Dans un contexte où la menace cyber est une réalité incontournable pour les entreprises, la Cour d’appel de Rennes a appliqué avec fermeté les exigences en matière d’information et de conseil qui pèsent sur les prestataires informatiques en matière de cybersécurité.

Cette décision s’inscrit dans la jurisprudence constante suivant laquelle le prestataire informatique ne saurait se contenter d’exécuter à la lettre les demandes de son client, sans exercer pleinement son devoir de conseil et d’accompagnement.

Les faits : un renouvellement d’infrastructure aux conséquences lourdes

Une entreprise avait sollicité un prestataire spécialisé en cybersécurité pour moderniser son infrastructure informatique.

Le contrat prévoyait l’installation du matériel informatique en quatre phases.

Le matériel a été livré et installé par le prestataire en novembre 2019.

Quelques mois plus tard, en juin 2020, l’entreprise a été victime d’une cyberattaque par rançongiciel.

L’ensemble de son système d’information ayant été chiffré par les responsables de l’attaque, l’activité de l’entreprise a été intégralement à l’arrêt pendant une semaine, puis a repris progressivement.

L’attaque a généré des coûts importants pour la récupération et la réorganisation des données du client (intervention de prestataires extérieurs, mobilisation de ses salariés).

Deux rapports réalisés par deux prestataires intervenus en réponse à l’incident, ont mis en lumière les constats suivants :

• une absence de mécanisme de sauvegardes déconnectées du réseau de production ;
• une mauvaise configuration du contrôleur de domaine ;
• une multitude de comptes a forts privilèges sans besoin apparent ;
• des paramétrages non compatibles avec les exigences de sécurité.

L’entreprise a donc assigné le prestataire informatique aux fins de le voir condamné à lui indemniser la somme de 482.463,03 euros au titre de son préjudice, en raison des manquements à son obligation d’information, de conseil et de délivrance.

En première instance, le tribunal rejette l’ensemble des demandes, au motif que la demanderesse ne rapporte pas la preuve que le prestataire aurait commis une faute susceptible d’engager sa responsabilité.

Le jugement est cassé par les juges de la Cour d’appel de Rennes.

La décision de la Cour d’appel de Rennes

Le prestataire soutient que le contrat ne consistait qu’en la fourniture de matériels et de logiciels pour remplacer les équivalents obsolètes et produit une note technique indiquant que la mission de sauvegarde des données ne relevait pas de la mission contractuellement dévolue au prestataire.

Cependant, la cour juge qu’ « en matière de prestations informatiques comprenant l’installation d’une nouvelle architecture, considérées comme un produit complexe, le fournisseur a l’obligation de s’assurer que ses prestations répondent aux besoins de son client, qu’il aura analysés » et ajoute que « pour y parvenir il doit s’informer sur ses besoins pour lui présenter une proposition commerciale adaptée ».

La cour relève tout d’abord que l’entreprise cliente n’était pas un professionnel de l’informatique.

Elle relève en outre, dans les conditions générales du prestataire, que celui-ci s’engageait « à mettre en œuvre les mesures de sécurité techniques et d’organisation de systèmes de services se conformant aux normes standards et aux usages internationaux applicables dans son secteur d’activités, notamment afin d’empêcher l’accès accidentel ou non autorisé aux infrastructures et données supportant l’application et/ou la solution logicielle et/ou le site internet objet(s) du Contrat ».

Ainsi, si le prestataire, pour se dispenser de son obligation d’information et de conseil en matière de sécurité, a soutenu que l’entreprise cliente disposait d’un service informatique composé de trois personnes, la cour estime que ces dernières « ne peuvent se voir attribuer les mêmes compétences expertales que celles qui sont revendiquées par [le prestataire] qui s’affiche spécialiste en matière de cybersécurité. »

La cour constate qu’ « à aucun moment [le prestataire] ne démontre qu'[il] a informé sa cliente de ce risque et donc qu'[il] a respecté son devoir de mise en garde alors que sa proposition commerciale prévoyait l’accompagnement au changement pour les utilisateurs. »

Elle conclut donc que :

• si la demande de l’entreprise cliente n’était pas assez précise, le prestataire aurait dû solliciter sa cliente pour faire préciser sa commande ;
• au besoin, il devait la conseiller sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées.

Un devoir d’expertise proactive

Autrement dit, le simple respect des besoins exprimés par le client et/ou du cahier des charges ne suffit pas à dégager le prestataire de sa responsabilité.

En tant qu’expert informatique, il doit être proactif, formuler des recommandations éclairées et s’assurer que la solution proposée est réellement adaptée, même si cela implique de remettre en question les demandes initiales du client.

En matière de cyberattaques : l’indemnisation de la perte de chance

Bien entendu, les juges rappellent que le prestataire n’est pas responsable de la cyberattaque elle-même.

Toutefois, le manquement à ses obligations contractuelles a privé la cliente de la possibilité de limiter les conséquences de l’attaque ou de mieux y résister.

La cour d’appel condamne donc le prestataire à indemniser son client du préjudice fondé sur la perte de chance (soit à la somme de 50 000 euros en l’espèce).

Une jurisprudence constante

La décision de la Cour d’appel de Rennes s’inscrit dans la jurisprudence constante de la Cour de cassation qui impose un devoir de conseil au fournisseur d’un produit complexe en matière informatique :

• Cass., Com., 11 juillet 2006, pourvoi no 04-17.093
• Cass, com., 20 juin 2018, n° 17-14.742

Conseils pratiques pour les entreprises et leurs partenaires

Cette affaire rappelle aux entreprises comme à leurs prestataires quelques principes clés :

• Pour les prestataires informatiques

• Être proactif dans l’analyse des besoins réels des clients.
• Fournir et documenter des préconisations détaillées, y compris en matière de risques, coûts et alternatives techniques.
• S’assurer que le client est accompagné dans la maîtrise opérationnelle de la solution installée.

•  Pour les clients

• Formaliser dans les contrats les obligations précises du prestataire : information, conseil, suivi.
• Former les équipes aux pratiques de cybersécurité, car aucun système technique n’offre une sécurité absolue.

En somme, cette décision confirme que le contrat ne se limite pas à la simple livraison et installation de matériel informatique : le prestataire informatique est attendu sur sa capacité à guider, alerter et accompagner son client, y compris au-delà de la lettre du cahier des charges.

Cour d’appel de Rennes, 19 novembre 2024

Pour toute question ou demande, vous pouvez contacter nous ici.

Etes-vous concernés par NIS2?

Les conditions de signalement de contenus illicites sont ainsi renforcées, ainsi que les obligations des éditeurs et hébergeurs en cas de saisine. Les sanctions en l’absence de traitement des notifications de contenus illicites sont également développées, conformément aux dispositions du DSA.

Le projet de loi vise également à limiter la possibilité pour les principaux acteurs du numérique de privilégier leurs propres services sur les plateformes qu’ils éditent, conformément aux principes du DMA.

Le projet de loi inclut par exemple des dispositions restreignant les frais de transfert pouvant être imposés par un hébergeur Cloud à ses clients lorsque ceux-ci souhaitent changer de fournisseur de services d’hébergement. Les frais pouvant être demandés devront se limiter aux frais de migration liés au changement de fournisseur et ne pourront donc plus atteindre les montants importants connus aujourd’hui.

Le projet de loi aborde également la question de l’absence de régulation des Jeux utilisant des Objets Numériques Monétisables (JONUM), dont le statut a fait l’objet de nombreux débats. La qualification des objets concernés, entre jeux d’argent et actifs numériques, ne semble pas encore totalement tranchée.

Le projet de loi prévoit cependant la possibilité pour le Gouvernement de prendre par ordonnance, dans un délai de quatre mois à compter de la publication de la loi, les mesures nécessaires pour réguler ces jeux.

