Cour d'appel de Paris, Pôle 5 - chambre 11, 7 février 2020, n° 18/03616

  • Mise à jour·
  • Sociétés·
  • Sauvegarde·
  • Serveur·
  • Données·
  • Virus informatique·
  • Responsabilité·
  • Contrats·
  • Relation commerciale·
  • Matériel

Chronologie de l’affaire

Commentaires11

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

www.houdart.org · 6 février 2023

Cybersécurité : panorama de l'actualité juridique Article rédigé le 06 février 2023 par Me Laurence Huin et Francois Gorriez Face aux attaques cyber qui se généralisent y compris dans le secteur de la santé, la maîtrise du risque cyber impose aux juristes une connaissance des règles en matière de sécurité des systèmes d'information, corpus très épars. [>>>Cet article a été publié dans une première version au sein du numéro de novembre de la revue Expertise(s)] Demandes de rançon, espionnage, sabotage, autant de situations qui se multiplient sur Internet et touchent tous types …

 

www.murielle-cahen.fr · 7 février 2022

À l'heure actuelle, nous assistons à une croissance massive des secteurs du numérique . De plus en plus de contrats se forment par voie dématérialisée. Il a alors fallu s'interroger sur la responsabilité des prestataires de services informatiques en matière de sécurité informatique. NOUVEAU : Utilisez nos services pour faire respecter un contrat en passant par le formulaire ! La sécurité par voie électronique repose largement sur l'utilisation de moyens de chiffrement des échanges pour en assurer la confidentialité. Ces dernières années, le cadre juridique de la sécurité des services …

 

www.itlaw.fr · 29 octobre 2020

C'est la question que s'est posée la Cour d'appel de Paris en février 2020. Contrat d'assistance et de maintenance ayant pour objet l'assistance, l'entretien et le dépannage des postes informatiques ainsi que la sécurisation et la sauvegarde de données informatiques, quelles obligations pour le prestataire ? En 2016, la société E, cliente de ce contrat d'assistance et de maintenance est victime d'un virus informatique, de type ransomware, rendant nombre de ses fichiers inutilisables car cryptés. La société M, prestataire et cocontractante de la société E, est intervenue pour tenter de …

 
Testez Doctrine gratuitement
pendant 7 jours
Vous avez déjà un compte ?Connexion

Sur la décision

Référence :
CA Paris, pôle 5 - ch. 11, 7 févr. 2020, n° 18/03616
Juridiction : Cour d'appel de Paris
Numéro(s) : 18/03616
Décision précédente : Tribunal de commerce de Lyon, 11 janvier 2018, N° 2016J1706
Dispositif : Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours

Sur les parties

Texte intégral

Copies exécutoires

RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 11

ARRÊT DU 07 FEVRIER 2020

(n° , 13 pages)

Numéro d’inscription au répertoire général : N° RG 18/03616 – N° Portalis 35L7-V-B7C-B5B6C

Décision déférée à la Cour : Jugement du 12 Janvier 2018 -Tribunal de Commerce de LYON – RG n° 2016J1706

APPELANTE

SARL MISE A JOUR INFORMATIQUE

prise en la personne de ses représentants légaux

[…]

[…]

immatriculée au Registre du Commerce et des Sociétés de LYON sous le numéro 443 657 457

représentée par Me Jean-Christophe BASSON-LARBI, avocat au barreau de PARIS, toque: D0610

INTIMEE

SARL E.X.M. EURO ET EXPERTISE MONETIQUE

prise en la personne de ses représentants légaux

[…]

[…]

immatriculée au Registre du Commerce et des Sociétés de LYON sous le numéro 420 693 772

représentée par Me Frédérique ETEVENARD, avocat au barreau de PARIS, toque : K0065

COMPOSITION DE LA COUR :

L’affaire a été examinée par la Cour composée de :

Mme Françoise BEL, Présidente de chambre

Mme Agnès COCHET-MARCADE, Conseillère

Mme Estelle MOREAU, Conseillère

qui en ont délibéré

Les parties ont déposé leur dossier quinze jours avant la date fixée pour l’audience de plaidoiries.

ARRÊT :

— contradictoire,

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Mme Françoise BEL, Présidente et par Mme Saoussen HAKIRI, greffier, présent lors de la mise à disposition.

Faits et procédure :

La société Exm Euro et expertise monétique (ci-après, la société Exm) a pour activité la vente, la location, l’installation et la maintenance de terminaux de paiement par carte bancaire.

La société Mise à jour informatique est spécialisée dans le service informatique de proximité pour les PME et TPE.

Le 16 février 2012, la société Exm a conclu avec la société Mise à jour informatique un contrat d’assistance et de maintenance ayant pour objet l’assistance, l’entretien et le dépannage de postes informatiques, la sécurisation et la sauvegarde des données informatiques. Ce contrat, portant sur 20 postes, prévoyait trois heures de prestation par mois.

La société Mise à jour informatique a facturé des prestations mensuelles.

Le 24 février 2016, la société Exm a été victime d’un virus informatique dénommé Locky qui a eu pour effet de rendre inutilisables les fichiers infectés en les cryptant.

La société Mise à jour informatique est intervenue pour tenter de résoudre les dommages ainsi

causés à 1'outil informatique de la société Exm, mais n’a pas été en mesure de restaurer les données de son client.

Par acte du 25 mars 2016, la société Exm a fait constater par huissier de justice, assisté du collaborateur d’un expert en informatique inscrit près la cour d’appe1 de Lyon, l’infection de plus de 203.000 fichiers mais également l’absence de sauvegarde valide entre le 2 septembre 2015 et 1e 25 février 2016.

Par lettre recommandée avec demande d’avis de réception du 29 mars 2016, la société Exm a notifié à la société Mise à jour informatique la résiliation du contrat conclu le 16 février 2012 et l’annulation de la commande d’un nouveau serveur de secours.

Par courrier du 8 avril 2016, la société Mise à jour informatique a refusé de procéder à l’annulation de ladite commande.

Par lettre recommandée avec demande d’avis de réception des 29 avril 2016, la société Exm a mis la société Mise à jour informatique en demeure de l’indemniser de son préjudice provisoirement évalué à la somme de 34.809,50 euros et de lui restituer une somme de 1.403, 40 euros au titre du serveur commandé et non livré.

Par lettre du 23 juin 2016, la société Mise à jour informatique a contesté être responsable des préjudices subis par la société Exm et mis en demeure celle-ci de s’acquitter de la somme de 2.765,40 euros au titre des factures impayées.

Par acte du 21 octobre 2016, la société Exm a assigné la société Mise à jour informatique devant le tribunal de commerce de Lyon aux fins de voir constater la résiliation du contrat d’assistance et de maintenance informatique et obtenir la réparation de son préjudice.

Par jugement du 12 janvier 2018, le tribunal de commerce de Lyon a :

— Condamné la société Mise à jour informatique à payer à la société Exm la somme de 41.172,16 euros à titre de dommages et intérêts,

— Débouté la société Mise à jour informatique de sa demande de 6.000 euros au titre de l’article 9 du contrat,

— Débouté la société Mise à jour informatique de sa demande de 2.000 euros au titre du préjudice subi du fait de la rupture du contrat,

— Condamné la société Exm à payer à la société Mise à jour informatique la somme de 2.765,40 euros outre intérêts dans les conditions de l’article L.441-6 du code de commerce, soit au taux d’intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente

majorée de10 points de pourcentage à compter du 10 février 2016,

— Ordonné la capitalisation des intérêts conformément à l’article 1154 du code civil,

— Débouté la société Mise à jour informatique de sa demande de 1.000 euros de dommages et intérêts au titre du préjudice économique et financier,

— Dit qu’il n’y a pas lieu à condamnation en application des dispositions de l’article 700 du code de procédure civile,

— Rejeté la demande d’exécution provisoire du jugement,

— Condamné la société Mise à jour informatique à l’ensemble des dépens.

Le tribunal a jugé, d’une part, que la société Mise à jour informatique avait manqué à ses obligations contractuelles en laissant penser à son client que les sauvegardes de données étaient parfaitement effectuées en poursuivant sa facturation mensuelle de contrôle des sauvegardes et de sauvegarde en ligne, d’autre part, que ladite société échouait à démontrer que la société Exm avait manqué à son devoir de collaboration ou commis une quelconque faute de nature à l’exonérer de sa responsabilité. Il a retenu qu’en présence de sauvegardes totalement exploitables, l’infection du système informatique de la société Exm par le virus Locky, qui ne constitue pas un cas de force majeure, n’aurait pas eu les conséquences constatées. Il a constaté la résiliation du contrat au 30 juin 2016, date de réception du courrier de mise en demeure adressé par la société Exm, compte tenu de l’inexécution de la prestation de la société Mise à jour informatique. Il a estimé le préjudice subi par la société Exm à la somme de 41.172, 16 euros incluant les frais d’interventions de la société One System, de l’expert comptable de la société Exm, la 'rançon' versée par celle-ci auprès des cyber-escrocs, les frais d’expertise informatique et le coût de la mobilisation des équipes de la société Exm.

Il a considéré que la société Mise à jour informatique était pour sa part créancière de la société Exm d’une somme de 2.756,40 euros au titre du solde restant dû sur des commandes passées par la société Exm indépendamment du contrat de maintenance et ne pouvant être résiliées. Estimant que la société Exm n’avait pas commis de faute, il a débouté la société Mise à jour informatique de sa demande au titre du préjudice économique et financier prétendument subi.

Par déclaration du 20 février 2018, la société Mise à jour informatique a interjeté appel du jugement.

Prétentions et moyens des parties :

Par dernières conclusions notifiées et déposées le 13 mai 2018, la société Mise à jour informatique demande à la cour, au visa des articles 1103 et suivants, 1154 et 1217 et suivants du code civil, l’article 1138 ancien du code civil, articles L.442-6-I-5°du code de commerce, de:

— Infirmer le jugement entrepris et statuant à nouveau,

— Constater que la perte des données de la société Exm a été causée par le virus Locky,

— Constater que l’absence ou les erreurs de sauvegarde des données de la société Exm ont été causées par la faute et le comportement fautif de la société Exm,

— Constater que la société Exm a violé l’article 6 du contrat liant les parties et que ce faisant, sa responsabilité ne peut valablement être mise en cause,

— Constater qu’elle a parfaitement exécuté ses obligations contractuelles,

— Dire et juger que sa responsabilité n’est pas mise en cause et qu’aucune faute de sa part ne peut valablement constituer la cause d’un quelconque préjudice invoqué par la société Exm,

— Constater que la société Exm a rompu abusivement et brutalement le contrat les liant,

