République Française

Au nom du Peuple Français

COUR D’APPEL DE DOUAI

CHAMBRE 2 SECTION 2

ARRÊT DU 04/06/2026

****

MINUTE ÉLECTRONIQUE

N° RG 24/00967 – N° Portalis DBVT-V-B7I-VMG4

Jugement (N° 2022015652) rendu le 24 janvier 2024 par le tribunal de commerce de Lille Métropole

APPELANTE

L’association numéro 1 scolarité, représentée par son président, Monsieur [A] [G], dûment habilité au titre des statuts de l’association

ayant son siège social [Adresse 1]

[Adresse 1]

représentée par M^e Guilhem d’Humières, avocat au barreau de Lille, avocat constitué, assistée de M^e Julien Montcel, avocat au barreau de Paris, avocat plaidant

INTIMÉE

SAS OVH, représentée par son président, domicilié en cette qualité au siège

ayant son siège social [Adresse 2]

[Adresse 2]

représentée par M^e Loïc Le Roy, avocat au barreau de Douai, avocat constitué, assistée de M^e Arthur Dethomas, substitué par M^es Claire Fohet et Nicolas Rohfritsch, avocats au barreau de Paris, avocats plaidants

COMPOSITION DE LA COUR LORS DES DÉBATS ET DU DÉLIBÉRÉ

Stéphanie Barbot, présidente de chambre

Nadia Cordier, conseiller

Anne Soreau, conseiller

— --------------------

GREFFIER LORS DES DÉBATS : Marlène Tocco

DÉBATS à l’audience publique du 19 février 2026 après rapport oral de l’affaire par Nadia Cordier

Les parties ont été avisées à l’issue des débats que l’arrêt serait prononcé par sa mise à disposition au greffe.

ARRÊT CONTRADICTOIRE prononcé publiquement par mise à disposition au greffe le 4 juin 2026 (date indiquée à l’issue des débats) et signé par Stéphanie Barbot, présidente, et Béatrice Capliez, greffier, auquel la minute de la décision a été remise par le magistrat signataire.

ORDONNANCE DE CLÔTURE DU : 3 février 2026

****

FAITS ET PROCEDURE

'

La société OVH est une société à l’origine orientée vers les services d’hébergement de sites internet et qui développe depuis quelques années des services de «'cloud computing'» ou «'informatique en nuage'». Elle possède un réseau de 32 datacentres situés dans onze pays répartis sur quatre continents, dont 4 sont situés en France à [Localité 1], [Localité 2] et [Localité 3].

L’association n° 1 Scolarité (l’association n°1), qui a pour objet de délivrer des activités de soutien scolaire à des enfants et des adolescents présentant des troubles de l’apprentissage à domicile, a créé une plateforme informatique offrant notamment une interface pour la réservation de cours, la facturation des clients et la rémunération des professeurs.

Depuis le 14 avril 2015, l’association n°1 louait auprès de la société OVH un service de serveur privé virtuel (nommé VPS), où se trouvait logée l’intégralité de son application de gestion informatisée de son activité en temps réel, dénommée «'Application de gestion des coupons'» (application AGC).

Dans la nuit du 9 au 10 mars 2021, un incendie est survenu dans les datacentres os-sbgl, os-sbg2 et os-sbg4 de la société OVH situés à [Localité 3], le bâtiment SBG-2 abritant notamment les données de l’association n° 1.

Le 10 mars 2021, alertée par ses clients et salariés de l’indisponibilité de son interface Web, l’association n°1 a adressé une demande d’assistance à la société OVH, afin qu’elle lui indique la localisation de son VPS.

Le 1er avril 2021, l’association n°1 a procédé à une notification auprès de la Commission nationale de l’informatique et des libertés (la CNIL) au titre d’une violation des données personnelles stockées sur son VPS, en qualité de responsable de traitement.

Le 5 avril 2021, sans information préalable, la société OVH lui a annoncé la reconstruction de son VPS à partir d’une ancienne sauvegarde.

Le 27 avril 2021, la société OVH a informé l’association n° 1 de la localisation de son VPS dans le datacenter Sbg-2, la mesure de réparation proposée étant une gratuité des services pendant 6 mois.

Par courrier du 28 mai 2021, l’association n°1 a demandé à la société OVH réparation des préjudices subis à hauteur de 456 000 euros. En réponse, le 30 août 2021, la société OVH a contesté sa responsabilité au titre d’une perte ou d’une indisponibilité des données.

Le 26 août 2022, l’association n°1 a assigné la société OVH en réparation de ses préjudices.

Par jugement du 24 janvier 2024, le tribunal de commerce de Lille-Métropole a :

— «'déclaré sa compétence pour connaître du présent litige ;

— confirmé que la société OVH avait manqué à ses obligations contractuelles, légales et réglementaires consécutivement à l’incendie ;

— confirmé que la société OVH avait été confrontée à un cas de force majeure'»;

— débouté la demande de l’association n°1 tendant à constater le caractère non écrit des clauses limitatives et exonératoires de responsabilité de la société OVH ;

— débouté l’association n°1 de sa demande tendant à l’indemnisation du préjudice subi en raison des manquements contractuels ;

— débouté l’association n°1 de sa demande relative au paiement de la reconstruction informatique logée sur VPS ;

— débouté l’association n°1 de sa demande de paiement pour les dommages occasionnés ;

— débouté l’association n°1 de sa demande tendant au paiement de la perte de ses données ;

— débouté l’association n°1 de sa demande de paiement pour dommage réputationnel ;

— débouté l’association n°1 de sa demande tendant à enjoindre à la société OVH à communiquer sous astreinte les «'rapports d’intervention d’expertises'» ;

— condamné l’association n°1 à payer à la société OVH la somme de 5 000 euros à titre d’indemnité sur le fondement des dispositions de l’article 700 du code de procédure civile ;

— condamné l’association n°1 aux entiers dépens.

Le 28 février 2024, l’association n°1 a interjeté appel de la décision.

MOYENS ET PRÉTENTIONS

Par conclusions signifiées par voie électronique le 16 janvier 2026, l’association n° 1 demande à la cour de :

— se déclarer compétente ;

— déclarer recevable son appel

— infirmer le jugement entrepris en toutes ses dispositions';

— faire droit à l’intégralité des demandes ;

— rejeter toutes demandes reconventionnelles de la société OVH ;

Statuant à nouveau

* à titre principal :

— constater les manquements de la «'défenderesse'» à ses obligations contractuelles, légales et réglementaires suivantes :

* obligation de mise à disposition d’un serveur';

* obligation d’information relative à l’exécution de sa prestation de fourniture d’un VPS ;

* engagements de niveaux de service ;

* obligation de sécurité quant à l’infrastructure hôte du VPS loué';

* obligation de non-administration du serveur ;

— constater l’impossibilité d’OVH à se prévaloir d’un cas de force majeure en application de l’article 1218 du code civil et des conditions générales d’OVH ;

— constater que les clauses limitatives et exonératoires de responsabilité des conditions générales d’OVH ne s’appliquent pas au titre de ses préjudices provenant des fautes de la société OVH en matière d’obligation d’information et d’obligation de non-administration des serveurs ;

— constater en tout état de cause pour toutes les fautes commises par OVH, le caractère non écrit des clauses limitatives et exonératoires de responsabilité détaillées au dispositif des écritures en page 91 et 93

— constater en conséquence, que la responsabilité contractuelle pleine et entière de la société OVH est engagée en écartant toute clause limitative et exonératoire de responsabilité et tout cas de force majeure ;

— condamner la société OVH à indemniser l’intégralité de son préjudice et à lui verser 576 660,63 euros au titre de dommages et intérêts en réparation des préjudices subis résultant des fautes contractuelles de la société OVH ;

— condamner la société OVH à lui payer la somme de 15 000 euros au titre de l’article 700 du code de procédure civile ;

* à titre subsidiaire :

— nommer un expert judiciaire en charge d’évaluer son préjudice résultant des fautes de la société OVH aux frais de cette société ;

* à titre infiniment subsidiaire :

— enjoindre à la société OVH à lui communiquer sous astreinte de 1 000 euros par jour les rapports suivants dans le cadre de la présente instance :

* le rapport d’intervention des pompiers sur l’incendie ;

* le rapport d’expertise diligenté par la compagnie d’assurance d’OVH en charge de l’indemnisation d’OVH au titre de l’incendie ;

— le rapport d’expertise judiciaire de l’expert désigné par le tribunal judiciaire de Strasbourg.

Par conclusions signifiées par voie électronique le 16 janvier 2026, la société OVH demande à la cour de :

— juger irrecevable la demande de nommer un expert judiciaire pour évaluer son préjudice, formulée par l’association numéro 1 en qu’elle constitue une demande nouvelle ;

— confirmer le jugement entrepris en ce qu’il a :

* confirmé qu’elle avait été confrontée à un cas de force majeure ;

* débouté la demande de l’association numéro 1 de constater le caractère non écrit des clauses limitatives et exonératoires de responsabilité ;

* débouté l’association numéro 1 de sa demande tendant à l’indemnisation du préjudice subi en raison des manquements contractuels ;

* débouté l’association numéro 1 de sa demande relative au paiement de la reconstruction informatique logée sur VPS ;

* débouté l’association numéro 1 de sa demande de paiement pour dommages réputationnel ;

* débouté l’association numéro 1 de sa demande tendant à lui enjoindre à communiquer sous astreinte les rapports d’intervention d’expertises ;

* condamné l’association numéro 1 à lui payer la somme de 5 000 euros à titre d’indemnité sur le fondement des dispositions de l’article 700 du code de procédure civile ;

* condamné l’association numéro 1 aux entiers dépens, taxés et liquidés à la somme de 69,59 euros ;

— infirmer le jugement entrepris en ce qu’il a :

* confirmé qu’elle avait manqué à ses obligations contractuelles, légales et réglementaires, consécutivement à l’incendie ;

Statuant à nouveau :

— juger qu’elle a respecté l’ensemble de ses obligations contractuelles à l’égard de l’association n° 1 ;

En conséquence :

— rejeter l’ensemble des demandes de l’association n° 1 ;

— condamner l’association n° 1 à lui verser la somme de 30 000 euros au titre de l’article 700 du code de procédure civile au titre de la procédure d’appel ;

— condamner l’association n° 1 aux dépens de la présente instance, dont distraction au profit de M^e Le Roy.

MOTIVATION

I ' Sur les fautes reprochées par l’association n° 1 à la société OVH

Aux termes des articles 1103 et 1104 du code civil, les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits. Ils doivent être négociés, formés et exécutés de bonne foi.

En vertu de l’article 1231-1 du code civil, le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure.

L’association n° 1 reproche divers manquements à la société OVH, les uns tenant à l’absence de disponibilité et d’accessibilité du VPS, les autres liés à un non-respect des obligations légales et contractuelles d’information et de sécurité de l’infrastructure, et enfin les derniers en lien avec l’administration de son VPS.

La société OVH contestant avoir manqué à l’une quelconque des obligations contractuelles ou légales à laquelle elle était soumise, il appartient à l’association n° 1, qui invoque un non-respect par celle-ci des obligations et règles de l’art applicables à leur relation contractuelle, de rapporter la preuve des fautes invoquées, conformément à l’article 1353 du code civil, et ce par tous moyens, s’agissant de faits juridiques.

A- Sur l’absence de mise à disposition du VPS et le non-respect des engagements de niveaux de service

L’association n°1 fait valoir que':

— la mise à disposition d’un serveur privé virtuel implique de façon logique la disponibilité et l’accessibilité au serveur loué, ces éléments étant déterminants du contrat, sans lesquels le client ne se serait pas engagé';

— en cas d’indisponibilité ou d’inaccessibilité, la plus-value apportée par la société OVH apparaît réduite à néant';

— le serveur est resté indisponible pendant près d’un mois, les dernières données ont été perdues, ce qui l’a mise en grande difficulté dans son exercice professionnel';

— la société OVH est responsable de ce manque de disponibilité, peu important qu’elle ne soit pas responsable des sauvegardes du VPS, la seule indisponibilité constituant une inexécution contractuelle';

— ce manquement constitue une violation de l’article 32 du Règlement général sur la protection des données (ci-après RGPD), un sous-traitant comme OVH devant mettre en 'uvre des moyens permettant de rétablir la disponibilité des données à caractère personnel dans les délais appropriés ;

— cela n’a pas été fait puisque les données ont été perdues, ce qui constitue un manquement aux obligations réglementaires et contractuelles.

Elle conclut au caractère inopérant du moyen tiré de l’absence de sauvegarde réalisée par ses soins, d’autant plus qu’elle avait bien effectué une sauvegarde géographiquement distincte du VPS d’OVH puisque':

— il n’existe aucune obligation légale ni même contractuelle de mise en 'uvre d’une politique de sauvegarde, les recommandations de sauvegarde édictées par le ministère de l’Économie et des Finances, le guide d’hygiène informatique édictée par l’Agence nationale de’ la sécurité des systèmes d’information (ANSSI) ainsi que des avis d’informaticiens contenus dans des articles Internet ne disposant d’aucune valeur normative';

— la sauvegarde effectuée par ses soins ne lui a malheureusement pas permis d’éviter tous préjudices résultant de la destruction de son VPS lors de l’incendie.

Elle rappelle que’les manquements reprochés à la société OVH ne portent pas sur une perte de données de l’association mais sur le fait de ne pas avoir respecté son obligation de mise à disposition du VPS sur lequel était installée son application AGC et ce, pendant plus d’un mois, paralysant ainsi son activité, ce qui caractérise un premier poste de préjudice significatif.

Elle ajoute que toute son activité a été mise à l’arrêt pendant l’indisponibilité du serveur et la phase de transfert de l’application sur un autre VPS, puisqu’elle avait conservé toutes ses données opérationnelles brutes grâce à sa sauvegarde mais a été pénalisée, d’une part, par le manque d’information (sur l’indisponibilité du VPS) qui a retardé la prise de la décision de réinstaller l’application AGC sur un autre VPS, d’autre part, par les difficultés opérationnelles résultant de cette inaccessibilité et de la réinstallation de l’application.

Elle indique qu’il ne lui a été possible que de sauvegarder des données « brutes » sur cette sauvegarde, et pas son AGC, une telle application étant impossible à sauvegarder telle quelle et la réinstallation de l’application nécessitant de longues et complexes opérations informatiques.

Elle critique la motivation du jugement, qui a retenu pour fait générateur du préjudice de l’association une absence de sauvegarde, non souscrite, alors que le fait générateur de son préjudice est l’indisponibilité des serveurs à la suite de l’incendie.

Il ne peut lui être reproché de ne pas avoir souscrit le service supplémentaire de sauvegarde de son VPS auprès d’OVH alors que cela contrevient aux préconisations de l’ANSSI et de la CNIL, puisque ces sauvegardes n’auraient pas été externalisées.

Dans un paragraphe consacré au manquement d’OVH à son engagement de niveaux de service (page 34 des écritures de l’appelante), l’association n°1 énonce que,'du 10 mars 2021 au 5 avril 2021, son VPS était indisponible, le taux de disponibilité mensuelle avoisinant donc 0% au lieu des 99,5% indiqués dans les conditions particulières du VPS, ce qui constitue un manquement manifeste d’OVH à son obligation contractuelle de disponibilité du serveur.

La société OVH revient, à titre principal, sur la délimitation des obligations respectives des parties et la défaillance de l’association à mettre en 'uvre une politique de sauvegarde adaptée comme cause exclusive de son prétendu préjudice aux motifs que':

— la définition de la politique de sauvegarde, dont l’unique but est de pouvoir disposer d’une copie de ses données dans n’importe quelle situation, incombe au responsable de traitement, et non au prestataire de cloud’ (définition des données à sauvegarder, du nombre de sauvegarde, de la localisation des sauvegardes et de la fréquence des sauvegardes)';

— le prestataire de cloud n’est responsable que de la disponibilité des serveurs, mais pas des données, et donc uniquement des préjudices qui y sont liés, le prestataire de cloud ne pouvant ainsi être responsable d’une perte de données';

— la responsabilité d’établir un plan de reprise d’activité incombe bien aux entreprises, et non au fournisseur de services d’hébergement, aucune norme légale ou réglementaire n’imposant aux fournisseurs de cloud d’offrir un tel service de plan de reprise d’activité, onéreux et lourd à mettre en place, à tous leurs clients qui ont souscrit un service différent auprès d’eux';

— l’association n° 1 ne justifie pas avoir défini, ni même établi un plan de reprise d’activité, ni même une politique de sauvegarde, et son affirmation selon laquelle son application AGC ne pouvait être sauvegardée, hormis des «'données brutes'», est mensongère';

— il est tout à fait possible de procéder à la sauvegarde de la totalité des données d’un VPS, comme de tous serveurs, applications comprises, l’association n°1 n’ayant pas souscrit un tel service';

— les services et les conditions générales et particulières souscrites par l’association n° 1 sont particulièrement clairs quant à la répartition des obligations entre elle-même et l’association n°1, laquelle n’a souscrit qu’une offre VPS , aux termes de laquelle elle, société OVH, s’est engagée à assurer l’accès et la possibilité d’y stocker des données'; l’hypothèse d’un dysfonctionnement des serveurs et d’une perte ou d’une indisponibilité des données y est expressément prévue';

— les conditions générales souscrites par l’association n°1 excluent sa responsabilité à elle, société OVH, en cas de « perte, altération ou destruction de tout ou partie des contenus (informations, données, applications, fichiers ou autres éléments hébergés sur l’infrastructure, dans la mesure où elle, société OVH, n’est pas en charge de la gestion de la continuité des activités du client et notamment des opérations de sauvegarde », ce que confirme l’article 6 des conditions particulières VPS souscrites ;

— le client ayant la responsabilité de mettre en 'uvre une politique de sauvegarde pour s’assurer contre une éventuelle perte de données en cas de sinistre, c’est la raison pour laquelle elle exclut toute responsabilité à ce titre, étant rappelé qu’elle (comme d’autres prestataires) propose ce type de service, pour un prix sensiblement plus élevé';

— le choix d’un hébergement, d’une triple réplication, du lieu d’hébergement, de la mise en place et des modalités d’une politique de sauvegarde incombent non au prestataire de services d’hébergement de contenus, mais bien à la société qui cherche à faire héberger et à faire sauvegarder ses données'; celle-ci ne saurait donc faire peser sur son prestataire d’hébergement, la société OVH, ses choix en matière d’hébergement et de sauvegarde.

Elle conteste que son argumentation soit inopérante, dès lors que, si une sauvegarde complète du VPS avait été effectuée, le VPS aurait pu être relancé quasi instantanément et aucun travail de reconstruction n’aurait été nécessaire. Elle ajoute que l’association n°1, qui a la responsabilité de la définition et de la mise en 'uvre de sa politique de sauvegarde, ne démontre donc pas avoir défini une telle politique, ce qui est la cause des préjudices qu’elle allègue avoir subis.

Elle précise que l’association n°1 reconnaît n’avoir souscrit aucun service de sauvegarde auprès d’elle, société OVH, de sorte qu’elle ne peut en revendiquer aujourd’hui le bénéfice en sollicitant l’indemnisation des préjudices qu’elle prétend avoir subis du fait de l’indisponibilité et de la perte de ses données.

Elle observe que':

— si une sauvegarde avait existé, il n’aurait pas été nécessaire de reconstruire l’architecture de son VPS';

— si l’association n°1 avait sauvegardé le contenu de son VPS (qu’il s’agisse d’informations, données, fichiers, systèmes, applications ou de sites internet), l’indisponibilité de son contenu aurait été très limitée dans le temps et elle n’en aurait donc subi aucun préjudice';

— les préjudices dont se prévaut l’association ' principalement constitués, selon cette dernière, de l’indisponibilité de son application AGC hébergée sur le VPS souscrit auprès d’elle, OVH ' résultent ainsi de l’absence de duplication et de sauvegarde de cette application sur un autre serveur, a fortiori géographiquement éloigné.

En réponse plus spécifiquement au développement de l’appelante sur le niveau de service, la société OVH estime avoir respecté ses engagements contractuels en termes de disponibilité et d’accessibilité, qui sont des obligations de moyens, sa responsabilité ne pouvant donc être engagée que sous réserve de rapporter la preuve qu’elle n’aurait pas mis en 'uvre les moyens nécessaires pour remplir ses obligations, ce que l’association n°1 s’abstient de faire.

Elle précise qu’elle a déployé «'ses meilleurs efforts'» pour tenter de restaurer le service de VPS de l’association et ses données, une sauvegarde des données du VPS lui ayant été restituée et le VPS ayant été relancé le 5 avril 2021. Dès lors, l’indisponibilité des services a été limitée à moins d’un mois, alors que de nombreux facteurs (sécurisation des locaux, expertises et enquêtes en cours, rétablissement de l’électricité, remise en service des espaces qui pouvaient l’être pendant et depuis leur nettoyage matériel, serveur par serveur, nombre de clients sollicitant un diagnostic spécifique qui implique un rétablissement complet d’une infrastructure, avant de pouvoir établir une réponse précise) sont à prendre en compte.

Elle a, conformément aux stipulations de garanties de niveau de service, fourni à son client un dédommagement proportionnel à l’indisponibilité constatée et ce, dans la limite de 100 % du montant mensuel facturé au client, le bon d’achat accordé représentant l’équivalent de près 8 mois de service VPS souscrits par ce client.

Elle ajoute que l’association ne peut se prévaloir d’un manquement au rétablissement des données dans les « délais appropriés » sur le fondement de l’article 32 du RGPD du 23 mai 2018, aucune obligation de rétablissement ne pesant sur le sous-traitant de données, qui doit seulement mettre en 'uvre « des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique » aux termes d’une obligation de moyens.

Réponse de la cour

A titre liminaire, l’association n°1 aborde, dans deux paragraphes distincts, les uns en page 16 à 22, les autres en page 34, l’absence d’accessibilité et l’indisponibilité du VPS, sans qu’il soit possible de comprendre les raisons de cette dichotomie dans la présentation.

Ces développements concernent la critique de la principale obligation souscrite par l’association n° 1 auprès de la société OVH, à savoir la mise à disposition d’un VPS.

Il y sera répondu de manière globale ci-après.

En premier lieu, la cour observe que les importants développements consacrés par la société OVH aux règles de l’art en matière de politique de sauvegarde et au système de sauvegarde mis en 'uvre par l’association n°1, et notamment à la conformité dudit système aux règles de l’art, sont sans incidence sur la faute éventuellement commise par la société OVH, faute qu’il appartient à l’association n°1 de caractériser, et qui serait constituée par l’indisponibilité et l’inaccessibilité du serveur VPS alloué.

A supposer que soient démontrés, d’une part, le non-respect par l’association des règles de l’art, et que ce dernier soit susceptible de constituer une faute, d’autre part, l’absence de sauvegarde effective réalisée par l’association, tout au plus cela constituerait-il un moyen à prendre en compte en termes de partage de responsabilité ou de limitation de l’indemnisation accordée, ce que la société OVH ne plaide pas expressément dans ses conclusions d’appel.

Surtout, contrairement à ce que laisse entendre la société OVH, l’association n°1 reproche à cette dernière de ne pas avoir permis l’accès à son VPS, et par là même à ses données, et non de ne pas les avoir conservées, les parties concordant sur le fait qu’aucune option de sauvegarde de la totalité des données du VPS avait été souscrite par l’association auprès de la société OVH.

En deuxième lieu, dès lors qu’est alléguée une inexécution des obligations de la société OVH et que les parties divergent quant à l’étendue de ces obligations, c’est à l’association, demanderesse à l’indemnisation de ses préjudices, de démontrer le contenu de la réglementation applicable comme le contenu du contrat.

En l’espèce, l’association n° 1 a souscrit auprès de la société OVH la location d’un serveur privé virtuel, en se soumettant aux «'conditions générales d’OVH Cloud'», dans leur version du 22 février 2021, ainsi qu’aux conditions particulières du service de location de serveur privé virtuel, dans leur version du 15 avril 2020, complétées par l’annexe de traitement de données à caractère personnel (ou DPA) dans sa version du 26 février 2020.

Il s’extrait de ces pièces contractuelles que la société OVH avait pour obligation, d’une part, de mettre à disposition de son client un serveur privé virtuel disposant de ressources dédiées et de ressources appartenant au serveur hôte, d’autre part, d’en assurer la disponibilité.

Il y est expressément précisé que le client est seul responsable de la gestion des données qu’il décide d’y placer et de leur intégrité, tel que cela résulte des articles 3 des conditions générales et 4-2 des conditions particulière VPS.

Cette dernière clause stipule néanmoins plus particulièrementque «'OVHCloud n’assure en ce sens que l’accès du client au Service permettant à ce dernier de stocker ses données et celles de ses clients.'»

L’article 2-3 des conditions générales porte engagement de la société OVH d’ «' apporter tout le soin et la diligence nécessaires à la fourniture de Services de qualité, conformément aux caractéristiques, modalités, niveaux de services prévus au contrat'», cette stipulation spécifiant in fine que «' OVH est soumise à une obligation de moyen.'»

Les conditions particulières définissent quant à elles, à l’article 7, «'les engagements de niveaux de service (SLA)'» applicables, et plus particulièrement pour le VPS en litige, à savoir le «'VPS Gamme starter'» ce qu’admettent les parties, un «'taux de disponibilité mensuelle de 99,5'%'.»

Cet article précise ainsi':

Par taux de «'disponibilité mensuelle'», il convient d’entendre': le nombre total de minutes du mois considéré déduction faite du nombre de minutes d’indisponibilité du mois concerné, le tout divisé par le nombre total de minutes du mois considéré.

Par indisponibilité, il convient d’entendre la perte, pendant plus de trois minutes consécutives à compter de l’ouverture du ticket incident, de l’accès au VPS du client, sans possibilité pour le client de relancer ledit VPS.

Les engagements de niveaux de service ci-dessus sont pris, sous réserve des cas d’exclusion visés ci-dessous, et à condition qu’en cas d’indisponibilité, le client collabore avec OVHcloud au rétablissement du service tel que prévu à l’article «'gestion des incidents'» des conditions générales de service.

Le présent engagement ne concerne en aucun cas la disponibilité des éléments qui demeurent sous le contrôle du client, tels que notamment les logiciels ou applications installés et utilisé par le client sur le VPS.

Cette stipulation poursuit, d’une part, en prévoyant les conséquences d’un niveau de services non atteint, en termes de dédommagement notamment, d’autre part, en définissant les cas d’exclusion, permettant d’échapper à ces niveaux de service.

Quant à l’annexe DPA, elle prévoit l’obligation pour chacune des parties de respecter la réglementation applicable en matière de protection des données, y compris le RGPD, l’article 11 de l’annexe précisant que':

OVH ne peut être tenu responsable que des dommages causés par un traitement pour lequel (i) il n’a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou pour lequel (ii) il a agi en dehors des instructions licites du client ou contrairement à celles-ci. Dans de tel cas, la disposition du contrat relative à la responsabilité s’applique.

S’il est ainsi établi que l’association n° 1 avait seule en charge la définition et la mise en 'uvre de sa propre politique de sauvegarde, ce qu’elle ne conteste d’ailleurs pas, il n’en demeure pas moins qu’aux termes des stipulations contractuelles liant les parties, la société OVH, quand bien même elle n’est pas en charge de la gestion des données, avait pris l’engagement de fournir un VPS, en s’obligeant à en assurer la disponibilité et l’accès.

À la suite de l’incendie survenu dans la nuit du 9 au 10 mars 2021, il est constant, et corroboré par les pièces versées aux débats, que l’accès au VPS loué, localisé dans le datacenter Sbg-2 détruit intégralement par les flammes, a été empêché, ledit VPS demeurant indisponible totalement jusqu’au 5 avril 2021, date à laquelle la société OVH a annoncé à l’association n° 1 avoir rétabli un accès au VPS, comportant d’anciennes données de la cliente.

Il s’ensuit que le niveau de service de 99,5'%, auquel la société OVH s’était engagée contractuellement, n’a pas été respecté durant toute la période précitée, l’indisponibilité étant manifeste, sans qu’il soit reproché un quelconque manquement du client à son devoir de collaboration.

La société OVH ne peut s’emparer de la qualification des obligations contractuellement souscrites, figurant à maintes reprises dans ses conditions générales et particulières, d’obligation de moyen pour se dédouaner en affirmant avoir «'fait ses meilleurs efforts'» pour respecter ses obligations, et notamment rétablir au plus tôt l’accès et la disponibilité du service convenu.

Outre que le seul fait qu’une telle qualification soit mentionnée dans une stipulation n’est pas suffisant à établir la réalité d’une obligation de moyen, la stipulation relative au niveau de service est, en tout état de cause, ferme et précise, comportant l’engagement, pour la société OVH, de respecter un résultat déterminé, à savoir la mise à disposition d’un VPS, avec un accès et une disponibilité de 99,5'%.

S’il est indéniable que des aléas environnementaux ou technologiques sont susceptibles d’avoir un impact sur la disponibilité ou l’accessibilité aux services, en matière informatique, ce qui explique les clauses de niveau de service, le taux de disponibilité prévu dans les clauses, tient compte de ces aléas, la société OVH ayant elle-même’ estimée être en mesure d’offrir à son client le taux de 99,5'% arrêté dans la clause précitée.

Qualifier cet engagement de simple obligation de moyen reviendrait à vider de sa substance l’engagement, pris par la société OVH, d’assurer ce taux de disponibilité de 99,5'%, qui constitue un élément déterminant dans la relation contractuelle existant entre un client et une société informatique.

A supposer même que la société OVH ait déployé tous les efforts et mis en 'uvre tous les moyens nécessaires pour rétablir dans les plus brefs délais l’accès et la disponibilité au service souscrit, cela n’enlève rien au fait que, durant la période du 10 mars 2021 au 5 avril 2021, la société OVH n’a pas été en mesure de respecter ses engagements de niveau, en termes de disponibilité et d’accessibilité au service promis.

Ce fait constitue bien un manquement de la société OVH à son obligation contractuelle de disponibilité du service et de mise à disposition d’un VPS. dont il conviendra ci-après de déterminer s’il ne relevait pas toutefois d’un cas exonératoire ou limitatif de responsabilité.

En troisième lieu, à côté de ce manquement contractuel, l’association n° 1 argue d’un manquement réglementaire commis par la société OVH, notamment au regard des dispositions du RGPD, auquel renvoie l’annexe DPA, et plus particulièrement de l’article 32 du RGPD, qui prévoit que':

Compte tenu de l’état des connaissances, des coûts de mise en 'uvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en 'uvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : (c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

Les termes mêmes de ce texte ne font peser sur le responsable du traitement et le sous-traitant qu’une obligation, de moyen, d’avoir à rétablir, dans des «'délais appropriés'» la disponibilité des données personnelles et l’accès à celles-ci.

Compte tenu de l’ampleur de l’incendie en cause, qui a touché plus de 16 000 clients de la société OVH, de la destruction consécutive de l’ensemble du bâtiment abritant le VPS alloué à l’association n°1, de la nécessité de sécuriser le site, de laisser l’accès aux services d’enquête, puis de remettre en état de fonctionnement les serveurs, le rétablissement d’un accès au VPS de l’association n°1 dès le 5 avril 2021, soit moins d’un mois après l’incendie du 10 mars 2021, démontre que la société OVH a, dans les meilleurs délais, mis en 'uvre tous les moyens nécessaires pour respecter l’obligation édictée par l’article 32 du RGPD.

L’association n°1, qui soutient le contraire, ne démontre pas que la société OVH aurait été en mesure d’assurer plus rapidement la récupération des services affectés par l’incendie, et de l’informer ainsi du rétablissement de l’accès à son VPS, seule obligation qui pesait contractuellement sur la société OVH, cette dernière n’ayant pas l’obligation de restituer à sa cliente les données se trouvant sur ce VPS.

Il doit d’ailleurs être noté que, s’astreignant à respecter au mieux les obligations imposées par le RGPD, la société OVH a même tenté de rétablir les données de l’association n°1, en restituant à cette dernière d’anciennes données, retrouvées au cours des opérations de sécurisation du site qui ont suivi l’incendie.

Ainsi, contrairement à ce que soutient l’association n°1, aucun manquement à l’article 32 du RGPD n’est caractérisé à l’encontre de la société OVH.

B- Sur le manquement de la société OVH à son obligation d’information relative à l’exécution de sa prestation de fourniture d’un VPS

L’association n°1 soutient que la société OVH a manqué à son obligation d’information relative à l’exécution de sa prestation de fourniture d’un VPS, aux motifs que':

— un cocontractant a l’obligation d’avertir l’autre, en cours de contrat, des événements qu’il a intérêt à connaître pour l’exécution du contrat, ce qui se traduit par un devoir de collaboration entre les parties en matière informatique';

— n’ayant reçu aucune information et/ou communication de la part d’OVH relative à l’incendie ou à tout autre événement ayant affecté ses données, elle a dû adresser une demande d’assistance pour déterminer au préalable’ la localisation de son VPS';

— en réponse, la société OVH ne lui a communiqué aucune information quant à la localisation de son VPS, ni même sur la perte ou le risque de perte de tout ou partie de ses données, et ce, en violation de ses obligations tant contractuelles que réglementaires (article 7-7 des conditions générales)';

— ce n’est que plus d’un mois et demi plus tard, le 27 avril 2021, qu’elle a reçu un message de la société OVH l’informant que son VPS était situé dans le datacenter SBG2, la société OVH ne précisant toutefois toujours pas que les données stockées sur ce VPS étaient perdues';

— la société OVH ne l’a pas informée de l’incident affectant ses données personnelles « dans les meilleurs délais », le message reçu le 12 mars 2021 n’étant qu’un message standardisé sur l’état général des datacenters d’OVH qui ne renseigne en rien sur la situation de son VPS';

— cette notification ne constitue pas une délivrance d’information valable au regard des stipulations contractuelles précitées';

— la société OVH ne peut, en tout état de cause, se prévaloir d’un cas de force majeure pour écarter sa responsabilité, puisque l’article 7.7 conditionne l’application de la force majeure au respect de cette obligation d’information';

— ce manquement est d’autant plus grave qu’il constitue une violation des obligations de la société OVH au regard du RGPD, et plus particulièrement de son article 33.

Elle affirme que la société OVH ne saurait s’exonérer ou limiter sa responsabilité au titre de ce manquement en se prévalant d’un cas de force majeure ou des clauses exonératoires ou limitatives de responsabilité prévues dans ses conditions générales puisque':

— le défaut d’information est postérieur à l’incendie, qui n’en est pas la cause, mais résulte d’une abstention et négligence fautive de la société OVH dans la délivrance des informations qu’elle aurait dû lui communiquer';

— les clauses exonératoires ou limitatives de responsabilité dont la société OVH se prévaut (et dont l’application est contestée aux termes de la section II.2 ci-dessous) s’appliquent, selon les termes mêmes des conditions générales, uniquement au titre des manquements de la société OVH à ses engagements en matière de « niveaux de service » ou en cas de perte de données'; la responsabilité de la société OVH n’est donc pas limitée ou exonérée au titre d’un préjudice résultant d’un manquement à ses obligations d’information.

Elle conteste le fait qu’elle eût été en mesure de connaître la localisation de son VPS préalablement à l’incendie, cette information ne portant que sur la seule localisation géographique ([Localité 3]), et non sur le bâtiment dans lequel se situait le VPS. Elle et ajoute que':

— c’est, entre autres, au regard de cette information que la société OVH a manqué à son obligation d’information';

— dès le 10 mars 2021, son VPS à elle, l’association, n’apparaissait plus dans son espace client, de sorte qu’elle ne pouvait procéder à la vérification envisagée par la société OVH pour déterminer la localisation de son VPS';

— quand bien même elle aurait eu ou pu avoir connaissance de la localisation exacte de son serveur, le caractère imprécis et trompeur des messages de la société OVH du 16, 18 et 20 mars susvisés ne lui permettait aucunement de savoir que son VPS était détruit';

— il était déterminant de savoir si son VPS était définitivement perdu, afin de passer au plus vite à la recherche d’une solution pour relancer son activité, particulièrement en reconstruisant son architecture informatique.

La société OVH critique la décision de première instance et fait valoir qu’aucun manquement, à quelque obligation légale ou réglementaire précise, ne peut lui être imputé, aux motifs que':

— elle était soumise à une obligation de moyens et a parfaitement respecté ses obligations contractuelles, comme en attestent les termes des stipulations contenues dans ses conditions générales et particulières';

— sa responsabilité ne peut donc être engagée que sous réserve de rapporter la preuve qu’elle n’aurait pas mis en 'uvre les moyens nécessaires pour remplir ses obligations, ce que l’association n°1 s’abstient de faire';

— le respect de son obligation d’information n’a pas été remis en question par le tribunal et ne peut être contesté, l’allégation d’une absence d’information soutenue par l’association quant à la localisation et à l’état de son serveur privé virtuel pendant « près de deux mois » à la suite de l’incendie étant infondée (connaissance de la localisation du serveur dans l’interface de gestion de l’association, notification pour les clients dont le VPS souscrit se situait dans le datacenter SBG2 (correspondant aux localisations VPS SBG1, SBG2 et SBG4)'; (je pense qu’il faut supprimer la parenthèse ajoutée par [Q], sinon ça en fait trois)

Elle conteste':

— avoir commis un manquement à l’article 5 de l’annexe DPA en s’abstenant d’informer sa cliente de l’incendie dans les meilleurs délais, pointant les différents messages adressés';

— que les informations fournies auraient été incohérentes, réfutant toute contradiction dans les informations diffusées';

— qu’elle aurait commis un manquement aux dispositions du RGPD en n’effectuant aucune notification de violation de données à la CNIL à la suite de l’incendie (33 du RGPD). L’obligation de notification d’une violation de données incombe au responsable de traitement (soit l’association), et non au sous-traitant, comme le rappelle précisément la CNIL à propos de l’incendie du 10 mars 2021 sur le datacentre de [Localité 3], les obligations incombant au sous-traitant aux termes de l’article 33 du RGPD consistant seulement à « notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance », ce qu’elle a effectué le 12 mars 2021, en notifiant à l’ensemble de ses clients la survenance de l’incendie et le risque de perte de leurs données';

— il ne peut être sérieusement prétendu qu’elle aurait contrevenu à l’article 11 du DPA, qui n’opère qu’un renvoi au RGPD.

Réponse de la cour

Au titre de ce manquement, l’association n°1 émet, en réalité, deux griefs distincts en lien avec un défaut d’information, l’un commis par la société OVH directement à son égard, tenant à un défaut d’information de l’incident survenu et de ses conséquences, l’autre commis indirectement par la société OVH, qui aurait méconnu l’obligation d’informer la CNIL d’une violation de données.

En premier lieu, il est indéniable que, dans le prolongement de l’obligation d’exécuter de bonne foi un contrat en application de l’article 1104 du code civil, pèse sur le cocontractant l’obligation d’informer de toute difficulté rencontrée dans l’exécution des obligations souscrites, et ce dans les meilleurs délais.

L’article 2-3 des conditions générales stipule d’ailleurs que':

OVHCloud s’engage à apporter tout le soin et la diligence nécessaires à la fourniture de services de qualité, conformément aux caractéristiques, modalités, niveaux de services prévus au contrat. OVHCloud s’engage notamment à disposer d’une équipe compétente en charge de l’assistance du client et de la gestion des incidents et à assurer la disponibilité et la sécurité des services suivant les modalités et niveaux de performance prévus aux conditions de services applicables. OVH est soumise à une obligation de moyen.

L’article 6-3, intitulé gestion des incidents prévoit que':

S’il apparaît que l’incident relève de sa responsabilité, OVHcloud finalise le diagnostic et travaille au rétablissement de la disponibilité des services impactés. En ce cas l’intervention d’OVHcloud ne donne lieu à aucune facturation complémentaire […]Sous réserve des conditions particulières applicables et des autres niveaux de support visés au point 5-4 ci-après [plutôt 6-4], OVHcloud ne donne aucune garantie de temps d’intervention et de résolution des incidents dans le cadre du support OVH.

Comme en attestent les termes mêmes utilisés pour définir l’obligation d’information en cas d’incident constaté et de résolution de ces derniers, la société OVH ne s’engage pas à un résultat, mais à mettre tous les moyens nécessaires pour assurer l’information du client en cas d’incident et pour procéder, sans aucune garantie de temps et de résolution, à une intervention sur l’incident.

Il ne peut dès lors s’agir que d’une obligation de moyen.

En deuxième lieu, l’association n°1 doit établir la faute de la société OVH, en ce qu’elle n’aurait pas fait tout son possible pour répondre aux obligations telles que délimitées ci-dessus, l’association n°1 reprochant à la société OVH, d’abord, l’absence d’une information immédiate sur l’existence d’un incident relatif à son VPS et la localisation de ce dernier, ensuite, la confusion des informations données quant aux conséquences sur les données, enfin, la tardiveté de l’information donnée quant à la perte de son VPS.

De première part, quand bien même l’association n° 1 aurait été d’abord avertie par l’une de ses clientes, les différents communiqués, par voie de presse écrite comme vidéo, ainsi que les divers courriels adressés par la société OVH à ses clients, et ce dès le 12 mars 2021, pour leur annoncer l’incendie et l’impact de l’incendie sur les VPS situés dans le datacentre de [Localité 3], démontrent que la société OVH a relayé, dès qu’il lui était possible de le faire, les informations sur le sinistre et ses conséquences.

Le fait que l’association n°1 n’ait reçu à sa demande d’assistance du 10 mars 2021 qu’une réponse constituée d’une communication circulaire à l’ensemble des clients n’est pas de nature à remettre en cause l’existence même de cette information, cette modalité d’information s’expliquant par l’ampleur du sinistre et le nombre conséquent de clients concernés.

Outre les nombreux courriels pour informer quant à l’état des bâtiments et services, la société OVH justifie de surcroît avoir mis en 'uvre une page internet dédiée à cet incendie, en fournissant régulièrement un état des services, ainsi qu’une «'foire aux questions'» relatives à l’incendie. L’association n° 1 ne soutient ni n’établit ne pas y avoir eu accès ou ne pas avoir été informée de l’existence de ces moyens de communication.

Plus particulièrement, contrairement à ce qu’elle laisse entendre, l’association n°1 n’ignorait pas que son VPS se trouvait dans le datacentre de [Localité 3], sa demande d’information du 10 mars 2021 concernant uniquement la localisation précise dudit VPS.

Elle n’établit pas plus n’avoir pas été en mesure, comme l’évoque la communication officielle de la société OVH, de déterminer précisément la localisation de son VPS dans le bâtiment Sbg-2, postérieurement au 12 mars 2021, avec les outils mis à sa disposition par la société OVH, l’association n° 1 ne démontrant pas que toute démarche en vue de connaître la localisation du VPS ait été, postérieurement au 12 mars 2021, infructueuse.

En effet, la capture d’écran, insérée dans les écritures de l’appelante, en page 30, intitulée «'exemple de l’espace client OVH de n°1 scolarité'», ne permet ni de vérifier qu’il s’agit bien de l’espace de l’association n°1, ni de déterminer à quelle date cette capture aurait été effectuée.

Celle-ci n’est donc pas probante et n’établit pas l’affirmation de l’association n° 1 selon laquelle son VPS n’apparaissait plus dans son espace client, ce qui ne lui permettait pas de procéder à la vérification proposée par la société OVH.

De deuxième part, l’association n°1 fait grief à la société OVH d’avoir tardé à l’informer de la «'perte de son VPS'», pointant la réception, uniquement le 27 avril 2021, d’un courrier lui annonçant que les machines associées à son VPS étaient irrécupérables.

Au préalable, il doit être noté que, par l’expression «'perte de son VPS'», l’association n°1 procède à une assimilation entre la disponibilité de son VPS, seule obligation pesant sur la société OVH, et la perte des données contenues dans ce VPS, que la société OVH n’avait aucune obligation de sauvegarder.

Comme indiqué précédemment, dès le 10 mars 2021, l’association n°1 était informée, d’une part, de l’indisponibilité de son VPS, via la communication personnelle comme circulaire effectuée par la société OVH, d’autre part, du caractère durable, voire irrémédiable, de cette indisponibilité pour les VPS localisés dans le bâtiment SBG2. L’association n°1 ne démontre pas ne pas avoir pu, postérieurement au 12 mars 2021, localiser précisément, avec les outils précités, son VPS.

Par une communication circulaire envoyée à l’ensemble de ses clients, le 16 mars 2021, la société OVH a informé de l’état de chacun des bâtiments constituant le datacentre de [Localité 3], et de l’impact du sinistre sur ces services pour chacun des bâtiments. Cette communication annonçait':

SBG-2';

Situation': bâtiment hors d’usage. Expertise structure effectuée. Site mis en sécurité';

Redémarrage des serveurs': Remplacement des infrastructures sur d’autres datacenters.

Cela ne laissait ainsi aucun doute quant à la destruction des VPS se trouvant dans ce bâtiment, l’association n°1 ne pouvant s’emparer du terme «'redémarrage des serveurs'» pour estimer la communication trompeuse.

Si l’information personnelle officielle n’a été délivrée que le 27 avril 2021, il n’en demeure pas moins que, préalablement à cette date, l’association avait bien été informée de la destruction de son VPS, d’autant plus que, dès le 5 avril 2021, elle avait obtenu un courriel l’informant de la «'reconstruction de votre VPS vps10848.ovh.net'» [soulignement de la cour].

De troisième part, le reproche d’informations parcellaires ou incohérentes, émis par l’appelante, n’est pas plus fondé, compte tenu de l’ampleur du sinistre et de son impact, mais également des incertitudes existant à l’époque de l’incendie sur les répercussions de ce dernier sur l’ensemble de ses services, la société OVH ayant pris soin, dès qu’elle a eu des informations suffisantes et vérifiées, de les relayer auprès de ses clients, et ce de manière très régulière, comme en attestent les différents courriels versés aux débats.

Contrairement à ce qu’affirme l’association n°1, il ne ressort pas de la communication de la société OVH, et plus particulièrement la communication effectuée le 16 mars 2021 précitée, une quelconque tromperie ou incohérence sur l’état des serveurs. Pour chacun des bâtiments, la société OVH a adopté la même présentation, afin que ses clients puissent clairement identifier les informations nécessaires, ce qui explique la présence d’un titre «'redémarrage des serveurs'» pour le bâtiment SBG2 avec la précision en face': «'Remplacement des infrastructures sur d’autres datacenters'». Le fait qu’il soit indiqué dans les messages suivants, et plus particulièrement ceux du 20 mars 2021,'que le «'SBG2 est fermé, isolé et mis en sécurité'», n’est pas non plus en contradiction avec le caractère hors service du bâtiment et des infrastructures préalablement annoncé.'

Dans le contexte d’un sinistre d’une ampleur sans précédent, touchant plusieurs milliers de clients, la société OVH a, au gré des informations qu’elle pouvait recueillir et des éléments techniques dont elle disposait, mis en 'uvre de multiples diligences pour informer ses clients, et plus particulièrement l’association n°1 tant de l’existence que de l’impact de l’incendie sur ses services, sans que l’association puisse lui faire grief d’une quelconque rétention d’information ou d’un retard dans la transmission de cette information, voire d’une tromperie dans l’information diffusée.

Aucune faute, tenant à un manquement contractuel à l’obligation d’information, n’est donc établie à l’encontre de la société OVH.

En troisième lieu, l’association prétend que la société OVH aurait manqué aux obligations imposées par le RGPD, auquel l’annexe DPA renvoie, et plus particulièrement à son devoir d’informer la CNIL d’une perte de données à la suite de l’incendie, en se référant à l’article 33 du RGPD.

Ce texte dispose que':

1. en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Comme le souligne à juste titre la société OVH, l’obligation de notification d’une violation de données incombe au responsable de traitement, à savoir en l’espèce l’association n°1, et non à la société OVH, qui a la qualité de sous-traitant, ce que confirme la communication de la CNIL relative à l’incendie d’OVH du 10 mars 2021, versée aux débats.

Il ne pèse sur la société OVH, en sa qualité de sous-traitant, qu’une obligation de notification, dans les meilleurs délais, d’un incident, au responsable de traitement, afin de permettre à ce dernier de remplir ses obligations au titre du RGPD.

Comme exposé ci-dessus, une telle notification a bien été mise en 'uvre par la société OVH, qui a procédé à de multiples communications, personnelles ou circulaires, pour informer ses clients de l’incident de nature à engendrer une perte et une violation des données, et de son impact sur les services offerts.

C’est donc sans fondement que l’association n° 1 prétend que la société OVH aurait manqué à son obligation d’information au titre du RGPD, auquel renvoient les articles 3 et 11 de l’annexe DPA.

C- Sur les manquements d’OVH à son obligation de sécurité quant à l’infrastructure hôte du VPS loué

L’association n°1 fait valoir que':

— le jugement déféré ne s’est pas prononcé sur ce manquement';

— concernant l’obligation de sécurité de la société OVH, il doit être distingué entre la sécurité des données hébergées sur le serveur, qui doit être assurée par le client, et la sécurité des infrastructures, qui relève de la responsabilité de la société OVH';

— sur son site internet, la société OVH met en avant de nombreuses certifications de sécurité, cet engagement d’assurer la sécurité des infrastructures constituant une condition essentielle à la souscription de l’offre OVH';

— la société OVH nie avoir manqué à son obligation de sécurité, pointant la mise en place de nombreuses mesures de sécurité, sans pour autant en apporter les preuves';

— l’absence d’un système d’extinction automatique des incendies au sein des infrastructures, système basique de sécurité incendie, est surprenante, ce système d’extinction s’avérant un prérequis minimal de sécurité dans un lieu de stockage de serveurs où le risque d’incendie inhérent à cette activité est important, en raison des surchauffes résultant de l’activité de serveur et du besoin d’un réseau électrique intense';

— la faute de la société OVH est d’autant plus grave que celle-ci avait déjà été informée de ce manquement au travers d’un rapport du bureau Véritas concernant son datacentre de [Localité 1]';

— la société OVH faisait reposer la sécurité de ses serveurs ' et de ses équipes, uniquement sur l’usage d’extincteurs';

— l’incendie ayant frappé le datacentre n’était donc ni imprévisible ni irrésistible, ce qui empêche la société OVH de se prévaloir de la force majeure prévue par l’article 1218 du code civil';

— la société OVH a manqué de vigilance dans la gestion globale de ses infrastructures (incidents électriques et départs feu antérieurs, structures reliées entre elles, utilisation de conteneurs maritimes) et n’a pas mis en place toutes les précautions possibles pour satisfaire à son obligation de sécurité, à commencer par l’installation d’un système d’extinction de feu automatique';

— les conditions de stockage des serveurs, entourés de planches en bois inflammables, reflètent un important manque de prudence de la part de la société OVH, d’autant plus que l’incendie est un des risques les plus importants dans un centre de données';

— en violation des dispositions du code du travail, aucun élément concernant le nombre et le type d’extincteurs n’est apporté, permettant de conclure qu’ils étaient appropriés aux risques électriques.

Elle conteste l’affirmation de la société OVH selon laquelle celle-ci aurait mis en 'uvre «'toutes les mesures de sécurité techniques et organisationnelles appropriées afin d’assurer la sécurité et la confidentialité des données personnelles de ses clients », aux motifs que':

— cette affirmation est contraire aux conclusions du rapport du Bureau d’enquêtes et d’analyses sur les risques industriels (BEA) du 24 mai 2022, qui relève de nombreuses failles dans le système de sécurité de la société OVH';

— l’absence de système d’extinction automatique a joué un rôle déterminant dans la gestion de l’incendie en cause. Le BEA relève les facteurs contributifs de l’incendie (cf. page 25 du rapport), en concédant que, si le datacentre n’est pas soumis dans sa globalité à la réglementation des ICPE , certaines de ces ses parties peuvent y être soumises au-delà d’un certain seuil, et plus particulièrement, dans le cas du bâtiment SBG2, les locaux de charges de batteries, qui auraient dû respecter des objectifs de tenue et de résistance au feu, compte tenu des quantités de batteries présentes ;

— les exigences en matière de moyens en eau d’extinction n’étaient pas respectées, mettant ainsi en lumière une défaillance supplémentaire de la société OVH dans la mise en 'uvre de la sécurité de ses infrastructures';

— les mesures que la société OVH détaillent comme mises en 'uvre étaient manifestement insuffisantes au regard des risques inhérents à son activité d’hébergement de serveurs, ce qu’elle n’ignorait pas compte tenu des conclusions du rapport d’études de dangers du bureau Véritas';

— le fait que « les concurrents d’OVH appliquent les mêmes normes en matière de sécurité incendie » ne constitue pas un fait justificatif exonératoire de responsabilité';

— l’incendie en cause, contrairement à ce qu’affirme la société OVH, ne constitue pas un cas de force majeure puisque celui-ci n’était ni extérieur, ni imprévisible, ni irrésistible.

— le tribunal ne s’est pas expressément prononcé sur ce manquement, mais a jugé que la société OVH avait commis des manquements ayant aggravé la propagation de l’incendie, mais qu’ils n’ont pas été déterminants dans le déclenchement de l’incendie.

La société OVH revient sur le respect de ses obligations en matière de sécurité, faisant valoir que':

— elle possède l’ensemble des autorisations requises pour son activité et a parfaitement respecté ses obligations en matière de sécurité au regard du RGPD';

— les mesures de sécurité qui doivent être mises en 'uvre doivent prendre en compte : l’état des connaissances, les coûts de mise en 'uvre, la nature, la portée, le contexte et les finalités du traitement, le degré de probabilité et de gravité des risques encourus dans le cadre du traitement des données';

— l’obligation de sécurité découlant du RGPD est une obligation de moyens qui contraint le sous-traitant à mettre en 'uvre les mesures de sécurités appropriées aux risques légitimement encourus et raisonnablement attendus dans le cadre du traitement';

— elle a mis en 'uvre toutes les mesures de sécurité techniques et organisationnelles appropriées afin d’assurer la sécurité et la confidentialité des données personnelles de ses clients et mis en place l’ensemble des mesures de sécurité légitimement attendues en matière de détection des incendies [plan de prévention appliqué sur l’ensemble des sites, équipe dédiée à la gestion des incendies, contrôles et suivis de sécurité réguliers, équipements respectant les normes en vigueur, dont un système très performant de détection de fumées Vesd, caméras de vidéosurveillance intégrées dans le système de suivi global, équipements de réponse aux incendies régulièrement vérifiés sur le site de [Localité 3], conformément à la règle (extincteurs dans chaque pièce, contrôles de l’écoulement des eaux, etc.)]';

— elle n’a pas manqué à ses obligations en matière de sécurité au titre de l’article 32 du RGPD, elle a ainsi parfaitement respecté son obligation de conformité à la réglementation applicable énoncée à l’article 3 du DPA, et elle n’a pas contrevenu à l’article 11 du DPA, qui n’opère qu’un renvoi au RGPD';

— le rapport du BEA ne met pas en évidence de prétendues « failles dans le système de sécurité d’OVH », puisqu’il a été établi aux seules fins de prévention, après avoir rappelé que les datacenters, dont la majeure partie ne relève pas de la réglementation des installations classées pour la protection de l’environnement (ICPE), ne sont soumis à aucune réglementation particulière en matière de défense incendie (ni ERP, ni IGH)';

— le BEA a, au demeurant, indiqué dans ce rapport que « la protection du seul local de stockage des batteries n’aurait pas permis d’éviter l’incendie » (page 36)'; l’utilisation de «'sprinklers », ou systèmes d’extinction automatique, n’aurait pas empêché la perte ou l’indisponibilité des serveurs de l’appelante, bien au contraire, puisque de tels systèmes, en déversant de l’eau sur des composants électroniques, les auraient endommagés et rendus indisponibles pour une durée significative ;

— les autres documents avancés par l’association n°1 dans ses dernières conclusions ne permettent pas plus de caractériser un éventuel manquement à ses obligations de sécurité': l’audit du bureau Veritas concernant le site situé à [Localité 1], différent de celui de [Localité 3], et l’information contenue dans cet audit sur un autre incendie en 2020 concernant un prestataire externe '; l’avis de la mission régionale d’autorité environnementale de la région Hauts-de-France du 25 février 2020 portant sur «'le dossier de régularisation des activités de stockage de données informatiques de la société OVH à [Localité 1], dans le département du Nord »'; les arguments de l’appelante fondés sur une communication de la société OVH mentionnant un incident technique de 2017 ayant engendré une coupure de courant dans les bâtiments SBG1 et SBG4 du site de [Localité 3] d’OVH 12 sont inopérants, car cet incident technique n’a aucun rapport avec l’incendie du 10 mars 2021 ayant son origine dans le bâtiment SBG2 du site';

— les allégations de l’appelante fondées sur un prétendu manquement à la réglementation du code du travail en matière de sécurité incendie sont infondées. Les articles R. 4227-28 à R. 4227-30 du code du travail, à supposer qu’ils soient applicables au cas d’espèce, n’imposent pas d’obligations supplémentaires à celles mises en place (extincteurs en nombre suffisant et maintenus en bon état de fonctionnement, installations de détection automatique d’incendie)';

— ses concurrents appliquent les mêmes normes en matière de sécurité-incendie, à l’instar de la société Microsoft, qui met en 'uvre les mêmes mesures de précaution contre l’incendie, à savoir des équipements de détection et la formation des agents pour intervenir dans les meilleures conditions, sans exclure la possibilité d’un sinistre majeur.

Réponse de la cour

A titre liminaire, il convient de rappeler que l’article 32 du RGPD n’impose au responsable de traitement et au sous-traitant que de mettre en 'uvre «'les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.'»

S’emparant de l’article 2 des conditions particulières, stipulant que «'parallèlement, OVHcloud se charge de l’administration de l’infrastructure matérielle et réseau et plus particulièrement de l’administration du Serveur Hôte sur lequel est installé le VPS du client'», l’association n° 1 estime que la survenance d’un incendie dans les locaux de la société OVH constitue un «'manquement évident à l’obligation contractuelle de sécurité à laquelle cette dernière était soumise.'» La société OVH ne conteste pas avoir souscrit une telle obligation, mais pointe en revanche qu’elle l’a respectée.

En se conformant à l’objet du litige, conformément à l’article 4 du code de procédure civile, la cour doit examiner si l’association n°1 justifie d’un manquement à cette obligation.

En premier lieu, l’association affirme qu’il n’est pas justifié de la mise en 'uvre des mesures de sécurité dont la société OVH se prévaut, cependant que se trouvent versés aux débats un plan de prévention appliqué sur l’ensemble des sites de la société OVH (pièce 28), les certificats de formation incendie pour différents salariés (pièce 45), une attestation de vérification annuelle des extincteurs pour l’année 2020 et concernant le site de [Localité 3] (pièce 46), un rapport de vérification annuelle de désenfumage naturel pour le site de [Localité 3] et l’année 2020 (pièce 47).

Le moyen de l’association, qui n’identifie pas précisément, d’une part, les certifications ou certificats manquants, ne peut qu’être disqualifié en pur argument, dès lors qu’il est justifié par la société OVH de personnels dédiés et formés à la sécurité incendie, d’une vérification annuelle des moyens d’extinction en 2020 ainsi que l’existence d’une visite du site de [Localité 3] au titre de la sécurité par un organisme tiers qui avait donné lieu à un rapport de vérification, maintenance et désenfumage naturel, ce que pointe expressément, en page 12, le rapport du BEA-RI du 24 mai 2022 ne peut qu’être disqualifié en pur argument.

En deuxième lieu, l’association estime démontrer «'la faiblesse du système de sécurité'» du site hôte qui «'contraste avec les risques importants inhérents à l’activité d’OVH'», se prévalant notamment du rapport du Bureau d’enquêtes et d’analyses sur les risques industriels (BEA), du rapport d’études et de dangers du bureau Véritas, du communiqué de presse et du rapport d’incident du 9 novembre 2017, ainsi que d’un avis délibéré de la Mission régionale d’autorité environnementale Hauts-de-France (MRAE) sur la régularisation des activités de stockage de données informatiques de la société OVH à [Localité 1].

De première part, il doit être souligné que les trois derniers documents, à savoir le rapport bureau Véritas, l’avis de la MRAE et le communiqué de presse de 2017, concernent soit le site de la société OVH à [Localité 1], c’est-à-dire un autre site que celui où s’est déroulé l’incendie litigieux, soit, en ce qui concerne le communiqué de presse de 2017, des incidents distincts de celui de 2021, relatifs soit au site de [Localité 1] soit au site de [Localité 3], et pour ce dernier site, il s’agissait uniquement d’une panne électrique, et non d’un incendie ou d’un départ de feu.

Les conclusions de ces documents ne sauraient donc être extrapolées pour affirmer le caractère défaillant, inadapté ou dangereux du datacentre de [Localité 3] et caractériser ainsi un manquement de la société OVH aux règles applicables en matière de sécurité dans ce centre, d’autant moins qu’aucun des documents ne note expressément de défaillances, ces derniers se contentant de faire des suggestions d’amélioration.

L’affirmation de la société OVH indiquant, à la suite d’une panne électrique survenue en 2017, abandonner définitivement l’utilisation des «'containers maritimes'» ne peut être sortie de son contexte ni généralisée pour en déduire que cette société avait connaissance et conscience d’une prétendue inadaptation totale de l’organisation des datacentres de [Localité 3], d’autant moins que l’incendie a touché le bâtiment Sbg-2, lequel n’est pas constitué de conteneurs maritimes.

Enfin, le rapport du BEA, quant à lui plus particulièrement dédié à l’incendie litigieux, comporte l’avertissement exprès selon lequel «'cette enquête a pour seul objet de prévenir de futurs accidents'», d'«'établir des recommandations de sécurité'», et «'ne vise pas à déterminer des responsabilités, l’utilisation de ce rapport à d’autres fins que la prévention [pouvant] conduire à des interprétations erronées.'»

De deuxième part, l’association n° 1 pointe «'l’absence surprenante d’un système d’extinction automatique des incendies au sein des infrastructures, système basique de sécurité incendie'», qui aurait été souligné par le rapport du BEA.

Cependant, si ce rapport mentionne l’absence d’un système d’extinction automatique, il ne fait état d’aucune obligation d’installation d’un tel système, notant uniquement que «'l’édifice ne relève ni des catégories ERP [établissement recevant du public], ni des catégories IGH [immeuble de grande hauteur], la majeure partie de l’édifice relève, pour ce qui concerne la défense incendie, des dispositions constructives de la réglementation de droit commun applicable à un bâtiment à caractère industriel d’une hauteur inférieure à 28 m. Celle-ci est essentiellement portée par le code du travail qui ne prévoit pas d’exigences particulières sur l’éventuelle mise en 'uvre des moyens d’extinction automatiques.'»

Dès lors, la critique de l’association n°1, quant à l’absence de système d’extinction automatique, n’est pas fondée, pas plus que ne l’est celle tenant à une infrastructure ancienne et inadaptée.

Il a d’ores et déjà été souligné que le grief tenant à l’utilisation de conteneurs maritimes par la société OVH n’était pas déterminant dans l’incendie litigieux, seuls les bâtiments SBG1 et SBG4, qui n’ont pas été le siège de l’incident, reposant sur ce mode constructif.

Si l’association n°1 évoque l’absence de sa propre alimentation électrique de secours indépendante pour chaque centre de données, il ne ressort toutefois d’aucune des pièces produites, et notamment pas du rapport du BEA, que cet élément serait en lien quelconque avec l’incendie déploré.

Plus particulièrement concernant le bâtiment SBG2, détruit intégralement par les flammes, l’association n° 1 critique le mode constructif choisi par la société OVH, en ce qu’il «'reflét[e] un important manque de prudence.'»

Il ressort du rapport du BEA que ce bâtiment est constitué d’une construction «'modulaire sur 6 niveaux, adossé[e] à une structure en acier'», avec des caissons présentant «'des parois béton préfabriquées '», reposant sur des «'planchers en bois brut, ayant subi un traitement intumescent et des parois extérieures en bardage simple peau ou en bardage en lame d’aluminium.'»

Si le BEA fait des suggestions constructives, notant les points forts des bâtiments plus récents, il souligne également les avantages de ce mode constructif, «'l’ossature acier assur[ant] la stabilité notamment en cas d’aléa sismique ou météorologique'», l’objectif de cette construction étant de «'favoriser les échanges thermiques avec l’extérieur et de réduire la consommation de l’énergie consacrée au refroidissement des équipements informatiques ou électriques.'»

Enfin, les enquêteurs du BEA ont en outre pris le soin de vérifier que «'la structure interne a bénéficié d’un traitement assurant une stabilité au feu une heure et les planchers d’un traitement coupe-feu une heure par application de peinture intumescence ou de flocage'», observant que cette protection était conforme au regard de la réglementation applicable à ce type de bâtiment.

En effet, concernant les éléments relatifs à la tenue et la résistance au feu, notamment de la salle de batteries, les développements des enquêteurs sont insuffisants pour affirmer que le non-respect des obligations en la matière aurait eu une incidence sur le déclenchement ou l’aggravation de l’incendie, le BEA soulignant la particularité de ce dernier, lié à un départ simultané de feux dans la salle des batteries et la salle des ondulateurs, non soumise explicitement à la réglementation relative aux IPCE [installations classées pour la protection de l’environnement].

Par conséquent, si, dans le cadre de ce rapport, le BEA suggère des améliorations et émet des recommandations pour tirer les enseignements de cet incendie, il ne conclut pas, contrairement à ce qu’affirme l’association n°1, à des négligences ou imprudences de la société OVH dans le respect des standards de sécurité incendie applicables à ce type de bâtiment et connus à l’époque, étant souligné que l’incendie litigieux était, par son ampleur et sa force, sans précédent.

De troisième part, l’association n°1 ne procède que par affirmations, non précisément illustrées par un examen des pièces du dossier, lorsqu’elle prétend que la société OVH aurait manqué à ses obligations légales de sécurité en tant que lieu de travail, et plus particulièrement aux articles R. 4227-28, R. 4442-29 et R. 4427-30 du code du travail.

Au contraire, le rapport du BEA souligne, en page 30, un ensemble d’éléments mis en 'uvre par la société OVH qui ont contribué à limiter les conséquences de l’incendie et sa propagation, tels que l’équipement de détections automatiques optiques et par aspiration, outre les déclencheurs manuels, la présence sur place de personnels alertés rapidement et ayant levé les doutes, la mobilisation rapide du personnel d’astreinte sur la sécurisation électrique du site.

Il a, en outre, d’ores et déjà été observé ci-dessus que la société OVH justifie d’équipes dédiées à la sécurité incendie, de matériels de désenfumage et d’extincteurs, qui avaient tous fait l’objet d’un contrôle en 2020, et que l’existence d’installations d’extinction automatique d’incendie n’était pas obligatoire pour un tel bâtiment.

Enfin, si le rapport du BEA observe que les moyens en eau d’extinction étaient insuffisants pour la sécurité de l’infrastructure, aucun élément ne vient établir que cette insuffisance serait en lien avec une défaillance de la société OVH, contrairement à ce que prétend l’association n°1. Il n’est ainsi fait état d’aucune réglementation imposant à l’exploitant de disposer d’une réserve d’eau d’extinction en propre ou de moyen de pompage, dans le canal, à proximité, en vue de compenser «'la capacité limitée du réseau incendie (DECI) sur la zone.'»

En troisième lieu, contrairement à ce que laisse entendre l’association n°1, ni le rapport du BEA ni les documents qu’elle verse aux débats, et plus particulièrement le livre blanc Google, n’établissent que les concurrents de la société OVH auraient mis en 'uvre un niveau et des mesures de sécurité supérieurs à ceux mis en 'uvre à l’époque, sur le site litigieux, par cette société.

En conséquence, au vu de l’ensemble de ces éléments, il n’est pas démontré que la société OVH se serait mise dans l’incapacité de respecter les obligations qu’elle avait souscrites, et aurait ainsi manqué à une obligation d’assurer la sécurité du site hôte du VPS.

D- Sur le manquement d’OVH à son obligation de non-administration du serveur de l’association n°1

L’association n°1 invoque un manquement de la société OVH à l’obligation de non-administration de son serveur, résultant de l’installation non-autorisée d’une sauvegarde obsolète, précisant que':

— la société OVH lui a, le 5 avril 2021, sans son consentement ni information préalable, attribué un nouveau VPS et y a installé une sauvegarde réalisée de manière irrégulière et, surtout, obsolète de huit mois (août 2020)';

— un tel comportement constitue une violation, par la société OVH, de ses obligations contractuelles et réglementaires en matière de non administration des serveurs de sa cliente';

— en raison de son caractère intempestif et obsolète, l’installation a gravement affecté son activité opérationnelle, déjà perturbée par l’indisponibilité de son VPS depuis plusieurs semaines et par l’absence d’information quant au sort ce dernier';

— elle n’avait jamais souscrit l’option de sauvegarde de la société OVH, puisqu’elle recourt à un prestataire différent pour la sauvegarde de ses serveurs, de sorte que la société OVH n’avait en aucun cas le droit de procéder à une sauvegarde de son serveur, et encore moins de restaurer une telle sauvegarde sur le serveur de l’association';

— ces agissements ne sauraient être qualifiés de « simple remise en service » des VPS de l’association, les termes du message étant loin d’évoquer une remise en service, puisqu’il y est fait état d’une «'reconstruction de votre VPS'»';

— la société OVH n’a pas simplement réactivé le VPS de l’association mais connecté cette dernière à un nouveau VPS (puisque celui de l’association avait brûlé), sur lequel elle a ensuite installé une sauvegarde obsolète, ce qui constitue une violation manifeste de son obligation de non-administration des serveurs';

— le simple fait que la société OVH ait, par le passé, procédé à la création d’une sauvegarde du VPS de l’association constitue non seulement une faute contractuelle, mais également une violation de ses obligations découlant du RGPD (article 28, 3 a)';

— les agissements de la société OVH sont mêmes susceptibles de revêtir une qualification pénale au titre de faits d’accès frauduleux à un système de traitement automatisé de données (STAD), réprimés par l’article 323-1 du code pénal';

— en tant que professionnel exerçant dans le domaine des serveurs informatiques, la société OVH n’ignorait pas qu’en cas de reconstruction à partir d’une sauvegarde obsolète, en l’occurrence de plusieurs mois, les conséquences seraient particulièrement dommageables';

— la force majeure ne saurait être invoquée, puisque la reconstruction non autorisée est intervenue trois semaines après l’incendie et n’a donc pas été causée par l’incendie, mais résulte d’un acte positif et fautif de la société OVH, qui n’a pas obtenu son accord avant la reconstruction de son serveur à partir d’une sauvegarde obsolète et préjudiciable pour l’association.

L’association n° 1 souligne que l’argument de la société OVH selon lequel elle se devait de réaliser une sauvegarde et ensuite de la restaurer pour « fournir les services à ses clients » (pour reprendre les termes des conclusions de l’intimée) contredit, plus généralement, l’entièreté de l’argumentation de la société OVH selon laquelle elle n’avait aucune obligation en matière de préservation des données de ses clients, ce que l’association ne conteste pas.

Elle rappelle que ce qui lui a été préjudiciable n’est pas en soi la sauvegarde mais sa restauration, et que même à considérer que la réalisation d’une sauvegarde constitue une mesure d’ordre technique pour permettre à la société OVH d’assurer de quelconques prestations ou obligations, l’installation d’une sauvegarde ne l’est aucunement, cet acte d’administration du VPS (restauration réalisée plus de trois semaines après l’incendie, et donc en dehors d’une situation d’urgence) n’était ni utile ni nécessaire pour assurer la poursuite de services fournis.

