Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Tribunal de commerce / TAE de Nanterre, 1er octobre 2024, n° 2023F0027
TCOM Nanterre 1 octobre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Rejeté
    Défaillance dans l'exécution des obligations contractuelles

    Le tribunal a estimé que TORANN-France n'a pas prouvé que les manquements d'ANTARES IT étaient la cause directe des préjudices subis, et a noté que la responsabilité de TORANN-France dans l'obsolescence de son infrastructure a également joué un rôle.

  • Rejeté
    Préjudice moral causé par l'inexécution du contrat

    Le tribunal a jugé que le préjudice moral n'était pas justifié par les éléments présentés par TORANN-France.

  • Rejeté
    Inexécution de la commande de l'outil de chiffrage

    Le tribunal a constaté que les délais de réalisation n'étaient pas contractuellement contraignants et que les retards étaient en partie imputables à TORANN-France.

  • Accepté
    Factures impayées pour prestations d'infogérance

    Le tribunal a jugé que certaines factures étaient dues, car les prestations avaient été réalisées avant la résiliation du contrat.

Résumé par Doctrine IA

Dans cette affaire, la SASU Torann-France (demandeur) a assigné la SAS Antares IT (défendeur) pour inexécution de ses obligations contractuelles liées à un contrat d'infogérance et à la commande d'un outil de chiffrage. Les questions juridiques posées incluent la recevabilité des demandes de Torann et la responsabilité d'Antares pour les manquements allégués. Le tribunal a jugé que les demandes de Torann relatives à l'infogérance étaient recevables, mais a débouté ses demandes de dommages-intérêts pour préjudice moral et celles concernant l'outil de chiffrage. Antares a été condamnée à verser 39 435,23 € à Torann pour l'infogérance, tandis que Torann a été condamnée à payer 28 091,50 € à Antares pour des factures impayées. Les deux parties ont été déboutées de leurs demandes sur le fondement de l'article 700 du CPC.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
T. com. Nanterre, 1er oct. 2024, n° 2023F0027
Juridiction : Tribunal de commerce / TAE de Nanterre
Numéro(s) : 2023F0027

Sur les parties

Texte intégral

Page : 1 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
[CS1]192 015335 34452 @0[/CS1] TRIBUNAL DE COMMERCE DE NANTERRE JUGEMENT PRONONCE PAR MISE A DISPOSITION AU GREFFE LE 1er Octobre 2024 5ème CHAMBRE

DEMANDEUR

SASU TORANN – FRANCE […] Me Christiane FERAL-SCHUHL […] et par Me Farid BOUGUETTAYA […]
DEFENDEUR

SAS ANTARES IT […] comparant par SCP HUVELIN et Associés […] et par Me Yann CAUCHETIER […]
LE TRIBUNAL AYANT LE 28 Juin 2024 ORDONNE LA CLOTURE DES DEBATS ET MIS LE JUGEMENT EN DELIBERE POUR ETRE PRONONCE PAR MISE A DISPOSITION AU GREFFE LE 1er Octobre 2024,
EXPOSE DES FAITS
La SASU TORANN-France (ci-après X), créée en 1987, fournit des prestations de sécurité privée.
La SAS ANTARES-IT (ci-après Y), créée en 1998, fournit des prestations d’intégration, de support, d’infogérance et de développement de logiciels informatiques.

Infogérance du parc informatique de X Par contrat-cadre de prestations de services informatiques en date du 4 juillet 2017 (ci-après le contrat-cadre), les parties conviennent de confier à Y (le prestataire) la gestion et l’exploitation du parc informatique de X (le client). Un avenant est signé en date du 7 juillet 2020.
Entre les 4 et 7 janvier 2022, X subit une attaque informatique de grande ampleur qui conduit au chiffrement de l’ensemble de ses fichiers et à la paralysie de son système d’information. Elle fait appel aux services de la société Login Sécurité, spécialisée en sécurité informatique, qui établit de façon non contradictoire le 26 janvier 2022 un rapport d’investigation (ci-après « le rapport d’investigation ») et dépose plainte auprès des services de police.
Par LRAR en date du 28 mars 2022, Y met X en demeure de lui régler diverses factures et résilie le contrat-cadre, invoquant son article « résiliation pour manquement ». Par LRAR en date du 7 avril 2022, X prend acte de cette résiliation et met Y en demeure de mettre en œuvre la réversibilité prévue au contrat afin de lui permettre de faire reprendre l’infogérance de son système d’information par un nouveau prestataire.

02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL

Page : 2 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
Outil de chiffrage des devis de X Parallèlement, en juin 2017, X rédige un cahier des charges pour le développement rapide d’une application pour chiffrer ses devis. En date du 7 juillet 2017, Y formule une proposition financière. En date du 5 septembre 2017, X signe un bon de commande pour un budget global de 24 900 € HT, dont la somme de 12 450 €, à titre d’acompte est facturée et payée à Y en novembre 2017.
Le calendrier de ce projet fait l’objet de plusieurs retards. En mai 2021, Y informe le directeur général de X de sa décision d’abandonner le projet. Par mise en demeure en date du 20 juillet 2021, le conseil de X met Y en demeure de finaliser le projet sur l’année 2021. En vain. Par une seconde mise en demeure en date du 29 juillet 2021, X prend acte de la résolution de la commande, imposée par Y. Enfin, X, par LRAR en date du 17 décembre 2021, met Y en demeure de lui restituer l’acompte versé en novembre 2017 et de l’indemniser du préjudice subi, évalué à cette date à 198 000 € environ.

Assignation en référés d’Y par X Par acte d’huissier de justice en date du 25 avril 2022, X assigne Y en référés devant le président de ce tribunal. Par ordonnance du 3 juin 2022, celui-ci ordonne notamment la mise en œuvre par Y de la réversibilité prévue par le contrat-cadre, déboute X de ses demandes d’astreinte, condamne X à payer à Y la somme de 12 000 € à titre de provision sur la mise à disposition des licences logicielles utilisées sur la période de janvier 2020 à septembre 2021 , et désigne un expert judiciaire avec pour mission principale d’établir contradictoirement la réalité des opérations de réversibilité et de toute difficulté rencontrée par les parties. Le rapport final de l’expert est remis le 29 novembre 2022 et a constaté la réversibilité partielle du contrat liant les parties.
PROCEDURE ET PRETENTIONS DES PARTIES

C’est dans ces circonstances que, par acte d’huissier de justice du 29 décembre 2022, délivré à personne habilitée, X assigne Y devant ce tribunal et, par dernières conclusions n°2 déposées à l’audience du 29 mars 2024, demande au tribunal de :