— Constater qu’elle est créancière de la société Exm au titre des factures correspondant aux devis n°201601021 du 29 janvier 2016 pour un montant de 4.222,80 euros TTC et n°201601024 du 03 février 2016 pour un montant de 1.308 euros TTC,

En conséquence,

— Débouter la société Exm de toutes ses demandes, fins et prétentions,

— Condamner la société Exm à lui payer la somme de 2.765,40 euros TTC outre intérêts dans les conditions de l’article L.441-6 du code de commerce soit au taux d’intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente majoré de 10 points de pourcentage à compter du 10 février 2016 et ordonner la capitalisation des intérêts conformément à l’article 1154 du code civil,

— Condamner la société Exm à lui verser 1.000 euros de dommages et intérêts au titre du préjudice

économique et financier lié à son inexécution fautive,

— Condamner la société Exm à lui verser 2.000 euros de dommages et intérêts au titre du préjudice

subi du fait de la rupture abusive et brutale des relations commerciales

— Condamner la société Exm à lui payer 9.000 euros au titre de l’article 9 du contrat ou à défaut au titre de l’article 700 du code de procédure civile ;

A titre subsidiaire,

— Dire et juger que l’infection par le virus Locky et ses conséquences avaient un caractère de force majeure,

— Dire et juger que la faute de la victime a causé le dommage,

— La mettre hors de cause ;

A titre très subsidiaire, et en cas de retenue d’une faute de sa part,

— Constater que le dommage invoqué revêt les caractères de la cause étrangère par cas fortuit et faute de la victime,

— Constater que la société Exm a manqué à son devoir de collaboration et a concouru à la réalisation de son propre dommage en ne respectant pas ses consignes et recommandations,

— La mettre hors de cause et à défaut déterminer le partage de responsabilité.

Elle conteste sa responsabilité et l’imputabilité du préjudice allégué par la société Exm.

Elle soutient que l’infection par le virus Locky, qui est la cause juridique de la perte de données dont se prévaut l’intimée, lui est étrangère, n’étant pas due à une erreur de sauvegarde de données mais à une attaque du crypto-ransomware Locky qui s’est introduit en raison de la défaillance du système de protection de l’hébergeur de messagerie de la société Exm, géré par une société tierce, et de l’ouverture par une employée de la société Exm d’une pièce jointe à un courriel contenant le virus, malgré les mises en garde. Elle ajoute que si la société Exm avait correctement réagi en débranchant l’ordinateur infecté dès l’affichage de la demande de rançon, son système et ses données sous serveurs auraient sans doute été préservés de toute contamination.

Subsidiairement, elle fait valoir que la société Exm est exclusivement responsable de l’impossibilité de sauvegarder une partie de ses données. Elle explique que le manque d’espace de stockage et la saturation des disques existants rendent impossible toute sauvegarde en l’absence d’investissement de la société Exm dans des capacités supplémentaires de stockage, le serveur Nas sur lequel la société Exm était censée réaliser ses sauvegardes n’étant notamment plus adapté à la dimension du réseau et aux données de ladite société. Elle soutient que depuis 2014, l’intimée a refusé de suivre ses recommandations d’acquérir le matériel nécessaire alors qu’elle l’a continuellement alertée sur la saturation de ses espaces disques ainsi que sur la nécessité d’augmenter ses capacités de stockage et lui a vainement soumis divers devis. Elle relève que l’expertise privée et non contradictoire du serveur de la société Exm constate que le disque dur dudit serveur est saturé et que les espaces de sauvegardes sont insuffisants, ce qui empêche les mises à jour des sauvegardes. Elle s’estime en conséquence bien fondée à opposer à la société Exm la clause exonératoire de responsabilité prévue à l’article 6 du contrat en cas de refus de tout ou partie des devis nécessaires à l’accomplissement de sa mission, ou dès lors qu’elle n’a pas été le seul maître d’oeuvre pour l’obtention du résultat souhaité.

Très subsidiairement, elle invoque la clause exonératoire de responsabilité prévue à l’article 6 du contrat en cas de dissimulation volontaire ou involontaire d’informations par le client, de défaillance du matériel ou d’initiative technique ou commerciale de celui-ci ayant une incidence sur le fonctionnement de son parc informatique sans en avertir par écrit le prestataire et sans attendre l’accord écrit de ce dernier. Elle soutient qu’en parfaite déloyauté et en cours d’exécution du contrat, résilié par lettre recommandée avec demande d’avis de réception présentée le 30 mars 2016, la société Exm a eu recours, courant mars 2016, à un huissier de justice, un expert et une société concurrente, la société One System, qui sont intervenus sur le serveur, les matériels et logiciels à la suite de l’infection par le virus informatique et en ont altéré les données.

Elle souligne que ni le constat d’huissier de justice du 25 mars 2016, preuve que la société Exm s’est constituée à elle-même, ni la prétendue expertise, qui n’est pas fondée sur le travail de la société Mise à jour informatique, ni sur l’analyse des serveurs, matériels et logiciels exploités et gérés par celle-ci, mais sur 'la sauvegarde des journaux réalisée par la société One System mandatée par la requérante' avant la rupture du contrat, et qui n’est ni judiciaire ni contradictoire, ne sauraient être de nature à engager sa responsabilité.

A titre infiniment subsidiaire, elle fait valoir que l’attaque du virus informatique constitue un cas de force majeure sinon un cas fortuit excluant sa responsabilité, y compris en application de l’article 6 du contrat prévoyant une clause exonératoire de responsabilité en cas de vice caché ou défaillance d’un matériel, d’un logiciel ou des supports contenant des données, étant en outre rappelé que la perte de données relève d’une cause étrangère.