La société OVH conclut à son absence de responsabilité au titre de la remise en service du VPS, en ce que':

— grâce aux efforts fournis par ses équipes à la suite de l’incendie, elle a réussi à restituer à l’association une sauvegarde système de ses données effectuée à l’occasion d’une migration du serveur virtuel privé de l’appelante';

— elle a ainsi respecté son obligation de moyens en retrouvant une sauvegarde qu’elle avait réalisée pour les besoins du service et en restituant les données contenues sur le serveur l’association'; elle ne peut se voir reprocher un quelconque manquement au titre de la restauration du contenu du serveur de l’appelante impacté par l’incendie, ou de l’obsolescence d’une sauvegarde dont la réalisation ne lui incombait pas';

— la remise en service du VPS avec les données qui y étaient contenues ne s’analyse pas en une administration illicite du VPS, puisqu’elle n’a pas opéré de manipulation sur les données stockées sur le serveur virtuel, mais uniquement restauré le serveur physique lui-même';

— au demeurant, en parvenant à restituer le serveur VPS souscrit contenant les données que l’association avait fait le choix d’y stocker, elle n’a fait qu’administrer l’infrastructure matérielle et le serveur physique du client, ce qui est parfaitement autorisé aux termes des conditions particulières applicables';

— elle n’a donc commis aucun manquement à son obligation de non-administration du VPS, sous-partie virtuelle du serveur hôte physique, d’autant moins que l’association ne peut légitimement soutenir que cette remise en service aurait été effectuée sans son accord, dès lors que, dès le 10 mars 2021, l’association lui indiquait souhaiter « avoir une idée de la date de rétablissement de [s]on service ». L’association lui a donné instruction claire de remettre son VPS en service et, par la suite, ne lui a jamais indiqué qu’elle ne souhaitait pas que son VPS soit reconstruit';

— dans une affaire relative à un autre client, la cour d’appel de Douai a déjà jugé qu’il n’était pas démontré qu’elle, la société OVH, aurait procédé par négligence ou imprudence en restituant les données, après un avertissement délivré à ce client par courriel du 11 avril à 23h18';

— le DPA conclu entre les parties reprend bien l’ensemble des obligations énoncées à l’article 28 du RGPD, et notamment que « le client doit fournir à OVH par écrit toute instruction pertinente » pour le traitement de ses données à caractère personnel, l’article 28 du RGPD n’interdisant toutefois pas toute intervention technique du sous-traitant sur les données en cas d’incident majeur';

— la restauration du VPS de l’appelante, à partir d’une sauvegarde technique disponible, n’a pas consisté en un traitement autonome des données à des fins propres à elle, société OVH, mais en une mesure technique conservatoire réalisée dans l’intérêt du client, afin de tenter de rétablir la disponibilité des données, conformément à son obligation de moyens énoncée à l’article 32 du RGPD';

— dans le cadre d’un contrat de traitement, les instructions générales du client peuvent résulter des termes du contrat et de la finalité du service commandé, en souscrivant un service d’hébergement'; les instructions données par l’association étaient donc, au sens du RGPD, de l’obliger elle, société OVH, à assurer l’hébergement de ses données sur les serveurs mis à disposition et de prendre les mesures techniques nécessaires pour assurer la disponibilité des services aux termes d’une obligation de moyens';

— en indiquant, dans ses précédentes écritures, avoir été « au-delà de ses obligations contractuelles », elle n’a pas, contrairement à ce qu’affirme l’association, confirmé qu’elle aurait procédé à une administration illicite du serveur';

— la restitution des données n’est nullement susceptible de constituer l’infraction d’accès frauduleux à un système de traitement automatisé de données, prévue à l’article 323-1 du code pénal, comme le prétend l’association. Conformément aux stipulations du DPA, elle était autorisée à « traiter les données à caractère personnel téléchargées, stockées et utilisées par le client dans le cadre des services uniquement dans la mesure nécessaire à la fourniture des services tels que définis dans le contrat. »

Réponse de la cour

À titre liminaire, il doit être rappelé que, dès le 10 mars 2021, l’association n°1 a réclamé le rétablissement de son VPS et ainsi adressé plusieurs messages aux équipes de la société OVH, notamment pour avoir «'une idée de la date de rétablissement de son service.'» Le 5 avril 2021, la société OVH lui a indiqué avoir procédé «'à la reconstruction de votre serveur ['] à partir d’une sauvegarde que nous avons pu récupérer'», remettant concomitamment en service le VPS sur lequel la sauvegarde avait été réinstallée.

Il s’extrait des stipulations et réglementations applicables que :

— suivant l’article 3-5 des conditions générales «'OVHcloud s’interdit d’accéder aux contenus à d’autres fins que pour les besoins de l’exécution des services. OVHcloud n’effectue aucune sauvegarde spécifique du contenu stocké dans le cadre des services'», ce que confirme l’article 4-2 in fine des conditions particulières';

— suivant l’article 2 des conditions particulières, «'Le client est seul administrateur de son VPS, OVH Cloud n’intervenant en aucun cas dans l’administration de celui-ci. Parallèlement, OVHcloud se charge de l’administration de l’infrastructure matérielle et réseau, et plus particulièrement de l’administration du serveur hôte sur lequel est installé le VPS du client.'»';

— suivant l’article 11 du DPA, le sous-traitant doit respecter le RGPD et est responsable lorsqu’ «'il agit en-dehors des instructions licites du client ou contrairement à celles-ci'», l’article 4 précisant que la société OVH s’engage «'à ne pas accéder ou utiliser des données à caractère personnel à d’autres fins que celle nécessaires à l’exécution des services (en particulier dans le cadre de la gestion des incidents)';

— selon l’article 28-3 a) du RGPD, le traitement par le sous-traitant est régi par le contrat l’unissant au responsable et le sous-traitant «'ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement'».

En l’espèce, la critique de l’association n° 1, sur ce point, est de deux ordres, le premier concerne la réalisation puis la détention par la société OVH d’une sauvegarde de son VPS, le second à l’installation non autorisée d’une sauvegarde obsolète de son VPS, ce qui heurterait dans les deux cas l’obligation de non-administration du serveur pesant sur la société OVH.

En premier lieu, aux termes des conditions particulières et générales ci-dessus rappelées, il est constant qu’aucune option de sauvegarde n’avait été souscrite par l’association n°1 et que la société OVH s’était contractuellement engagée à n’effectuer aucune intervention sur le contenu des données stockées sur le VPS, et donc aucune sauvegarde de ces données, les conditions particulières et générales comportant toutefois expressément une réserve, à savoir la possibilité, pour la société OVH, d’une intervention pour les besoins du service, notamment dans le cadre de la gestion des incidents.

Il ne peut être nié que l’intervention des équipes de la société OVH le 5 avril 2021 et le courriel de la même date s’inscrivent dans la gestion de l’incendie du 10 mars 2021, et avaient pour finalité le rétablissement du service, entendu comme la restitution d’un VPS en état de fonctionner, ce qu’avait réclamé l’association n° 1 dans les jours qui ont suivi l’incendie, sans que l’association démontre avoir ensuite donné des instructions contraires à la société OVH.

Par ailleurs, il n’est pas établi par l’une quelconque des pièces versées aux débats que les équipes de la société OVH auraient, de quelque manière que ce soit, traité «'les données à caractère personnel'» lors de cette intervention, le terme «'reconstruction du VPS'» n’établissant pas, à lui seul, une intervention de cette société dans la structure interne du VPS et sur les données contenues par ce dernier.

Enfin, aucun élément ne vient contredire l’affirmation de la société OVH selon laquelle cette sauvegarde n’était qu’une «'sauvegarde système'», en vue d’assurer la pérennité et le fonctionnement du service. Or, les stipulations précitées permettent à la société OVH d’administrer l’infrastructure matérielle et réseau, ainsi que le serveur hôte, lequel comprenait le serveur de l’association n°1.

Il n’est ainsi pas prouvé que, par cette sauvegarde, la société OVH aurait dépassé les possibilités que lui octroyaient les textes précités, pour assurer l'«'exécution des services'» et la gestion des incidents, en vue de rétablir le service souscrit par l’association n°1, comme le lui avait demandé cette dernière, qui appelait de ses v’ux la fourniture d’un VPS en état de fonctionnement à la suite de l’incendie survenu.

En second lieu, quoique la société OVH ne fût tenue à obligation de sauvegarde, elle a fourni des efforts pour répondre aux attentes de ses clients, notamment en recherchant à rétablir le VPS (de l’association ou de chacun de ses clients '), reconstituer les données endommagées qu’elle pouvait récupérer, et les restituer à ceux-ci, l’association n°1 ne prouvant pas lui avoir fait part d’instructions contraires.

Si la remise en service du VPS de l’association n° 1 et la restitution des données ont été effectuées sans délai de prévenance, le 5 avril 2021, il n’en demeure pas moins que la société OVH a, par message du 5 avril 2021 à 22 h17, annoncé cette reconstitution du VPS à partir d’une sauvegarde antérieure, ce qui a d’ailleurs permis à l’association n°1, par courriel envoyé le même jour à 23h56, d’informer son prestataire informatique de cette restauration et de la nécessité de la désactiver.

Il n’est pas démontré que la société OVH aurait procédé par négligence ou imprudence en restituant lesdites données, qui dataient de plusieurs mois, aucun élément ne permettant d’affirmer que cette société avait, par le biais de cette intervention, connaissance de cette obsolescence des données retrouvées.

L’association n°1 ne peut reprocher à la société OVH de ne pas avoir eu conscience du caractère obsolète de la sauvegarde récupérée, alors même que cette ignorance de la part de la société OVH établit au contraire l’absence d’immixtion de cette dernière dans les données de l’association, en conformité avec les textes sus-visés.

Quand bien même cette opération de réinstallation de la sauvegarde récupérée sur le VPS remis en service n’était pas nécessaire au maintien du seul service de location de VPS souscrit par l’association n°1, la société OVH a légitimement pu estimer, dans ce contexte d’incident de grande ampleur impactant de nombreux clients comme au vu des courriels adressés par l’association n°1, avoir reçu instruction de rétablir, outre le VPS, les données qu’elles pouvaient avoir en sa possession dans le cadre de sauvegarde système et qu’elle était parvenue à récupérer.

En conséquence, aucune faute ne saurait être reprochée à la société OVH à cet égard.

II. Sur les causes exonératoires de responsabilité invoquées par la société OVH

A- Sur la force majeure invoquée par la société OVH

1) Sur le respect des conditions de l’article 1218 du code civil et la clause exonératoire de responsabilité

L’association n°1 conteste la force majeure invoquée par la société OVH aux motifs que':

— les trois conditions de la force majeure édictées par l’article 1218 du code civil ne sont pas remplies';

— la charge de démontrer le caractère de force majeure de l’incendie pèse sur la société OVH, et aucun élément probant ne permet d’établir':

* le caractère extérieur de l’incendie, puisque':

— la société OVH n’a pas mis tout en 'uvre pour éviter l’incendie et sa propagation, le BEA ayant pointé les manquements ayant conduit à cette expansion du feu jusqu’aux salles contenant les VPS';

— la destruction du VPS a été causée par une faute de la société OVH, et à tout le moins par des éléments sur lesquels cette société disposait d’un pouvoir d’action et/ou de limitation, la propagation de l’incendie et la destruction des VPS en résultant n’étant pas un évènement « échappant au contrôle du débiteur » (soit la société OVH)';

* le caractère imprévisible de l’événement, puisque':

— pour les professionnels de l’hébergement de serveur, la survenance d’un incendie dans les infrastructures qui hébergent des serveurs est un risque important';

— lors de la conclusion du contrat, le risque d’incendie était donc largement prévisible, ce risque faisant partie des plus probables de l’exploitation de l’activité d’OVH et étant connu de la société OVH, comme en attestent le rapport bureau Véritas, ou encore les comptes rendus à la suite de l’incendie de [Localité 1]';

* le caractère irrésistible, qui doit être écarté en cas de faute ou de négligence ayant été à l’origine de l’événement, ce qui est le cas au vu des manquements de la société OVH à ses obligations de sécurité.

Elle en conclut que la société OVH ne peut se prévaloir de la force majeure pour s’exonérer de sa responsabilité au titre de la destruction du VPS, et encore moins pour s’exonérer de sa responsabilité au titre de ses manquements à son obligation d’information et à son obligation de non-administrateur des serveurs, s’agissant de fautes postérieures à l’incendie du 10 mars 2021.

Elle estime que la société OVH ne peut se retrancher derrière ses conditions générales, qui renvoient de toute évidence aux caractéristiques de la force majeure, telle que définie par l’article 1218 du code civil.

Elle souligne que, la société OVH n’ayant pas respecté la condition d’information relative à l’évènement de la force majeure exigée par l’article 7-7 des conditions générales, elle ne peut s’exonérer de sa responsabilité sur ce fondement.

Elle précise que les notifications, notamment celles du 12 mars 2021, étaient imprécises et ambiguës.

Elle ajoute que la société OVH ne saurait s’exonérer de sa responsabilité en se prévalant d’un cas de force majeure au titre de ses manquements à son obligation d’information et à son obligation de non-administration des serveurs (et résultant d’une reconstruction non autorisée de serveur à partir d’une sauvegarde obsolète), puisque la force majeure ne peut pas s’appliquer à des manquements qui ne résultent pas de l’événement de force majeure (i.e. l’incendie), mais de fautes postérieures de la société OVH qui sont uniquement dues à sa négligence (défaut d’information et reconstruction non autorisée du VPS à partir d’une sauvegarde obsolète).

La société OVH sollicite, à titre subsidiaire, la confirmation du jugement en ce qu’il a jugé que, du fait de l’incendie, elle avait été confrontée à un cas de force majeure prévu à l’article 1228 du code civil et à l’article 7.7 des conditions générales de service, dans leur version du 22 février 2021, acceptées par l’association.

Elle fait valoir que':

— l’article 7.7 des conditions générales de service désigne expressément l’incendie comme étant constitutif d’un cas de force majeur exonératoire de responsabilité';

— le préjudice prétendument subi par l’association est la conséquence directe de l’incendie déclaré le 10 mars 2021 dans le bâtiment SBG-2, qui a entièrement détruit ce dernier et causé des dégâts matériels importants dans le bâtiment SBG-1';

— elle a parfaitement mis en 'uvre l’exigence contractuelle en informant l’association des circonstances de l’incendie et de la durée prévisible de la situation à la suite de l’incendie pour chaque bâtiment du datacentre de [Localité 3], la tenant informée des suites de l’incendie et de l’état de services, en l’état des informations dont elle disposait';

— l’incendie survenu revêt le caractère de la force majeure au sens de l’article 1218 du code civil, dès lors qu’il remplit les trois conditions cumulatives d’imprévisibilité (ampleur inattendue et cas unique dans l’histoire de l’hébergement des données), d’extériorité (cause inconnue, mise en 'uvre de tous moyens pour prévenir la survenance d’un tel événement) et d’irrésistibilité (mesures de prévention de l’incendie conformément aux standards de l’industrie de l’hébergement pour assurer une sauvegarde sécurisée des serveurs'; mesure qui, en tout état de cause, n’auraient pas permis d’éviter l’incendie du fait de son développement particulièrement rapide et d’une rare violence)';

— le rapport du BEA, établi aux seules fins de prévention, expose les facteurs ayant possiblement contribué à la propagation de l’incendie en tant qu’enseignements de sécurité incendie, et non à dessein de caractériser les manquements qui lui seraient imputables';

— l’association n°1 s’abstient de mentionner les nombreuses bonnes pratiques adoptées et relevées par le BEA qui ont permis de limiter les conséquences de l’incendie';

— c’est bien l’incendie qui l’a empêchée d’exécuter son obligation de mise à disposition des sauvegardes en détruisant partiellement tout à la fois le serveur principal et le serveur de sauvegarde de l’association n°1, malgré toutes les diligences et mesures mises en 'uvre par elle, l’intimée.

Réponse de la cour

L’article 1170 du code civil précise que toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite. Cette même sanction est prévue par l’article 1171 du même code, dans un contrat d’adhésion, pour «'toute clause, non négociable, déterminée à l’avance par l’une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat.'»

L’article 1231-1 du code civil prévoit que le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts, soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure.

Aux termes de l’article 1218 du code civil, il y a force majeure en matière contractuelle lorsqu’un évènement échappant au contrôle du débiteur, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées, empêche l’exécution de son obligation par le débiteur.

Cette définition légale de la force majeure, issue de l’ordonnance du 10 février 2016, ne reprend pas explicitement l’un des caractères de la force majeure déterminé par la jurisprudence ' qui exigeait un événement à la fois imprévisible, irrésistible et extérieur -, à savoir la condition d’extériorité, même si cette idée reste présente dans l’exigence d’un événement échappant au contrôle du débiteur.

Il est traditionnellement admis que la définition ou les effets de la force majeure puissent faire l’objet d’aménagements contractuels. Ces clauses peuvent avoir pour objet soit d’étendre les obligations du débiteur lorsque celui-ci accepte de prendre en charge la force majeure dans le cadre de clause de garantie, soit au contraire d’élargir la définition de la force majeure, en retenant une définition plus accueillante que celle retenue dans la loi ou la jurisprudence, soit, plus fréquemment, en énumérant des événements qui doivent être contractuellement considérés comme tels alors même que ferait défaut l’un des caractères légalement requis, dans le cadre de clause d’élargissement ou élusive de responsabilité.

Concernant cette dernière hypothèse, une clause élargissant la définition de la force majeure est valable entre professionnels (Com. 8'juill. 1981,'no'79-15.626), sauf si elle aboutit à priver de sa substance l’obligation essentielle du débiteur ou, dans un contrat d’adhésion, à créer un déséquilibre significatif entre les droits et obligations des parties, ce qui est sanctionné par le caractère non écrit de ladite clause, respectivement en application des articles 1170 et 1171 précités, voire, si cette clause octroyait au débiteur la faculté arbitraire de ne pas exécuter le contrat, sous l’angle de la prohibition de la condition potestative.

Il est jugé que ces clauses s’interprètent restrictivement et que toute imprécision de leurs termes est de nature à les neutraliser (Com. 19'juin 2007,'no'06-13.706). Enfin, si le contrat se contente d’énoncer à titre indicatif des événements qui pourront être retenus comme force majeure, cela ne prive pas le juge de son pouvoir de vérifier si ces événements présentent les caractéristiques de la force majeure.

Enfin, il appartient à celui qui invoque des circonstances de fait relevant de la force majeure de justifier de toutes les composantes de celle-ci.

En l’espèce, des stipulations contractuelles applicables entre les parties, on peut retenir que':

— suivant l’article 7-7 des conditions générales, «'aucune des parties ne peut voir sa responsabilité engagée sur le fondement d’une défaillance résultant, directement ou non, d’évènements non prévisibles ayant les caractéristiques de la force majeure telle que définie par l’article 1218 du code civil. Les parties déclarent que la force majeure inclut notamment les grèves y compris la grève d’un personnel d’un sous-traitant de l’une des parties, les actes de vandalisme, de guerre ou de menace de guerre, le sabotage, les actes terroristes, les incendies, les épidémies, les tremblements de terre, les inondations et explosions, ainsi que les coupures d’électricité en dehors du contrôle de la partie affectée. Toutefois, pour pouvoir se prévaloir de la présente disposition, la partie qui se trouve empêchée d’exécuter ses obligations, doit en informer l’autre partie dans les plus brefs délais […]'»';

— en application de l’article 7 des conditions particulières VPS, «'le client ne pourra en aucun cas se prévaloir du présent article [niveau de service et dédommagement] et prétendre aux dédommagement susvisés en cas d’indisponibilité résultant en tout ou partie (i) d’évènements ou de facteurs échappant au contrôle d’OVH tels que non limitativement cas de force majeure, fait d’un tiers, problème de connexion […]'»';

— l’annexe DPA ne prévoit aucune disposition spécifique de ce chef.