Le projet de loi constitue donc un ensemble complexe, complémentant l’intégration au droit national de plusieurs des dispositions du DSA et du DMA.

L’Arcom devrait ainsi devenir le Coordinateur des services numériques en France. Il sera accompagné dans ses missions par l’Autorité de la concurrence et la Cnil, qui devraient également être désignées comme autorités compétentes responsables de la surveillance des fournisseurs de services intermédiaires et de l’exécution du DSA en France.

Source :

• https://www.vie-publique.fr/loi/289345-securiser-et-reguler-lespace-nunerique-projet-de-loi-sren ;
• https://www.senat.fr/leg/tas22-156.html

• le risque cyber et celui d’atteinte à la vie privée ;
• la généralisation des fake news ;
• les risques de manipulation via des commentaires mensongers ; ou encore
• la prise en compte de l’IA qui vient poser des questions qui relevaient jusque là du domaine de la science-fiction.
  Le législateur européen s’est emparé de ces questions et a voté une série de textes regroupés sous l’appellation « Paquet numérique ».
  Le cabinet Leben-Avocats a le plaisir de vous présenter une synthèse de ces différents textes. (Digital Service Act, Digital Governance Act, Digital Market Act, Data Act, IA Act, Cyber Resilience Act, NIS2…)
  La synthèse, c’est par ici.

Par Eolia BUSATA et Henri LEBEN, avocats à la Cour

Le Digital Market Act (Règlement UE n°2022/1925 – DMA) a vocation à permettre de réguler le pouvoir des acteurs économiques en capacité de verrouiller l’accès aux marchés numériques dans l’Union européenne.

Le Règlement s’applique ainsi aux acteurs disposant de capacités de verrouillage ou de contrôle de leurs marchés, car ils constituent un point d’accès important des entreprises utilisatrices pour toucher leur clientèle, et qui sont alors qualifiés de « contrôleur d’accès » ou « gatekeepers ».

La qualification de contrôleurs d’accès sera appliquée automatiquement à toute entreprise qui, au cours des 3 dernières années, a :
• Réalisé 7,5 milliards d’euros au moins de CA annuel dans l’UE ou 75 milliards, d’euros ou plus de capitalisation boursière durant la dernière année ;
• Eté utilisée par au moins 45 millions d’utilisateurs finaux par mois et 10.000 professionnels par an ;
• Fourni un ou plusieurs services de plateforme essentiels dans au moins trois pays de l’UE, parmi lesquels : services d’intermédiation (comme les places de marché, les boutiques d’applications), moteurs de recherche, réseaux sociaux, messagerie en ligne, etc.

Une fois ces seuils atteints, les entreprises concernées devront s’identifier auprès de la Commission européenne dans le 2 mois de l’entrée en vigueur du DMA. Celle-ci étudiera alors la déclaration et procédera, si applicable, à la désignation de l’entreprise déclarante en tant que « contrôleur de marché ».

Les premières désignations sont donc attendues début septembre 2023.

La Commission pourra, dans tous les cas, désigner unilatéralement les entreprises qui remplissent les critères mais ne se signalent pas comme telles.

Par ailleurs, les entreprises dont l’activité est susceptible de les placer en position de domination de leur marché sans que cette position soit encore durable se verront attribuer le statut de « contrôleurs d’accès émergents ». Certaines des obligations applicables aux contrôleurs d’accès leur seront immédiatement applicables.

Parmi les mesures prévues par le règlement pour encadrer le pouvoir de marché des contrôleurs d’accès, beaucoup vont affecter l’organisation même des plateformes.

Les entreprises concernées devront notamment :
• Rendre également faciles l’abonnement et le désabonnement au services de plateforme essentielle qu’ils fournissent ;
• Permettre de désinstaller facilement leurs applications préinstallées (tels que des suites logicielles ou un navigateur) ;
• Rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée avec ceux de leurs concurrents ;
• Autoriser les vendeurs à promouvoir leurs offres et à conclure des contrats avec leurs clients en dehors des plateformes ;
• Donner aux vendeurs l’accès à leurs données de performance marketing ou publicitaire sur leur plateforme.

Les plateformes seront également tenues d’informer la Commission européenne de l’évolution de leur organisation, en lui notifiant notamment les acquisitions et fusions qu’elles réalisent.

Ces obligations s’accompagnent de la restriction de pratiques ayant pour objet de favoriser les services annexes proposés par les contrôleurs d’accès (auto préférence de leurs produits, installation automatique de leurs logiciels sur un appareil, exploitation des données des vendeurs sur la plateforme pour les concurrencer, obligation d’utiliser le système de paiement du contrôleur, etc.).

Une entité lésée par un contrôleur d’accès pourra s’appuyer sur la liste de ces obligations et interdictions pour demander des dommages et intérêts devant les juges nationaux. La liste prévue par le règlement pourra être complétée par la Commission, en fonction de l’évolution des pratiques des plateformes.

Les sanctions prévues portent sur des montants relativement élevés, et peuvent aller jusqu’à la mise en œuvre de mesures correctives comportementales ou structurelle par la Commission.

Pour nous contacter, c’est ici. (https://www.leben-avocats.com/contact/)

Par Eolia BUSATA et Henri LEBEN, avocats à la Cour

Le Digital Services Act (Règlement UE n°2022/2065 – DSA) a vocation à réguler les services en ligne au sein de l’Union européenne, en luttant contre les contenus illicites et en renforçant les obligations de contrôle interne des plateformes.

Le calendrier d’application du règlement est étendu, les premières mesures sont entrées en vigueur en novembre et d’autres suivront, jusqu’au 17 février 2024, date à laquelle l’ensemble des dispositions du Règlement seront applicables.

Le Règlement s’applique à tout intermédiaire ou fournisseur de services en ligne offrant ses services et produits sur le marché de l’UE, indépendamment de sa localisation géographique. Les entités concernées sont, notamment, les fournisseurs de services d’informatique en Cloud et d’accès à un Internet et la plupart des lieux d’achat et de vente en ligne (places de marché, boutiques d’application, réseaux sociaux, plateformes de voyage et d’hébergement, etc.).

Un statut particulier est conféré aux très grands opérateurs ayant un nombre mensuel moyen de destinataires actifs dans l’UE égal ou supérieur à 45 millions. Ce nombre pourra être réévalué en cas d’évolution de la population de l’Union de 5%.

Les très petites et petites entreprises (moins de 50 salariés et moins de 10 millions de CA annuel) qui n’atteignent pas 45 millions d’utilisateurs mensuels seront exemptées de certaines obligations.

Toutes les entreprises concernées devront désigner un point de contact unique (et un représentant légal pour les entités établies hors UE).

Le Règlement contient plusieurs obligations dont les principales sont :

• La lutte contre les contenus illicites : plusieurs mesures doivent être prévues dont la mise en place d’un outil permettant de signaler facilement les contenus illicites, mais également l’obligation pour les marketplaces de mieux s’informer sur leurs vendeurs (vérification de leur fiabilité, de leur identité, etc.),

Le règlement prévoit à ce titre la création du statut de « signaleurs de confiance » / « Trusted flaggers », c’est-à-dire, des entités reconnues pour leur expertise dans la détection et l’identification de contenus illicites, et leur indépendance. Elles seront désignées dans chaque Etat et leurs signalements devront être traités en priorité.

Un rapport annuel récapitulant leurs actions est à adresser au coordinateur national les ayant désignés.

• Transparence : les plateformes devront mettre en place un système interne de traitement des réclamations des utilisateurs (notamment dans les cas de suspension ou de résiliation des comptes sur les plateformes) et clarifier le fonctionnement des algorithmes utilisés pour recommander les contenus publicitaires.

Ce second point s’accompagne d’interdictions spécifiques : interdiction de la publicité ciblée à destination des mineurs, ou de celle basée sur des données sensibles, sauf consentement exprès des personnes.