Elle considère, à considérer que sa responsabilité puisse être reconnue, que s’agissant des sauvegardes, la société Exm, par son refus systématique de suivre ses recommandations, a commis une faute et manqué à son devoir de collaboration et ainsi concouru à la réalisation du dommage. Elle en déduit qu’à tout le moins et au vu de ces éléments, un partage de responsabilité est justifié et que sa responsabilité résiduelle ne saurait excéder 5% des causes du dommage.

Elle conclut également à la confirmation du jugement en ce qu’il l’a reconnue créancière d’une somme de 2.765,40 euros envers l’intimée. Elle sollicite, en outre, l’indemnisation de son préjudice économique et financier de 1.000 euros au titre du stockage des produits commandés et de la perte de trésorerie subie lors de la commande, et de son préjudice de 2.000 euros au titre de la perte de chance de poursuivre l’exécution du contrat et de le reconduire compte tenu de la rupture 'abusive' des relations commerciales établies par la société Exm en violation des dispositions de l’article L.442-6I.5° du code de commerce.

Enfin elle sollicite une indemnisation au titre des frais de procédure engagés, sur le fondement de l’article 9 du contrat ou, à défaut, en application de l’article 700 du code de procédure civile.

Par dernières conclusions notifiées et déposées le 27 juillet 2018, la société Exm Euro et expertise monétique demande à la cour, au visa des articles 1134 et 1147 du code civil dans leur rédaction applicable, de :

— Constater la résiliation du contrat d’assistance et maintenance informatique,

— Constater que la société Mise à jour informatique a manqué à ses obligations contractuelles,

— Constater que la société Mise à jour informatique ne rapporte la preuve ni d’un évènement de force majeure, ni d’une cause étrangère susceptible de l’exonérer, fût-ce partiellement, de sa responsabilité,

En conséquence :

— Confirmer le jugement entrepris, sauf en ce qu’il l’a condamnée à payer à la société Mise à jour informatique la somme de 2.765,40 euros outre intérêts dans les conditions de l’article L.441-6 du code de commerce, soit au taux d’intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente majorée de 10 points de pourcentage à compter du 10 février 2016 et ordonné la capitalisation des intérêts conformément à l’article 1154 du code civil,

Statuant à nouveau sur ce chef :

— Lui donner acte qu’elle se reconnaît redevable de la somme de 354 euros TTC envers la société Mise à jour informatique au titre du serveur NAS commandé selon devis n°201601021,

— Prononcer la compensation judiciaire des sommes dues réciproquement entre les parties,

En tout état de cause :

— Débouter la société Mise à jour informatique de l’intégralité de ses demandes, sous la seule réserve de la somme de 354 euros, dont elle se reconnaît redevable,

— Condamner la société Mise à jour informatique à lui payer la somme de 5.000 euros au titre de l’article 700 du code de procédure civile,

— Condamner la société Mise à jour informatique aux entiers dépens, dont distraction au profit de Maître Frédérique Etevenard, avocat sur son affirmation de droit.

Elle fait valoir que l’appelante a manqué à son obligation de résultat s’agissant de la sauvegarde de ses données informatiques et du contrôle des dites sauvegardes, le constat d’huissier de justice qu’elle a fait réaliser avec l’intervention d’un expert inscrit auprès de la cour d’appel de Lyon ayant établi qu’aucune sauvegarde valide n’était intervenue du 2 septembre 2015 au 25 février 2016. Elle relève que l’appelante n’a pas contesté les motifs de résiliation du contrat et que le lien de causalité avec la faute de celle-ci est établi dès lors que si ladite société avait correctement exécuté sa mission, l’intégralité de ses données aurait été récupérée nonobstant l’infection par le virus. Elle ajoute qu’il est indifférent que plusieurs causes aient pu concourir au dommage, chacun des responsables d’un même dommage devant être condamné à le réparer en intégralité sans tenir compte du partage de responsabilité entre eux.

Elle conteste une quelconque responsabilité dans la défaillance de ses sauvegardes. Elle indique que si le matériel avait été insuffisant, la société Mise à jour informatique aurait dû constater l’échec des différentes sauvegardes lors de ses contrôles et l’en informer, ce qui n’a pas été le cas, ou, à tout le moins, cesser de lui facturer une prestation qu’elle n’était pas en mesure de réaliser. Elle ajoute qu’il n’est pas démontré que son serveur aurait dû être changé, plutôt que re-formaté, qu’au contraire, la société Mise à jour informatique lui a écrit qu’il était inutile de le remplacer et a reconnu des erreurs de partition dudit serveur en lui facturant sa prestation à un tarif modique. Elle en déduit que l’appelante échoue à établir que la prestation proposée en octobre 2014 était indispensable à la poursuite de sa mission, qu’elle n’a d’ailleurs jamais cessé de facturer, et que la clause limitative de responsabilité de l’article 6 est donc inapplicable. Elle souligne que l’appelante ne l’a pas alertée d’hypothétiques difficultés en matière de sauvegarde de données.

Elle réfute également toute violation de ses obligations contractuelles, ayant eu recours à un autre prestataire postérieurement à l’infection par le virus Locky et compte tenu de l’incapacité de l’appelante à lui proposer des solutions.

