Experts en droit de l'internet et de l'informatique depuis plus de 20 ans, à votre écoute : +33(0)1 42 60 04 31

Perte de données, responsabilité et indemnisation

 dans Actualités, Droit de l'informatique

Une décision rendue par le Tribunal de commerce de Nanterre le 23 avril 2019 dans un litige portant sur l’indemnisation du préjudice subi par un client du fait de la perte de données par son prestataire informatique est l’occasion de revenir sur deux questions récurrentes dans tout litige informatique : la gravité de la faute du prestataire est-elle de nature à faire échec à la clause limitative de responsabilité ? Comment évaluer le préjudice ?

Présentation du litige

La société Haulotte Group (la société cliente), fabricant de nacelles élévatrices, avait signé un contrat d’infogérance avec la société Euriware (le prestataire) en janvier 2006. Les missions confiées par la société cliente au prestataire avaient pour objets de sécuriser, de mettre en place les sauvegardes, restauration et archivages informatiques.

En 2011, suite à un problème technique, des opérations de restauration ont été mises en œuvre, mais la reconstitution n’a pas été complète et des données ont été perdues.

En 2012, un expert a été désigné avec pour mission, notamment, d’établir la réalité, la nature et le volume des fichiers disparus.

Pendant les opérations d’expertises, la société cliente s’est opposée à la méthode de l’expert qui a retenu une classification des fichiers en NI (fichiers existants), Nr (fichiers retrouvés), N2 (fichiers perdus) et N3 (fichiers perdus et utiles) et a soulevé plusieurs incidents.

En octobre 2017, l’expert a remis son  rapport, dans lequel il considère que la société cliente ne justifiait pas du fait de la perte de données une influence sur son activité et se prononçait pour que ses estimations basses soient privilégiées par le Tribunal. Le coût de reconstitution des fichiers N3 est estimé par l’expert entre 380 000 € et 1 245 000 €. Le coût de vérification de la sauvegarde est compris entre 132 000 € et 170 000 €, soit un préjudice compris entre 512 000 € et 1 415 000 €.

Devant le Tribunal, la société cliente reprend ses critiques du rapport de l’expert. Elle considère que son préjudice matériel  s’élève à la somme de 7 237 500 €, en soulignant que son activité s’inscrit dans un cadre normatif (fabrication de nacelles élévatrices de personnes), pour laquelle le fonds documentaire, notamment relatif à la conception des machines, est important, et que son préjudice doit être évalué de telle sorte à la replacer dans la situation où elle se trouvait avant la survenance du dommage.

En défense, le prestataire considère que la société cliente n’est légitime qu’à demander la reconstitution des seules données perdues et utiles et ne justifie pas de la valeur des données manquantes.

Inexécution contractuelle et clause limitative de responsabilité

Avant de se prononcer sur le montant de l’indemnisation pour perte de données, le Tribunal a examiné la responsabilité contractuelle du prestataire.

En soi, l’inexécution, du fait de l’absence de remise en état opérationnel des données suite à un incident n’est guère contestable au regard de l’objet du contrat. Ce qui est intéressant est de savoir si cette inexécution présente les caractéristiques d’une faute lourde.

L’enjeu de cette qualification n’est autre que l’application de la clause limitative de responsabilité contractuelle. Selon une jurisprudence constante, une telle clause ne peut être écartée qu’en cas de dol ou de faute lourde (Civ. 1, 24 février 1993). La faute lourde est habituellement définie comme « la négligence d’une extrême gravité confinant au dol et dénotant l’inaptitude du (contractant) à l’accomplissement de la mission contractuelle qu’il a acceptée » (Cass. com., 1er avr. 2014, n° 12-14.418 et n° 12-15.939).

Pour statuer sur la nature de la faute du prestataire, le Tribunal examine le comportement dudit prestataire et relève « sa volonté de mettre un terme au dysfonctionnement constaté » pour écarter la faute grave ou lourde. L’expert avait souligné qu’il avait fait face à l’incident avec diligences.

