La prévention de la perte des données de l’entreprise à l’épreuve du droit par Sandrine Cullaffroz-Jover et Pierre Lubet du cabinet ALTANA

Dans un contexte fortement concurrentiel, l’entreprise est tenue de veiller à la sécurité de son système d’information et de prévenir la perte des données représentant un actif important pour le développement de son activité.

En raison de la nature des données traitées ou encore du secteur d’activité considéré, cette obligation peut résulter de normes légales et réglementaires dont le non respect peut être administrativement ou pénalement sanctionné.

Si traditionnellement l’attention était portée sur l’implémentation des mesures techniques, l’examen des récentes jurisprudences démontrent que la sécurité informatique passe également par une gestion rigoureuse des relations contractuelles avec les prestataires tiers.

• => Portée des clauses limitatives ou exonératoires de responsabilité en cas de perte de données

Une première difficulté nait de la répartition des obligations et des responsabilités entre les acteurs d’un projet informatique. Notamment, le recours aux solutions d’externalisation de services informatiques (autrement dénommés
« services d’infogérance ») a progressivement augmenté les risques de perte de données qui pèsent sur le patrimoine informationnel de l’entreprise.

Dans un jugement du 2 mai 2014, le Tribunal de commerce de Nanterre a fait application d’une clause limitative de responsabilité pour réduire le montant de l’indemnisation due par un prestataire d’infogérance dans l’hypothèse d’une perte des données de son client (TC Nanterre, 2^ème Chambre, 2 mai 2014, Pharmodel/Tamaya Telecom).

En l’espèce, les parties avaient conclu un contrat d’infogérance stipulant :

• – d’une part, qu’« en cas de perte de données ou de logiciels et ce quelle qu’en soit la cause [le prestataire] ne pourra être rendu responsable de cette perte dans la mesure où le client garde la responsabilité de la bonne réalisation de ses sauvegardes et de l’utilisation des logiciels dont il a acquis les licences » ;

• – d’autre part, que « la responsabilité éventuelle du prestataire à raison de l’exécution des obligations prévues au présent contrat sera militée à un montant n’excédant pas la somme totale effectivement payée par le client pour les services fournis par le prestataire ».

Au cours d’une intervention de maintenance, l’ensemble des données stockées sur les trois disques durs du serveur informatique a été irrémédiablement endommagé et perdu. L’entreprise contractante s’est alors rendu compte que le système de sauvegarde dont elle avait elle-même la charge n’était plus opérationnel depuis plusieurs mois, et que de ce fait, elle ne disposait plus d’aucun moyen lui permettant de récupérer ses données.

C’est ainsi que le prestataire a été attrait en justice pour réparer le préjudice causé et que la juridiction a été amenée à se prononcer sur l’opposabilité de la clause mixte stipulée au sein du contrat, à la fois exonératoire et limitative de responsabilité pour le Prestataire.

Rappelons brièvement ici que de telles clauses ne doivent pas contredire « la portée de l’obligation essentielle souscrite par le débiteur » (Cass. com., 29 juin 2010, n° 09-11.841), et peuvent également être mises en échec en cas de dol ou de faute lourde définie comme « la négligence d’une extrême confinant au dol et dénotant l’inaptitude du [contractant] à l’accomplissement de la mission contractuelles qu’il a acceptée » (Cass. com., 1^er avril 2014, n°12-14.418 et 12-15.939).

Reconnaissant que le prestataire n’était pas contractuellement tenu de réaliser les opérations de sauvegarde à l’origine de la perte des données, les juges du fond ont pourtant (i) refusé d’appliquer la clause exonératoire de responsabilité aux motifs que « les données qui figuraient dans le système d’information du [cocontrant] avant [son] intervention n’y figuraient plus après », et (ii) décidé de faire jouer la clause limitative de réparation plafonnant le montrant de l’indemnisation due au forfait annuel contractuellement fixé.

Il apparait ici que le Tribunal de commerce a entendu rendre un jugement de Salomon, dont le prononcé doit inviter les professionnels à ne pas négliger une définition précise des obligations de chacune des parties au sein du contrat afin de faciliter la pleine efficacité des clauses exonératoires de responsabilité.

