel à un professionnel, il en attend une information circonstanciée d’autant plus poussée que les produits et services fournis présentent une complexité technique certaine.
Cette information porte d’une part sur les caractéristiques du système informatique fourni (modalités d’installation et d’utilisation, ce qui va parfois jusqu’à s’appliquer à l’adéquation du système aux besoins exprimés par le client – par ex. CA Paris, 21 Avril 2023, n°21/00124 ou CA Lyon 7 Décembre 2023, n°20/03688), et d’autre part, sur les limites du système et sur les risques inhérents à son utilisation. La jurisprudence parle à cet égard de « mise en garde », régulièrement illustrée par ses décisions (par ex. Cass. Com 11 Juillet 2006, n°04-17.093, Cass. Com 10 Juin 2018 n°17-14.742 ou plus récemment CA Douai, 2e ch. 17 Octobre 2024, n°23/01696).
Ces obligations ne sont pas absolues, et s’analysent souvent comme des engagements de moyens, car ils dépendent aussi de l’engagement de collaboration du client (par ex. Cass. Com. 14 Mars 1989, ou plus récemment CA Versailles, 21 Septembre 2023, n°22/01459).
Toutefois, l’article 1112-1 du Code civile dispose que « Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant ».
Cybersécurité : La Cour d’appel de Rennes renforce l’obligation de mise en garde pesant sur le prestataire
La Cour d’appel de Rennes a néanmoins renforcé l’obligation de mise en garde pesant sur le prestataire en matière de cybersécurité. En l’espèce, le contrat portait sur l’installation d’une solution de sauvegarde des données du client et sa configuration, objet d’un « plan de sauvegarde ». Or, le client a été victime d’une cyberattaque par ransomware. Les attaquants ont procédé au chiffrement de l’ensemble de son système d’information (dont ses systèmes de sauvegarde), paralysant son activité pendant une semaine et impliquant un retour à la normale de plusieurs mois complémentaires.
Le client a agi contre le prestataire en indemnisation de ses préjudices, résidant dans sa perte d’activité et ses frais de remédiation. En première instance, le Tribunal de commerce a rejeté ses prétentions, mais la Cour d’appel y a fait droit au motif qu’il incombait au prestataire d’informer son client « de la nécessité d’adapter, et le cas échéant de modifier le système de sauvegarde, de manière à ce que ses données puissent toujours être sauvegardées et, le cas échéant, restaurées en cas de sinistre affectant le serveur », et ce même si le client avait prononcé la recette de la solution.
Plus précisément, il était reproché au prestataire de n’avoir pas abordé avec son client les enjeux de la cybersécurité devant entourer ses données. Il aurait dû, en l’espèce, conseiller son client sur l’architecture nécessaire à la sauvegarde des données et l’installation de sauvegardes déconnectées, et ce conformément à l’état de l’art.
Vers une obligation de conseil accrue sur la cybersécurité
La cybersécurité devient par conséquent un chapitre impératif dans les discussions entre prestataires et clients, du fait de la multiplication des cyberattaques et de la montée en puissance des précautions en la matière qui s’imposent désormais aux organisations.
Sans aller jusqu’à intégrer l’obligation de sécurité (telle qu’établie de manière générale par la jurisprudence) dans les contrats informatiques (qui, elle, peut être sujet à des engagements de résultats), cette décision élargit donc le champ du conseil dû par le prestataire, fût-ce au prix d’indiquer les limites de son propre produit. En outre, c’est au prestataire qu’il incombe de faire la preuve qu’il a dûment émis ses conseils et alertes, faisant de ce point particulier une obligation de moyens renforcée.
De manière plus nuancée, l’article 1112-1 du Code civil dispose que « Il incombe à celui qui prétend qu’une information lui était due de prouver que l’autre partie la lui devait, à charge pour cette autre partie de prouver qu’elle l’a fournie. »
Mais en l’espèce, la Cour a considéré que dès lors que le prestataire ne prouvait pas qu’il avait dispensé les conseils relatifs à la protection des données contre les cyberattaques (la proposition d’un contrat d’assistance ne pouvant constituer à elle seule le conseil attendu), ce prestataire avait bien manqué à son devoir d’alerte. Il appartenait en effet au prestataire d’informer son client sur « la nécessité d’adapter, et le cas échéant de modifier le système de sauvegarde, de manière à ce que ses données puissent toujours être sauvegardées et, le cas échéant, restaurées en cas de sinistre affectant le serveur ».