L’appréciation du préjudice

Sur le préjudice, le Tribunal considère qu’il est constitué de l’absence de fichiers disponibles pouvant perturber son activité

Le Tribunal relève que la société cliente ne produit aux débats aucun document permettant d’évaluer son préjudice par les dépenses qu’elle a subi pour reconstituer les données perdues depuis 7 ans.

Le préjudice doit donc être évalué en considération de la reconstitution des fichiers nécessaires à la société cliente pour la poursuite de son activité, et le Tribunal retient que la catégorie N3, définie par l’expert (fichiers perdus et utiles), correspond aux fichiers dont la reconstitution est en relation possible avec la continuité de l’activité de la société.

Finalement, au regard de la valorisation du préjudice par l’expert (entre 512 € et 1,415 K €), le Tribunal applique le plafond d’indemnisation contractuel et condamne le prestataire à payer à son ancienne cliente la somme de 537 896 €.

Dans une autre affaire où des données stockées dans un serveur informatique avaient été irrémédiablement endommagées à l’occasion de l’intervention de la société chargée de la maintenance du parc informatique, le même tribunal avait également fait application d’une clause limitative de responsabilité (Tribunal de Commerce de Nanterre, 2e ch., 9 avril 2014, Pharmodel c/ Tamaya Telecom).

Toutefois dans cette deuxième affaire, le contrait prévoyait que le client gardait la responsabilité de ses sauvegardes et le contrat avait pour objet la maintenance du parc informatique et non la mise en place des sauvegardes elles-mêmes.

Portée de la décision

A la lecture de la décision, il est difficile de comprendre pourquoi il n’y avait pas de sauvegarde complète des données du serveur alors que l’objet du contrat était, en autres, de mettre en place des sauvegardes.

Au-delà des aspects techniques et contractuels, nous relèverons que le débat s’est cristallisé sur la preuve de l’utilité des données perdues.

Faute d’avoir pu justifier des dépenses relatives à la reconstitution de ses données, la société cliente n’a pas réussi à convaincre le Tribunal du bien-fondé de sa position. Elle a incontestablement perdu des données, sans pouvoir démontrer la valeur de ces données pour son activité.

Depuis la réforme de 2016 du droit des contrats, la Code civil prévoit que : « Toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite » (article 1 170 du Code civil).

Dans la mesure où le contrat concernait des opérations de sauvegarde à titre principal, la limitation de la responsabilité du prestataire aurait pu être considérée comme privant de sa substance « l’obligation essentielle » du prestataire.

Néanmoins, la question de la preuve du préjudice resterait entière : la décision aurait–elle été différente si la clause limitative de responsabilité avait été écartée, au regard des conclusions de l’expert ? Le préjudice lié à la perte de donnée est un préjudice immatériel, difficile à cerner et évaluer.

Assurance et risques numériques

La société Haulotte a également tenté d’obtenir l’indemnisation de son préjudice auprès de son assureur. Elle avait souscrit un contrat d’assurance ayant vocation à s’appliquer à tous les biens et tous les sinistres sauf ceux expressément exclus (assurance « tous dommages/risques sauf »).

Elle considère l’assureur doit sa garantie au motif que la perte de données résulte d’un dommage matériel garanti atteignant un bien assuré constitué par les disques durs du système informatique dont le fonctionnement a été altéré et que la garantie frais et pertes souscrite inclut la reconstitution de données.

La Cour d’appel de Lyon a débouté la société Haulotte, au motif que « la perte de données survenue dans le cadre d’un dysfonctionnement ou d’une panne ne saurait être assimilée à un bris de machine ou à un bris informatique au sens des stipulations, dès lors que le sinistre est survenu au moment de l’exécution du script de sauvegarde qui, selon la méthode préconisée par la société IBM, devait permettre la récupération des données et qui compte tenu des messages d’erreurs qui l’ont précédés, ne revêt pas le caractère d’un événement accidentel et soudain qui est de l’essence même du contrat d’assurance » (Cour d’appel de Lyon, Ch. Civ. 1, 28 avril 2016, n° 12/06958).

Une assurance adaptée paraît donc nécessaire pour couvrir les risques informatiques tels que la perte de données.

 

Valérie Sédallian, avocat au Barreau de Paris. N’hésitez pas à nous contacter.

Recent Posts
Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt