EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

TRIBUNAL DE COMMERCE DE NANTES

AFFAIRE 2021004430

JUGEMENT DU 17 juillet 2023

ENTRE La Société AA INDUSTRIE – SAS, dont le siège social est […] 4, Route de DOUARNENEZ à […] (29180), agissant poursuites et diligences de ses représentants légaux, domiciliés en cette qualité audit siège,

Demanderesse,

Avant pour avocat la SELARL ALEMA AVOCATS représentée par Maître Alain COROLLER-BEQUET Avocat au Barreau de Quimper sis […] […] ([…]00).

ET: La Société X – SAS, dont le siège social est […] à […] (44240) prise en la personne de sa présidente

Défenderesse,

Avant pour avocat postulant :

Maitre Florence NATIVELLE, Avocat au barreau de Nantes, […] (44000), (Case Palais […]). Avant pour avocat plaidant le Cabinet H20 représenté par Maitre Nicolas HERZOG, Avocat au Barreau de Paris 222, boulevard Saint Germain à PARIS (75007).

COMPOSITION DU TRIBUNAL lors des débats Messieurs Jean Paul ATOUIL, Président de Chambre, Christian ROZE, Madame Nathalie NICOLAS, Juges, assistés par Maitre Margaux MAUSSION-CASSOU, Greffière associée,

COMPOSITION DU TRIBUNAL lors du prononcé du jugement Messieurs Jean Paul ATOUIL, Président de Chambre, Christian ROZE, Madame Nathalie NICOLAS, Juges, assistés par Maitre Marielle MONTFORT, Greffière associée,"

DEBATS à l’audience publique du 24 avril 2023

JUGEMENT CONTRADICTOIRE

Prononcé à l’audience publique du 17 juillet 2023, date indiquée par le Président à l’issue des débats, par l’un des Juges ayant participé au délibéré.

RG 2021004430

Page 1 sur 36

04

ой ра

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE JUGER qu’elle est responsable du préjudice subi par la société AA INDUSTRIE; AB la société X à verser à la société AA INDUSTRIE la somme de 482.463,03 euros, correspondant à : Factures des prestataires 62.680,03 €; Dépenses salariales 414.783,00 €; Atteinte à l’image : 5.000 €.

AB la société X aux dépens de l’instance et à 8.000 € au titre de l’article 700 du Code de Procédure Civile.

Au soutien de ces demandes, la société AA INDUSTRIE prétend que:

I LA STE X A MANQUÉ A SES OBLIGATIONS

I-A/ LE MANQUEMENT A L’OBLIGATION D’INFORMATION ET DE CONSEIL

I-A-1

Les obligations générales de la société X Depuis la réforme du Code Civil, en 2016, le législateur a formalisé les obligations que la Cour de Cassation avaient déjà

fixées.

Dans des pourparlers, il existe un devoir d’information, et en particulier pour toutes celles qui sont déterminantes du

consentement.

Ce devoir, ne peut être ni exclu, ni limité (article 1112-1 du Code civil). En matière informatique, il est particulièrement important, au regard de la technicité du matériel et des prestations que fournissent les professionnels dans ce domaine. La Cour de cassation a ainsi jugé que le prestataire est tenu de respecter une « obligation générale d’information renforcée ». Pour être efficiente, l’obligation d’information et de conseil impose les obligations particulières suivantes :

L’obligation de renseignement

Le prestataire informatique doit se renseigner sur les besoins de son client pour lui fournir un matériel adéquat. Cette obligation de renseignement ne lui permet pas de se contenter des informations qui lui sont communiquées par son client. Il a le devoir de vérifier si elles sont suffisantes et complètes. C’est encore sur le même principe qu’il appartient à tout professionnel de 1'informatique, au titre de son devoir d’information de recueillir l’expression des besoins, éventuellement spécifiques au regard, notamment de son activité, de sa structure, de son organisation et de son mode de fonctionnement. La Cour de Cassation a approuvé une Cour d’Appel d’avoir jugé de cette obligation impose au prestataire << que vérifier l’environnement particulier de son client, d’envisager les risques de l’absence de définition précise des besoins pour le projet concerné et de s’enquérir des informations nécessaires >>. RG 2021004430

Page 3 sur 36

04

de

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Elle a rappelé que « L’avocat rédacteur d’un acte est. tenu à l’égard toutes les parties quelles que soient leurs compétences personnelles, d’une obligation de conseil et le cas échéant de mise en garde en ce qui concerne notamment les effets et les risques des stipulations convenues et que l’existence d’une clause claire dans l’acte ne la dispense pas de les informer sur les conséquences qui s’y attachent. » La portée de cet arrêt est générale. Elle ne s’applique pas en effet à l’avocat en vertu d’une disposition qui régit l’exercice de son activité. C’est d’ailleurs au regard de l’ancien article 1147 du Code civil qui régit la responsabilité contractuelle à laquelle est soumise la société X, qu’elle a statué. Les principes énoncés dans cette décision sont donc transposables en l’espèce, puisque X, en raison de la nature de ses prestations et de ses fournitures, avait une obligation d’information, de conseil et de mise en garde, qui ne pouvait être atténuée même si AA INDUSTRIE avait des compétences.

La fourniture d’informations compréhensibles L’informatique est une matière particulièrement technique, qui crée une asymétrie de connaissances entre le prestataire et son client. C’est ce qui justifie que l’ensemble des informations et conseils que le prestataire communique, doit être clair et compréhensible. Elle. ne peut se réduire à une présentation technique. Une cour d’appel, statuant à propos d’un litige portant sur un dysfonctionnement dans un processus de sauvegarde de données, a résumé l’obligation d’information du prestataire comme étant << un triple devoir de renseignement, de mise en garde et de conseil ». Elle a ainsi jugé que «< la fourniture de données purement techniques est insuffisante » et que les informations devaient être compréhensibles. Les consignes qu’il fournit doivent aussi être claires quant à l’utilisation du matériel. Ainsi, il a été jugé qu’un prestataire a manqué à cette obligation, car, bien qu’il eût émis des consignes en matière de sauvegarde, ces consignes n’étaient pas suffisamment pédagogiques. Il a été condamné à réparer le préjudice subi par son client à la suite d’une perte de données due à la sauvegarde défaillante.

⚫ La compétence du client

Il a déjà été rappelé que même si le client dispose d’un service informatique, pour autant, l’obligation d’information et de

conseil ne disparait pas. Ce n’est

le

prestataire

que si que

le client a la spécialité que cette être obligation atténuée. Mais cela signifie qu’ils doivent,

même

peut

supprimée ou

l’un et l’autre,

exercer la même activité.

2

RG 2021004430

Page 5 sur 36

ои

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

un

établi Elle soutient à cet égard que AA INDUSTRIE a cahier des charges portant exclusivement sur cette fourniture, et que sa mission se limitait à l’appliquer à la lettre. Elle en déduit qu’elle n’a pas pris d’obligation particulière qui l’obligerait spécialement à une information ou à un conseil. Ces affirmations, qui confinent à la caricature, sont invoquées pour tenter d’exclure toute obligation et responsabilité. Mais elles illustrent davantage sa responsabilité que son absence d’obligation. Car outre ses obligations générales, la Société X a pris des engagements particuliers sur son obligation d’information et de conseil mais aussi sur la sécurité de son de son installation.

La sécurité de son installation AA INDUSTRIE n’a jamais établi un cahier des charges. Le document que X communique (Sa-pièce n° 1) n’est en effet. qu’un état des lieux précisant ses besoins. Entre autres, AA INDUSTRIE souhaitait augmenter son espace de stockage, ainsi que ses performances. Elle précisait qu’elle utilisait une solution «Veeam » pour sauvegarder ses machines virtuelles et qu’elle souhaitait conserver en back up complet par mois. Bien que ce document soit sommaire, X prétend qu’il constituerait un véritable cahier des charges. Elle en déduit qu’il démontrerait les compétences de AA INDUSTRIE. L’argument est encore une fois soutenu de mauvaise foi. Car en matière informatique, comme dans tous les domaines techniques, le cahier des charges ne se confond pas avec une simple description d’un état des lieux et des besoins. Suivant des définitions courantes, c’est « un document visant à définir exhaustivement les spécifications de base d’un produit ou d’un service à réaliser. Outre les spécifications de base, il décrit ses modalités d’exécution et définit aussi les objectifs à atteindre et vise à bien cadrer une mission…>>. X dénature volontairement le document qu’elle qualifie de «< cahier des charges » pour en déduire, de manière opportuniste. mais de mauvaise foi, que AA INDUSTRIE est un professionnel averti.

Pour répondre à ce besoin, X a établi une proposition, le 26 juillet en rappelant, que le système existant manquait de sécurité. Sa proposition était supposée l’améliorer. C’est ce qu’elle précise dans la définition de ses propres objectifs dans les termes suivants : « Objectif : une amélioration des performances pour les applications existantes, une sécurité renforcée, etc., une protection de l’investissement avec une solution pérenne et évolutive. ».

RG 2021004430

Page 7 sur 36 04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Indépendamment de cette obligation contractuelle qui l’obligeait expressément, la Cour d’Appel de Rennes, a rappelé qu’il incombe au professionnel, au titre de son devoir d’information et de conseil, d’informer son client « de la nécessité d’adapter, le cas échéant de modifier, le système de sauvegarde de manière à ce que les données puissent toujours être sauvegardées efficacement et, le cas échéant restaurées, en cas de sinistre affectant le serveur »>.

Conclusion

ainsi

Pour apprécier sa responsabilité, le Tribunal devra considérer les obligations générales auxquelles elle était tenue, et les obligations particulières qu’elle s’est contractuellement engagée à respecter. Car elle n’a pas été dispensée, directement ou indirectement, de les respecter

I-A-3 Les obligations de X ne sont ni supprimées ni réduites X revendique une dispense d’obligation d’information et de conseil en invoquant deux arguments. Elle prétend que la fourniture de matériel supprimerait ou atténuerait ses obligations. D’autre part, elle soutient que son obligation d’information et de conseil dépend de la compétence du client, et que la Société AA INDUSTRIE disposait d’un service informatique qui la dispensait, de fait comme de droit, de toute obligation. Ces arguments sont singuliers. Car X revendique un savoir- faire et un professionnalisme qui ne sont pas compatibles avec ses arguments.

I-A-3-a) La nature de sa prestation X soutien qu’elle ne porterait que sur la fourniture de matériel. Mais s’il est vrai que son devis porte essentiellement sur du matériel, elle est légalement tenue aux obligations générales d’information et de conseil. Les principes, qui ont été rappelés ci-dessus, ne bornent pas l’obligation d’information et de conseil à la fourniture de services, comme l’infogérance ou un audit. Elles s’imposent également lors de la fourniture de matériel. Car dès lors que ce matériel doit répondre à un besoin, que le fournisseur est tenu d’apprécier en se renseignant auprès de son client et en vérifiant que le matériel est adapté et suffisant pour répondre aux objectifs contractuels, l’information, comme le service sont indissociables de cette prestation. De même en raison de sa technicité le matériel ne peut être fourni sans être accompagné d’information et de conseil. Au surplus, X s’est obligée dans ses objectifs, à renforcer la sécurité de l’installation pour répondre aux besoins de AA INDUSTRIE. Elle s’est également engagée contractuellement de faire toute observation qui lui paraîtrait opportune. Ce premier argument est donc dépourvu de pertinence.

RG 2021004430

Page 9 sur 36

они

あ

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE La Société AA INDUSTRIE n’a pas élaboré un cahier des charges Le Tribunal pourra se reporter aux développements précédents. Car le document que X présente comme tel, ne fait qu’un état des lieux, qui exprime des besoins, sans être juridiquement et techniquement assimilable à un cahier des charges. X ne peut donc, sans dénaturer cet état des lieux, en déduire que AA INDUSTRIE disposait d’une compétence qui la dispensait de toute obligation d’information de conseil, comme elle le soutient dans ses conclusions.

et

⚫ AA INDUSTRIE n’a pas, d’autre part, défini « sa politique » de sauvegarde. Elle a précisé l’état des lieux et ses besoins de manière assez sommaire. X l’a parfaitement compris en interprétant ses besoins et en proposant une nouvelle infrastructure avec une sauvegarde nouvelles prestations intégrées dans la phase 4, comprenant la rédaction d’un cahier d’exploitation et d’un plan de sauvegarde.