L’importance croissante des précautions contre les cyberattaques
En particulier, la protection contre les ransomwares constitue désormais un élément incontournable des mises en garde que les prestataires doivent prodiguer à leurs clients, de même plus généralement que les risques de hacking, de phishing, d’attaques par déni de service ou de vol des données. Cette obligation s’intensifie encore si le client relève du périmètre des organisations soumises aux exigences de la Directive NIS2, ou du Règlement DORA qui impose désormais d’intégrer des clauses renforcées en matière de cybersécurité dans les contrats.
En l’espèce, le préjudice indemnisé n’a pas porté sur l’ensemble des dommages revendiqués par le client, mais spécifiquement sur la perte de chance liée à l’absence des conseils en matière de protection des données. La Cour a écrit que « le défaut d’information et de conseil du prestataire « sur les incidences d’une sauvegarde déconnectée a fait perdre » au client « la chance d’éviter le sinistre. Son indemnisation doit être mesurée à la chance perdue d’éviter le fishing mais ne peut être égale au dommage résultant de ce sinistre. ».
La Cour a par conséquent indemnisé une partie des coûts de reconstitution des données (« coûts externes de remise en état »), mais a écarté les préjudices internes (heures de travail nécessaires pour reprendre une activité normale) et la perte d’image de l’entreprise.
On constate donc que bien qu’elle étende résolument le champ des obligations du prestataire en matière d’information relative à la cybersécurité, la Cour limite concrètement les effets du défaut d’information en matière d’indemnisation, en raisonnant en termes de « perte de chance », au motif que le sinistre aurait pu ne pas survenir. En cette époque de multiplication des risques cyber et des réglementations imposant de s’en prémunir, on peut se demander si cette limitation est réaliste.
De même, on peut s’interroger sur l’intensité de cette obligation, selon que le prestataire fournit une solution « on-premise », c’est-à-dire installée sur le système d’information du client dont la sécurité reste lui incomber, ou que le prestataire fournit un service en Cloud qui implique un transfert complet des données du client sur les infrastructures du prestataire – lesquelles doivent alors présenter l’ensemble des dispositifs de cybersécurité et de sauvegarde protégeant l’intégrité des données, quelle que soit son obligation de conseil.
Une tendance confirmée par l’évolution réglementaire et technique
En toute hypothèse, cette décision, qui est le fruit d’un contexte technique et réglementaire en forte évolution, confirme le rehaussement des obligations d’information, de conseil et de mise en garde du prestataire en matière de cybersécurité, et rend d’autant plus aigüe la question du recours aux assurances spécialisées, pour le client comme pour le prestataire.
Force est de constater aujourd’hui que les clients diligents portent une attention particulière, dans les contrats avec les prestataires informatiques, sur l’indemnisation de leurs préjudices en cas de perte de données, et sur la nécessité que le prestataire soit doté d’une police d’assurance couvrant de tels dommages.
Outre les nouvelles clauses qui doivent être négociées dans les contrats en lien avec la cybersécurité du fait des exigences de la Directive NIS2, du Règlement DORA dans le domaine financier ou du Règlement IA en cas de recours à des solutions d’intelligence artificielle, cette décision attire l’attention sur la nécessité de soigneusement rédiger les clauses relatives au conseil du prestataire et aux conséquences en cas de sinistre.
Contactez notre expert
L’activité de Thomas Beaugrand porte sur le droit du numérique (grands projets technologiques, services numériques, licences et droit du logiciel, communications électroniques, contentieux et expertises informatiques, propriété intellectuelle dans le numérique, etc.), le droit de la data (données personnelles, conformité au RGPD et à la règlementation eprivacy, encadrement des nouveaux modèles d’exploitation de la data) et le droit de l’e-commerce (rédaction des CGV de sites marchands et marketplaces, encadrement de l’IoT).