Elle relève que l’appelante conteste pour la première fois en cause d’appel la valeur probatoire du constat d’huissier de justice et de l’expertise, mais ne discute pas les constatations techniques réalisées, qui sont cohérentes, et rappelle que la société Mise à jour informatique n’a pas nié sa responsabilité lors de la résiliation du contrat.

Elle conteste toutes causes étrangères justifiant un partage de responsabilité, les faits allégués par l’appelante n’ayant aucun impact sur l’inexécution par celle-ci de ses obligations contractuelles, et ne présentant nullement les caractéristiques de la force majeure.

Sur son préjudice, elle fait valoir les deux factures de la société One Système au titre des audits de sécurité et prestations de nettoyage du serveur, récupération et réintégration des données, remise en conformité des Firewall et éléments actifs du site, les opérations de récupération d’archives et de saisie manuelle des ses déclarations de TVA réalisées par son expert comptable, le paiement de la 'rançon' pour tenter de reconstituer ses données, les frais d’expertise et la mobilisation très importante de ses effectifs afin de permettre la reconstitution des données perdues.

Elle considère que les graves manquements contractuels de la société Mise à jour informatique justifient la résiliation unilatérale des commandes litigieuses. Elle s’oppose au paiement des factures afférentes, correspondant à des prestations et du matériel recommandés par l’appelante en raison de sa faillite dans la gestion de son serveur et ne correspondant pas à ses besoins.

Elle conteste également la demande formée sur le fondement de la rupture brutale des relations commerciales établies, alors que la gravité des manquements de l’appelante justifiait la rupture immédiate du contrat, ainsi que les autres chefs de préjudices allégués, non démontrés.

SUR CE

Sur la responsabilité contractuelle :

Selon l’article 1147 du code civil dans sa version applicable aux faits, 'Le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts, soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, toutes les fois qu’il ne justifie pas que l’inexécution provient d’une cause étrangère qui ne peut lui être imputée, encore qu’il n’y ait aucune mauvaise foi de sa part'.

Sur la faute :

Le contrat d’assistance et de maintenance informatique conclu entre les parties le 16 février 2012 a pour objet l’assistance, l’entretien et le dépannage de postes informatiques de la société Exm, la sécurisation et la sauvegarde des données informatiques.

Selon l’article 6 de ce contrat, 'les obligations du prestataire découlant du contrat sont des obligations de résultat dans les limites énoncées ci-après (…). Le prestataire reste le seule maître d’oeuvre pour l’obtention du résultat souhaité par le client. (…) Le prestataire ne saurait être responsable des dommages directs ou indirects de son intervention dans les cas suivants :

- L’ignorance suite à la dissimulation volontaire ou involontaire d’informations de la part du client sur le matériel ou le logiciel faisant l’objet de l’intervention du prestataire,

- Un vice caché ou une défaillance d’un matériel, d’un logiciel ou des supports contenant des données,

- Un refus du client pour tout ou partie d’un devis de prestations, de matériels ou de logiciels nécessaires à la réalisation de l’objectif demandé par ce dernier,

- Toute tentative technique ou commerciale du client ayant une incidence sur le fonctionnement de son parc informatique sans en avertir par écrit le prestataire et sans attendre l’accord écrit de ce dernier. (…)'.

Le 24 février 2016, la société Exm a été victime d’un virus informatique dénommé Locky, qui a eu pour effet de rendre inutilisables les fichiers infectés en les cryptant.

Par acte du 25 mars 2016, la société Exm a fait constater par huissier de justice, en présence de de M. X, préposé de la société Ibou.fr, expert informatique inscrit près de la cour d’appel de Lyon, que 203.000 fichiers avaient été infestés, que les sauvegardes réalisées avec le serveur Nas avaient été cryptées et étaient par conséquent inutilisables et que la dernière sauvegarde 'valide' datait du 1er septembre 2015, toutes les tentatives de sauvegarde effectuées depuis lors et jusqu’au 25 février 2016 ayant échoué. Ce constat précise que ces éléments ont pu être établis à partir de la sauvegarde des journaux réalisée par la société One System mandatée par la société Exm pour effectuer son audit informatique et reconstituer une partie de ses données.

Est annexée à ce constat une note technique réalisée le 25 mars 2016 par M. X, précisant avoir été missionné par la société Exm pour constater l’infection du serveur par le 'ransomware' Locky, constater le dysfonctionnement de la sauvegarde et faire toutes observations utiles. Selon cette note, l’analyse du fichier a mis en évidence que l’ensemble des sauvegardes était réalisé sur des emplacements réseaux, et non pas sur un support numérique connecté directement au serveur, que du 2 septembre 2015 au 25 février 2015 toutes tentatives de sauvegarde automatiques se sont soldées par un échec et que parmi les 565 tâches de sauvegarde exécutées, seules 143 ont fonctionné.

La circonstance que l’intimée ait subi sur sa messagerie une infection par le virus Locky causée par des faits étrangers à l’appelante et non imputables à celle-ci n’est pas de nature à exonérer l’appelante de sa responsabilité au titre de ses propres manquements contractuels. Les développements de l’appelante sur les causes et les conséquences de ladite infection sont donc inopérants quant à la caractérisation de sa faute.

L’appelante ne discute pas utilement de la valeur probatoire du constat d’huissier de justice qui fait foi jusqu’à preuve contraire, ladite société ne rapportant aucun élément de nature à remettre en cause l’objectivité des constatations effectuées, en particulier l’absence de sauvegarde des données informatiques de l’intimée.