Vu les articles 1104, 1170, 1194, 1217 et suivants, 1231 et suivants du code civil, Vu l’article L. 442-1 du code de commerce,
Juger l’action de X recevable et bien fondée,
Juger qu’Y n’a pas exécuté ses obligations contractuelles dans le cadre de la commande de l’outil de chiffrage passée par X,
Juger qu’Y n’a pas exécuté ses obligations contractuelles dans le cadre du contrat-cadre de prestations de services informatiques conclu avec X,
Juger que, ce faisant, Y a causé à X un préjudice qu’il convient d’indemniser, Condamner Y à verser à X les sommes suivantes à titre de dommages-intérêts en réparation des pertes subies du fait des inexécutions du contrat d’infogérance par Y :
- 39 840 € HT sauf à parfaire, de coûts de prestations de services payées par X à Login Sécurité, engagés du fait de la cyberattaque,
- 86 288 € HT sauf à parfaire, de coûts de prestations de services payées de divers prestataires informatiques, engagés du fait de la cyberattaque pour la gestion de crise et la mise en place d’un nouveau système d’information en urgence,
- 12 000 € de rançon payée par X du fait de la cyberattaque,
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 3 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
- 262 416 € sauf à parfaire, de temps passés en interne par les équipes de X, consacrés à recréer ce qui était devenu inaccessible et à gérer la crise subie du fait de la cyberattaque,
Condamner Y à verser à X la somme de 50 000 €, sauf à parfaire, à titre de dommages-intérêts en réparation du préjudice moral qu’elle a subi du fait des inexécutions du contrat d’infogérance par Y, Condamner Y à verser à X la somme de 210 450 €, sauf à parfaire à titre de dommages-intérêts du fait de l’inexécution par Y de la commande de l’outil de chiffrage, décomposée comme suit :
- 12 450 € HT en remboursement de l’acompte versé par X à Y,
- 175 000 €, sauf à parfaire, de temps interne consacré à l’activité de chiffrage qui aurait dû être géré par l’application de chiffrage commandée à Y, sur la période entre janvier 2018 et fin 2022,
- 23 000 €, sauf à parfaire, au titre de la mobilisation des équipes de X dans le projet en pure perte entre mai 2017 et mai 2021.
- Dire les factures d’Y au titre des prestations d’infogérance non fournies à compter du mois de janvier 2022, d’un montant total de 44 538 € HT non fondées, Débouter Y de ses demandes reconventionnelles, Condamner Y à verser à X la somme de 35 000 € au titre de l’article 700 du code de procédure civile, Condamner Y aux entiers dépens.
Par dernières conclusions récapitulatives en défense, déposées à l’audience du 1er mars 2024, Y demande au tribunal de :
Vu les dispositions des articles 1103 et 1231 du code civil, Vu les dispositions des articles 122 à 127, et 700 du code de procédure civile,
In limine litis, déclarer irrecevables les demandes de X,
Débouter X de l’ensemble de ses demandes de condamnation à l’encontre d’Y,
Subsidiairement, juger que le montant des dommages et intérêts auxquels Y pourrait être condamnée est limité au montant hors taxes perçu par Y au cours des six mois précédant la connaissance du dommage par X, soit la somme de 39 435,23 € et débouter X de l’intégralité des demandes au-delà de ce montant, Condamner X à payer à Y la somme de 79 589,51 € TTC avec intérêt au taux contractuellement stipulé de 3 fois le taux d’intérêt à compter de la date d’exigibilité des factures en cause, Condamner X à payer à Y la somme de 25 000 € au titre des dispositions de l’article 700 du code de procédure civile, Condamner la partie défaillante aux entiers dépens.
A l’issue de l’audience du 28 juin 2024, les parties ayant réitéré oralement leurs dernières demandes, le juge chargé d’instruire l’affaire a clos les débats, mis le jugement en délibéré et informé les parties que le jugement serait prononcé par mise à disposition au greffe le 1er octobre 2024.
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 4 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
DISCUSSION ET MOTIVATION

Sur la recevabilité des demandes de X relatives à l’infogérance

Y expose que selon les termes de l’article 12 du contrat-cadre, les parties étaient tenues de rechercher une résolution amiable du litige avant tout procès. Si les parties n’ont pas l’obligation de parvenir à la résolution amiable du litige, elles doivent néanmoins « s’efforcer
» d’y aboutir. X n’a jamais tenté de résoudre le litige à l’amiable avant d’introduire la présente action. La conciliation judiciaire acceptée par elle dans le cadre de la procédure pendante devant le tribunal, et donc postérieurement à la saisine du tribunal, ne peut avoir pour effet de purger le manquement relevé plus haut. Donc, X est irrecevable en son action relative au contrat d’infogérance.
X répond que, face au silence d’Y elle a dû la mettre en demeure, puis saisir le juge des référés afin d’obtenir la mise en œuvre de la réversibilité. Dans le cadre de cette procédure en référé, Y n’a jamais invoqué cette clause ni la prétendue absence de tentative de règlement amiable du litige.
Elle n’a pas plus soulevé cet argument lorsque ce tribunal a ordonné une conciliation judiciaire. Elle y a même participé et les parties se sont alors laissé sept mois pour tenter d’aboutir à une solution amiable. De plus, la formulation de la clause invoquée n’est pas suffisamment précise pour entraîner une irrecevabilité des demandes de X, ainsi que la jurisprudence bien établie depuis 2019 le retient.
SUR CE, le tribunal motive ainsi sa décision
L’article 122 du code de procédure civile dispose : « Constitue une fin de non-recevoir tout moyen qui tend à faire déclarer l’adversaire irrecevable en sa demande, sans examen au fond, pour défaut de droit d’agir, tel le défaut de qualité, le défaut d’intérêt, la prescription, le délai préfix, la chose jugée ».
L’article 124 du code de procédure civile dispose : « Les fins de non-recevoir doivent être accueillies sans que celui qui les invoque ait à justifier d’un grief et alors même que l’irrecevabilité ne résulterait d’aucune disposition expresse ».
L’article 9-1 alinéa 3 du contrat-cadre stipule : « Il est expressément convenu entre les parties qu’elles ne peuvent engager leur responsabilité respective que pendant un délai d’un an à compter de la connaissance du dommage, toutes actions étant ensuite éteintes et tous droits prescrits. »
L’article 12 du contrat-cadre stipule : « En cas de différend concernant la validité, l’exécution, l’interprétation ou autrement relatif aux présentes et/ou aux conditions particulières, et après recherche infructueuse d’une solution amiable, compétence expresse est attribuée aux tribunaux compétents de Nanterre, nonobstant pluralité de défendeurs ou appel en garantie, même pour les procédures d’urgence ou les procédures conservatoires, en référé ou par requête. »
Ces dispositions qui rappellent le principe de subsidiarité du recours à la justice n’imposent pas la recherche d’une solution amiable comme un préalable à la saisine du tribunal et ne peuvent donc pas servir le moyen d’une irrecevabilité qu’elles ne prévoient pas. Il a également été jugé que la clause contractuelle prévoyant une tentative de règlement amiable, non assortie de conditions particulières de mise en œuvre, ne constitue pas une procédure de conciliation
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 5 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
obligatoire préalable à la saisine du juge, dont le non-respect caractérise une fin de non-recevoir s’imposant à celui-ci.
En l’espèce, un conciliateur de justice a été nommé avec l’accord des parties, par ordonnance de ce tribunal en date du 10 mars 2023 et sa mission de trois mois a été prorogée jusqu’au 29 septembre 2023 par ordonnance du 2 juin 2023.
Y ne peut donc pas affirmer qu’il n’y a pas eu de recherche de solution amiable, même si cette recherche a été infructueuse, et, selon les stipulations de l’article 12 du contrat-cadre, les demandes de X sont recevables par ce tribunal.

En conséquence, le tribunal dira recevables les demandes de X relatives à l’infogérance et déboutera Y de son exception d’irrecevabilité.
Sur la recevabilité des demandes de X relatives à la commande de l’outil de chiffrage

Y expose que la facture payée par X fait explicitement référence au contrat-cadre.
Or, comme le précise X, Y a été mise en demeure le 17 décembre 2021 d’avoir à lui « restituer l’acompte versé en novembre 2017 et d’indemniser X du préjudice qu’elle avait subi, évalué à cette date à 198 000 € ». X avait à cette date connaissance du dommage qu’elle allègue.
Le contrat-cadre stipule que : « Il est expressément convenu entre les parties qu’elles ne peuvent engager leur responsabilité respective que pendant un délai d’un (1) an à compter de la connaissance du dommage, toutes actions étant ensuite éteintes et tous droits prescrits. »
L’assignation a été délivrée le 29 décembre 2022, soit plus d’un an après la connaissance du dommage.
Par conséquent, les demandes de X tirées de la prétendue inexécution du contrat pour ce qui concerne le développement de l’outil de chiffrage sont prescrites, et par suite, irrecevables.
X rétorque que l’article 9.1 du contrat d’infogérance, prévoyant que les parties ne peuvent engager leur responsabilité respective que pendant un délai d’un an à compter de la connaissance du dommage, n’est pas applicable à ses demandes relatives à l’application de chiffrage, lesquelles n’entrent pas dans le champ d’application du contrat d’infogérance et ce, contrairement à ce qu’Y prétend. En effet, cette clause est insérée dans le contrat signé entre les parties pour couvrir les prestations d’infogérance d’Y et son titre est dénué d’ambiguïté ; il porte sur l’infogérance, l’hébergement de données et la location. Son article 4.7 liste également les services proposés par Y au titre de ce contrat. L’article 2 des conditions particulières de ce contrat confirme également la nature des services confiés par le client au prestataire, sans faire référence à de telles prestations de développement logiciel.
En outre, ni le devis d’Y signé par X, ni le bon de commande de X ne rattache cette prestation au contrat d’infogérance, dont les clauses ne sont donc pas applicables. Seule la facture de l’acompte du prix de l’application de chiffrage référence ce contrat et il s’agit d’un document émanant uniquement d’Y et dont il ne peut être considéré qu’il emporte le consentement de X à soumettre ces prestations de développement logiciel au contrat
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 6 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
d’infogérance et à ses clauses limitatives de responsabilité et de prescription conventionnelle. En tout état de cause, il ne lui est pas opposable, s’agissant d’un document unilatéral.
Dans ces conditions, le tribunal dira X recevable en ses demandes relatives aux manquements d’Y dans le cadre de la commande de l’outil de chiffrage. SUR CE, le tribunal motive ainsi sa décision
La relation contractuelle entre les parties concernant l’outil de chiffrage est fondée sur :
- Le devis d’Y daté du 18 juillet 2017 et signé par X le 5 septembre 2017,
- Le bon de commande émis par X le 5 septembre 2017 et faisant référence à ce devis.
Aucun de ces documents ne rattache cette prestation au contrat d’infogérance et seule la facture datée du 17 novembre 2017 émise par Y et relative à l’acompte de 50% mentionne le contrat-cadre. Ce document émane uniquement d’Y et on ne peut considérer qu’il emporte le consentement de X à soumettre ces prestations de développement logiciel au contrat-cadre et à ses clauses limitatives de responsabilité et de prescription conventionnelle.
En conséquence, le tribunal dira X recevable en ses demandes relatives à l’outil de chiffrage et déboutera Y de son exception d’irrecevabilité.

Sur le contrat d’infogérance

Sur l’exécution par Y de ses obligations contractuelles

X expose qu’Y a été défaillante dans l’exécution du contrat d’infogérance à de multiples égards et notamment dans la mise en œuvre de l’obligation de sécurité des données et des systèmes qu’elle lui avait confié. Ces défaillances ont eu un impact direct sur la cyberattaque dont elle a été victime en janvier 2022 et sur son impossibilité de récupérer ses données sauvegardées, ainsi que sur les retards pris dans la mise en œuvre de la réversibilité. Y, sur le fondement de l’article 16 du code de procédure civile et de la jurisprudence, ne peut pas écarter des débats le rapport d’investigation de Login Sécurité sous prétexte qu’il n’aurait pas été établi de manière contradictoire. En effet, ce rapport a été régulièrement communiqué dans le cadre de la procédure et donc soumis à la discussion contradictoire des parties.
En l’espèce, le rapport d’investigation et les autres pièces communiquées par X démontrent les manquements d’Y à l’obligation de sécurité inhérente aux prestations fournies : helpdesk, administration système, supervision réseau, sauvegarde, gestion des incidents ; cette obligation est renforcée par le mémoire technique rédigé par Y le 2 mai 2017. Enfin, le contrat conclu entre les parties prévoyait expressément une obligation de sécurité à la charge d’Y d’assurer la « protection matérielle et logique des données, des fichiers, des programmes et de tout autre élément d’information qui lui auront été confiés par le client ».
En effet, les manquements d’Y en matière de sécurité ont permis la réalisation de la cyberattaque dont X a été victime. Ces manquements et leur implication dans la cyberattaque sont parfaitement documentés dans le rapport d’investigation :
- « Les comptes de l’infogérant antaresn1 & antaresn2 ont été compromis par l’attaquant et utilisés pour déployer le ransomware »
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 7 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
- « Nous avons une première exploitation de la vulnérabilité BlueKeep »
- « Le mot de passe du compte antaresn2 était présent sur le disque de la machine ADDS-1 »
- « Les comptes administrateur du domaine X, de l’infogérant Y, ont été compromis lors des phases de reconnaissances et utilisés pour le déploiement du ransomware »
- « Le chiffreur a été exécuté depuis les documents du profil TORANN\antaresn2, c:\users\antaresn2\documents\svchost.exe »
- « Nous tenons à ajouter qu’un des contrôleurs de domaine n’avait pas été éteint avant le lundi 10 janvier 2022, soit trois jours après l’attaque. Potentiellement, le ransomware a pu continuer à se propager sur une période de trois jours sur le réseau interne X. »
- « L’obtention des accès a été problématique auprès de l’infogérant Y »
- « Les informations communiquées par Y ne comprenaient pas l’ensemble des serveurs Windows présent dans le sous-réseau 192.168.200.0/24 »
- « En parallèle, nous observons des disparités de déploiement de l’antivirus Symantec Endpoint Protection sur le parc de X. Par exemple, l’hyperviseur HYPERTORANN-1 ne disposait pas d’antivirus au début de nos investigations »
- « Les mots de passe des comptes compromis n’ont jamais été changés depuis août 2017 pour TORANN\antaresn2 et depuis 2008 pour TORANN\exploit1.nancy. »
X détaille ainsi les manquements d’Y
- Les comptes d’Y ont été compromis La description du processus d’attaque atteste que c’est par l’intermédiaire des comptes d’Y que l’attaquant a déployé le rançongiciel qui a crypté l’intégralité des données de X : « Les comptes de l’infogérant antaresn1 et antaresn2 ont été compromis par l’attaquant et utilisés pour déployer le ransomware ».
Y ne répond pas sur ce constat pourtant clair et dépourvu d’ambiguïté qui démontre que la cyberattaque a bien pour origine une défaillance dans la sécurité des comptes de l’infogérant permettant d’accéder à et d’administrer le système d’information de X. Or, Login Sécurité souligne que les mots de passe de ces comptes, sous la maîtrise d’Y, professionnel de l’informatique, n’avaient pas été renouvelés depuis 2017. De plus, il est apparu à X lors des réunions organisées par l’expert judiciaire pour mettre en œuvre la réversibilité, que les mots de passe d’Y n’avaient rien de complexe, bien au contraire, ils étaient courts, logiques et faciles à casser et aucun mécanisme de double-authentification n’avait été mis en place par Y pour ces comptes administrateur aux droits particulièrement étendus.
Y ne fournit aucune explication ni ne conteste cette défaillance dans la sécurisation des mots de passe administrateur en méconnaissance des règles de l’art élémentaires qui ont ouvert la porte à la cyberattaque, se bornant à soutenir que n’importe quel compte aurait pu servir au déploiement du rançongiciel.
- L’attaquant a exploité une faille informatique dont le correctif n’avait pas été installé par Y
Cette attaque a débuté par « une première exploitation de la vulnérabilité BlueKeep… » Or une mise à jour de sécurité fournie par Microsoft depuis mai 2019 n’a jamais été installée sur les systèmes X, alors qu’elle permettait de corriger cette vulnérabilité.
- L’absence d’authentification multi-facteurs du compte VPN à partir duquel l’attaquant s’est introduit dans le système d’information de X
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 8 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
Y soutient également que la double-authentification par Fortitoken des comptes VPN, prévue dans la commande de X, aurait été mise en place, mais jamais recettée par X. Or, si cette recette n’était pas prononcée, c’est que la mise en œuvre de la double- authentification ne fonctionnait pas de manière satisfaisante ; Y est responsable de cette défaillance puisqu’elle a été incapable de faire fonctionner cette solution.
- L’attaquant a utilisé un logiciel que tout antivirus aurait neutralisé, alors qu’Y n’avait pas installé d’antivirus sur l’ensemble des postes de travail et serveurs de X
Y n’avait pas installé d’antivirus – dont les licences avaient pourtant été facturées à X – sur l’hyperviseur, sur certains autres serveurs et même sur des postes de travail.
- L’attaquant a pu déployer son rançongiciel sur les serveurs de sauvegarde qu’Y n’avait pas détachés du reste du système d’information
Enfin, X dont les données ont toutes été chiffrées par l’attaquant, n’a pas eu la possibilité de récupérer ses données à partir des sauvegardes réalisées puisque son système de sauvegarde, sous le contrôle d’Y, n’était pas détaché du système d’information principal. Les sauvegardes ont donc été également contaminées lors de l’attaque informatique.
C’est ainsi bien la défaillance d’Y dans l’application des règles de l’art en matière de sauvegarde, et ses retards dans le déploiement du nouveau système de sauvegarde, qui ont entraîné le chiffrement des sauvegardes de X en même temps que le reste de son système d’information.
Y a donc manqué à son obligation contractuelle de sécurité ainsi qu’aux règles minimales de sécurité informatique, que tout professionnel du secteur se doit de respecter, et sa responsabilité à l’égard de X est engagée.