Veeam et

de

• En outre, rien ne justifiait l’intervention d’un maitre X puisque revendique une compétence et une permettre à

d’œuvre

devaient

AA

expérience qui INDUSTRIE de bénéficier de services adaptés et efficients pour répondre à ses besoins. Il est par ailleurs faux d’affirmer que AA INDUSTRIE aurait refusé un contrat d’assistance. Cette affirmation que rien ne justifie est au surplus ridicule car dans l’expression de ses besoins, qu’elle a récapitulés, elle a demandé un contrat d’infogérance sur ces hyperviseurs. Pour répondre à cette demande, X a établi un projet de contrat. Il devait être examiné le 12 mars 2020. Mais en raison d’un contretemps lié à la mise en place du télétravail, AA INDUSTRIE a demandé un report du rendez-vous inopiné qui lui avait été proposé à 8 jours. Le confinement qui a ensuite été ordonné par le Gouvernement n’a pas permis de le tenir. X n’a proposé aucune solution alternative. Il est donc choquant qu’elle prétende, sans le démontrer, que AA INDUSTRIE aurait refusé toute assistance. Cette affirmation démontre qu’elle ne tente pas d’établir loyalement qu’elle aurait respecté ses obligations. Elle prouve que pour ne pas les assumer, elle n’hésite pas à énoncer des contrevérités. Il est d’ailleurs remarquable de constater qu’après avoir affirmé que AA INDUSTRIE aurait refusé un contrat d’assistance, elle convient désormais que le contrat a bien été établi, et que par suite des circonstances qui sont rappelées ci-dessus, il n’a pu être signé.

Enfin,

X

il faut rappeler que s’est obligée, contractuellement, à « présenter toute observation qui lui paraîtrait opportune, au regard des règles de son art sur la prestation confiée ».

RG 2021004430

Page 11 sur 36 04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE En tant que société informatique spécialisée, revendiquant un référencement auprès des autorités, elle ne peut ignorer les risques auxquels sont exposées les entreprises. Les objectifs de AA INDUSTRIE étaient de renforcer sa sécurité.

Il

faut à cet égard rappeler que dans sa proposition, l’infrastructure devait comporter une sauvegarde « Veeam » et ses prestations devaient porter sur la configuration des travaux de sauvegarde «Veeam BACKUP », ainsi que sur la validation des sauvegardes à partir de la rédaction d’un plan de sauvegarde. La Société X reconnaît, que l’installation de AA INDUSTRIE l’exposait à des risques, dès lors que la sauvegarde n’était pas déconnectée du réseau et que, d’autre part, il existait de nombreux comptes utilisateurs à fort privilège ». Elle complète ces affirmations en mentionnant qu’il ne serait pas nécessaire d’être un technicien pour appréhender les risques liés à cette situation. -X relève d’autre part, que AA INDUSTRIE « ne disposait d’aucune solution anti-spam dans sa messagerie qui aurait permis d’identifier les mails suspects ». Elle reconnaît ainsi qu’elle avait identifié les failles de sécurité du système informatique de AA INDUSTRIE. La Société ASTEN, qui est intervenue dans les heures qui ont suivi l’attaque informatique, a effectué différents constats et a identifié d’autres failles. Elle relève ainsi que la conception de l’architecture informatique proposée et fournie par X ne prenait pas en compte le risque d’une compromission de son système d’information par le biais d’une attaque informatique. Elle constate également que la sauvegarde << Veeam » était intégrée à l’Activ Directory, ce qui a permis aux hackeurs d’en prendre le contrôle plus facilement. Il faut à cet égard rappeler que dans sa proposition, l’infrastructure devait comporter une sauvegarde « Veeam >> et ses prestations devaient porter sur la configuration des travaux de sauvegarde « Veeam BACKUP », ainsi que sur la validation des sauvegardes à partir de la rédaction d’un plan de sauvegarde. Il y a donc un rapport direct entre son intervention et les facilités dont le ou les hackers ont bénéficié. En outre, la Société ASTEN relève que : – Le système de sauvegarde mis en œuvre ne permettait pas d’avoir déconnectées, soit

des

externalisées….

sauvegardes

soit

— Les stations de travail et les serveurs ne disposaient pas d’un système antivirus performent et centralisé. – Les firewalls logiciels, les PfSense installés sont des firewalls de type « open source », moins performants. Or X n’a jamais attiré son attention sur ces failles de sécurité.

légalement et auxquels elle

De même, en dépit d’un investissement de 160.000 €, X ne l’a jamais mise en contractuellement s’exposait.

RG 2021004430

garde comme elle le faire, sur les

Page 13 sur 36

он

devait risques

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Ainsi, il faut relever que ce document ne correspond pas aux dispositions de l’article 9 des conditions générales de vente, qui organisent la recette suivant des conditions particulières qui pouvaient, le cas échéant, être énoncées dans le bon de commande. Or, ces conditions ne sont pas communiquées. D’autre part, la délivrance pour les produits complexes n’est << pleinement exécutée qu’une fois réalisée la mise au point effective ». C’est ce qu’a rappelé la Cour de cassation. Or, ce procès-verbal ne démontre pas que la mise au point fût effective comme les circonstances d’ailleurs l’ont démontées. Car la sécurité du système informatique, qui constituait une exigence de AA INDUSTRIE, et que X s’est engagée à satisfaire, n’a pas été effective. Ainsi il faut relever que le document intitulé pré-recette infrastructure a été transmis par mail à AA INDUSTRIE. Dans la liste des contrôles effectués, le Tribunal pourra constater qu’aucun ne porte sur la sauvegarde alors même que l’objectif de consolider le système d’information est rappelé dans l’introduction de ce document. Les constatations de la Société ASTEN le démontrent. X ne peut par conséquent prétendre qu’elle aurait satisfait la demande de AA INDUSTRIE dès lors qu’il est avéré que la sécurité du système informatique a été défaillante. A toutes fins, il faut relever que l’affiche dite de « recettes », dans les conditions générales de vente, ne comporte aucune disposition qui interdirait à AA INDUSTRIE de contester la délivrance effective du matériel qui lui a été livré. Au demeurant comme l’a jugé la Cour d’Appel de Lyon dans un arrêt du 11 juin 2020 (18/03212), la signature d’un procès- verbal de réception ne peut justifier la conformité de la fourniture à la commande. La preuve de son manquement résulte également du rapport de la Société DIATEAM. Il constate aussi multitude de comptes à fort privilèges qui ont permis un attaquant de réussir très rapidement accéder à l’ensemble du système d’information. Or bien que ces comptes n’eussent pas de justification apparente, ils ont été dupliqués dans la configuration installée. par X la ont ainsi largement ouvert voie au cyber

attaquant.

et

La Société ASTEN relève aussi dans son attestation que : Les deux serveurs livrés n’ont pas la même configuration. de serveur sauvegarde Veeam était intégré Directory, ce qui a créé une faille de sécurité.