En premier lieu, loin de se contredire, les stipulations des conditions générales et particulières VPS, qui se complètent, font de la force majeure une cause exonératoire de responsabilité et trouvent à s’appliquer aux services souscrits par l’association n°1.

Néanmoins, la cour observe que l’article 7-7 comporte deux énonciations bien distinctes, l’une constituée d’un rappel des conditions légales de la force majeure, l’autre d’une énumération d’événements pour lesquels les parties déclarent qu’ils constituent des cas de force majeure, sans toutefois qu’il soit établi de lien véritable et d’articulation entre ces deux énonciations.

Il doit cependant être noté que le dénominateur commun des événements listés dans cette seconde stipulation est qu’il s’agit de phénomènes ou actes qui, par essence ou par nature, échappent au contrôle de la «'partie affectée'» – autrement dit le débiteur qui les subit -, la guerre ou les tremblements de terre en étant les exemples topiques.

Or, que la clause précitée des conditions générales soit lue':

— comme un rappel des conditions légales caractéristiques de la force majeure dans la première énonciation, avec un certain nombre d’illustrations figurant dans la seconde énonciation, sans qu’il soit expressément indiqué qu’il est dérogé pour ses événements aux caractéristiques de la force majeure';

— ou comme un rappel des conditions légales caractéristiques de la force majeure pour la première énonciation, la seconde étendant la notion de force majeure à des événements qu’elle énumère et «'en dehors du contrôle de la partie affectée'»,

Il s’ensuit que, dans les deux cas, les événements visés doivent, pour être exonératoires de responsabilité, se trouver hors de la maîtrise tant intellectuelle que matérielle de la «'partie affectée'», c’est-à-dire présenter un caractère d’extériorité, et être imprévisible et irrésistible.

Il doit d’ailleurs être observé que, dans les développements qu’elle consacre à la force majeure, la société OVH, qui affirme dans un premier temps que l’incendie en lui-même constitue un cas de force majeure compte tenu de la seconde énonciation de l’article 7-7, s’astreint dans un second temps à démontrer que l’événement litigieux remplissait toutes les caractéristiques de la force majeure, en ce compris la condition d’extériorité, dont il a été précédemment souligné qu’elle n’était pas expressément reprise à l’article 1218 précité.

En deuxième lieu, c’est sans aucun fondement que l’association prétend que la société OVH ne pourrait se prévaloir des stipulations relatives à la force majeure, faute d’avoir sans délai informé son cocontractant de son impossibilité d’exécuter ses obligations.

L’ensemble des communications ci-dessus exposées démontre que la société OVH s’est astreinte, dès qu’il lui en a été possible, par voie de communication individuelle auprès de ses clients, parmi lesquels l’association n°1, ou par voie de communication officielle et circulaire, à informer de l’incident en cours, et de l’impact de ce dernier sur les différents services, au gré des données qui lui étaient permis de connaître compte tenu de l’ampleur du sinistre.

En outre, à supposer même qu’une telle information eut été manquante, ce qui n’est pas le cas, cela ne priverait pas la société OVH de la possibilité d’invoquer la cause exonératoire de responsabilité constituée par la force majeure au sens de l’article 1218, dont la définition correspond en tous points à celle reprise dans les conditions générales de la société OVH.

En troisième lieu, compte tenu du sens donné aux stipulations précitées, lesquelles renvoient, soit purement et simplement à la notion légale de force majeure, soit à «'un événement ou incident'» «'indépendant de la volonté'», soit à une liste d’événements « en dehors du contrôle de la partie affectée'», englobant les notions d’imprévisibilité et d’irrésistibilité, il appartient à la société OVH, qui se prévaut de cette cause d’exonération de responsabilité, de démontrer que l’incendie survenu dans la nuit du 9 au 10 mars 2021 répondait soit aux conditions légales posées par l’article 1218 du code civil, soit à celles contractuellement prévues par les stipulations contractuelles.

Si l’incendie figure bien parmi l’énumération d’événements figurant à l’article 7-7 des conditions générales, les pièces versées aux débats ne permettent toutefois ni d’en déterminer précisément l’origine, la société OVH concédant que l’origine et la cause même de ce dernier ne sont à ce jour pas connues, ni d’établir que cet événement était «'en dehors du contrôle de la partie affectée'», c’est-à-dire elle-même.

Outre qu’il ne peut donc être affirmé que cet événement fût véritablement hors de contrôle de la personne même de la société OVH, en ce compris d’un de ses préposés, un incendie survenant dans un centre d’hébergement informatique comportant, d’une part, de nombreux serveurs, un réseau électrique complexe, avec des ondulateurs et des batteries, et recourant, d’autre part, à des matériaux et techniques hautement inflammables, n’est ni hors de la maîtrise intellectuelle et matérielle du prestataire ni imprévisible et irrésistible pour le propriétaire de tels locaux, contrairement à ce que prétend la société OVH.

D’ailleurs, le fait que ces centres fassent l’objet de mesures de prévention de l’incendie, ce que concède la société OVH en se prévalant du respect par ses soins des standards de l’industrie de l’hébergement en matière de sécurité incendie, démontre que, même si ce phénomène est rarissime ou d’une ampleur sans pareille, l’incendie n’est pas en lui-même imprévisible et irrésistible.

Ainsi, la réunion de l’ensemble des conditions contractuelles et légales applicables à la force majeure n’étant pas prouvée, la société OVH ne peut prétendre que l’incendie litigieux relèverait de la force majeure ni, dès lors, se prévaloir de cette clause exonératoire de responsabilité.

2) Sur les clauses limitatives et exonératoires de responsabilité

L’association n°1 conclut au caractère réputé non écrit des clauses limitatives et exonératoires de responsabilité, aux motifs qu’elles privent de leur substance les obligations essentielles de la société OVH.

Elle soutient que':

— la clause limitative de responsabilité (article 7-2) prévoit un montant absolument dérisoire de réparation, sans rapport avec son préjudice, ce qui a pour effet de priver l’obligation de la société OVH de sa raison d’être, à savoir mettre à disposition de son client un serveur de manière sécurisée';

— la clause exonératoire de responsabilité prive le client de la possibilité d’engager la responsabilité de son prestataire si ce dernier vient à perdre, altérer ou détruire tout ou partie du contenu du serveur, ce qui vide de sa substance l’obligation essentielle pesant sur la société OVH.

Elle ajoute qu’en tout état de cause, les clauses exonératoires ou limitatives de responsabilité dont la société OVH se prévaut ne peuvent trouver à s’appliquer au manquement en matière de défaut d’information et d’obligation de non-administration des serveurs, puisqu’elles s’appliquent uniquement aux manquements de la société OVH à ses engagements en matière de «'niveaux de service » ou en cas de préjudice provenant d’une perte de données.

La société OVH revient sur la présence, dans les contrats la liant à l’association n°1, de clauses limitatives et exonératoires de responsabilité. Ainsi':

— en application de l’article 7.3 des conditions générales, sa responsabilité est exclue en cas de « perte, altération ou destruction de tout ou partie des contenus (informations, données, applications, fichiers ou autres éléments) hébergés sur l’infrastructure »';

— l’article 7.2 des mêmes conditions générales stipule que, lorsque que les conditions particulières de service applicables prévoient des engagements de niveau de service, « les pénalités ou crédits correspondants pouvant être dus par OVHcloud au client constituent une indemnisation forfaitaire de l’ensemble des préjudices résultant du non-respect éventuel par OVHcloud des engagements de niveau de service en cause ; le client renonçant à ce titre, à toute autre demande, réclamation et/ou action »';

— les clauses d’engagement de niveaux de service encadrant la disponibilité des services et prévoyant des pénalités forfaitaires sous forme de crédits sont courantes en matière informatique, et leur validité a été reconnue.

Elle soutient qu’elle est allée au-delà de ses obligations contractuelles, en accordant à l’association n°1 un bon d’achat de 125,87 euros, représentant l’équivalent près de 8 mois de services souscrits par ce client.

Elle conteste le fait que ces clauses priveraient de leur substance ses obligations essentielles sur le fondement de l’article 1170 du code civil, l’association n°1 se contentant de procéder par affirmations péremptoires sur le caractère dérisoire de l’indemnisation.

Elle rappelle que son obligation essentielle n’est pas de garantir une restitution des données en toutes occasions, mais de permettre l’accessibilité des espaces de stockage souscrits selon des taux convenus et de permettre la récupération des données en cas d’incident mineur affectant le serveur de production.

Elle pointe la responsabilité de la politique de sauvegarde pesant sur le client, qui, s’il a préservé le contenu de ses serveurs par ailleurs, ne connaît, en cas d’indisponibilité de l’espace de stockage loué auprès d’elle-même, qu’un préjudice minime, constitué par l’absence temporaire de contrepartie à ce qu’il paye au titre de ces services, raison pour laquelle les clauses relatives aux taux de niveaux de service, classiques en matière informatique, prévoient des crédits à titre de réparation.

Elle conteste le fait que ces clauses créeraient un déséquilibre significatif au sens de l’article 1171 du code civil et de l’article L. 442-6,I, 2° du code de commerce, l’association se contentant d’affirmer que l’absence de réciprocité dans la mise en 'uvre des clauses contractuelles déséquilibrerait le contrat et ne démontrant pas qu’elle n’aurait pas accepté librement les conditions contractuelles proposées, ou encore qu’elle n’aurait eu aucune possibilité de négociation.

Elle conteste que ces clauses de limitation et d’exonération de responsabilité soient inopérantes en ce qu’elles s’appliqueraient « uniquement au titre des manquements d’OVH à ses engagements en matière de « niveaux de service » ou en cas de préjudice provenant d’une perte de données »'; la lecture des conditions générales applicables permet d’écarter cette cette interprétation.

Elle mentionne que, lorsque le manquement allégué ne porte pas sur le non-respect des niveaux de service, sa responsabilité est limitée, pour « tous manquements confondus », à six mois de services souscrits par le client.

Elle considère que, si l’existence d’une faute, d’un préjudice et d’un lien de causalité entre cette prétendue faute et ce prétendu préjudice était établie, elle ne pourrait être condamnée que dans les limites des clauses limitatives et exonératrices de responsabilité acceptées par l’association n°1.

Réponse de la cour

A titre liminaire, quand bien même la société OVH plaide à titre principal l’absence de tout préjudice, ce qui serait selon elle de nature à écarter l’application des clauses limitatives et exonératoires prévues au contrat, la cour observe que, si plusieurs des préjudices invoqués peuvent être discutées, il n’en demeure pas moins que l’association n°1, à tout le moins, a été privée de la contrepartie à son obligation de paiement, à savoir la fourniture d’un VPS disponible'; cela lui permet a minima de réclamer réparation du préjudice résultant’ de ce manquement.

La logique impose donc de revenir d’abord sur les clauses limitatives et exonératoires de responsabilité, avant d’examiner chacun des préjudices invoqués par l’association.

En droit, la validité des clauses de non-responsabilité dans les contrats conduit à admettre, a fortiori, les clauses limitatives de responsabilité qui, répartissant la charge des risques entre les cocontractants, fixent un plafond à l’indemnité due (Civ.'1re, 19'janv. 1982,'no'80-15.745), dès lors qu’elles sont connues et acceptées par la partie à laquelle elle est opposée (Com. 24'janv. 1983,'no'81-13.722).

En l’espèce, des relations contractuelles sur ce point, on peut retenir que':

— dans l’article 7 des’les conditions particulières VPS, la société OVH s’engage à «'assurer, pour un serveur virtuel de la gamme starter, un taux de disponibilité mensuelle de 99.5%

Si les niveaux de service définis ci-dessus ne sont pas atteints, le client peut, sous réserve des cas d’exclusion énumérés ci-dessous, demander les crédits suivants':

— non-respect du taux de disponibilité': (a) VPS Gamme starter

i. crédit égal à 10'% du montant mensuel payé par le client au titre du mois considéré pour les éléments affectés par l’indisponibilité, si le taux de disponibilité constaté est supérieur ou égale à 99,0'% et inférieur 99,5'%

ii. Crédit égal à 50'% du montant mensuel payé par le client au titre du mois considéré pour les éléments affectés par l’indisponibilité si le taux de disponibilité constaté est inférieur à 99'%

Il est expressément convenu que les crédits susvisés constituent pour le client une indemnisation forfaitaire de l’ensemble des préjudices résultant du non-respect par OVHcloud des engagements de service en cause. Le client renonçant à ce titre à tout autre demande, réclamation et /ou action [..]. Les dédommagements s’opèrent par déduction sur la facture du mois suivant réception par OVH de la demande de dédommagement.

Le client ne pourra en aucun cas se prévaloir du présent article et prétendre aux crédits susvisés dans l’hypothèse où l’indisponibilité résulte en tout ou partie (i) d’évènements ou factures échappant au contrôle d’OVH tels que non limitativement cas de force majeure, fait d’un tiers, problème de connexion'''»' (article 7) ;

— suivant l’article 7-2 des conditions générales OVHcloud, «'lorsque les conditions particulières de service applicables prévoient des engagements de niveau de service, les pénalités ou crédits correspondants pouvant être dus par OVHcloud constituent une indemnisation forfaitaire de l’ensemble des préjudices résultant du non-respect par OVHcloud des engagements de niveau de service en cause'; le client renonçant à toute autre demande, réclamation et/ou action. A défaut d’engagement de niveau de service applicable, le montant total cumulé de l’indemnisation pouvant être mis à la charge d’OVHcloud (sociétés apparentées, sous-traitants et fournisseurs inclus) en cas de manquement ou défaillance de sa part est plafonné, tous manquements confondus (A) au montant des sommes payées par le client à OVHcloud en contrepartie des services impactés au cours des 6 derniers mois précédant la demande d’indemnisation du client ou (B) au préjudice direct subi par le client s’il est inférieur […]'»';

— et l’article 7-3, relatif à l’exonération de responsabilité, stipule que «'la responsabilité d’OVHcloud ne pourra en aucun cas être engagée sur les fondements suivants : [']

[C] dommages indirects tels que notamment préjudice ou trouble commercial, perte de commandes, perte d’exploitation, atteinte à l’image de marque, perte de bénéfices ou de clients';

[']

[F]perte, altération ou destruction de tout ou partie des contenus (informations, données, applications, fichiers ou autres éléments hébergés sur l’infrastructure, dans la mesure où OVHcloud n’est pas en charge de la gestion de la continuité des activités du client et notamment des opérations de sauvegarde'».

L’association n°1 critique les clauses limitatives contenues dans les conditions générales de service OVH sous l’angle, d’une part, de la contradiction de celle-ci avec l’obligation essentielle souscrite par cette société, d’autre part, de la création d’un déséquilibre significatif des droits et obligations souscrites par les parties, ce qu’il convient désormais d’examiner.

a) Sur la prétendue contradiction avec l’obligation essentielle souscrite par le débiteur

Sous l’empire du droit antérieur à l’entrée en vigueur de l’ordonnance du 10 février 2016, au visa de l’article 1131 du code civil et sur la base de la notion de cause, la Cour de cassation, dans l’affaire Chronopost, avait écarté une clause limitative de réparation au motif qu’elle «'contredisait la portée de l’engagement pris'» (Ch. mixte, 22'avr. 2005,'pourvoi no'03-14.11, et pourvoi no'03-14.112). Elle avait ensuite précisé que seule est réputée non écrite la clause limitative de réparation qui contredit la portée de l’obligation essentielle souscrite par le débiteur (Com. 29'juin 2010,'no'09-11.841).

En dépit de la disparition de la notion de cause, cette jurisprudence a été consacrée par l’ordonnance du 10 février 2016, qui a introduit l’article 1170 du code civil, suivant lequel «'toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite »

Le seul critère retenu pour déterminer la validité de la clause s’apprécie au moment de la formation du contrat et consiste à rechercher si la portée de l’obligation essentielle souscrite par le débiteur est contredite et si la clause prive le contrat de tout intérêt pour le créancier.

Cette appréciation doit être effectuée in concreto au regard de l’équilibre d’ensemble de l’opération contractuelle considérée.

En l’espèce, par le contrat conclu avec la société OVH, l’association n°1 a souscrit la location d’un serveur privé virtuel (VPS), cette convention portant engagement de la part de la société OVH de mettre à disposition des espaces de stockage et d’en assurer la disponibilité, contre le paiement, par l’association, d’un abonnement mensuel de 15,99 euros.

Il convient de rappeler que l’association n°1 n’a souscrit auprès de la société OVH aucune option de sauvegarde et a accepté, selon les termes clairs des conditions générales et particulières, de rester seule responsable de la gestion de ses données et de leur intégrité.

Il appartient à l’association n°1, qui invoque le caractère réputé non écrit des clauses limitatives ou d’évaluation forfaitaire de responsabilité, de démontrer en quoi lesdites clauses porteraient atteinte à la substance même de l’engagement souscrit par la société OVH et priveraient les obligations souscrites de leur essence.

Premièrement, que ce soient les conditions particulières ou les conditions générales, la société OVH entend, par le biais de ces clauses, encadrer et ainsi assurer au client un niveau de performance, défini en termes d’engagement de disponibilité des services souscrits, notamment en ce qui concerne plus particulièrement le VPS.

Ces clauses prévoient ainsi, en cas d’indisponibilité des services, l’octroi de pénalités sous la forme forfaitaire, le taux de disponibilité mensuelle étant fixé à 99,5% (conditions VPS) et l’indisponibilité quantifiée contractuellement comme «'la perte pendant plus de trois minutes consécutives de l’accès du VPS client, sans possibilité pour relancer ledit VPS.'»

Or, c’est sans le moindre élément au soutien de son affirmation que l’association prétend que les niveaux d’indemnisation seraient dérisoires. Au contraire, à titre d’indemnisation ces clauses reviennent à libérer le client de toute contrepartie lorsque la société OVH n’est pas en mesure d’assurer sa prestation avec un pourcentage d’effectivité évalué à un niveau très élevé.

Deuxièmement, contrairement à ce que prétend l’association n°1, ces clauses, et notamment les niveaux de service et l’évaluation forfaitaire du préjudice, ne portent pas atteinte à l’essence des obligations pesant sur la société OVH.

En effet, comme précédemment exposé en détail ci-dessus (§ I), l’obligation souscrite auprès de la société OVH comprend uniquement la fourniture d’un VPS, ce qui englobe l’obligation pour cette société, d’une part, d’octroyer à l’association n° 1 un espace dédié, d’autre part, d’assurer l’accessibilité à cet espace pour que sa cliente puisse y consulter et retirer les données qui s’y trouvent et demeurent sous sa seule responsabilité, la société OVH n’assurant pas la conservation des données ni leur sauvegarde.