Y conteste avoir la moindre responsabilité dans l’incident survenu entre les 4 et 7 janvier 2022. Selon X, cette attaque aurait « été facilitée par de nombreux manquements imputables à Y ».
Mais Y observe que ces affirmations ne sont démontrées par aucun élément technique objectif, aucune expertise contradictoire n’ayant été réalisée de ce chef. X appuie sa prétendue démonstration sur un unique rapport d’investigation du 26 janvier 2022, dont il faut rappeler à titre liminaire :
- qu’il a été payé à ce prestataire par X et n’est qu’une vaine tentative de se constituer à elle-même des preuves de prétendues défaillances,
- qu’à cet égard, aucun examen contradictoire de la situation et des causes de l’attaque n’a jamais été réalisée ou diligentée,
- qu’aucune sauvegarde sincère et vérifiable de l’infrastructure de X n’a été réalisée qui permettrait de mener les investigations contradictoires mentionnées ci-dessus, au premier chef desquelles une expertise technique judiciaire,
- que dès lors, les éléments communiqués n’ont strictement aucune valeur probatoire,
Quoi qu’il en soit, Y conteste la moindre responsabilité dans la survenance de l’incident survenu entre le 4 et le 7 janvier 2022, car elle démontrera que i) l’obsolescence de l’infrastructure de X lui est imputable et est à l’origine des désordres subis, et que ii) tout
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 9 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
ou partie des griefs allégués est soit purement imaginaire, soit sans lien aucun avec l’attaque subie.
Y rappelle que le 30 juin 2020, X a émis un appel d’offres ayant pour objet la « Migration Cloud du SI de X » et y précisait notamment : « Notre infrastructure est en partie obsolète, une majorité des serveurs ont presque 10 ans. Il est attendu de résorber au maximum les équipements obsolètes… De plus, le matériel ne bénéficie pas de support étendu, ce qui représente un risque en cas d’interruption de service pour TORANN… Le soumissionnaire proposera une architecture permettant de garantir un niveau de sécurité élevé… Le soumissionnaire proposera une solution de connexion des fournisseurs sur les postes bureautiques et serveurs sécurisée garantissant notamment la traçabilité des accès et le chiffrement des connexions au moyens de comptes nominatifs. »
Donc, dès 2020, X a conscience que son infrastructure est obsolète et, ce faisant, ne bénéficie pas du niveau de sécurité qu’elle requiert. Y a répondu à cet appel d’offres avec une proposition complète. X n’a jamais procédé à cette migration, et n’a jamais opéré la refonte de son infrastructure. Elle a donc sciemment choisi de continuer de fonctionner avec cette infrastructure déficiente.
Pourtant, Y a, à de nombreuses reprises en 2020 et 2021, attiré l’attention de X sur divers risques identifiés. A cet égard, elle mentionnait explicitement dès février 2020 le risque d’une attaque similaire à celle à laquelle fait référence X, liée au fait que plusieurs de ses cadres disposaient de droits d’accès et d’administration très étendus, lesquels sont octroyés aux utilisateurs à la demande du client. La nécessité d’externaliser les sauvegardes était elle aussi expressément mentionnée par Y dès mars 2021. Entre février 2020 et septembre 2021, Y a adressé 9 courriels d’alerte à X portant sur la sécurité de son système d’information.
En d’autres termes, X, à supposer qu’elle ne soit pas seule à l’origine du préjudice qu’elle allègue, y a évidemment concouru pour sa partie la plus importante.
Sur la compromission des comptes d’Y, soi-disant utilisés pour le déploiement du ransomware ; outre que comme il a été rappelé, rien ne permet de démontrer cette assertion en l’absence de toute expertise contradictoire, n’importe quel compte aurait pu servir au déploiement dudit ransomware.
Le « déploiement » n’a aucun lien avec la faille utilisée par le pirate, et, ce faisant, l’argument est dénué de toute pertinence. La faille de sécurité est liée à la fois à l’obsolescence – dont X est seul responsable – des infrastructures de X, et à la demande de X de configurer un poste à Nancy en contravention des règles de prudence les plus élémentaires.
Enfin X croit pouvoir reprocher à Y « l’absence d’authentification multi-facteurs du compte VPN à partir duquel l’attaquant s’est introduit dans le système d’information de X
».
Or, précisément, Y rappellera que l’absence de double authentification, qui semble être une des causes prégnantes de la faille ayant permis au pirate de réussir son attaque, trouve justement son origine dans une demande explicite du client. Alors qu’au cours de l’année 2020, Y a déployé un réseau sécurisé (VPN) avec un système de mots de passe uniques (fortitoken), cette installation n’était toujours pas recettée par X plusieurs mois plus tard. Faisant fi de la protection procurée par ce système, X a expressément demandé à ce que
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 10 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
le poste de Nancy soit configuré en renonçant à la double authentification, afin de permettre à l’un des salariés de travailler à distance, après avoir été alerté sur le risque de sécurité que cela impliquait.
Contrairement aux affirmations péremptoires de X, Y ajoute qu’elle avait bien installé des antivirus à jour sur l’ensemble des serveurs (à l’exception de l’hyperviseur) et des postes de travail identifiés. Il résulte de ce qui précède qu’Y n’a pas manqué à d’éventuelles obligations « minimales
» de sécurité, qu’au contraire, X est seule à l’origine des faits relatés par elle, et de leurs conséquences financières à les supposer un jour établies précisément, et constitutives d’un préjudice indemnisable au sens de l’article 1231 du code civil et des dispositions du contrat.