La circonstance que la note technique constituerait une expertise privée à laquelle l’appelante n’a pas participé, n’est pas de nature à lui ôter tout caractère probatoire, cet acte, soumis au débat contradictoire, constituant un élément de preuve parmi d’autres sur lequel le juge ne peut toutefois

pas se fonder exclusivement. Le fait que cette expertise ait été réalisée le 25 mars 2015, avant la résiliation du contrat survenue par lettre recommandée avec demande d’avis de réception du 29 mars 2015 reçue le 30 mars 2015, et qu’elle ait notamment pour objet de faire constater le dysfonctionnement de la sauvegarde des données de l’intimée sur la base d’éléments récupérés à partir de la sauvegarde des journaux de ladite société réalisée courant mars 2015 par une société concurrente de l’appelante, ne suffit pas à établir, contrairement à ce que soutient cette dernière, que les interventions de l’expert, de l’huissier de justice et de la société tierce auraient altéré le serveur, les matériels et le réseau de l’intimée. De telles allégations ne sont étayées par aucun élément et ne suffisent pas à remettre en cause les constatations effectuées, aucune contre-expertise ni aucune nouvelle analyse du Cd-rom joint à la note technique et qui a été communiqué à l’appelante n’ayant été réalisées à l’initiative de celle-ci.

Surtout, si l’appelante discute des modalités des opérations du constat d’huissier de justice et d’expertise, elle ne conteste pas les constatations effectuées par l’huissier de justice et l’expert, reconnaissant l’absence de sauvegarde des données informatiques de l’intimée, qu’elle impute toutefois à la faute de celle-ci. Pour ce faire, elle se fonde notamment sur le procès-verbal de constat d’huissier et l’expertise, mentionnés dans son bordereau 'pv de constat et fichiers annexés par l’expert informatique qui démontre l’absence de faute de Mise à jour informatique', et en particulier sur l’expertise qui, selon elle, 'constate une seule et unique chose : le disque C du serveur de la société Exm était saturé ce qui empêchait les mises à jour des sauvegardes! Concernant la connexion par logmein le disque C étant plein, Maj informatique devait régulièrement faire de la place sur le lecteur C à la demande de la société Exm. Les fichiers de l’expert prouvent en effet que les erreurs de sauvegardes concernent en premier lieu des erreurs de pointage qui empêchent la sauvegarde de se dérouler normalement'. Ce faisant, elle reconnaît la valeur probatoire de ces pièces. Elle n’est donc pas fondée à la discuter par ailleurs.

Ces éléments, et notamment la reconnaissance par l’appelante de l’insuffisance des sauvegardes informatiques effectuées, suffisent à établir sa défaillance dans l’exécution de son obligation de résultat tenant, d’une part, à la sauvegarde des données informatiques de l’intimée, d’autre part, au contrôle des dites sauvegardes.

L’appelante a en outre manqué à son obligation d’information en poursuivant la facturation de prestations de sauvegarde de données de l’intimée qu’elle savait non réalisées, sans l’indiquer à sa cliente.

Le fait que la sauvegarde en ligne à laquelle elle était contractuellement tenue ne constituerait qu’une copie de secours de ce que l’intimée sauvegardait sur le Nas sous sa propre responsabilité, est sans incidence sur le respect des obligations contractuelles de l’appelante, en particulier sur son obligation d’informer l’intimée de l’insuffisance du matériel.

Le devis n°201410005 que l’appelante a adressé à l’intimée le 13 octobre 2014 et portant sur un 'Nas pour visio pro- Nas Synology D214 + 1 To CPU Dual Core 1,33 Ghz, 1Go Ram, 2 cartes réseau Gigabit et 2 disques durs WD RED', n’est accompagné d’aucun courrier informant l’intimée que sa capacité de stockage est insuffisante et que l’acquisition de ce matériel est nécessaire à la réalisation des missions de l’appelante.

Si par courriels des 17 et 18 septembre 2015, l’appelante a indiqué à l’intimée, se plaignant de difficultés d’impression, que l’espace restant sur le disque C était insuffisant, qu’elle avait libéré 3Go, et a précisé 'je cherche un moyen d’optimiser au maximum. Il faudra planifier cependant le changement du serveur pour 2016", ce à quoi l’intimée s’est opposée par courriels des 18 et 23 septembre 2015, l’appelante est finalement revenue sur sa position par courriel du 23 septembre 2015, indiquant à l’intimée 'Concernant les serveurs Quadratus et TSE je n’étais pas informé de leur passage en mode hébergé. Donc là en effet inutile de changer de serveur'.

Il ne ressort nullement de ces échanges que l’appelante aurait alerté l’intimée sur des difficultés d’exécution de sa mission liées à un manque d’espace de stockage et à la saturation des disques existants, recommandé à l’intimée d’acquérir d’autre matériel indispensable à la sauvegarde et au contrôle des données, ni que cette dernière aurait refusé de suivre les dites recommandations de l’appelante et d’acquérir le matériel conseillé en connaissance des risques encourus.

En revanche, il n’est nullement démontré, au vu des seules factures de l’appelante, que celle-ci aurait reconnu des erreurs de partition du serveur de l’intimée en lui facturant sa prestation à un tarif modique.

Les fautes de l’appelante, tenant au manquement à son obligation de résultat de sauvegarde de données et de contrôle de celle-ci, à son obligation d’information et à son devoir de conseil sont donc caractérisées.