Le

— 

à

l’Activ

Le système de sauvegarde ne permettait pas d’avoir des sauvegardes déconnectées. – le paramétrage du système de sauvegarde ne permettait pas d’exécuter un << reverse snapshot », qui est une éventuelle solution pour revenir dans un état avant compromission. Les stations de travail et les serveurs ne disposaient pas d’un système anti-virus.

RG 2021004430

Page 15 sur 36

ои

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Jusqu’à cette date, les salariés ont du travailler dans des conditions difficiles pour récupérer toutes les informations qui leur étaient nécessaires, afin de rétablir progressivement un fonctionnement de la Société et éviter des conséquences très lourdes. Des salariés précisent pour chacun des services auxquels ils sont affectés, leur quotidien, notamment le service comptable, le service paie, le coordinateur au transport, le directeur des achats, le service après-vente, la production, la recherche et développement, et le service clients.

II-A-3 Le coût de la remise en état Dans son assignation, AA INDUSTRIE a précisé et justifié les coûts liés aux conséquences de l’attaque informatique. Ils s’élèvent à 477.463,03 €, auxquels s’ajoute la réparation d’une atteinte à l’image qui a été évaluée à 5.000,00 €. La Société X conteste ces coûts. Après avoir rappelé que, suivant les principes généraux du droit, seul le préjudice actuel direct et certain peut être. réparé, elle prétend que AA INDUSTRIE ne justifierait pas les coûts externes et internes. Ces contestations ne sont pas sérieuses. Mais au préalable il faut rappeler que lorsqu’une faute lourde est commise, la réparation doit porter sur tous les préjudices qu’ils soient directs ou indirects. C’est ce qui résulte de l’ancien article 1150 du Code civil est désormais de l’article 1231-3 du Code civil.

II-A-3-a Les coûts externes

— 

Pour récupérer les données, qui avaient été cryptées, et permettre une reprise progressive, puis totale de l’activité, AA INDUSTRIE a été contrainte de faire appel à huit

prestataires.

Leurs factures ont été réglées pour un montant de 62.680,03 €. X prétend que ce préjudice ne serait pas justifié. Elle ose affirmer qu’elles ne seraient pas les conséquences de l’attaque informatique. Pour un spécialiste de la cibersécurité, une telle affirmation. semble révéler une ignorance de la matière qu’elle est supposée. maitriser, à moins qu’il ne s’agisse plus opportunément d’une contestation dont la loyauté permet de douter de son

professionnalisme

La Société LINKS est la société qui assiste la Société AA pour les aspects techniques liés à son ERP (CEGIP PMI) depuis plus de 15 ans. C’est elle qui l’a aidé à reconstituer au plus vite un réseau déconnecté avec des machines reformatées. Réinstallation des licences, paramétrage … La Société PC CLEAN est une société de services et de vente de matériel informatiques basée à Douarnenez tout proche de l’entreprise. Elle a aidé la Société AA à : 1- Reformater les ordinateurs infectés par le virus (par exemple facture FA20201148)

RG 2021004430

Page 17 sur 36

04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

Ce coût a été vérifié et attesté par l’expert-comptable la Société PWC. La Société PWC a effectué des investigations pour vérifier la sincérité de l’évaluation du temps de travail qui a été affecté en conséquence de l’attaque informatique. Dans ses conclusions, X prétend que ce coût serait injustifié, car le paiement des salaires est une obligation qui incombe à l’employeur. L’argument est désarmant de naïveté ou de mauvaise foi. Car les salariés n’ont pas été embauchés pour réparer les conséquences d’une attaque informatique. Les tâches auxquelles ils ont été obligés de se livrer à la suite de cette attaque, ne sont pas des tâches normales liées à un exercice normal de leur activité, mais des tâches exceptionnelles, dont le seul but était de permettre à la société de reprendre un fonctionnement normal et dans la cause exclusive résulte des conséquences de l’attaque. Ces salaires représentent ainsi un surcoût puisqu’ils rémunèrent un temps de travail affecté exclusivement à réparer les conséquences de l’attaque. Ce coût interne correspond donc bien à un préjudice réparable. C’est en ce sens qu’a statué la Cour d’Appel de Rennes dans un arrêt du 04 janvier 2022 (19/01179).

II-A-3-C L’atteinte à l’image

AA INDUSTRIE a demandé le versement d’une indemnité de 5.000,00 € en raison de l’atteinte portée à son image. Car il est vrai que l’attaque, dont elle a subi les conséquences, a affecté sa capacité à honorer ses engagements à l’égard de clients qui, pour l’essentiel, sont constitués de grands comptes. AA INDUSTRIE ne fournit pas en effet des particuliers, mais uniquement des professionnels. Elle compte parmi ceux-ci des distributeurs dont des enseignes nationales. En outre, la nature des informations, qui ont été cryptées et captées par les cyberattaquants, mettait en cause la conservation des données qui avaient été recueillies. C’est pour cela que AA INDUSTRIE a effectué une déclaration. à la CNIL. Le préjudice moral, dont toute société peut demander la réparation, conformément aux principes généraux du droit est donc réel. L’indemnité réclamée, qui est modeste, justifie la demande de réparation.

II-B/ LE LIEN DE CAUSALITE

Il est de droit que le préjudice, dont la réparation est demandée, doit résulter des faits ou de la faute de celui à qui elle est imputée. Il n’est pas reproché à la Société X d’être responsable de l’attaque informatique. Ce qui lui est reproché, c’est par un manquement à son obligation d’information et de conseil.

RG 2021004430

Page 19 sur 36

04

D’autre part,

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

si

X avait respecté son obligation d’information et de conseil, elle aurait dû mettre en garde AA INDUSTRIE sur les failles de sécurité qui ont été constatées après coup, et l’inviter, conformément aux principes généraux du droit, à s’équiper d’équipements complémentaires et/ou à prendre toutes dispositions qu’elle devait décrire pour respecter son obligation de conseil, afin d’éviter qu’une attaque n’ait les conséquences qui n’ont été rendues possible en l’espèce qu’en raison de la fourniture d’un équipement non sécure et d’une absence d’information et de conseil.

II-B-2 La volonté de la société AA INDUSTRIE de disposer d’une informatique sécure ne peut être mise en doute X prétend que même si elle avait été informée des risques auxquels elle s’exposait, AA INDUSTRIE n’aurait sans doute pas effectué les investissements qu’un système plus sécure aurait pu justifier. Elle en déduit l’absence de préjudice. Pour le démontrer, elle reproduit à la page 16 de ses conclusions un extrait d’une « interview >>. Il est dommage qu’elle n’ait pas communiqué la totalité de ce document, que AA INDUSTRIE communique. Le Tribunal pourra relever que Madame Z a décrit les difficultés auxquelles elle était exposée. Si par ailleurs, elle a précisé qu’elle n’imaginait pas que son entreprise, en Finistère, serait victime d’une attaque, l’on ne peut en déduire qu’elle aurait négligé de prendre des mesures adaptées à sa sécurité. A cet égard, faut-il rappeler que AA INDUSTRIE a décidé de remplacer son matériel en investissant plus de 160.000,00 € afin de disposer d’équipements beaucoup plus performants et plus sécures. Dans la définition de ses besoins, elle précise son objectif, est d’augmenter la performance de ses serveurs, et sa capacité de stockage. Elle précise qu’elle souhaite que son volume de stockage soit

doublé.

Dans les contraintes, elle a exposé que pour pallier les risques. de défaillances, elle a deux serveurs qui permettent un basculement automatique. Elle a également spécifié dans ses besoins, un contrat d’infogérance, qui devait se substituer à celui qui existait. La situation qu’elle a présentée à MIMO afin que celle-ci fasse une offre ne comporte aucune restriction budgétaire. X a répondu à sa demande en lui promettant de lui apporter, par ses équipements et leur structure, une sécurité renforcée qui protège son investissement avec une solution pérenne évolutive. AA INDUSTRIE a accepté son offre sans restriction ni négociation du prix qui lui était soumis. À cet égard il faut préciser que le matériel qui lui a été vendu qi considéré comme très performant et à un coût important.

RG 2021004430

Page 21 sur 36

он

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

L’argument est d’autant plus inconséquent que la Société DIATEAM, comme la Société ASTEN, ont pointé les défaillances de la structure informatique fournie par X. Il est donc aussi inconséquent qu’indigne. Pour le justifier, la Société X énonce plusieurs faits. Ainsi, en dépit des pièces qui lui ont été communiquées, X continue de soutenir des contrevérités. Car alors qu’elle s’est contractuellement engagée, conformément à ses conditions générales, à se renseigner et mettre à la disposition de AA INDUSTRIE une équipe disposant de ressources et de compétences, l’on découvre qu’elle ignore que AA INDUSTRIE : – N’a pas un service informatique structuré. N’a pas les compétences qui lui sont attribuées de mauvaise foi. – Qu’elle avait un contrat d’infogérance. Qu’elle disposait d’anti-virus. Qu’elle disposait de firewalls logiciels. Qu’elle a demandé un contrat d’infogérance. Qu’elle n’a jamais refusé la proposition de maintenance de

X.

En outre contrairement à ce qu’affirme X, elle disposait d’une protection antispam.

Ces constats sont importants.

Car si réellement X avait apporté à sa mission tout le soin qu’exigeaient ses obligations générales, mais plus encore les engagements contractuels qui sont énoncés dans ses conditions générales, elle n’aurait pas dů ignorer ce fait, qu’elle continue cependant de soutenir en affirmant qu’il n’existait pas de système anti-spams, ce qui est inexact. Ce fait, à sa manière, démontre sa carence et sa faute lourde. Au surplus c’est avec beaucoup de légèreté qu’elle soutient que AA aurait refusé sa proposition de maintenance, ce qu’elle ne prouve d’ailleurs pas. Ce refus au demeurant n’est pas crédible puisque dans la présentation de ses besoins, AA INDUSTRIE a identifié un contrat d’infogérance. Ce contrat fait partie de la proposition de la Société X. Le 12 mars 2020, un représentant de la Société X lui a proposé un rendez-vous sans en préciser l’objet. AA INDUSTRIE, qui préparait la mise en place du télétravail, a proposé de le reporter à la semaine suivante. Le Covid et la loi sur l’urgence sanitaire n’ont pas permis à ce rendez-vous de se tenir. C’est un fait objectif que la Société X, avec beaucoup de déloyauté transforme en un refus d’une prestation de service.

II-B-4 La liquidation du préjudice La totalité du préjudice subi par AA INDUSTRIE est imputable à X. Aussi, en application des articles 1103, 1112-1, 1604, 1231-2, 1231-4 du Code Civil, le Tribunal la condamnera à payer la somme de 482.463,03 €.

RG 2021004430

Page 23 sur 36

Ou

180

Dès lors,

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE la direction informatique de AA a défini la politique de sauvegarde de l’entreprise moyennant le budget qui lui avait été alloué par la direction générale. AA ne saurait sérieusement soutenir que sa direction informatique n’était pas en mesure d’apprécier la portée exacte de ne pas disposer d’une sauvegarde de données déconnectée du réseau, ainsi que de disposer de nombreux comptes utilisateurs à fort privilèges. Il n’est nul besoin d’être technicien pour appréhender qu’une sauvegarde déconnectée du réseau est plus sécurisée qu’une sauvegarde connectée pour faire face aux attaques de pirates informatiques. Il relève également du bon sens que plus il existe de comptes utilisateurs à fort privilèges, moins le système d’information est sécurisé. En l’espèce, AA, qui gère elle-même son système d’information, sans faire appel à un prestataire externe pour la maintenance de celui-ci, ne saurait sérieusement alléguer qu’elle n’était pas en mesure d’appréhender la portée exacte de ses choix techniques. C’est très exactement la conclusion à laquelle le Cabinet GM Consultant abouti dans sa note technique.