Sur les préjudices subis par X du fait des inexécutions du contrat d’infogérance et la clause limitative de responsabilité
X évalue ainsi les pertes qu’elle a subies du fait des inexécutions du contrat d’infogérance par Y :
- 39 840 € HT : coûts de prestations de services payées par X à Login Sécurité, engagés du fait de la cyberattaque,
- 86 288 € HT : coûts de prestations de services payées de divers prestataires informatiques, engagés du fait de la cyberattaque pour la gestion de crise et la mise en place d’un nouveau système d’information en urgence,
- 12 000 € : rançon payée par X du fait de la cyberattaque,
- 262 416 € : temps passés en interne par les équipes de X, consacrés à recréer ce qui était devenu inaccessible et à gérer la crise subie du fait de la cyberattaque.
Elle verse aux débats les justificatifs correspondants. Elle demande également la somme de 50 000 € à titre de dommages et intérêts pour préjudice moral. Elle demande donc qu’Y soit condamnée à lui payer la somme totale de 450 544 € (somme des cinq montants ci-dessus), à titre de dommages et intérêts.
Y oppose à titre principal qu’elle n’a aucune responsabilité dans la survenance de l’incident survenu entre le 4 et le 7 janvier 2022, car X est responsable de l’obsolescence de son architecture informatique qui est à l’origine des désordres subis, et, d’autre part, tout ou partie des griefs allégués est soit purement imaginaire, soit sans lien aucun avec l’attaque subie. A titre subsidiaire, elle fait valoir que l’article 9.1 « responsabilité » du contrat-cadre d’infogérance limite sa responsabilité au montant des commissions perçues au cours des six mois précédant la connaissance du dommage, qui s’élèvent à la somme de 39 435,23 € pour les mois de juin à décembre 2021, selon la balance générale versée aux débats.
X rétorque que la clause limitative de responsabilité est inopposable par Y en raison de sa faute lourde. En effet, selon les dispositions de l’article 1231-3 du code civil, l’inexécution due à une faute lourde ou dolosive interdit au débiteur de se prévaloir d’une clause limitative de responsabilité.
Or, X fait valoir qu’Y a manqué à son obligation de sécurité et ses multiples défaillances, consistent en des manquements élémentaires aux règles de l’art en la matière, que ce soit :
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 11 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
(i) le changement régulier et la complexité des mots de passe de ses propres comptes d’administration des systèmes de X, (ii) l’installation des mises à jour de sécurité fournies par les éditeurs tels Microsoft, surtout quand celles-ci sont relayées par l’ANSSI et la presse, (iii) l’absence d’anti-virus sur l’ensemble des serveurs et postes informatiques sous sa responsabilité, (iv) et encore l’absence de sauvegarde séparée du reste du système d’information.
L’ensemble de ces manquements ainsi que la violation des règles de l’art de l’infogérance démontrent ainsi le manque de professionnalisme d’Y et son inaptitude à l’accomplissement de sa mission et donc sa faute lourde au sens de la jurisprudence.
De plus, une clause limitative de responsabilité crée un déséquilibre significatif dans les droits et obligations des parties au détriment d’Y et à ce titre doit être écartée et la responsabilité d’Y engagée en application de l’article L. 442-1 du code de commerce.