Les très grandes plateformes, et les très grands moteurs de recherche, sont soumis à des obligations supplémentaires, y compris :
• La mise en place d’un système de recommandation de contenus non-fondé sur le profilage et d’un registre des publicités contenant diverses informations (qui a parrainé l’annonce, comment et pourquoi celle-ci cible tels individus…) ;
• Une obligation d’analyser annuellement les risques systémiques qu’elles créent (sur la haine et la violence en ligne, les droits fondamentaux, les processus électoraux, la santé publique…) et de prendre les mesures nécessaires pour atténuer ces risques (respect de codes de conduite, suppression des faux comptes, etc.) ;
• La réalisation d’audits annuels indépendants de réduction des risques, sous le contrôle de la Commission européenne.

Le contrôle de l’application du Règlement est confié, dans chaque Etat, à un « coordinateur des services numériques », rassemblés au niveau de l’UE dans un Comité européen des services numériques. Ces coordinateurs devront être déclarés au plus tard le 17 février 2024.

En France, cette mission est confiée à l’Arcom.

En cas de violation du règlement, les coordinateurs des services numériques et la Commission pourront prononcer des astreintes et des sanctions. Pour les très grandes plateformes et les très grands moteurs de recherche, la Commission pourra infliger des amendes pouvant aller jusqu’à 6% de leur chiffre d’affaires mondial.

En cas de violations graves et répétées au règlement, des interdictions d’activités sur le marché de l’UE pourront être prononcées.

De manière générale, le règlement a vocation à s’adapter à la taille et aux conséquences éventuelles de l’activité de l’entreprise sur le marché de l’UE.

En fonction de votre activité, une analyse au cas par cas des mesures qui vous sont applicables est donc nécessaire.

Pour faire le point avec nos équipes sur les obligations applicables à votre entreprise, c’est ici. (https://www.leben-avocats.com/contact/)

Contenus numériques : mettez-vous en conformité avant le 1er octobre 2022

Publication du décret relatif aux garanties légales applicables aux contenus et services numériques

Issue de la transposition de deux directives, l’ordonnance n°2021-1247 relative à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques créait les bases de l’application aux contenus et services numériques des garanties légales de conformité et des vices cachées.

Afin de compléter les dispositions déjà détaillées au sein de l’ordonnance, le décret n°2022-946 du 29 juin 2022 apporte des précisions quant à l’application pratique de ces règes et à leur formalisme.

Le décret précise ainsi les modalités d’exécution par les différents acteurs de leurs obligations, et notamment :

1. Les informations obligatoires s’agissant de l’identité du professionnel ;
2. Les informations obligatoires s’agissant de la portée des mises à jour des contenus numériques ;
3. Le formalisme de l’encadré à intégrer aux conditions générales qui récapitule les engagements en matière de garanties du vendeur.

Le décret entre en vigueur au 1er octobre 2022.

1. L’identification du professionnel :

Conformément à ce qui s’appliquait déjà en matière de garanties légales, les professionnels fournissant des contenus et services numériques sont tenus d’informer les consommateurs, dans leurs conditions générales, des éléments nécessaires à l’identification du professionnel répondant des garanties légales : raison sociale, adresse, informations de contact (téléphonique et email), modalités de traitement des réclamations, etc.

2. Mise à jour des contenus numériques :

Les contenus et services numériques pouvant faire l’objet de mises à jour, le producteur de biens contenant des éléments numériques, et le vendeur, sont tenus de :
• Pour le producteur, informer :
o Le vendeur professionnel de la durée au cours de laquelle les mises à jour logicielles fournies par lui restent compatibles avec les fonctionnalités du bien ; et
o Le consommateur, de façon lisible et compréhensible, des caractéristiques essentielles de chaque mise à jour des éléments numériques du bien, notamment de l’espace de stockage qu’elle requiert, de son impact sur les performances du bien et de l’évolution des fonctionnalités qu’elle comporte.
• Pour le vendeur, mettre les informations communiquées par le producteur à dispositions du consommateur. Le vendeur met ces informations à la disposition du consommateur.

