Le prestataire informatique responsable en cas de perte de données par un cryptovirus
Le prestataire informatique responsable en cas de perte de données par un cryptovirus |
Un arrêt de la Cour d’Appel de Paris, dans un litige entre un prestataire de maintenance et son client, vient rappeler qu’un virus ou un ransomware ne constituent pas un cas de force majeure permettant d’exonérer qui que ce soit de ses obligations. Le litige est né en 2016 mais la Cour d’Appel de Paris vient de le juger après une décision de première instance du tribunal de commerce en janvier 2018. Si l’affaire est assez complexe et avec de nombreuses ramifications sur la responsabilité et les manquements de chaque partie, un point particulier mérite d’être relevé. En l’occurrence, un crypto-virus a rendu inexploitable les sauvegardes et les données de l’entreprise cliente, problème de plus en plus fréquent de nos jours. Le prestataire a voulu faire considérer ce fait comme une circonstance de force majeure l’exonérant de sa responsabilité. La Cour d’Appel vient rappeler qu’un virus n’est aucunement un cas de force majeure (Cour d’appel de Paris, Pôle 5 – chambre 11, 7 février 2020, affaire n° 18/03616, non-publié)…[lire la suite]
Commentaire de notre Expert : Denis JACOPINI Il est évident qu’à partir du moment ou un prestataire informatique vend un service de sauvegarde et assure d’une quelconque manière sa maintenance, il devient responsable de la réalisation de cette prestation, quelles qu’en soient les conditions excepté dans des situations appelés cas de force majeure. En droit, les conditions de la force majeure évoluent au gré de la jurisprudence et de la doctrine. Traditionnellement, l’événement doit être « imprévisible, irrésistible et extérieur » pour constituer un cas de force majeure. Cette conception classique est cependant remise en cause (Wikipédia). Dans la vraie vie, la situation dans laquelle s’est produit la perte de données doit être vue d’un peu plus près. Il n’y a pas à mon avis un cas de figure mais des cas de figure et les situations doivent être étudiées au cas par cas (chers avocats, je suis à votre disposition). Certes, il est vrai, que le cryptovirus puisse être considéré comme imprévisible et extérieur, mais l’article 1218 du Code Civil précise : C’est là que la balance du mauvais coté pour le prestataire informatique. Depuis 1989, date du premier cryptovirus (PC Cyborg) et pour être un peu plus gentil, depuis 2017, année durant laquelle le nombre de cas de rançongiciels a explosé de plusieurs centaines de pourcents, les cryptovirus sont prévisibles et les effets peuvent être évités par des mesures appropriées. Ainsi, mesdames et messieurs les prestataires informatiques, mesdammes et messieurs les chefs d’entreprises, je ne peux que vous recommander de faire auditer techniquement et juridiquement vos services de sauvegarde afin d’en analyser les risques résiduels car seule une analyse de risques permettra non seulement d’avoir une visibilité technique complète de votre services, mais vous pourrez également adapter vos contrats au résultat de cette dernière et convenir avec vos clients de l’existence ou non de cas pour lesquels la panne de votre système de sauvegarde sera « éligible » au cas de force majeure.
Intéressé par la réalisation d’un tel audit ? Denis JACOPINI (Expert informatique près les tribunaux diplômé en Cybercriminalité, Gestion des risques et Investigation Numérique) |
Quelques articles sélectionnés par notre Expert qui pourraient aussi vous intéresser :
Les 10 conseils pour ne pas se faire «hacker» pendant l’été
Les meilleurs conseils pour choisir vos mots de passe
Victime d'un piratage informatique, quelles sont les bonnes pratiques ?
Victime d’usurpation d’identité sur facebook, tweeter ? Portez plainte mais d’après quel article de loi ?
Attaques informatiques : comment les repérer ?
Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.
Quel sont nos principales activités ?
Notre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).
« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI »
Besoin d'un Expert ? contactez-nous
Source : Justice : Un virus n’est pas un cas de force majeure – Le Monde Informatique