20/06/20

Un virus informatique ne constitue pas un cas de force majeure

Le coronavirus fait toujours la une de l’actualité. Néanmoins, c’est d’une autre infection dont il est question dans le présent article. En effet, si le coronavirus peut constituer un cas de force majeur, qu’en est-il d’un virus informatique ?

Réponse : un virus informatique ” ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité “.

C’est ainsi que la Cour d’appel de Paris s’est prononcée, dans son arrêt du 7 février 2020, pour rappeler qu’une entreprise ne peut se prévaloir d’une attaque informatique (un ransomware en l’espèce) pour s’exonérer de ses obligations contractuelles.

Bien qu’il s’agisse d’une décision d’une juridiction française, cet enseignement peut être transposé aux relations entre entreprises belges.

Faits

L’affaire implique deux sociétés ayant conclu un contrat d’assistance et de maintenance informatique :

  • d’une part, la société Exm Euro et expertise monétique (Exm), qui a pour activité la vente, la location, l’installation et la maintenance de terminaux de paiement par carte bancaire;
  • d’autre part, la société Mise à jour informatique (Màji), qui est spécialisée dans le service informatique de proximité pour les PME et TPE.

Le contrat qui liait les deux entreprises portait sur l’assistance, l’entretien et le dépannage de postes informatiques, la sécurisation et la sauvegarde des données informatiques, pour une vingtaine de postes informatiques en faveur de la société Exm.

La société Exm a été victime d’un virus informatique dénommé “Locky“. Ce malware a eu pour effet de rendre inutilisables des fichiers en les cryptant.

En conséquence, le prestataire de services, la société Màji, est intervenue pour tenter de régler le problème. Cependant, elle n’a rien pu faire contre cette infection.

Plus grave encore, elle n’a pas été en mesure de restaurer les données de son client. En effet, la société Maji, n’a plus effectué de sauvegardes sur le NAS depuis plusieurs mois, faute de place de stockage. Pourtant, ladite société continuait de facturer ses prestations relatives à la sauvegarde à la société Exm.

Par conséquent, la société Exm a décidé de rompre le contrat qui les liait. En outre, elle a mis en demeure la société Maji de l’indemniser de son préjudice. Après contestation de la part de la société Maji, l’affaire a été portée en justice .

En première instance

Le tribunal de commerce de Lyon a débouté Maji de sa demande.

Il a, en effet, constaté que :

  • d’une part, la société Maji a manqué à ses obligations contractuelles en laissant penser à son client que les sauvegardes de données étaient parfaitement effectuées. Et ce, d’autant plus que la société Maji a continué sa facturation mensuelle ; et
  • d’autre part, la société Exm n’a pas manqué à son devoir de collaboration et n’a commis aucune faute.

En outre, le tribunal a rappelé que si les sauvegardes du système avaient été correctement effectuées par la société Maji, l’infection du système informatique de la société Exm par le virus Locky, qui ne constitue pas un cas de force majeure, n’aurait pas eu les conséquences constatées.

Enfin, le tribunal a condamné la société Maji à des dommages et intérêts importants.

Mécontente, la société Maji a interjeté appel de la décision.

La décision de la Cour d’appel de Paris

La Cour va confirmer le raisonnement du tribunal. Elle a, en effet, retenu la responsabilité contractuelle de la société Maji. Par ailleurs, elle a, à son tour, pu rappeler qu’un virus informatique ne constitue pas un cas de force majeure.

Sur la faute de la société Maji

La société Maji a bien commis une faute dans le cadre du contrat qui la liait à la société Exm.

Dans un premier temps, la société Maji n’a pas respecté son obligation de résultat qui consistait à sauvegarder et contrôler les données de la société Exm. En effet, parmi 565 tâches de sauvegarde effectuées, seules 143 ont fonctionné.

Dans un second temps, la société Maji  a manqué à son devoir d’information. Elle a, ainsi, continué à facturer ses prestations relatives à la sauvegarde, alors qu’elle savait que ces prestations n’étaient pas réalisées et ne l’a pas indiqué à la société Exm.

Sur les causes exonératoires de responsabilité de la société Maji

Pour s’en sortir, la société Maji a tenté d’invoquer la force majeure, d’une part en raison d’une faute de la société Exm, et d’autre part, en raison du virus informatique. La Cour ne l’a pas suivie.

Tout d’abord, la société Exm n’a commis aucune faute. Certes, un des employés de la société Exm a ouvert un courriel infecté. Néanmoins, la Cour souligne que rien ne démontre que cette action a été faite intentionnellement et en connaissance de cause, en dépit de prétendus avertissements donnés par la société Maji.

Ensuite, la Cour confirme les propos du tribunal de commerce. Elle rappelle, en effet, qu’un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible. Dès lors, cela ne constitue pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité.

La société Maji ne peut donc se prévaloir d’aucune cause étrangère pour se libérer de ses obligations.

Sur le lien de causalité entre la faute de la société Maji et le dommage subi par la société Exm

Par ailleurs, la Cour souligne que, sans l’absence de sauvegardes des données de la société Exm, le préjudice n’aurait pas été le même. En d’autres termes, si la société Maji avait correctement effectué les sauvegardes de ces données, la société Exm n’aurait pas subi les conséquences dommageables liées au virus Locky.

Sur le dommage subi par la société Exm

Enfin, la société Exm a du procéder à des audits de sécurité pour tenter de récupérer ses données. Elle a, en outre, du agir en urgence sur le plan comptable, et fait intervenir un expert informatique et un huissier de justice. Elle a, enfin, payé la rançon demandée afin de récupérer ses fichiers.

Sur la base de ces considérations, la Cour a confirmé le premier jugement.

Notre conseil :

Il convient de noter que dans cet arrêt, la Cour d’appel de Paris s’est prononcée sur un cas bien particulier. En effet, la société fautive n’a pas réalisé les sauvegardes des données de son client conformément au contrat qui les liait.

Cela ne veut pas pour autant dire qu’un virus informatique ne peut jamais constituer un cas de force majeure.

La prudence est donc de mise, surtout lors de l’élaboration d’un contrat informatique.

Enfin, il est essentiel de se rappeler que face à une attaque de type “ransomware”, le bon réflexe est de ne pas payer la rançon.

Pour vous aider tant en amont, lors de l’élaboration d’un contrat informatique, qu’en aval, pour réagir sur le plan pénal en cas d’attaque informatique, il est ainsi conseillé de prendre contact avec des spécialistes en la matière.

dotted_texture