SUR CE, le tribunal motive ainsi sa décision
L’article 16 du code de procédure civile dispose : « Le juge doit, en toutes circonstances, faire observer et observer lui-même le principe de la contradiction. Il ne peut retenir, dans sa décision, les moyens, les explications et les documents invoqués ou produits par les parties que si celles-ci ont été à même d’en débattre contradictoirement… » Lorsqu’une partie à laquelle un rapport d’expertise est opposé n’a pas été appelée ou représentée au cours des opérations d’expertise, le juge ne peut refuser d’examiner ce rapport, dès lors que celui-ci a été régulièrement versé aux débats et soumis à la discussion contradictoire des parties. Il lui appartient alors de rechercher s’il est corroboré par d’autres éléments de preuve. Il est constant qu’Y n’a pas participé aux opérations d’expertise de Login Sécurité dont le rapport a été régulièrement versé aux débats. Nous examinerons donc ce rapport, les observations d’Y et les autres éléments de preuve communiqués par les parties.
L’article 1231-3 du code civil dispose : « Le débiteur n’est tenu que des dommages et intérêts qui ont été prévus ou qui pouvaient être prévus lors de la conclusion du contrat, sauf lorsque l’inexécution est due à une faute lourde ou dolosive ».
La faute lourde est caractérisée par une négligence d’une extrême gravité confinant au dol et dénotant l’inaptitude du débiteur de l’obligation à l’accomplissement de sa mission contractuelle. L’article 9.1 « responsabilité » du contrat-cadre entre les parties stipule : « …Le montant total des dommages et intérêts auquel chacune des parties pourrait être condamnée au motif du manquement à ses obligations au titre du contrat, toutes causes et préjudices confondus, en vertu soit d’une transaction librement acceptée entre les deux parties, soit d’une décision de justice devenue définitive, est expressément et globalement limité au montant total hors taxes des sommes perçues par le prestataire au cours des six (6) mois précédant la connaissance du dommage… » Les systèmes informatiques de X, entre les 4 et 7 janvier 2022, ont subi une attaque informatique qui a conduit au chiffrement de l’ensemble de ses fichiers et à sa paralysie. X, sur la base notamment d’un rapport d’investigation non-contradictoire qu’elle a fait établir par Login Sécurité, détaille les manquements reprochés à Y.
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 12 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
Nous noterons en premier lieu que Login Sécurité confirme dans le paragraphe 1.3 « conclusion » de son rapport que celui-ci a été établi pour comprendre le déroulement de l’attaque et accompagner la reconstruction par EasyTeam du système d’information de X. Sur l’attaque, le rapport aboutit à cette synthèse, au quatrième alinéa de ce paragraphe : « Par le comportement de l’acteur malveillant et par la rapidité, cela laisse à penser que l’attaque est principalement opportuniste, avec une compromission initiale potentiellement liée à l’achat d’un identifiant et mot de passe ayant potentiellement fuité ou à l’exploitation d’une vulnérabilité affectant l’équipement VPN Fortinet ». Dans le paragraphe 1.2 « éléments-clés » de ce rapport, le premier fait cité est l’utilisation, le 4 janvier 2022 du compte « exploit1.nancy » pour se connecter au VPN depuis la Russie et accéder à l’infrastructure informatique de X. Dans ses écritures, X liste les manquements les plus graves qu’elle reproche à Y, qui constituent selon elle une faute lourde dans l’exécution du contrat-cadre et qui lui semblent avoir causé le sinistre : manquements aux règles de l’art dans la gestion de ses mots de passe, absence d’installation des mises à jour de sécurité fournies par les éditeurs, absence d’antivirus sur l’ensemble des serveurs et postes informatiques et absence de sauvegarde séparée du reste du système d’information. Y oppose que l’obsolescence de l’infrastructure de X lui est imputable et est à l’origine des désordres subis ; de plus, tout ou partie des griefs allégués est soit purement imaginaire, soit sans lien aucun avec l’attaque subie. Le tribunal notera en premier lieu que le rapport d’investigation met en exergue que les attaquants ont débuté leur action le 4 janvier 2022 en utilisant le compte « exploit1.nancy » pour se connecter au VPN depuis la Russie et accéder à l’infrastructure informatique de X. Or, c’est X qui a expressément demandé à Y que le poste de Nancy soit configuré en renonçant à la double authentification, après avoir été alerté explicitement par courriel du 9 novembre 2020 sur le risque de sécurité que cela impliquait.
En second lieu, l’absence de sauvegarde séparée du reste du système d’information ne peut être reprochée à Y, car elle n’a aucune responsabilité sur cet état de fait. Le 30 juin 2020, X a émis un appel d’offres ayant pour objet la « Migration Cloud du SI de X » et y précisait notamment : « Notre infrastructure est en partie obsolète, une majorité des serveurs ont presque 10 ans. Il est attendu de résorber au maximum les équipements obsolètes ». Elle précisait au paragraphe « architecture de sauvegarde » : « …Il n’y a pas actuellement d’externalisation des sauvegardes via des sauvegardes sur bandes ou hors site. … Le soumissionnaire proposera une stratégie de sauvegarde permettant à X de garantir la résilience de son SI ». Y a répondu à l’appel d’offres qui n’a pas connu de suite concrète.
Sur ces deux reproches majeurs (connexion au VPN via le poste de Nancy et absence de sauvegarde séparée), X échoue donc à démontrer une faute d’Y.
Ses autres reproches sont relatifs à des manquements allégués aux règles de l’art dans la gestion des mots de passe, dans la prise en compte des mises à jour de sécurité fournies par les éditeurs et dans l’installation des antivirus. X ne verse aux débats aucune analyse contradictoire, que, notamment un expert judiciaire aurait pu être établir, démontrant qu’Y a commis des fautes, ayant le caractère éventuellement de faute lourde, et ayant un impact sur le sinistre objet du présent litige. Or X n’apporte pas au tribunal cette preuve qui lui incombait qu’Y aurait commis une faute lourde au sens de l’article 1231-3 du code civil.
En conséquence, le tribunal dira que X échoue à démontrer qu’Y aurait commis une faute lourde dans l’exécution du contrat-cadre.
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 13 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
X oppose, dans ses écritures, qu’une clause limitative de responsabilité crée un déséquilibre significatif dans les droits et obligations des parties au détriment d’Y et à ce titre doit être écartée. Cependant, la référence à l’article L. 442-1 du code de commerce est inapplicable à la présente instance car la version qui serait applicable est celle en vigueur à la signature du contrat-cadre, soit celle en vigueur du 1er juillet 2016 au 26 avril 2019, mais le déséquilibre significatif n’y est pas traité. De plus, X ne développe aucun argumentaire pour prouver son affirmation et ce moyen est inopérant.
Concernant l’existence de fautes commises par Y, le rapport d’investigation mentionne diverses insuffisances, notamment dans la gestion et le remplacement des mots de passe, et le risque que cela ait facilité la cyberattaque.
Le tribunal dira donc que la responsabilité d’Y est engagée.
La limite de responsabilité à l’article 9.1 « responsabilité » précité du contrat-cadre d’infogérance est égale au montant des commissions perçues au cours des six mois précédant la connaissance du dommage, qui s’élèvent à la somme de 39 435,23 € pour les mois de juin à décembre 2021, selon la balance générale versée aux débats par Y, sans contestation de la part de X.
Tenant compte des pièces versées aux débats par X et des explications fournies par les parties à l’audience, le tribunal dira que le préjudice indemnisable est supérieur à cette somme.
En conséquence, le tribunal condamnera Y à payer à X la somme de 39 435,23 €, déboutant du surplus, y compris des dommages et intérêts en réparation du préjudice moral.
Sur l’outil de chiffrage X a passé en date du 5 septembre 2017 commande à Y d’un outil de chiffrage dans une commande ne rentrant pas dans le cadre du contrat-cadre avec Y, en signant un bon de commande pour un budget global de 24 900 € HT, dont la somme de 12 450 €, à titre d’acompte, payée à Y en novembre 2017. Elle acceptait une proposition qui estimait le délai de réalisation du projet à trois mois entre le démarrage et la mise en ligne. En juin 2020, Y confirmait la finalisation du projet dans le budget initial de développement. Après trois mises en demeure infructueuses, les 20 et 29 juillet 2021 et le 17 décembre 2021, X a dû constater l’abandon du projet par Y. Elle demande donc la réparation de son préjudice qu’elle évalue ainsi :
- Acompte versé par X à Y : 12 450 € HT,
- Temps interne consacré à l’activité de chiffrage qui aurait dû être géré par l’application de chiffrage commandée à Y, sur la période entre janvier 2018 et fin 2022 : 175 000 €,
- Coûts de mobilisation des équipes de X dans le projet en pure perte entre mai 2017 et juin 2021 : 23 000 €. Ceci correspond sur la période à 224 heures de temps passé en pure perte sur ce projet. X demande donc qu’Y soit condamnée à lui verser la somme de 210 450 €, total des trois montants précédents, à titre de dommages-intérêts du fait de l’inexécution par Y de la commande de l’outil de chiffrage. Y rappelle qu’elle n’a jamais souscrit à aucun engagement de réaliser l’outil dans un délai préfix, les délais communiqués l’étant sous forme « d’estimation ». X est donc infondée à résilier le contrat aux torts exclusifs d’Y, d’autant plus que X a purement
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 14 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
et simplement abandonné le projet pendant plus d’un an en 2018. Parallèlement, avant le 27 avril 2021, Y a fourni à X des maquettes et prototypes.
Y fait valoir que les difficultés rencontrées trouvent leur origine dans la volonté de X d’utiliser des données issues de leur application-métier Comete. En pratique, ceci s’est révélé impossible. Il a donc fallu repenser totalement l’application, mais X a refusé la dernière proposition de calendrier d’Y.
Y démontre donc que l’absence de réalisation de l’outil est directement imputable à X qui sera déboutée de ses demandes.
SUR CE, le tribunal motive ainsi sa décision
L’article 1217 du code civil, dans sa version applicable à la présente instance dispose : « La partie envers laquelle l’engagement n’a pas été exécuté, ou l’a été imparfaitement, peut :
- refuser d’exécuter ou suspendre l’exécution de sa propre obligation ;
- poursuivre l’exécution forcée en nature de l’obligation ;
- solliciter une réduction du prix ;
- provoquer la résolution du contrat ;
- demander réparation des conséquences de l’inexécution.
Les sanctions qui ne sont pas incompatibles peuvent être cumulées ; des dommages et intérêts peuvent toujours s’y ajouter ».
La commande par X à Y d’un outil de chiffrage de ses devis est fondée sur un devis daté du 18 juillet 2017, accepté le 5 septembre 2017, dont le montant s’élève à la somme de 24 900 € HT. Les charges de réalisation sont détaillées précisément, mais aucun délai n’est mentionné. Y est donc bien fondée à dire que les délais communiqués étaient des estimations.
L’interface avec Comete, application-métier de X, est mentionnée deux fois dans le devis : Par le chiffrage de la réalisation d’un atelier d’échange technique avec AEXAE, l’éditeur de Comete, ce qui laisse penser qu’aucun contact préalable n’avait eu lieu. D’autre part, dans le chiffrage de la phase de « développement de la structure », une charge de 1 800 € est chiffrée pour la « Création de l’API pour l’interface avec Comete pour la récupération de la volumétrie, des vacations et des numéros / noms des affaires ».
Il résulte des pièces versées aux débats et des échanges lors de l’audience que le projet s’est avéré plus complexe que prévu. Il a néanmoins débuté normalement au second semestre 2017, a été abandonné pendant près d’un an par X en 2018, puis a été repris en janvier 2019. Un point bloquant a été identifié et communiqué par un courriel d’Y du 28 janvier 2019 : l’absence de stockage des calculs réalisés dans Comete et l’impossibilité « de réaliser des connexions de type API permettant d’automatiser la récupération de ces données ». Les échanges avec l’éditeur de Comete se sont poursuivis en 2019, ainsi que la communication de maquettes permettant la progression du projet. En novembre 2020, X valide les spécifications V10 du 23 novembre 2020 et marque sa satisfaction sur la reprise du dossier par une nouvelle intervenante d’Y.
Par courriel du 1er juin 2021, X demande un « planning de faisabilité d’ici le 9 juin 2021 », sur la base des spécifications V15. La réponse est donnée le 10 juin 2021 et aboutit à une prévision de mise en production le 4 mai 2022. Par LRAR du 20 juillet 2021, le conseil de X fait valoir que l’avancement sont anormalement lent et met Y en demeure de finaliser le projet et l’outil de chiffrage sur l’année 2021. Suite à un échange entre les dirigeants
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 15 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
des parties le 21 juillet 2021, le conseil de X, par LRAR du 29 juillet 2021, demande à Y de prendre acte de la résolution aux torts exclusifs d’Y du contrat entre les parties, ainsi que la restitution de l’acompte versé. Par LRAR du 16 décembre 2021, le conseil de X fait une proposition de résolution amiable du litige. En vain.
Le tribunal observera que les deux seules pièces fondant la relation entre les parties sont :
- Un « cahier des charges » listant sur une page les attentes, les obligations et les fonctionnalités génériques, sans annexe, ni identification de la volumétrie,
- Un devis détaillé justifiant un prix ferme, sans indication de délai.
Il note que les parties n’avaient pas identifié la complexité du projet, ni qu’il serait impossible de récupérer automatiquement les données de l’application Comete par API (« application programming interface », c’est-à-dire interface de programmation d’application), contrairement à ce que le devis mentionnait, sur la base du cahier des charges. De plus, la dernière version des spécifications étant la quinzième, tout laisse à penser que le projet a évolué en cours de route et s’est probablement complexifié.
La « résolution » du « contrat » par LRAR du 29 juillet 2021 est fondé sur un désaccord sur le délai de réalisation du projet que X aurait voulu voir achevé en fin d’année 2021 au lieu du 4 mai 2022.
Or Y n’a pris aucun autre engagement contractuel que sa proposition financière du 7 juillet 2017, acceptée par X en date du 5 septembre 2017 et dépourvue de toute indication de délai. Elle n’apporte donc pas la preuve qui lui incombe d’un comportement fautif d’Y.
Elle ne peut donc pas se fonder sur les dispositions de l’article 1217 précité du code civil.
En conséquence, le tribunal déboutera X de ses demandes relatives à l’outil de chiffrage.
Sur la demande reconventionnelle d’Y relative au contrat d’infogérance
Y fait valoir que X ne lui a pas payé des factures pour la période du 14 septembre 2021 au 31 janvier 2023, dont la somme s’élève à 79 589,51 €, et verse aux débats ces factures ainsi qu’un tableau récapitulatif.
Facture de licences Microsoft
La facture en date du 14 septembre 2021, adressée par courriel en date du 16 septembre 2021, s’élève à la somme de 15 476,62 € et concerne des licences Microsoft, débitées directement par Microsoft, consommées par X de janvier 2020 à septembre 2021. X, ayant réglé la somme de 9 748,31 €, qui est en fait le solde payé suite à la condamnation du juge des référés, après déduction de l’article 700 et des dépens. X doit donc le solde de 5 728,31 € TTC et a bien payé la somme de 10 499,86 € relative aux licences renouvelées d’octobre 2021 à octobre 2022, selon un tableau Excel joint à cette facture.
Y rappelle, comme elle l’a fait lors de l’expertise judiciaire relative à la réversibilité, qu’il n’est pas possible identifier chacune des licences compte tenu de la nature même des souscriptions. C’est ce qu’atteste le fournisseur de l’ensemble des licences souscrites par Y pour X.
Sur les factures relatives aux configurations de postes de travail
Y demande le paiement de cinq factures, dont la somme s’établit à 2 928 € TTC. Elle fait valoir que les montants pratiqués sont cohérents, quoiqu’inférieurs avec ceux stipulés dans le contrat (compris entre 270 € HT pour ½ journée et 465 € HT pour 1 journée d’intervention d’un technicien sur un poste de travail). Ce qui a été facturé est donc inférieur à ce qui était prévu contractuellement pour ce type de prestation.
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 16 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
Sur les factures récurrentes d’infogérance
Y rappelle qu’elle n’a jamais résilié le contrat-cadre, puisque le courrier auquel fait référence X est une mise en demeure préalable à une résiliation, et la réponse de X indiquait seulement prendre acte d’une résiliation qui n’existait pas. Par conséquent, le contrat- cadre n’a jamais été résilié à la date du 28 mars 2022, ni même ensuite en l’absence de résiliation formelle de part et d’autre et les 14 factures de 4 858,80 € chacune sont dues, soit la somme de 68 023,20 €.
X s’oppose à ces demandes pour les raisons suivantes :
Facture de licences Microsoft
Cette facture libellée comme suit : « Licences Microsoft Office 365 consommées par X de janvier 2020 à septembre 2021 », sans qu’aucun détail des licences attribuées ne soit fourni, ce que X a légitimement réclamé. Par lettre du 16 décembre 2021, X a demandé à Y le détail des licences Microsoft facturées. En vain.
Y soutient dans ses dernières conclusions que X lui doit encore la somme de 5 728,30 € TTC au titre des licences, en contradiction avec sa lettre du 14 novembre 2022.
Y sera donc déboutée de ses demandes.
Sur les factures relatives aux configurations de postes de travail
Ces factures portent toutes sur des interventions d’installation et de configuration de postes informatiques. Toutefois, aucune n’applique le même prix unitaire, les tarifs variant de 155 à 310 € sans aucune justification. C’est pourquoi X a contesté ces factures et vainement demandé des explications.
Dans ses dernières conclusions, Y avance notamment que l’installation d’un poste prendrait entre ½ et 1 journée de travail, alors que X a pu constater que ce type d’installation représentait plutôt 1,5 à 2 heures de prestations.
Y sera donc déboutée de ses demandes.
Sur les factures relatives au NAS et au disque NAS
Ces factures correspondent au serveur de sauvegarde commandé en 2021, pour être installé sur un autre site que le reste du système d’information de X et dont l’installation, comme cela était prévu, aurait probablement empêché que les sauvegardes soient également chiffrées lors de la cyberattaque. Ce serveur n’a jamais été installé par Y malgré les relances de X, c’est pourquoi il n’a pas été payé.
Y sera donc déboutée de ses demandes.
Sur les factures récurrentes d’infogérance
Les factures mensuelles d’infogérance portent sur des prestations jamais réalisées.
Pendant près d’un an, Y a continué à facturer mensuellement X de prestations d’infogérance qu’elle ne fournissait plus, puisque le système d’information de X avait été mis en quarantaine à la suite de la cyberattaque de janvier 2022.
En application de l’article 1217 du code civil, et en application du principe d’exception d’inexécution posée par cet article, de telles factures n’ont donc pas à être payées par X en ce qu’elles portent sur des prestations non réalisées, si ce n’est des prestations de réversibilité qui auraient dû être mises en œuvre en six semaines et non pendant près de 8 mois, du fait des manœuvres dilatoires d’Y, et encore de manière partielle et incomplète.
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 17 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
De plus, les factures sont postérieures à la résiliation du contrat d’infogérance, et la demande d’Y de paiement de ces factures est d’autant plus déplacée que c’est elle-même qui a résilié le contrat-cadre d’infogérance par lettre du 28 mars 2022. Tant la clause résolutoire du contrat d’infogérance que la volonté d’Y de l’appliquer étaient non équivoques.
Le 7 avril 2022, X a pris acte de cette résiliation et a mis Y en demeure de mettre en œuvre de la réversibilité prévue au contrat.
Y sera donc déboutée de ses demandes.

SUR CE, le tribunal motive ainsi sa décision
Y justifie en versant aux débats son grand-livre auxiliaire et chacune des factures, que X ne lui a pas payé la somme de 79 589,51 €.
Sur la facture de licences Microsoft
Le solde résiduel de 5 728,30 € concerne la facture de 15 476,62 € relative aux licences Microsoft renouvelées de janvier 2020 à septembre 2021, dont est déduit la provision accordée par le juge des référés. La facture relative aux licences renouvelées d’octobre 2021 à octobre 2022 a bien été payée par X.
X oppose ne pas avoir de détail des licences concernées, mais ce détail ne peut être fourni, et elle a accepté de payer la seconde facture sans ce détail et n’a pas fait appel de la condamnation en référés à payer une provision.
En conséquence, le tribunal acceptera cette demande d’Y.
Sur les factures relatives aux configurations de postes de travail
Les conditions particulières du contrat-cadre valident bien la grille tarifaire sur laquelle se fondent les factures.
En l’espèce, les cinq factures dont le montant totalise 2 928 € concernent 10 postes de travail et 5 journées de prestations sont facturées, ce qui est le bas de la fourchette mentionnée par Y. L’estimation d'1,5 à 2h opposée par X n’est pas documentée et nous ferons droit à la demande d’Y.
Sur les factures relatives au NAS et au disque NAS
Y verse aux débats deux factures totalisant 2 910 € relatives au serveur NAS qui n’a pas été installé selon X. Y ne le contestant pas dans ses écritures, le tribunal la déboutera de sa demande.
Sur les factures récurrentes d’infogérance
Y demande le paiement par X de 14 factures récurrentes d’infogérance, totalisant 68 023,20 €, la première en date du 31 décembre 2021 et la dernière en date du 31 janvier 2023.
X oppose une exception d’inexécution, liée à la cyberattaque sur la base de l’article 1217 précité du code civil, et, de surcroit la résiliation par Y du contrat-cadre par sa LRAR en date du 28 mars 2022.
Cette lettre indique au début de sa seconde page : « Fort de cela, nous avons le regret de vous informer que, conformément à l’article « résiliation pour manquement » du contrat qui nous lie, nous cesserons toutes prestations pour votre compte dans un délai de dix jours à compter de la réception de la présente ».
L’article 6.1 « résiliation pour manquement de l’une ou l’autre des parties » du contrat-cadre stipule en effet, qu'« … en cas de non-respect par le client de ses obligations de paiement, non
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 18 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
réparé dans un délai de 10 jours à compter de la LRAR notifiant le manquement en cause, la partie se prévalant du manquement pourra résoudre le contrat de plein droit et sans formalité judiciaire, au moyen d’une LRAR, conformément à l’article 1225 du code civil ». Par LRAR en date du 7 avril 2022, X n’a pas demandé à bénéficier du délai de dix jours pour régulariser ou justifier les manquements invoqués, prend acte de cette résiliation et demande notamment la mise en œuvre de la réversibilité. X ne peut invoquer aussi la résolution du contrat-cadre, en raison de la cyberattaque, au titre de l’exception d’inexécution, et selon les dispositions de l’article 1217 du code civil. En effet, elle ne justifie pas avoir provoqué, à l’époque, la résolution du contrat-cadre et n’a pas demandé la réversibilité. Ce moyen est donc inopérant. Le tribunal constatera donc que le contrat-cadre a été résilié par Y à compter du 7 avril 2022 (dixième jour après le 28 mars 2022). La dernière facture due est donc la facture relative au mois de mars 2022. Seules quatre des factures réclamées par Y sont dues, soit la somme de 19 435,20 € (4 x 4 858,80 €). Sur les quatre rubriques ci-dessus, X sera donc condamnée à payer à Y la somme totale de 28 091,50 € (5 728,30 € + 2 928 € + 19 435,20 €). Selon l’article 5 du contrat-cadre, les intérêts de retard seront dus sur la base d’un taux égal à trois fois le taux d’intérêt légal. En conséquence, le tribunal condamnera X à payer à Y la somme de 28 091,50 € avec intérêt à un taux égal à 3 fois le taux d’intérêt légal à compter de la date d’exigibilité des factures en cause, déboutant du surplus de la demande.
Sur l’application de l’article 700 du code de procédure civile et les dépens Compte tenu des circonstances de la cause, et du fait que chaque partie succombe dans plusieurs de ses demandes, il n’apparaît pas inéquitable de laisser à chaque partie la charge des frais non compris dans les dépens, En conséquence, le tribunal déboutera Y et X de leurs demandes, et condamnera Y aux dépens.
PAR CES MOTIFS,
Le tribunal, statuant par un jugement contradictoire en premier ressort,
• Dit la SASU X-France recevable en ses demandes relatives à l’infogérance et déboute la SAS Y-IT de son exception d’irrecevabilité,
• Dit la SASU X-France recevable en ses demandes relatives à l’outil de chiffrage et déboute la SAS Y-IT de son exception d’irrecevabilité,
• Condamne la SAS Y-IT à payer à la SASU X-France la somme de 39 435,23 € au titre du contrat d’infogérance,
• Déboute la SASU X-France de sa demande de dommages et intérêts en réparation du préjudice moral,
• Déboute la SASU X-France de ses demandes relatives à l’outil de chiffrage,
• Condamne la SASU X-France à payer à la SAS Y-IT, au titre de sa demande reconventionnelle relative au contrat d’infogérance, la somme de 28 091,50 € avec intérêt à un taux égal à 3 fois le taux d’intérêt légal à compter de la date d’exigibilité des factures en cause,
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL
Page : 19 Affaire : 2023F00027 Décision signée électroniquement conformément à l’article 456 du CPC
• Déboute la SASU X-France et la SAS Y-IT de leurs demandes sur le fondement de l’article 700 du code de procédure civile,
• Condamne la SAS Y-IT aux dépens.
Liquide les dépens du greffe à la somme de 98,94 euros, dont TVA 16,49 euros.
Délibéré par M. Michel Fétiveau, président du délibéré, M. Z AA et M. AB AC, (M. AB AC étant juge chargé d’instruire l’affaire).
Le présent jugement est mis à disposition au greffe de ce tribunal, les parties en ayant été préalablement avisées verbalement lors des débats dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.
La minute du jugement est signée électroniquement par le président du délibéré et le greffier.