Sur les causes exonératoires de responsabilité :

- Sur la faute de l’intimée :

Il résulte des éléments susvisés que l’intimée n’a commis aucune faute en refusant les recommandations initiales d’acquérir un nouveau serveur ainsi que le devis de l’appelante, celle-ci lui ayant par la suite expressément indiqué que le changement de matériel n’était pas nécessaire.

Il n’est pas plus démontré que l’intimée aurait empêché l’appelante de remplir sa mission et contrevenu aux dispositions de l’article 6 du contrat prévoyant que le prestataire reste le seul maître d’oeuvre pour l’obtention du résultat souhaité par le client, l’appelante ne l’ayant jamais informée de la nécessité du changement de matériel pour mener à bien sa mission.

L’appelante est donc mal fondée à faire valoir la clause exonératoire de responsabilité prévue à l’article 6 du contrat, tirée du refus du client pour tout ou partie d’un devis de prestations, de matériels ou de logiciels nécessaires à la réalisation de l’objectif demandé par ce dernier et qu’elle ne serait pas restée le seul maître d’oeuvre du résultat escompté.

L’appelante échouant également à démontrer une quelconque faute de l’intimée dans la sauvegarde des données est mal fondée à faire valoir la responsabilité exclusive de ladite société dans la défaillance des sauvegardes, l’exonérant de sa propre responsabilité.

La circonstance que l’intimée a fait intervenir une société tierce à l’issue de l’échec de l’intervention de l’appelante consécutive à l’infiltration du virus informatique et qu’elle a eu recours à un huissier de justice et un expert informatique, alors que le contrat était toujours en cours, est sans incidence sur l’engagement de sa responsabilité au titre des fautes qu’elle a commises antérieurement à ces interventions et sans lien avec celles-ci ni avec les conséquences dommageables subies par l’intimée. L’appelante invoque donc vainement la clause exonératoire de responsabilité prévue à l’article 6 du contrat, prévoyant que le prestataire 'ne saurait être responsable des dommages directs ou indirects de son intervention (…) en cas d’ignorance suite à la dissimulation volontaire ou involontaire d’informations de la part du client sur le matériel ou le logiciel faisant l’objet de l’intervention du prestataire', de défaillance du matériel, logiciel ou support de données, ou de 'toute tentative technique ou commerciale du client ayant une incidence sur le fonctionnement de son parc informatique sans en avertir par écrit le prestataire et sans attendre l’accord écrit de ce dernier. (…)'.

- Sur la force majeure :

Selon l’article 1148 du code civil, dans sa version applicable aux faits, 'Il n’y a lieu à aucuns dommages et intérêts lorsque, par suite d’une force majeure ou d’un cas fortuit, le débiteur a été empêché de donner ou de faire ce à quoi il était obligé, ou a fait ce qui lui était interdit'.

Ainsi que le fait valoir l’intimée, un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité.

L’exécution par l’appelante de ses obligations n’ayant nullement été empêchée par les causes étrangères qu’elle invoque, sa responsabilité contractuelle est donc engagée.

Sur le lien de causalité :

Ainsi que l’a jugé avec pertinence le tribunal, en présence de sauvegardes totalement exploitables, l’infection du système informatique de l’intimée par le virus Locky n’aurait pas eu les conséquences dommageables constatées.

L’appelante, par ses fautes, a concouru à la réalisation du dommage de l’intimée.

Aucune faute de l’intimée n’est démontrée, ni au titre de la sauvegarde de ses données, ni au titre de l’ouverture d’un courriel contenant le virus informatique, aucun élément n’établissant que cette opération a été faite intentionnellement et en connaissance de cause par un préposé de l’intimée en dépit de prétendus avertissements donnés par l’appelante. L’intimée n’ayant pas concouru à la

réalisation du dommage, il ne peut être prononcé aucun partage de responsabilité à ce titre.

La circonstance que l’infection des données de l’intimée par le virus informatique a été causée par la faute d’un tiers et a été prétendument favorisée par les défaillances du service de messagerie et de l’antivirus gérés par un autre tiers, et que de par ces fautes, les tiers ont ainsi concouru, avec l’appelante, à la réalisation du dommage est inopposable à la victime du dommage. En effet, chacun des responsables d’un même dommage, conséquences de leurs fautes respectives, doit être condamné à le réparer en totalité, chacune de ces fautes ayant concouru à le causer tout entier, et ce sans qu’il ait lieu de tenir compte d’un éventuel partage de responsabilité auquel il pourrait être procédé entre eux et qui n’affecte pas l’étendue de leur obligation envers la partie lésée.

L’appelante qui, de par ses fautes, a concouru à la réalisation du dommage, est donc tenue à la réparation intégrale de celui-ci envers l’intimée.

Sur le préjudice :

L’article 1149 du code civil, dans sa version applicable aux faits, dispose que 'Les dommages et intérêts dus au créancier sont, en général, de la perte qu’il a faite et du gain dont il a été privé, sauf les exceptions et modifications ci-après'.

L’intimée justifie que du fait de la perte de ses données, elle a dû procéder à des audits de sécurité ayant notamment pour objet la récupération et la réintégration de données, solliciter son expert comptable pour des récupérations d’archives et une saisine manuelle en urgence de ses déclarations de TVA, s’acquitter de la rançon pour récupérer ses fichiers, faire intervenir un expert informatique et un huissier de justice et mobiliser son personnel.