• => Nécessité d’anticiper et de formaliser un plan de réversibilité en adéquation avec l’économie générale du contrat

Une autre préoccupation des entreprises est la possibilité de récupérer leurs données externalisées sous un format exploitable et dans des délais compatibles avec leur reprise par un prestataire tiers.

A ce titre, les clauses de réversibilité négociées entre les parties permettent d’encadrer les conditions selon lesquelles le client pourra reprendre ou faire reprendre le contrôle des données de son entreprise (tels que les délais et modalités techniques de restitution des données concernées, assistance complémentaire éventuelle, coûts associés) afin d’assurer la continuité de son activité.

En l’absence de clause explicite quant aux modalités de restitution effective des données, les tribunaux ont réagi en faveur du propriétaire des données.

Par une ordonnance de référé du 30 novembre 2012, le Tribunal de Grande Instance de Nanterre a fait injonction à un prestataire SaaS, sous astreinte de 5000 euros par jour de retard :

• – soit de fournir à son client tous les moyens techniques de nature à lui permettre sans délai l’exportation de ses données hébergées,
• – soit de lui garantir sans frais la prolongation de l’accès complet au service, au-delà du terme contractuel et ce jusqu’à l’expiration d’un délai de 2 mois à compter du jour où il sera possible de procéder à cette exportation (TGI Nanterre, Réf., 30 novembre 2012, UMP c/ Oracle France).

Si cette décision relève d’un pragmatisme judiciaire qu’il convient de saluer, l’exécution des mesures alternatives peut rapidement représenter un coût non négligeable à la charge du prestataire qui n’aura pas été intégré a priori l’impact financier des opérations de réversibilité dans l’économie générale du contrat.

• => Nécessité de prouver la réalité de la perte des données et du préjudice en résultant.

Une décision intéressante de la Cour d’Appel de Lyon en date du 11 février 2014, rendue en référé, vient rappeler que le préjudice résultant de la perte des données ne peut être présumé, et doit être prouvé (Cour d’appel de Lyon, 8ème chambre, 11 février 2014, Euriware/ Haulotte Group).

Comme le rappelle les juges du fond : « Présentement, et contre toute attente, la [société], près de trois ans après l’incident du 20 avril 2011, se garde de toute démonstration quant à la réalité de son préjudice financier, se contentant d’énumérer les fichiers qu’elle prétend avoir perdus sans expliquer en quoi ces pertes ont affecté ses productions industrielles ou la qualité de ses relations avec ses clients.

Pourtant, une telle preuve aurait pu être produite facilement par le biais de quelques exemples significatifs de ralentissement dans la production du fait d’un manque de plans antérieurs ou de rupture de relations contractuelles avec des clients, par suite de la disparition des archives le concernant.

Or, en l’absence de toute démonstration de ce chef, il n’est pas à exclure que les fichiers litigieux n’aient en réalité aucune valeur marchande pour correspondre à des archives anecdotiques ou obsolètes, rendant sans objet toute indemnisation, tout au moins au titre d’un préjudice direct et financier facilement quantifiable par le juge de l’évidence et de l’incontestable qu’est le juge des référés et la cour à sa suite. »

Bien que par nature provisoire, cette décision de référé rappelle utilement aux professionnels que préjudice doit être réel et certain pour être indemnisé.

Ainsi, il appartiendra à l’entreprise de justifier :

• – d’une part de la réalité d’une perte de données ;
• – d’autre part de la réalité du préjudice subi lié à la perte de données sur l’activité de l’entreprise (notamment sur son chiffre d’affaires, sa réputation et son image auprès de la clientèle et sur le marché, etc.).

• => Recommandations

L’examen des dernières jurisprudences en matière de perte de données doivent conduire les professionnels à :

• identifier précisément la nature des données entrant dans le périmètre contractuel ;
• évaluer les risques associés au contrat d’externalisation envisagé et s’assurer que les mesures techniques et juridiques de nature à préserver la sécurité des données sont bien mises en œuvre ;
• souscrire les polices d’assurances appropriées ;
• suivre la bonne exécution des contrats conclus avec des tiers pendant toute la durée des relations contractuelles.