Signé électroniquement par M. Michel FETIVEAU, juge Signé électroniquement par M. Nicolaï LABEYRIE, greffier
02/10/2024 10:28 – Document issu du portail TRIBUNAL DIGITAL

Décisions similaires

Citées dans les mêmes commentaires3

  • Période d'essai ·
  • Délai de prévenance ·
  • Renouvellement ·
  • Employeur ·
  • Indemnité compensatrice ·
  • Durée ·
  • Contrat de travail ·
  • Fins ·
  • Indemnité ·
  • Préavis
  • Tribunal judiciaire ·
  • Caducité ·
  • Consignation ·
  • Régie ·
  • Expertise ·
  • Recette ·
  • Date ·
  • Département ·
  • Délai ·
  • Ags
  • Justice administrative ·
  • Etablissement public ·
  • Commissaire de justice ·
  • Désistement ·
  • Tribunaux administratifs ·
  • Droit de préemption ·
  • Eures ·
  • Acte ·
  • Urbanisme ·
  • Ordonnance

Citant les mêmes articles de loi3

  • Jonction ·
  • Marin ·
  • Jugement ·
  • Juge-commissaire ·
  • Réserver ·
  • Répertoire ·
  • Registre du commerce ·
  • Administrateur ·
  • Ressort ·
  • Minute
  • Code pénal ·
  • Véhicule ·
  • Entrepôt ·
  • Infraction ·
  • Récidive ·
  • Préjudice ·
  • Vol ·
  • Territoire national ·
  • Fait ·
  • Habitation
  • Holding ·
  • Contrat de cession ·
  • Cession d'actions ·
  • Prévention ·
  • Sociétés ·
  • Ordonnance ·
  • Tribunaux de commerce ·
  • Exception ·
  • Exception d'incompétence ·
  • Promesse

De référence sur les mêmes thèmes3

  • Paternité ·
  • Enfant ·
  • Filiation ·
  • Génétique ·
  • Expertise ·
  • Recherche ·
  • Père ·
  • Motif légitime ·
  • Action ·
  • Dire
  • Université ·
  • Harcèlement moral ·
  • Communication ·
  • Propos ·
  • Fait ·
  • Témoignage ·
  • Dégradations ·
  • Conditions de travail ·
  • Témoin ·
  • Prévention
  • Conséquences manifestement excessives ·
  • Exécution provisoire ·
  • Étudiant ·
  • Demande ·
  • Tribunal judiciaire ·
  • Annulation ·
  • Expulsion ·
  • Risque ·
  • Sérieux ·
  • Logement

Sur les mêmes thèmes3

  • Associations ·
  • Dissolution ·
  • Simulation ·
  • Morale ·
  • Actif ·
  • Liquidateur ·
  • Dette ·
  • Condamnation solidaire ·
  • Conseil d'administration ·
  • Personnes
  • Chambre syndicale ·
  • Banque populaire ·
  • Nom de domaine ·
  • Interdiction ·
  • Usage ·
  • Internet ·
  • Transfert ·
  • Cybersquatting ·
  • Moyenne industrie ·
  • Intention de nuire
  • Sociétés ·
  • Tribunal judiciaire ·
  • Litispendance ·
  • Fermeture administrative ·
  • Taxes foncières ·
  • Exception d'inexécution ·
  • Force majeure ·
  • Paiement des loyers ·
  • Bailleur ·
  • Activité
3 commentaires

Textes cités dans la décision

  1. Code de commerce
  2. Code de procédure civile
  3. Code civil
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Tribunal de commerce / TAE de Nanterre, 1er octobre 2024, n° 2023F0027
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. T. com. Nanterre, 1er oct. 2024, n° 2023F0027
Contactez notre service commercial au 01 84 80 33 48