Il apparaît clairement que la société AA était son propre administrateur et infogérant et disposait de toute la connaissance et des compétences pour conduire tes missions dévolues à ces activités. Ainsi, AA ne saurait alléguer que l’obligation d’information et de conseil d’un prestataire informatique ne saurait être atténuée ou supprimée lorsque son client dispose d’un service informatique, est assisté d’un technicien extérieur, ou a la même spécialité que le prestataire informatique. La jurisprudence a par ailleurs pu considérer qu’un manquement à une obligation de conseil relative à des prestations incluses ou non-incluses dans un contrat de prestation informatique ne pouvait être allégué lorsque la partie contractante avait un niveau de technicité suffisant : En l’espèce, le document d’état des lieux réalisé par AA, qui s’apparente à un cahier des charges, démontre les connaissances et capacités informatiques et techniques de son équipe. A ce titre, AA ne saurait décemment alléguer que le document transmis à X avant le début de leur relation contractuelle ne pourrait être considéré comme un cahier des charges.

»

La doctrine rappelle en effet que le cahier des charges < représente l’expression des besoins du client en informatique » et traduit les attentes et les exigences du client ». Ainsi, << Aucun modèle » de cahier des charges ne peut être raisonnablement présenté, ce dernier étant chaque fois la traduction d’une situation particulière de l’entreprise ». La doctrine rappelle également que le cahier des charges, ou l’expression des besoins du client, devra notamment présenter

les éléments suivants :

RG 2021004430

Page 25 sur 36

oll

1PA

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

se

AA allègue que la proposition émise par X pour améliorer la sécurité du système de sécurité existant de AA, n’aurait jamais été suivie d’effet, alors que X se serait engagée, dans ses conditions générales, à mettre en œuvre des mesures assurant la sécurité du système informatique de sa cliente. Par ailleurs, selon AA, X aurait dû vérifier que les informations relatives à la sécurité du système informatique de cette dernière étaient exactes, précises et suffisantes, de sorte qu’elle ne pourrait alléguer que ses obligations limitaient à l’application du cahier des charges de AA. Toutefois, il convient de souligner que lorsque les prestations sur lesquelles les parties se sont accordées font l’objet d’un contrat, tel que c’est le cas en l’espèce, il convient pour la partie qui se prévaut d’un manquement contractuel, de qualifier ce manquement, en application de l’article 1353 du Code civil selon lequel : << celui qui réclame l’exécution d’une obligation doit la prouver ». Or, pour alléguer du manquement contractuel reproché à X, AA se fonde sur les conditions générales de vente de cette dernière, aux termes desquelles celle-ci assure disposer d’une équipe de collaborateurs permettant d’assurer l’exécution des services, et indique s’engager à faire les observations paraissant opportunes au regard des règles de l’art.

lui

Ce fondement contractuel ne présente aucun lien avec le manquement allégué de X à son devoir de conseil relatif à la sécurité de l’installation du matériel. En tout état de cause, X a respecté ses engagements contractuels à la lettre, en faisant intervenir des équipes compétentes pour l’installation du matériel litigieux, et en respectant les règles de l’art, ce qui a été expressément reconnu par AA à l’occasion de la signature de la fiche de recette du 20 février 2020, laquelle rappelle :

Société

l’installation

« Ce jour, le client a recetté avec un représentant de la X Informatique le bon fonctionnement de de la commande référencée ci-dessus et sa conformité avec les engagements prévus initialement. >> En tout état de cause, le contrat signé par les parties indique de manière claire : << Cette prestation n’inclut pas les coûts potentiels pour l’acquisition des mises à jour des anti-virus et des applications de sauvegarde. L’installation d’une mise à jour implique que le Client dispose des médias nécessaires ȧ l’installation, et d’un accès au support de l’éditeur. ». Il appartenait donc à AA de réaliser les mises à jour des anti-virus de son matériel, et des applications de sauvegarde installée.

RG 2021004430

Page 27 sur 36

A

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Les tests et recettes réalisés par X ne concernaient que la continuité de services des équipements et non les mécanismes de sauvegarde ou la résilience des systèmes informatiques AA à la cybercriminalité : l’objectif des tests était de s’assurer que l’infrastructure resterait opérationnelle en cas de défaillance d’un équipement, de l’alimentation ou d’un lien réseau. Il ne s’agissait pas de tester les sauvegardes ou de s’assurer de la résilience de l’infrastructure AA à une attaque par des cyber criminels. . AA a refusé la proposition de contrat de maintenance proposé par X: AA a, en toute connaissance de cause, refusé cette offre de maintenance de la société X pour la raison qu’elle souhaitait conserver cette maîtrise en interne au regard des compétences dont elle disposait dans sa DSI. A ce titre, X a adressé une proposition de contrat d’assistance à AA le 25 février 2020, à laquelle elle n’a jamais eu de réponse; AA ne saurait alléguer que l’épidémie de COVID-19, qui a entrainé un premier confinement à compter du 17 mars 2020, soit plus de trois semaines après la réception dudit contrat, ne lui aurait pas permis d’en prendre connaissance, pas plus qu’elle ne saurait imputer à X le report de la réunion prévue pour échanger sur la proposition de contrat, alors même que c’est elle qui l’a décalée, et ce, avant le début du confinement. En réalité, AA tente, en toute mauvaise foi, de reporter 1'imputabilité de ses propres négligences sur X. En effet, il résulte de la note technique du Cabinet GM Consultant que: ⚫ AA était son propre administrateur et infogérant, cette dernière porte donc responsabilité des mécanismes de

sauvegarde mis en place.

la

Le sinistre trouve sa cause dans une opération de Phishing sans lien avec la prestation de X : . Le courrier de la société DIATEAM n’apprend rien sur le sinistre et ne fait que confirmer la négligence de AA. Le courrier de la société DIATEAM n’apporte aucun éclairage concret sur les circonstances du sinistre ni sur les moyens par lesquels les pirates se sont introduits. Il apparaît même que des informations essentielles sont passées sous silence (ouverture d’un e-mail compromis par un ou des utilisateurs de la société), ce qui atténue la crédibilité de cette pièce produite pour les besoins de la cause de AA. Et même pour ce qui concerne les supposés manquements de X, il est clairement établi qu’ils relevaient en réalité de défaillances de AA. A contrario, le courrier de la société ASTEN, produit par AA, indique que l’attaque provient de l’ouverture d’un courriel par un utilisateur membre de AA, qui ne disposait d’aucune solution anti-spam dans sa messagerie, et qui n’a pas formé ses utilisateurs aux risques liés à la cybercriminalité ;