Or, les clauses précitées, et plus particulièrement celles relatives à l’évaluation forfaitaire, prévoient des niveaux de services incluant des pénalités sous forme de crédit, afin d’assurer la disponibilité, à savoir l’accès au serveur, ce qui vise non à nier l’obligation essentielle, mais au contraire à obliger la société OVHcloud à respecter ladite obligation.

Troisièmement, le fait que les préjudices indemnisés soient limités aux dommages directs, et non aux dommages indirects tels que le préjudice ou trouble commercial, la perte de commande, l’atteinte à l’image de marque, ne prive pas l’obligation essentielle de sa substance, mais cantonne uniquement le préjudice indemnisable, ce qui a été librement accepté par l’association.

Enfin, comme rappelé ci-dessus, l’obligation de conservation des données n’est pas de l’essence même de l’obligation souscrite par la société OVH dans le cadre de ce contrat, cette dernière s’étant engagée uniquement à assurer l’accès au serveur. Cela est si vrai que, tel qu’exposé précédemment, l’association fait grief à la société OVH d’avoir conservé ses données.'

Ainsi, l’exclusion de la responsabilité de la société OVH en cas de «'perte, altération ou destruction de tout ou partie des contenus (informations, données, applications, fichiers ou autres éléments hébergés sur l’infrastructure'» ne prive pas de sa substance l’obligation essentielle qu’elle a souscrite.

Il convient d’ailleurs de relever que ladite exclusion a un champ limité, puisqu’elle n’est applicable que «'dans la mesure où OVHcloud n’est pas en charge de la gestion de la continuité des activités du client et notamment des opérations de sauvegarde'», option différente qu’il aurait été loisible à l’association n°1 de souscrire, ce qu’elle n’a pas fait.

Ce moyen est donc rejeté.

b) Sur l’allégation d’un déséquilibre significatif des droits et obligations des parties

Les parties invoquent':

— d’abord, l’article 1171 du code civil, issu de l’ordonnance du 10 février 2016, qui répute non écrite «' dans un contrat d’adhésion, toute clause, non négociable, déterminée à l’avance par l’une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat'»';

— ensuite, l’article L. 442-6, I, du code de commerce, dans sa rédaction antérieure à celle issue de la loi n° 2008-776 du 4 août 2008, applicable aux sociétés commerciales dans le cadre de contrat de prestation de service tel que celui en litige (V. Com., 26 janvier 2022, n° 20-16.782). Ce texte dispose qu’ «'engage la responsabilité de son auteur et l’oblige à réparer le préjudice causé le fait, par tout producteur, commerçant, industriel ou personne immatriculée au répertoire des métiers […] 2° de soumettre ou de tenter de soumettre un partenaire commercial à des obligations créant un déséquilibre significatif dans les droits et obligations des parties. »

Quel que soit le texte applicable, tous les deux reposent sur une condition commune’tenant à l’existence d’un déséquilibre significatif dans les droits et obligations des parties.

Pour l’application de ces dispositions, il appartient à la partie qui invoque un tel déséquilibre de l’établir dans toutes ses composantes, et donc de caractériser, d’une part, la rupture dans l’équilibre des obligations et droits souscrits, d’autre part, le caractère significatif de ce déséquilibre, qui doit ainsi être marquant et d’une certaine importance, et non uniquement exister.

Afin d’apprécier le caractère abusif d’une clause créant « un déséquilibre significatif entre les droits et obligations des parties au contrat'», il convient de prendre en compte le contexte dans lequel le contrat a été conclu et son économie, après une appréciation et concrète du contrat liant les parties (Com. 3 mars 2015, n° 13-27.525).

Ainsi, une clause doit s’apprécier au regard de toutes les autres clauses du contrat, le déséquilibre instauré par une clause pouvant être corrigé par l’effet d’une autre, ou compensé par une autre clause (CPCE, avis n°15-23 du 25 juin 2015 ou CPEC, avis n° 19-01 du 17 janvier 2019'; Com. 26 févr. 2025, F-B, n° 23-20.225).

L’absence de réciprocité dans l’attribution d’un droit peut être significative d’un déséquilibre, lequel peut être financier ou juridique.

En l’espèce, il pèse donc sur l’association n° 1 la charge d’alléguer et de caractériser l’existence d’un déséquilibre significatif.

Or, premièrement, c’est par des conclusions imprécises que l’association n°1 se contente d’affirmer, dans les développements consacrés au déséquilibre significatif des clauses ci-dessus rappelées, le caractère certain du déséquilibre significatif engendré par ces clauses. Le seul fait de citer quelques clauses éparses ne constitue pas une étude de l’économie de la relation contractuelle unissant les parties et une véritable démonstration à cet égard.

Il convient de rappeler qu’au titre des services, l’association n’a souscrit qu’une location d’un VPS, pour un montant mensuel limité, en demeurant responsable de la gestion des données qu’elle y plaçait. La clause d’exclusion de responsabilité relative à la perte de données, citée par l’association, n’est que la traduction des obligations réciproques souscrites, étant observé que celle limitant la responsabilité de la société OVH respecte l’équilibre des obligations, puisqu’en l’absence de fourniture de l’espace de stockage, la contrepartie de cette obligation est restituée au client, dans la limite du montant mensuel versé par celui-ci.

En outre, l’association n°1 ne peut s’emparer de l’existence des clauses relatives à la force majeure pour prétendre qu’elles feraient naître un déséquilibre significatif, alors qu’il a été précédemment exposé que ces clauses n’étaient exonératoires qu’en présence d’un événement se trouvant hors de la maîtrise intellectuelle comme matérielle de la «'partie affectée'», ce qui revient à exiger de l’événement qu’il présente un caractère extérieur, imprévisible et irrésistible ' conditions qu’exige lui-même l’article 1218 du code civil.

Deuxièmement, l’existence d’une limitation de responsabilité n’implique aucunement ipso facto l’existence d’un déséquilibre significatif, contrairement à ce qu’affirme l’association n°1.

En outre, l’association assimile perte de substance des obligations et déséquilibre significatif. Or, en ce qui concerne le déséquilibre qui tiendrait à la perte de substance des obligations à la charge d’une partie en raison des clauses limitatives, la cour a déjà écarté ce moyen par les motifs ci-dessus retenus, auxquels il convient de se référer.

Ainsi, quel que soit le texte applicable, et sans même qu’il soit nécessaire de s’appesantir sur la notion de contrat d’adhésion exigée par l’article 1171 du code civil, la condition de l’existence d’un déséquilibre significatif des droits et obligations souscrites par les parties fait défaut, de sorte que la demande de l’association tendant à réputer non écrite les clauses de limitations ou évaluations forfaitaires de responsabilité ne peut qu’être rejetée.

III. Sur le préjudice subi par l’association n°1 en raison des manquements contractuels de la société OVH

A ) Sur les différents préjudices invoqués

L’association n°1 estime que le cumul des différents manquements de la société OVH lui ont été fortement préjudiciables, engendrant de nombreuses conséquences, telles que':

— l’inaccessibilité au serveur informatique de n°1 Scolarité et l’impossibilité de facturation de ses clients. Sur ce point, il précisé que':

* l’activité de l’association est restée affectée jusqu’à la fin du mois d’avril, en raison du temps nécessaire à la reconstruction de l’application';

* cette situation a, par nature, créé une perte d’exploitation, se traduisant par une perte de chiffres d’affaires très importante, puisqu’elle se trouvait privée de son unique source de revenus sur cette période (impossibilité de réserver des cours et impossibilité de facturer les cours effectués)';

* les effets de l’inaccessibilité au serveur informatique se sont fait ressentir jusqu’au mois d’octobre 2021, en raison notamment du caractère saisonnier de son activité';

* les dysfonctionnements de l’application AGC et la difficulté des parents à réserver des cours de mars à mai 2021 ont conduit ses clients à s’orienter vers des structures concurrentes et à ne pas revenir à la rentrée de septembre, ce qui a eu un impact sur la reprise de l’activité post-incendie, qui a donc été lente.

* il serait cohérent de prendre en compte l’accroissement naturel de son activité qui aurait été observé en 2021 si les incidents provoqués par OVH n’avaient pas eu lieu, puisqu’elle s’est vue privée de la possibilité d’accroître le nombre de ses clients et donc de générer un chiffre d’affaires accru sur plusieurs années compte-tenu du taux de fidélité de sa clientèle';

* si la cour décidait de ne retenir qu’un préjudice de perte de marge opérationnelle, il est précisé qu’elle réalise une marge brute d’exploitation de 50,86%';

— le coût de la reconstruction de l’application AGC logée sur le VPS par son prestataire informatique en charge de la maintenance applicative de son application AGC auprès d’un autre fournisseur de VPS. L’ensemble de ce processus de reconstruction a, outre son coût, engendré un préjudice important en termes de désorganisation, et d’investissement, au-delà même de la gestion de crise qui s’est nécessairement mise en place dès le 10 mars 2021';

— le dommage réputationnel auprès des professeurs, des clients.

La société OVH sollicite la confirmation de la décision entreprise en ce que l’association n°1 ne rapporte pas la preuve des préjudices allégués. Elle revient sur chacun des préjudices':

— sur la perte de chiffre d’affaires': seule une perte de marge peut être sollicitée. Le montant de cette perte de marge fixée à 50, 66'% par l’association n’est justifié par aucun document comptable ou fiscal. En tout état de cause, l’association ne justifie pas des sommes qu’elle sollicite au titre de la perte de chiffres d’affaires (chiffres d’affaires comparés 2019 et 2021'; calendrier et fonctionnement interne non établi sur les périodes d’affluence). L’article 5.3 des conditions générales limite la responsabilité d’OVH aux préjudices directs et exclut les dommages indirects tels que « préjudice ou trouble commercial, perte de commandes, perte d’exploitation, atteinte à l’image de marque, perte de bénéfices ou de clients »'; ce poste comprend en outre le poste de «'perte de chance » d’accroître le nombre de ses clients';

— sur les frais de réinstallation de serveurs': le devis produit ne permet pas de démontrer que des prestations de reconstruction ont été effectivement réalisées par la société Netysoft'; la facture produite ne correspond pas à ce devis, mentionnant des dates non cohérentes, et ayant été produite plus de deux voire trois ans après l’incendie'; un second devis réalisé est produit pour les besoins de la cause, ce nouveau devis, d’un montant de 39.450 HT, ne démontrant pas plus le préjudice subi par l’appelante au titre de la reconstruction de son site';

— sur les frais de personnels': la somme réclamée par l’appelante correspond aux salaires versés à huit salariés sur une période de deux mois. Le tableau récapitulatif rédigé par l’appelante elle-même (pièce adverse n°17) et les bulletins de salaire de huit de ses salariés (pièce adverse n°41), ne permettent manifestement pas d’établir ce préjudice, ni, en tout état de cause, d’établir un lien de causalité entre les coûts mentionnés et une perte de données qui serait consécutive à l’incendie survenu dans la nuit du 9 au 10 mars 2021';

— sur le préjudice réputationnel, découlant de la situation qui « a indubitablement conduit à une perte de clientèle de N°1 Scolarité » et à « une perte potentielle de près de 10% de son chiffre d’affaires'»': cela revient, pour l’association, à solliciter une double indemnisation d’un même préjudice, dans la mesure où une perte de clients entraîne une perte de chiffre d’affaires. De plus, d’une part, les pièces produites rendent impossible l’évaluation d’une quelconque dégradation concrète de la réputation ou de l’image de l’association auprès de ses clients ou de ses professeurs, d’autre part, l’article 5.3 des conditions générales de service limite la responsabilité d’OVH aux préjudices directs et exclut les dommages indirects tels que le « préjudice ou trouble commercial, perte de commandes, perte d’exploitation, atteinte à l’image de marque, perte de bénéfices ou de clients. »

Elle conclut, à titre plus subsidiaire, sur l’absence de lien de causalité entre les préjudices allégués et la faute reprochée, l’ensemble des dommages-intérêts sollicités étant manifestement liés aux conséquences d’une perte de données.

Réponse de la cour

1) Sur l’existence des préjudices invoqués et leur caractère indemnisable

Il résulte des articles 6 et 9 du code de procédure civile qu’à l’appui de leurs prétentions, les parties ont la charge d’alléguer les faits propres à les fonder et qu’il leur incombe de 'prouver conformément à la loi les faits nécessaires au succès de leur prétention.

En matière commerciale, la preuve est libre et la partie peut apporter la preuve des faits par tous moyens.

En l’espèce, l’association n°1 décompose sa demande de dommages et intérêts en plusieurs chefs de préjudice distincts, dont elle sollicite l’indemnisation pour un montant global de 576 660,63 euros, la société OVH lui opposant l’absence de tout préjudice et, à titre subsidiaire, l’existence de clauses limitatives de responsabilité et d’évaluation forfaitaire du préjudice.

Premièrement, compte tenu de la validité des clauses limitatives ou exonératoires de responsabilité contenues dans les conditions générales d’OVHcloud et les conditions particulières VPS, la cour se doit de vérifier, d’abord, que le débiteur justifie de l’existence même de ce préjudice et de son évaluation, ensuite, que le préjudice sollicité n’est pas exclu par les clauses précitées, et plus particulièrement par les stipulations figurant à l’article 7-3 des conditions générales de services OVHCloud en ses points C et F, enfin, que le plafond fixé par les clauses précitées ne se trouve pas dépassé par le montant du préjudice considéré.

Ces conditions sont cumulatives. Dès lors, le seul fait que le préjudice invoqué puisse être rattaché à l’un des cas prévus à l’article 7-3, points C et F, suffirait à rejeter la demande de l’appelante, sans qu’il soit nécessaire de vérifier la réalité du préjudice invoqué.

Deuxièmement, l’article 7-3 des conditions générales prévoit que':

La responsabilité d’OVHcloud ne pourra en aucun cas être engagée sur les fondements suivants :

[C] dommages indirects tels que notamment préjudice ou trouble commercial, perte de commandes, perte d’exploitation, atteinte à l’image de marque, perte de bénéfices ou de clients';

[']

[F]perte, altération ou destruction de tout ou partie des contenus (informations, données, applications, fichiers ou autres éléments hébergés sur l’infrastructure, dans la mesure où OVHcloud n’est pas en charge de la gestion de la continuité des activités du client et notamment des opérations de sauvegarde.

Cette stipulation renvoie aux notions’de «'dommages indirects'», «'préjudice ou trouble commercial'», qui sont imprécises et ne font l’objet d’aucune définition, que ce soit dans les conditions générales de services ou dans les conditions particulières VPS.

Cependant, s’agissant de clauses limitant le champ de la responsabilité et de l’indemnisation d’une partie, et dérogeant au principe de la réparation intégrale, elles doivent s’appliquer et s’interpréter strictement.

Ainsi, quand bien même l’exclusion de responsabilité prévue par le point C envisage tous «'les dommages indirects'», avec une liste d’illustrations, non limitative, de dommages indirects et l’adverbe «'notamment'», cette liste ne saurait être étendue au-delà des exemples précis déterminés par la clause.

Troisièmement, compte tenu des principes ci-dessus rappelés, il convient d’examiner chacun des préjudices invoqués par l’association n°1.

— Sur le préjudice tenant à l’inaccessibilité au serveur informatique de l’association et l’impossibilité de facturation des clients

Au préalable, il convient de souligner que, sous cet intitulé, l’association regroupe, outre les deux éléments ci-dessus cités, un préjudice de perte d’exploitation, arguant d’une perte de chiffres d’affaires très importante, s’étendant d’avril à octobre 2021, et d’une perte de clientèle, ses clients, des parents, ayant été conduits à déserter l’association à la rentrée de septembre en raison des dysfonctionnements.

Tout d’abord, il est constant que le VPS de l’association n°1, objet du contrat souscrit et contrepartie de l’obligation à paiement de l’abonnement mensuel versé à la société OVH, est resté inaccessible sur une période allant du 10 mars 2021 au 5 avril 2021, soit près d’un mois – 26 jours exactement.

Il ne peut être nié par la société OVH que ladite indisponibilité a généré un préjudice, les conditions générales et particulières de cette société prévoyant d’ailleurs que cette indisponibilité, dont la réalité n’est en l’espèce pas contestée, ouvre droit à une indemnisation forfaitairement convenue entre les parties au titre des engagements de niveau de service (SLA), dès qu’est constatée l’indisponibilité à laquelle s’est engagée la société OVH, en application de l’article 7 des conditions particulières.

L’association n°1 justifie à tout le moins d’un préjudice indemnisable de ce chef, contrairement à ce que prétend la société OVH, et ce préjudice se trouve bien en lien avec l’incendie, peu important que l’association n°1 assumât seule la responsabilité de sa politique de sauvegarde.

En effet, même en présence d’une sauvegarde externe à jour détenue par l’association n°1, comportant la copie intégrale de son VPS – à savoir les données s’y trouvant et plus particulièrement son application AGC -, il n’en demeure pas moins que l’incendie l’a privée de la possibilité d’accéder à son VPS pendant une période certaine, et lui a imposé de rechercher et d’acquérir, au moins pendant le temps de l’indisponibilité du serveur hôte initial, un nouveau serveur sur lequel devait être rebasculée l’application et les données conservées.

Ainsi, est établie l’existence d’un préjudice en lien avec l’indisponibilité du serveur, quand bien même l’association n°1 aurait eu une copie opérationnelle intégrale de son VPS. L’association peut donc demander réparation de ce préjudice, contrairement à ce qu’affirme la société OVH.

Ensuite, concernant le préjudice de perte d’exploitation, lequel englobe, selon l’association n°1, un préjudice de perte de chiffres d’affaires et un préjudice de perte de clientèle, et sans même qu’il soit besoin de vérifier si de tels préjudices sont prouvés, il convient de relever que le point C de l’article 7-3, ci-dessus reproduit, écarte expressément toute responsabilité et indemnisation en cas de «'perte d’exploitation'», de «'perte de client'», encore de «'perte de commandes.'»

La cour ayant estimé valable les clauses limitatives et exonératoires de responsabilité stipulées en l’espèce, l’association n°1 ne peut solliciter de réparation de ces derniers chefs de préjudice.