Les premiers juges ont donc évalué avec pertinence le préjudice de l’intimée à la somme de 41.172,16 euros à titre de dommages et intérêts, et condamné l’appelante au paiement de celle-ci.

Sur l’annulation de la commande :

La commande d’un serveur de réplication ou de secours que l’intimée a passée le 10 février 2016, qui vaut contrat de vente et est indépendante du contrat d’assistance et de maintenance informatique, l’engage pleinement nonobstant la résiliation dudit contrat à effet au 29 mars 2016.

L’intimée n’alléguant ni ne justifiant que son consentement aurait été vicié s’agissant de la passation de cette commande, invoque vainement que celle-ci aurait suppléé à la défaillance de l’appelante dans la gestion de son serveur et ne serait pas nécessaire.

Le solde du paiement des factures afférentes à cette commande est donc dû à l’appelante, qui ne justifie toutefois d’aucun préjudice distinct de celui réparé par la condamnation de l’intimée à lui payer ce solde outre intérêts.

Le contrat de vente étant distinct du contrat d’assistance et de maintenance informatique, l’appelante est mal fondée à faire valoir, du fait du non-paiement des factures afférentes aux devis acceptés, les dispositions de l’article 9 du contrat d’assistance et de maintenance informatique mettant à la charge du client les frais de procédure engagés au titre du recouvrement des sommes dues.

Le jugement doit donc également être confirmé en ce qu’il a condamné l’intimée à payer à l’appelante la somme de 2.765,40 euros outre intérêts dans les conditions de l’article L.441-6 du code de commerce, soit au taux d’intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente majorée de10 points de pourcentage à compter du 10 février 2016, et débouté l’appelante du surplus de ses demandes.

Sur la rupture brutale de la relation commerciale établie :

Selon l’article L.442-6 I.5° du code de commerce, dans sa version applicable aux faits de l’espèce, 'Engage la responsabilité de son auteur et l’oblige à réparer le préjudice causé le fait, par tout producteur, commerçant industriel ou personne immatriculée au répertoire des métiers :

5°De rompre brutalement, même partiellement, une relation commerciale établie, sans préavis écrit tenant compte de la durée de la relation commerciale et respectant la durée minimale de préavis déterminée, en référence aux usages du commerce, par des accords interprofessionnels. Lorsque la relation commerciale porte sur la fourniture de produits sous marque de distributeur, la durée minimale de préavis est double de celle qui serait applicable si le produit n’était pas fourni sous marque de distributeur. A défaut de tels accords, des arrêtés du ministre chargé de l’économie peuvent, pour chaque catégorie de produits, fixer, en tenant compte des usages du commerce, un délai minimum de préavis et encadrer les conditions de rupture des relations commerciales, notamment en fonction de leur durée. Les dispositions qui précèdent ne font pas obstacle à la faculté de résiliation sans préavis, en cas d’inexécution par l’autre partie de ses obligations ou en cas de force majeure (…)'.

La rupture, pour être préjudiciable et ouvrir droit à des dommages et intérêts, doit être brutale c’est à dire effectuée sans préavis écrit tenant compte des relations commerciales antérieures ou des usages reconnus par des accords professionnels.

L’inexécution par l’une des parties de ses obligations, si elle revêt un degré de gravité suffisant, justifie la rupture sans préavis de la relation commerciale.

Les parties ne discutent pas de l’existence d’une relation commerciale établie nouée entre elles en raison du contrat du 16 février 2012 les liant.

Il résulte cependant des développements ci-avant que l’appelante a manqué à ses obligations de sauvegarde des données informatiques de l’intimée, à son obligation d’information et à son devoir de conseil.

La sauvegarde des données informatiques de l’intimée constituant l’obligation essentielle du contrat du 16 février 2012, la faute commise à ce titre par l’appelante, outre le manquement à son obligation d’information et à son devoir de conseil, caractérisent des manquements graves de l’appelante dans l’exécution de ses obligations justifiant la rupture sans préavis de la relation commerciale établie.

Aucune faute de l’intimée n’est donc caractérisée au titre de la résiliation du contrat par lettre recommandée avec demande d’avis de réception du 29 mars 2016.

L’appelante est donc déboutée de l’ensemble de ses demandes à ce titre.

Sur la compensation de créances :

Il sera ordonné la compensation des créances liquides et exigibles, entre les parties.

Sur les dépens et l’article 700 du code de procédure civile :

Les dispositions du jugement entrepris, relatives aux dépens et à l’article 700 du code de procédure civile sont confirmées.

Il convient, en outre, de condamner la société Mise à jour informatique, échouant en ses prétentions, aux dépens exposés en cause d’appel avec les modalités de recouvrement prévues à l’article 699 du code de procédure civile et à payer à la société Exm une indemnité de procédure que l’équité commande de fixer à la somme de 8.000 euros.

PAR CES MOTIFS

La cour,

Confirme le jugement,

Y ajoutant,

Ordonne la compensation de créances des parties,

Vu l’article 700 du code de procédure civile,

Condamne la société Mise à jour informatique à payer à la société Exm Euro et expertise monétique la somme de 8.000 euros,

Condamne la société Mise à jour informatique aux dépens exposés en cause d’appel avec les modalités de recouvrement prévues à l’article 699 du code de procédure civile.

Le greffier Le président

Extraits similaires
highlight
Extraits similaires
Extraits les plus copiés
Extraits similaires
Extraits similaires à la sélection
Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Paris, Pôle 5 - chambre 11, 7 février 2020, n° 18/03616