RG 2021004430

Page 29 sur 36

04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE La direction informatique de AA a établi un cahier des charges respectant le budget que lui a été alloué par la direction générale.

du

Afin de bénéficier d’une sauvegarde externe déconnectée réseau, il aurait fallu que la direction générale de AA accorde un budget supplémentaire à la direction informatique. Or, il n’est aucunement établi que AA aurait accepté les contraintes et les coûts supplémentaires d’une solution de sauvegarde déconnectée du réseau, peu important ce qu’allègue désormais AA sur l’importance de ses ressources financières. Au contraire, AA ne s’estimait pas exposée aux risques cyber d’où sa décision de ne pas mettre en œuvre une politique de sauvegarde comprenant un support déconnecté du réseau. En résumé, la société AA se considérait non-exposée aux risques cyber au point d’avoir refusé de souscrire à une police d’assurance la protégeant contre les attaques des cybercriminels. Autrement dit, la société AA n’a pas été indemnisée par un assureur pour son préjudice, ce qui l’a conduit aujourd’hui à chercher la responsabilité de la société X.

En conséquence, X sollicite que le Tribunal : Juge que AA ne justifie pas d’un lien de causalité entre. la faute et le préjudice qu’elle allègue avoir subi ; Déboute AA de l’intégralité de ses demandes.

III. A TITRE INFINIMENT SUBSIDIAIRE, AA NE JUSTIFIENT NI DU PRINCIPE, NI DU MONTANT DE SA RECLAMATION FINANCIERE

sa

il ne

pourra

débouter

de sa

Si par impossible, le Tribunal devait juger que X a engagé la responsabilité, que réclamation financière exorbitante d’un montant de 482.463,03 € qui n’est justifiée ni dans son principe, ni dans son montant. Il convient de rappeler que la réparation du préjudice résultant de l’inexécution d’un contrat est régie par les articles 1231-2 et suivants du Code civil.

En particulier :

L’article 1231-2 dispose que «Les dommages et intérêts dus au créancier sont, en général, de la perte qu’il a faite et du gain dont il a été privé ». L’article 1231-3 dispose que : << Le débiteur n’est tenu que des dommages et intérêts qui ont été prévus ou qu’on a pu prévoir lors du contrat, lorsque ce n’est point par son dol que l’obligation n’est point exécutée ». L’article 1231-4 dispose que : << Dans le cas même οὐ l’inexécution du contrat résulte d’une faute lourde ou dolosive, les dommages et intérêts ne comprennent que ce qui est une suite immédiate et directe de l’inexécution ». Le principe de la réparation intégrale du préjudice est constamment énoncé de la manière suivante par la Cour de cassation :

RG 2021004430

Page 31 sur 36

17

oll

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Cette facture porte sur l’acquisition d’un logiciel antivirus et son installation. Il n’existe manifestement aucun lien de causalité entre cette facture, la survenance de l’attaque et les fautes que AA reproche à X.

.

AA produit une facture d’un montant de 3.900 € d’une société dénommée A3C INFORMATIQUE. Cette facture porte sur la comptabilité CEGID.

réinstallation du logiciel

de

Cette prestation a dû être réalisée et assumée par AA en raison de la survenance de l’attaque informatique et non des prétendues fautes alléguées à l’encontre de X. Il n’existe donc manifestement aucun lien de causalité entre cette facture et les fautes que AA reproche à X. ⚫ AA produit deux factures d’un montant total de 31.000 € d’une société dénommée ONTRACK. Cette société est intervenue pour décrypter les données AA.

de

Ces factures n’appellent pas d’observation de X dans leur principe. X conteste en revanche fermement la demande de prise en charge formulée à son encontre par AA pour les raisons exposées au point I et II des présentes conclusions. ⚫ AA produit une facture d’un montant de 4.700 € d’une société dénommée IROISE AERO SERVICES. Cette facture porte sur des frais de déplacement en avion privé. Il n’existe manifestement aucun lien de causalité entre cette facture, la survenance de l’attaque et les fautes que AA reproche à X. • AA produit deux factures d’un montant total de 5.500 € d’une société dénommée DIATEAM. Ces factures portent sur des prestations de réponse à incident à la suite de la survenance de l’attaque informatique. Ces prestations ont été rendues nécessaires en raison de la et de l’attaque informatique non des prétendues

survenance

fautes que AA allègue à l’encontre de X. Il n’existe donc manifestement aucun lien de causalité entre ces factures et les fautes que AA reproche à X. ⚫ AA produit une facture d’un montant de 850 € d’une société dénommée ARONDOR. La prestation objet de cette facture est intitulée « reprise de factures ». AA ne justifie pas d’un quelconque lien de causalité entre cette facture et les faute qu’elle allègue à l’encontre de

X.

X entend en outre souligner que AA ne justifie pas avoir effectivement réglé ces montants. En conséquence, X sollicite que le Tribunal déboute AA de l’intégralité de sa demande d’un montant de 62 680,03 € au titre des coûts internes qui n’est justifiée ni dans principe, ni dans son montant.

son

RG 2021004430

Page 33 sur 36

A

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

A titre subsidiaire

ce qu’elle

DEBOUTER AA de l’intégralité de ses demandes en ne justifie pas d’un lien de causalité entre la faute et le préjudice qu’elle allègue avoir subi ;

A titre infiniment subsidiaire

DEBOUTER AA de l’intégralité de ses demandes en ce qu’elle ne justifie ni du principe, ni du montant du préjudice qu’elle. allègue avoir subi ;

En tout état de cause

AB AA à payer à X une somme de 10.000 € au titre de l’article 700 du Code de procédure civile ; AB AA aux entiers dépens d’instance.

