Vu la procédure suivante :

Par une requête et une pièce complémentaire, respectivement enregistrées le 24 juillet 2024 et le 21 août 2024, la société Relyens Mutual Insurance et le centre hospitalier universitaire (CHU) de Limoges, représentés par M^e Ricouard, demandent au tribunal :

1°) de condamner la société NXO France à verser une somme de 10 685,27 euros au CHU de Limoges et une somme de 40 000 euros à la société Relyens Mutual Insurance, son assureur, en réparation du préjudice subi à raison d’un piratage du système de téléphonie de l’établissement de santé ;

2°) d’assortir ces sommes des intérêts moratoires au taux légal à compter du 23 septembre 2020 et de la capitalisation de ces intérêts ;

3°) de mettre à la charge de la société NXO France une somme de 5 000 euros en application de l’article L. 761-1 du code de justice administrative.

Ils soutiennent que :

- la responsabilité contractuelle de la société NXO France est engagée en raison d’un manquement à son obligation de conseil et d’information ainsi que d’un défaut de paramétrage et de configuration du système de téléphonie ;

- elles sont fondées à réclamer l’indemnisation de leur préjudice à hauteur d’une somme totale de 50 685,27 euros correspondant au surplus de facturation de l’opérateur de téléphonie mobile du centre hospitalier ;

- la société Relyens Mutual Insurance est subrogée dans les droits du centre hospitalier pour la somme de 40 000 euros, franchise déduite, réglée à son assuré en exécution des garanties souscrites.

Par un mémoire en défense, enregistré le 23 septembre 2024, la société NXO France, représentée par M^e Damerval, conclut au rejet de la requête et à ce qu’une somme de 5 000 euros soit mise à la charge des requérants sur le fondement de l’article L. 761-1 du code de justice administrative.

Elle fait valoir qu’aucun manquement à ses obligations contractuelles ne peut lui être reproché.

Par ordonnance du 19 janvier 2026, la clôture d’instruction a été fixée au 28 février 2026.

Vu les autres pièces du dossier.

Vu le code de justice administrative.

Les parties ont été régulièrement averties du jour de l’audience.

Ont été entendus au cours de l’audience publique :

- le rapport de M. Gillet,

- les conclusions de M. Slimani, rapporteur public,

- les observations de M^e Orange, substituant M^e Ricouard, représentant la société Relyens Mutual Insurance et le CHU de Limoges,

- et les observations de M^e Damerval, représentant la société NXO France.

Considérant ce qui suit :

La société NXO France s’est vue attribuer par le centre hospitalier universitaire (CHU) d’Amiens, coordinateur d’un groupement de commandes composé de plusieurs établissements de santé, le lot n° 2 d’un accord-cadre multi-attributaire n° 15C0001 ayant pour objet la restructuration et la rénovation des systèmes de télécommunications et prestations associées pour une durée de quarante-huit mois, à compter du 18 avril 2015. Par un acte d’engagement signé le 17 août 2018, le CHU de Limoges a conclu avec la société NXO France un marché subséquent à cet accord-cadre pour la fourniture d’une solution voix sur IP avec systèmes associés et interfaces. Le 27 juillet 2019, le CHU de Limoges a été victime d’un piratage de son système de téléphonie (« toll-fraud »), qui s’est matérialisé par plus de 1 488 heures d’appels internationaux frauduleux. Par la présente requête, le CHU de Limoges et son assureur, la société Relyens Mutual Insurance, demandent au tribunal de condamner la société NXO France à leur verser respectivement la somme de 10 685,27 euros et la somme de 40 000 euros sur le fondement de sa responsabilité contractuelle.

Sur la responsabilité contractuelle :

Il résulte de l’instruction, notamment des conclusions de l’audit de sécurité réalisé le 30 juillet 2019 par la société NXO France, dont se prévalent les requérants à l’appui de leurs conclusions indemnitaires, que l’intrusion frauduleuse dans le système de téléphonie du CHU de Limoges du 27 juillet 2019 s’est déroulée selon la méthode de piratage dite de « force brute », laquelle consiste à tester automatiquement, au moyen de robots « toll-fraud », chaque combinaison possible d’un mot de passe pour un identifiant donné afin de se connecter au service ciblé.