Afin de leur permettre de répondre à ces obligations, le décret précise notamment que le producteur de biens contenant des éléments numériques est tenu d’informer le vendeur, sans frais :
• Des logiciels du bien faisant l’objet des mises à jour, y compris les mises à jour de sécurité ;
• De la durée de fourniture de ces mises à jour ou la date à laquelle cette fourniture prend fin.

En cas de modification de ces informations, le producteur en informe le vendeur, et lui communique les conséquences éventuelles.

Ces informations doivent être communiquées par le vendeur au consommateur. Le cas échéant, il peut communiquer au consommateur la référence d’un site ou d’une application éditée par le producteur et détaillant les informations ainsi fournies.

Le producteur doit en effet communiquer au consommateur les caractéristiques essentielles des mises à jour du produit ou service numérique (notamment : objet de la mise à jour – répond-elle à une exigence de sécurité ou sert-elle à faire évoluer les fonctionnalités du bien -, versions du logiciel/ système d’exploitation ou pilote concerné par la mise à jour, l’espace de stockage requis par la mise à jour ainsi que les conséquences de la mise à jour sur les performances du bien).

Ces informations doivent être communiquées avant la mise à jour, et devraient rester disponibles postérieurement.

3. Information des consommateurs quant à l’exercice des garanties légales de conformité s’agissant de contenus numériques :

L’article D.211-2 du code la consommation impose au professionnel d’insérer dans ses conditions générales de vente de biens un encadré détaillant les garanties fournies ainsi que leurs modalités d’exercice et leurs caractéristiques. Cette disposition est similaire à celle déjà en vigueur s’agissant de la vente de biens.

Les modèles d’encadrés figurent aux annexes des articles D. 211-3 et D. 211-4 du code de la consommation et doivent être choisis selon que les biens et services numériques sont fournis de manière ponctuelle ou continue, ou bien en complément d’un contrat de vente de biens.

Les principales différences entre ces modèles sont décrites dans le tableau suivant :

Par ailleurs, lorsque le contrat de vente du bien prévoit la fourniture d’éléments numériques de manière continue pendant une durée supérieure à deux ans, la garantie légale est applicable à ce contenu numérique ou ce service numérique tout au long de la période de fourniture prévue.

Enfin, tout vendeur qui fait obstacle de mauvaise foi à la mise en œuvre de la garantie légale de conformité encourt une amende civile d’un montant maximal de 300 000 euros, qui peut être porté jusqu’à 10 % du chiffre d’affaires moyen annuel.

Contrairement aux modèles précédents, cet encadré tient compte de la durée de fourniture des services et doit être adapté en conséquence.

Points restant à clarifier :

L’ordonnance n° 2021-1247 relative à la garantie légale de conformité a créé à la charge des professionnels une obligation d’information spécifique lorsque le consommateur fournit un avantage en contrepartie de la fourniture du contenu numérique, en complément ou en remplacement d’un prix.

Cette obligation impose au professionnel de détailler dans ses conditions générales la nature de l’avantage reçu en lieu et place du prix. Il doit notamment préciser dans des termes « clairs et compréhensibles, le modèle économique faisant apparaitre l’incidence pour lui de cet avantage sur ses revenus ou son bénéfice économique » (article R. 211-5 du Code de la consommation).

Le décret n’apporte cependant pas d’éléments spécifiques sur la nature des informations à communiquer.

S’agissant des données personnelles, il se limite à préciser que le professionnel qui conduirait un traitement de données personnelles dans le cadre de la fourniture de cet avantage est tenu d’expliciter dans ses conditions générales les modalités d’exploitation de ces données à des fins publicitaires ou commerciales.

Au vu du développement des modèles dits « gratuits » où la fourniture du service ou du contenu numérique n’entraine pas de contrepartie financière immédiate de la part du consommateur, la nature exacte des informations à communiquer aux consommateurs devra faire l’objet de la plus vive attention.

Source : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045978303