Dans un contexte où la menace cyber est une réalité incontournable pour les entreprises, la Cour d’appel de Rennes a appliqué avec fermeté les exigences en matière d’information et de conseil qui pèsent sur les prestataires informatiques en matière de cybersécurité.
Cette décision s’inscrit dans la jurisprudence constante suivant laquelle le prestataire informatique ne saurait se contenter d’exécuter à la lettre les demandes de son client, sans exercer pleinement son devoir de conseil et d’accompagnement.
Les faits : un renouvellement d’infrastructure aux conséquences lourdes
Une entreprise avait sollicité un prestataire spécialisé en cybersécurité pour moderniser son infrastructure informatique.
Le contrat prévoyait l’installation du matériel informatique en quatre phases.
Le matériel a été livré et installé par le prestataire en novembre 2019.
Quelques mois plus tard, en juin 2020, l’entreprise a été victime d’une cyberattaque par rançongiciel.
L’ensemble de son système d’information ayant été chiffré par les responsables de l’attaque, l’activité de l’entreprise a été intégralement à l’arrêt pendant une semaine, puis a repris progressivement.
L’attaque a généré des coûts importants pour la récupération et la réorganisation des données du client (intervention de prestataires extérieurs, mobilisation de ses salariés).
Deux rapports réalisés par deux prestataires intervenus en réponse à l’incident, ont mis en lumière les constats suivants :
- une absence de mécanisme de sauvegardes déconnectées du réseau de production ;
- une mauvaise configuration du contrôleur de domaine ;
- une multitude de comptes a forts privilèges sans besoin apparent ;
- des paramétrages non compatibles avec les exigences de sécurité.
L’entreprise a donc assigné le prestataire informatique aux fins de le voir condamné à lui indemniser la somme de 482.463,03 euros au titre de son préjudice, en raison des manquements à son obligation d’information, de conseil et de délivrance.
En première instance, le tribunal rejette l’ensemble des demandes, au motif que la demanderesse ne rapporte pas la preuve que le prestataire aurait commis une faute susceptible d’engager sa responsabilité.
Le jugement est cassé par les juges de la Cour d’appel de Rennes.
La décision de la Cour d’appel de Rennes
Le prestataire soutient que le contrat ne consistait qu’en la fourniture de matériels et de logiciels pour remplacer les équivalents obsolètes et produit une note technique indiquant que la mission de sauvegarde des données ne relevait pas de la mission contractuellement dévolue au prestataire.
Cependant, la cour juge qu’ « en matière de prestations informatiques comprenant l’installation d’une nouvelle architecture, considérées comme un produit complexe, le fournisseur a l’obligation de s’assurer que ses prestations répondent aux besoins de son client, qu’il aura analysés » et ajoute que « pour y parvenir il doit s’informer sur ses besoins pour lui présenter une proposition commerciale adaptée ».
La cour relève tout d’abord que l’entreprise cliente n’était pas un professionnel de l’informatique.
Elle relève en outre, dans les conditions générales du prestataire, que celui-ci s’engageait « à mettre en œuvre les mesures de sécurité techniques et d’organisation de systèmes de services se conformant aux normes standards et aux usages internationaux applicables dans son secteur d’activités, notamment afin d’empêcher l’accès accidentel ou non autorisé aux infrastructures et données supportant l’application et/ou la solution logicielle et/ou le site internet objet(s) du Contrat ».
Ainsi, si le prestataire, pour se dispenser de son obligation d’information et de conseil en matière de sécurité, a soutenu que l’entreprise cliente disposait d’un service informatique composé de trois personnes, la cour estime que ces dernières « ne peuvent se voir attribuer les mêmes compétences expertales que celles qui sont revendiquées par [le prestataire] qui s’affiche spécialiste en matière de cybersécurité. »
La cour constate qu’ « à aucun moment [le prestataire] ne démontre qu'[il] a informé sa cliente de ce risque et donc qu'[il] a respecté son devoir de mise en garde alors que sa proposition commerciale prévoyait l’accompagnement au changement pour les utilisateurs. »
Elle conclut donc que :
- si la demande de l’entreprise cliente n’était pas assez précise, le prestataire aurait dû solliciter sa cliente pour faire préciser sa commande ;
- au besoin, il devait la conseiller sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées.
Un devoir d’expertise proactive
Autrement dit, le simple respect des besoins exprimés par le client et/ou du cahier des charges ne suffit pas à dégager le prestataire de sa responsabilité.
En tant qu’expert informatique, il doit être proactif, formuler des recommandations éclairées et s’assurer que la solution proposée est réellement adaptée, même si cela implique de remettre en question les demandes initiales du client.
En matière de cyberattaques : l’indemnisation de la perte de chance
Bien entendu, les juges rappellent que le prestataire n’est pas responsable de la cyberattaque elle-même.
Toutefois, le manquement à ses obligations contractuelles a privé la cliente de la possibilité de limiter les conséquences de l’attaque ou de mieux y résister.
La cour d’appel condamne donc le prestataire à indemniser son client du préjudice fondé sur la perte de chance (soit à la somme de 50 000 euros en l’espèce).
Une jurisprudence constante
La décision de la Cour d’appel de Rennes s’inscrit dans la jurisprudence constante de la Cour de cassation qui impose un devoir de conseil au fournisseur d’un produit complexe en matière informatique :
Conseils pratiques pour les entreprises et leurs partenaires
Cette affaire rappelle aux entreprises comme à leurs prestataires quelques principes clés :
- Pour les prestataires informatiques
- Être proactif dans l’analyse des besoins réels des clients.
- Fournir et documenter des préconisations détaillées, y compris en matière de risques, coûts et alternatives techniques.
- S’assurer que le client est accompagné dans la maîtrise opérationnelle de la solution installée.
- Pour les clients
- Formaliser dans les contrats les obligations précises du prestataire : information, conseil, suivi.
- Former les équipes aux pratiques de cybersécurité, car aucun système technique n’offre une sécurité absolue.
En somme, cette décision confirme que le contrat ne se limite pas à la simple livraison et installation de matériel informatique : le prestataire informatique est attendu sur sa capacité à guider, alerter et accompagner son client, y compris au-delà de la lettre du cahier des charges.
Cour d’appel de Rennes, 19 novembre 2024
Pour toute question ou demande, vous pouvez contacter nous ici.