— Sur le préjudice intitulé «'coût de la reconstruction de l’application logée sur le VPS'»

Tout d’abord, alors qu’en première instance l’association n° 1 se prévalait d’une facture n°202101210 du 2 septembre 2021 de la société Netysoft pour un montant de 20 160 euros, tel que cela résulte de ses écritures de première instance produites par la société OVH, elle sollicite désormais, en cause d’appel, de ce chef une indemnisation de 31 200 euros, en produisant des pièces 23 et 47 pour attester de ce préjudice.

De première part, la pièce 23 est constituée d’un devis de la société Netysoft, intitulé «'réinstallation de l’architecture serveur'», daté de mars 2021 pour un montant de 20 160 euros, une facture du même prestataire, la société Netysoft du 3 juin 2022 pour un montant de 31 200 euros, se référant à des devis validés les 5 mars 2020, 22 mars 2020 et 17 juin 2020, ainsi qu’un relevé de compte auprès de la banque Société générale d’août 2023 pour attester du paiement de cette facture.

La pièce 47 concerne un devis de la société Coessi, intitulé «'réinstallation de l’Infra serveurs et sécurisation'», daté de novembre 2024.

Compte tenu de la multiplicité de devis comportant des montants différents, et des dates des différents documents précités, la cour d’appel estime que l’association ne rapporte pas la preuve d’un lien de causalité direct et certain entre les prestations ainsi commandées par l’association n°1 et l’incident consécutif à l’incendie du datacentre et l’indisponibilité de son serveur.

Le devis de la société Coessi, compte tenu de sa date, n’est pas en lien avec le sinistre, ce que l’association n°1 ne plaide d’ailleurs pas. Il ne peut donc servir à justifier du préjudice invoqué.

Concernant la pièce n° 23, et plus particulièrement la facture de la société Netysoft, la société OVH pointe à juste titre que cette dernière se réfère à des devis validés l’année précédant le sinistre. L’association n°1 n’apporte aucun élément probant à l’appui de son affirmation selon laquelle cette référence à multiples reprises à l’année 2020 figurant sur ladite facture serait une pure erreur matérielle.

Il aurait été loisible à tout le moins à l’association de demander une attestation de son prestataire, avec lequel elle conservait des liens, pour ne l’avoir payé qu’en 2023, pour établir cette éventuelle erreur matérielle.

La production d’un devis daté de mars 2021 n’apporte pas la preuve de l’erreur matérielle invoquée, dès lors qu’y figure un montant distinct de la facture en litige, et comporte aucun numéro qui serait repris sur la facture concernée, étant en outre observé que le montant du devis apparaît correspondre à une facture différente, initialement communiquée en première instance, mais plus en cause d’appel, comme en atteste le bordereau de communication de pièces joint aux écritures de première instance versées aux débats.

Ce poste de préjudice, en lien avec l’incident, n’est donc pas justifié.

Ensuite et surtout, la clause limitative de responsabilité, dont il a été précédemment jugé qu’elle pouvait être valablement opposée à l’association n°1 par la société OVH, prévoit expressément que en son point [F] que se trouvent exclues de toute réparation la «'perte, altération ou destruction de tout ou partie des contenus (informations, données, applications, fichiers ou autres éléments hébergés sur l’infrastructure), dans la mesure où OVHcloud n’est pas en charge de la gestion de la continuité des activités du client et notamment des opérations de sauvegarde'».

Or, dans ce poste de préjudice, l’association n°1, qui pourtant affirme avoir eu une sauvegarde tant de son application que des données s’y trouvant, sollicite non le coût d’une réinstallation et un relancement de ces éléments, mais en réalité une «'reconstruction'», comme l’indique d’ailleurs l’intitulé même choisi par l’association pour qualifier ce poste, ce qui revient à solliciter de la société OVH qu’elle prenne en charge la perte de données, cependant que ce préjudice est expressément exclu par l’article 7-3, F.

Cela justifie de plus fort le rejet de cette demande.

— Sur le poste de préjudice intitulé «'recours ETP pour pallier les dommages occasionnés»

Sous cet angle, la cour répondra tant aux développements figurant au § 450 des écritures de l’appelante, page 86 qu’aux § 445 et 446 page 83, où se trouvent évoquée la désorganisation occasionnée par le sinistre.

Tout d’abord, il doit être noté que l’association n° 1 ne justifie pas des investissements, coûteux en temps et en argent qu’elle évoque aux § 445 et 446.

La production de quelques courriels (pièce 15-2 ou encore pièce 39), dont il n’est d’ailleurs pas justifié pour ce dernier qu’il ait été réellement adressé à leur destinataire, n’est pas suffisante pour attester de cette désorganisation et de l’investissement invoqué, étant observé que les multiples courriels adressés au prestataire informatique ne sauraient être pris en compte, l’intervention de ce dernier n’ayant pas pu être rattachée à l’incident, comme ci-dessus explicité.

Il sera en outre observé qu’il n’est offert aucun chiffrage précis de ce chef de préjudice.

Ensuite, l’association demande la somme de 39 364,36 euros au titre des moyens humains engagés, soit 8 équivalents temps plein'(ETP) pendant un mois, pour résoudre les dommages occasionnés à la suite de l’incident.

Cependant, comme l’ont justement retenu les premiers juges, la production des seules fiches de salaires de ces personnels n’est pas suffisante pour établir la réalité de la dépense et le lien de causalité avec l’incident déploré.

Le tableau récapitulatif de ses pertes établi par l’association (sa pièce 17), ne permet pas plus d’établir ces deux éléments, la cour observant en outre, que, dans ses développements l’association ne se réfère pas uniquement à l’inaccessibilité du serveur, mais également à une perte de données, préjudice exclu, auxquels ses personnels auraient été amenés à remédier.

Ce préjudice n’est donc pas justifié.

— Sur le dommage réputationnel

L’association n°1 évoque un dommage suite à «'l’indisponibilité totale, la perte du serveur et la reconstitution irrégulière du serveur par OVH'», tenant à une atteinte à son image à l’égard, d’une part, de ses clients, d’autre part, des professeurs employés.

Concernant l’atteinte à la réputation et à l’image vis-à-vis de la clientèle, si l’association n° 1 évoque dans ses écritures avoir «'reçu plusieurs centaines de plaintes de clients à la suite de la reconstruction non autorisée’ [du VPS par OVH le 5 avril 2021]», force est toutefois de constater qu’elle ne les produit pas. Pour seul élément attestant de cette affirmation, elle communique une pièce 15-1, constituée du courriel d’une cliente indiquant avoir reçu un courriel de fin de cours qu’elle «'ne compren[d] pas. Tout a été remis à zéro sur le site alors qu’il reste au moins 4 h de coupons['] Pouvez-vous revenir vers moi car cela semble lié au Crash du site.'»

Ce courriel ne comporte ni plainte ni expression d’un quelconque mécontentement, la cliente ayant au contraire parfaitement fait le lien entre l’incident et le désagrément qu’elle subissait, sans nullement remettre en cause la réputation ou la compétence de l’association n°1.

Concernant les autres courriels, annexés à celui-ci en pièce 15-1, rien ne prouve qu’ils aient été effectivement adressés et reçus par la clientèle, tous étant à destination d’une même adresse': m.lamboley.

Il n’est pas justifié que ces courriels, eussent-ils été adressés à la clientèle, auraient donné lieu à une réaction, qui plus est négative, de la part de celle-là.

Le seul fait d’avoir dû informer la clientèle de l’indisponibilité du serveur ou de la violation des données personnelles, à la suite de l’incendie de la société OVH, n’est, à elle seule, pas suffisante pour caractériser la réalité d’une atteinte à la réputation ou à l’image de l’association elle-même.

Quant à l’atteinte à la réputation et à l’image auprès des professeurs, aucune des pièces communiquées par l’association ne vient en justifier. Le seul fait que celle-ci ait dû informer ces derniers de modalités distinctes d’intervention ou de rémunération n’est pas nécessairement constitutif d’une atteinte à l’image ou la réputation.

Il n’est justifié ni d’un mécontentement ni de plainte desdits personnels, en lien avec les suites de l’incident, étant observé que les difficultés opérationnelles connues par l’association pour la réinstallation de son infrastructure, dont il a été vu précédemment qu’il n’était pas justifié qu’elles seraient en lien avec l’incendie, ne peuvent, en tout état de cause, pas être invoquées pour fonder ses réclamations de ce chef.

Enfin et surtout, il doit être rappelé que l’article 7-3 exclut, dans son paragraphe C, les «'dommages indirects tels que notamment préjudice ou trouble commercial, perte de commandes, perte d’exploitation, atteinte à l’image de marque, perte de bénéfices ou de clients.'»

En conséquence, la demande d’indemnisation d’un préjudice réputationnel doit être rejetée.

2) Sur le montant de l’indemnisation

Il convient de rappeler que':

— dans l’article 7 des conditions particulières VPS, OVH s’engage à «'assurer, pour un serveur virtuel de la gamme starter, un taux de disponibilité mensuelle de 99.5% '. Si les niveaux de service définis ci-dessus ne sont pas atteints, le client peut, sous réserve des cas d’exclusion énumérés ci-dessous, demander les crédits suivants':

— non-respect du taux de disponibilité': (a) VPS Gamme starter

i. crédit égal à 10'% du montant mensuel payé par le client au titre du mois considéré pour les éléments affectés par l’indisponibilité, si le taux de disponibilité constaté est supérieur ou égale à 99,0'% et inférieur 99,5'%

ii. Crédit égal à 50'% du montant mensuel payé par le client au titre du mois considéré pour les éléments affectés par l’indisponibilité si le taux de disponibilité constaté est inférieur à 99'%

Il est expressément convenu que les crédits susvisés constituent pour le client une indemnisation forfaitaire de l’ensemble des préjudices résultant du non-respect par OVHcloud des engagements de service en cause. Le client renonçant à ce titre à tout autre demande, réclamation et /ou action [..]. Les dédommagements s’opèrent par déduction sur la facture du mois suivant réception par OVH de la demande de dédommagement.

Le client ne pourra en aucun cas se prévaloir du présent article et prétendre aux crédits susvisés dans l’hypothèse où l’indisponibilité résulte en tout ou partie (i) d’évènements ou factures échappant au contrôle d’OVH tels que non limitativement cas de force majeure, fait d’un tiers, problème de connexion'''»' ';

— suivant l’article 7-2 des conditions générales OVHcloud, «'lorsque les conditions particulières de service applicables prévoient des engagements de niveau de service, les pénalités ou crédits correspondants pouvant être dus par OVHcloud constituent une indemnisation forfaitaire de l’ensemble des préjudices résultant du non-respect par OVHcloud des engagements de niveau de service en cause'; le client renonçant à toute autre demande, réclamation et/ou action. A défaut d’engagement de niveau de service applicable, le montant total cumulé de l’indemnisation pouvant être mis à la charge d’OVHcloud (sociétés apparentées, sous-traitants et fournisseurs inclus) en cas de manquement ou défaillance de sa part est plafonné, tous manquements confondus ( A) au montant des sommes payées par le client à OVHcloud en contrepartie des services impactés au cours des 6 derniers mois précédant la demande d’indemnisation du client ou (B) au préjudice direct subi par le client s’il est inférieur ['].'»

En l’espèce, seule a été retenue, comme préjudice pouvant être valablement invoqué par l’association n°1, l’indisponibilité du serveur, pour lequel il existait un niveau d’engagement de service de la part de la société OVH, ce qui, aux termes de la clause d’évaluation forfaitaire de responsabilité ci-dessus rappelée, ouvrait à l’association le droit d’obtenir, un «'crédit égal à 10'% du montant mensuel payé par le client au titre du mois considéré pour les éléments affectés par l’indisponibilité, si le taux de disponibilité constaté est supérieur ou égale à 99,0'% et inférieur 99,5'%.'»

Or, la société OVH précise et justifie qu’en application de ces clauses de SLA, elle a accordé à l’association n°1 un bon d’achat d’un montant de 125,87 euros, représentant l’équivalent de près de 8 mois de services souscrits par le client, l’association n°1 ne contestant pas avoir perçu cette somme, pas plus qu’elle ne remet en cause le fait que le montant ainsi alloué représente environ 8 mois de service souscrits.

Compte tenu des éléments qui précèdent, et au vu de l’indemnisation d’ores et déjà accordée à l’association au titre du seul préjudice par elle subi en lien avec la faute commise par la société OVH à la suite de l’incendie du 10 mars 2021, c’est à bon droit que les premiers juges ont rejeté les demandes d’indemnisation de l’association n°1.

La décision entreprise est donc confirmée.

B) Sur la demande subsidiaire': l’expertise judiciaire

A titre subsidiaire, l’association n°1 conclut à la possibilité de nommer un expert judiciaire en charge d’évaluer son préjudice résultant des fautes de la société OVH, et ce, aux frais de cette dernière, cette demande ne pouvant être considérée comme nouvelle, contrairement à ce que soutient la société OVH.

La société OVH sollicite que soit déclarée irrecevable la demande d’expertise de l’appelante aux fins d’évaluation de son préjudice, et en tout état de cause infondée, rappelant que cette mesure ne doit pas pallier la carence de la preuve de l’appelante.

Réponse de la cour

Aux termes de l’article 564 du code de procédure civile, à peine d’irrecevabilité d’office, les parties ne peuvent soumettre à la cour de nouvelles prétentions si ce n’est pour opposer compensation, faire écarter les prétentions adverses ou faire juger les questions nées de l’intervention d’un tiers ou de la survenance ou la révélation d’un fait.

La prétention n’est pas nouvelle si elle tend aux mêmes fins que celle soumise au premier juge, même si son fondement juridique est différent (article 565 du même code). Se trouvent être également recevables les demandes qui sont l’accessoire, la conséquence ou le complément nécessaire des demandes présentées initialement (article 566), outre les demandes reconventionnelles (article 567).

En premier lieu, sur la recevabilité de cette demande, la cour observe que cette demande d’expertise n’est que le complément des demandes initialement présentées, puisqu’elle vise à établir le préjudice dont il était déjà sollicité réparation en première instance.

En tout état de cause, si elle s’estimait insuffisamment éclairée, la cour pourrait, au besoin d’office, décider d’ordonner une mesure d’expertise.

Cette fin de non-recevoir est donc rejetée.

En second lieu, sur le fond, la cour dispose de suffisamment d’éléments, compte tenu des clauses limitatives ou exonératoires de responsabilité applicables au litige, pour statuer sans qu’il soit nécessaire de recourir à une mesure d’expertise, étant rappelé qu’en aucun cas une mesure d’instruction ne peut être ordonnée en vue de suppléer la carence d’une partie dans l’administration de la preuve, conformément à l’article 146 du code de procédure civile.

En outre, cette demande, présentée uniquement à titre subsidiaire par l’association n°1, n’est donc plus utile à la résolution du litige, puisque l’ensemble des demandes principales présentées ont d’ores et déjà été tranchées par la présente cour, ce qui justifie de plus fort le rejet de cette demande.

En conséquence, la demande d’expertise est rejetée.

IV – Sur la demande de communication de pièce

L’association n° 1 expose que «'si la cour devait estimer que la détermination de la cause de l’incendie était déterminante pour retenir la responsabilité d’OVH'», il conviendrait, à titre subsidiaire, d’enjoindre à la société OVH de communiquer le rapport d’assurance, le rapport d’intervention des pompiers et le rapport d’expertise judiciaire.

La société OVH s’oppose à cette demande de communication de pièces, rappelant que le bien-fondé d’une telle demande doit être vérifié par le juge et s’apprécie au regard de l’existence de la pièce demandée et de son utilité pour la solution du litige, étant précisé que cette demande ne peut affranchir le demandeur de la charge de la preuve qui pèse sur lui.

Elle pointe par ailleurs l’absence de démonstration, par l’association, de l’utilité de cette communication demandée, l’absence de connaissance d’un rapport d’expertise diligentée par sa compagnie d’assurance, à elle, la société OVH, et la poursuite des travaux de l’expert judiciaire désigné par le tribunal judiciaire de Strasbourg.

Réponse de la cour

La cour estimant que les pièces en cause ne sont pas nécessaires à la résolution du présent litige, la demande de production de ces pièces, formée uniquement à titre subsidiaire par l’association n°1, doit être rejetée.

La décision entreprise est donc confirmée en ce qu’elle a débouté l’association de cette demande.

V- Sur les dépens et accessoires

En application des dispositions de l’article 696 du code de procédure civile, l’association n° 1 succombant en ses prétentions, il convient de la condamner aux dépens.

L’association n° 1 supportant la charge des dépens, il convient de la condamner à payer à la société OVH une indemnité sur le fondement de l’article 700 et de la débouter de sa demande d’indemnité procédurale.

Les chefs de la décision entreprise relatifs aux dépens et à l’indemnité procédurale sont donc confirmé.

PAR CES MOTIFS

— CONFIRME le jugement entrepris, sauf en ce qu’il a :

— confirmé que la société OVH avait été confrontée à un cas de force majeure';

— dit que la société OVH avait manqué à ses obligations légales et réglementaire';

Statuant des chefs infirmés et y ajoutant,

— REJETTE la demande de la société OVH tendant à voir déclarer réunies les conditions contractuelles et légales de la force majeure';

— REJETTE la demande de l’association n°1 Scolarité tendant à voir réputer non écrite':

* la clause relative à la force majeure';

* les clauses de limitations ou d’évaluations forfaitaires de responsabilité sur le fondement de la contradiction à l’obligation essentielle et sur le fondement du déséquilibre significatif';

— DIT que la société OVH a déjà intégralement indemnisé l’association n° 1 Scolarité du seul préjudice subi par cette dernière du fait du manquement imputable à la société OVH';

— DECLARE recevable la demande d’expertise formée par l’association n°1 Scolarité';

— REJETTE la demande d’expertise formulée par l’association n°1 Scolarité';

— CONDAMNE l’association n°1 Scolarité aux dépens d’appel';

— CONDAMNE l’association n° 1 Scolarité à payer à la société OVH la somme de 5 000 euros sur le fondement de l’article 700 du code de procédure civile';

— DÉBOUTE l’association n°1 Scolarité de sa demande d’indemnité procédurale.

Le greffier

La présidente

EN CONSEQUENCE

LA REPUBLIQUE FRANCAISE mande et ordonne à tous les commissaires de justice, sur ce requis, de mettre ledit arrêt à exécution, aux procureurs généraux et aux procureurs de la République près les tribunaux judiciaires d’y tenir la main, à tous les commandants et officiers de la Force Publique de prêter main-forte lorsqu’ils en seront légalement requis. En foi de quoi le présent arrêt a été signé par le Président et le Greffier.