En premier lieu, les requérants soutiennent que la responsabilité contractuelle de la société NXO France, en tant que professionnelle, est engagée à ce titre en raison d’un manquement à son obligation de conseil et d’information à l’égard de l’établissement de santé. Toutefois, selon l’article 1.1 de la lettre de consultation pour l’attribution du marché subséquent, ce contrat avait pour seul objet « la fourniture d’une solution voix sur IP avec systèmes associés et interfaces » et, selon l’article 3.1 du cahier des clauses administratives particulières (CCAP), « le présent marché subséquent est conclu à compter de la date de notification jusqu’à la fin de validité de l’accord-cadre, soit jusqu’au 17 avril 2019 ». Il s’ensuit que le marché subséquent conclu par le CHU de Limoges, qui n’avait pas pour objet de confier à la société NXO France des prestations de maintenance continue du système de téléphonie après son installation, était arrivé à son terme avant la survenance du piratage en cause. Dans ces conditions, si l’audit de sécurité réalisé par la société NXO France après son intervention du 28 juillet 2019 a permis d’identifier l’existence de tentatives d’intrusion pendant les semaines précédentes, les requérants n’établissent pas, par les seules pièces du dossier, que cette société en aurait eu préalablement connaissance et aurait, par suite, manqué à ses obligations contractuelles en s’abstenant de signaler cette situation au centre hospitalier. En outre, la société NXO France fait valoir en défense, sans être contestée, que la faille exploitée à l’occasion du piratage du 27 juillet 2019 découlait, d’une part, de l’existence d’un système de renvoi des appels par un outil tiers conforme aux spécifications techniques du CHU de Limoges et, d’autre part, de la possibilité légitime d’effectuer des appels téléphoniques vers l’extérieur. Il n’est donc pas établi que la société NXO France aurait manqué à ses obligations de conseil et d’information dans l’exercice de ses missions contractuelles.

En deuxième lieu, si les requérants se prévalent d’une défaillance du paramétrage de filtrage en amont du système de téléphonie, la société NXO France fait valoir en défense, sans être davantage contestée, que l’intrusion dans ce système a été permise par la défaillance des pares-feux (« firewall ») mis en place au sein de l’établissement de santé et ne relevant pas du périmètre du marché subséquent. La seule circonstance que la société NXO France ait pu rapidement mettre en place les outils palliatifs lors de son intervention du 28 juillet 2019, au lendemain de la survenance du piratage, n’est pas de nature à révéler, à elle seule, l’existence d’une faute contractuelle qui n’est, au demeurant, étayée par aucune autre pièce versée au dossier.

En troisième lieu, les requérants font grief à la société NXO France d’avoir, lors de l’installation du système de téléphonie, paramétré un mot de passe ne garantissant qu’un faible niveau de sécurité et facilement atteignable par la méthode de « force brute ». Pour autant, la société défenderesse soutient, sans être contestée, que ce mot de passe a été choisi par le CHU de Limoges lui-même et est couramment utilisé pour l’ensemble de ses systèmes informatiques. De plus, les requérants ne démontrent ni même n’allèguent que ce mot de passe n’aurait pu être modifié en cours d’utilisation par les services informatiques du centre hospitalier pour se conformer aux recommandations en matière de cybersécurité.

Il résulte de tout ce qui précède que la société Relyens Mutual Insurance et le CHU de Limoges ne sont pas fondés à rechercher la responsabilité contractuelle de la société NXO France. Les conclusions indemnitaires de la requête ainsi que, par voie de conséquence, celles présentées au titre des intérêts moratoires et de leur capitalisation, doivent être rejetées.

Sur les frais liés au litige :

Aux termes de l’article L. 761-1 du code de justice administrative : « Dans toutes les instances, le juge condamne la partie tenue aux dépens ou, à défaut, la partie perdante, à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens ».

Ces dispositions font obstacle à ce que soit mise à la charge de la société NXO France, qui n’est pas la partie perdante dans la présente instance, la somme demandée par la société Relyens Mutual Insurance et le CHU de Limoges au titre des frais exposés par eux et non compris dans les dépens. En revanche, dans les circonstances de l’espèce, il y a lieu de mettre à la charge des requérants le versement d’une somme de 600 euros chacun à la société NXO France sur le fondement de ces mêmes dispositions.

D E C I D E :

Article 1er

:

La requête de la société Relyens Mutual Insurance et du CHU de Limoges est rejetée.

Article 2

 :

La société Relyens Mutual Insurance et le CHU de Limoges verseront une somme de 600 (six cents) euros chacun à la société NXO France en application des dispositions de l’article L. 761-1 du code de justice administrative.

Article 3

 :

Le présent jugement sera notifié à la société Relyens Mutual Insurance, au centre hospitalier universitaire de Limoges et à la société NXO France. Copie en sera transmise pour information à M^e Ricouard et à M^e Damerval.

Délibéré après l’audience du 12 mai 2026, à laquelle siégeaient :

M. Artus, président,

M. Gillet, conseiller,

M. Vaillant, conseiller,

Rendu public par mise à disposition au greffe le 26 mai 2026.

Le rapporteur,

K. GILLET

Le président,

D. ARTUS

Le greffier,

M. A…

La République mande et ordonne au préfet de la Haute-Vienne en ce qui le concerne ou à tous commissaires de justice à ce requis en ce qui concerne les voies de droit commun contre les parties privées, de pourvoir à l’exécution de la présente décision.

Pour expédition conforme,

Pour la greffière en chef,

La greffière

M. A…