MOTIFS DE LA DECISION

Sur la demande principale

son

Attendu que AA INDUSTRIE demande au Tribunal de juger que la société X a manqué à son obligation d’information et de conseil de juger que la société X a manqué à obligation de délivrance; de juger que les manquements à ses obligations générales et à ses obligations contractuelles en raison de leur extrême gravité, constituent une faute lourde; de juger qu’elle est responsable du préjudice subi par la société AA INDUSTRIE ; Que X demande au Tribunal de débouter AA INDUSTRIE de l’intégralité de ses demandes en ce qu’elle ne justifie ni du principe, ni du montant du préjudice qu’elle allègue avoir subi;

Attendu que l’expression de besoins formulée par le service informatique de AA INDUSTRIE portait exclusivement sur le remplacement de matériel et ne formule aucune demande relative à la sécurité informatique ; Que les objectifs de sécurité contenus dans la présentation de X préalable à l’offre visaient la nouvelle infrastructure à mettre en place (en particulier du fait de la fin de support Microsoft) ; et non la sécurité relative aux procédures et à l’administration du système d’information de l’entreprise ; Que l’offre de service proposée par X et acceptée par AA INDUSTRIE portait exclusivement sur l’installation de matériels (serveurs, disques, cartes, câbles, écrans, consoles, onduleurs, baies, switchs, …) et leurs logiciels associés ;

matériels

Que la recette de l’installation des ces nouveaux matériels a et été fait les INDUSTRIE ; que réserve par AA sans livrés et leur bon fonctionnement ne sont pas contestés par AA INDUSTRIE; Qu’il ne peut donc être reproché à X d’avoir manqué à son obligation de délivrance; Que par ailleurs, X avait proposé, le 25 février 2020, un contrat d’assistance globale visant à délivrer, entre autres, des prestations relatives aux sauvegardes et à l’administration

du réseau ;

RG 2021004430

Page 35 sur 36

Oll

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

TRIBUNAL DE COMMERCE DE NANTES

AFFAIRE 2021004430

JUGEMENT DU 17 juillet 2023

ENTRE La Société AA INDUSTRIE – SAS, dont le siège social est […] 4, Route de DOUARNENEZ à […] (29180), agissant poursuites et diligences de ses représentants légaux, domiciliés en cette qualité audit siège,

Demanderesse,

Avant pour avocat la SELARL ALEMA AVOCATS représentée par Maître Alain COROLLER-BEQUET Avocat au Barreau de Quimper sis […] […] ([…]00).

ET: La Société X – SAS, dont le siège social est […] à […] (44240) prise en la personne de sa présidente

Défenderesse,

Avant pour avocat postulant:

Maitre Florence NATIVELLE, Avocat au barreau de Nantes, […] (44000), (Case Palais […]). Avant pour avocat plaidant le Cabinet H20 représenté par Maitre Nicolas HERZOG, Avocat au Barreau de Paris 222, boulevard Saint Germain à PARIS (75007).

COMPOSITION DU TRIBUNAL lors des débats Messieurs Jean Paul ATOUIL, Président de Chambre, Christian ROZE, Madame Nathalie NICOLAS, Juges, assistés par Maitre Margaux MAUSSION-CASSOU, Greffière associée,

COMPOSITION DU TRIBUNAL lors du prononcé du jugement Messieurs Jean Paul ATOUIL, Président de Chambre, Christian ROZE, Madame Nathalie NICOLAS, Juges, assistés par Maître Marielle MONTFORT, Greffière associée,

DEBATS à l’audience publique du 24 avril 2023

JUGEMENT: CONTRADICTOIRE

Prononcé à l’audience publique du 17 juillet 2023, date indiquée par le Président à l’issue des débats, par l’un des Juges ayant participé au délibéré.

RG 2021004430

Page 1 sur 36

04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE JUGER qu’elle est responsable du préjudice subi par la société AA INDUSTRIE; AB la société X à verser à la société AA INDUSTRIE la somme de 482.463,03 euros, correspondant à : Factures des prestataires: 62.680,03 €; Dépenses salariales 414.783,00 €; Atteinte à l’image 5.000 €.

AB la société X aux dépens de l’instance et à 8.000 € au titre de l’article 700 du Code de Procédure Civile.

Au soutien de ces demandes, la société AA INDUSTRIE prétend que:

I – LA STE X A MANQUÉ A SES OBLIGATIONS

I-A/ LE MANQUEMENT A L’OBLIGATION D’INFORMATION ET DE CONSEIL

I-A-1 Les obligations générales de la société X Depuis la réforme du Code Civil, en 2016, le législateur a formalisé les obligations que la Cour de Cassation avaient déjà fixées. Dans des pourparlers, il existe un devoir d’information, et en particulier pour toutes celles qui sont déterminantes du consentement. Ce devoir, ne peut être ni exclu, ni limité (article 1112-1 du Code civil). En matière informatique, il est particulièrement important, aut regard de la technicité du matériel et des prestations que fournissent les professionnels dans ce domaine. La Cour de cassation a ainsi jugé que le prestataire est tenu de respecter une « obligation générale d’information renforcée ». Pour être efficiente, l’obligation d’information et de conseil. impose les obligations particulières suivantes :

⚫ L’obligation de renseignement

Le prestataire informatique doit se renseigner sur les besoins. de son client pour lui fournir un matériel adéquat. Cette obligation de renseignement ne lui permet pas de se contenter des informations qui lui sont communiquées par son client.

Il

elles le devoir de vérifier si a complètes.

sont suffisantes et

C’est encore sur le même principe qu’il appartient à tout de l’informatique, au professionnel titre de son devoir d’information recueillir l’expression des besoins, éventuellement spécifiques au regard, notamment de son activité, structure, de de son organisation et

de

sa

fonctionnement.

de

au

son mode

de

La Cour de Cassation a approuvé une Cour d’Appel d’avoir jugé que vérifier cette obligation impose prestataire « de l’environnement particulier de son client, d’envisager les risques de l’absence de définition précise des besoins pour le projet concerné et de s’enquérir des informations nécessaires ». RG 2021004430

Page 3 sur 36

он

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

Elle a rappelé que « L’avocat rédacteur d’un acte est tenu à de 1'égard toutes les parties quelles soient que leurs compétences personnelles, d’une obligation de conseil et le cas échéant de mise en garde en ce qui concerne notamment les effets et les risques des stipulations convenues et que l’existence d’une clause claire dans l’acte ne la dispense pas de les informer sur les conséquences qui s’y attachent. » La portée de cet arrêt est générale. Elle ne s’applique pas en effet à l’avocat en vertu d’une disposition qui régit l’exercice de son activité. C’est d’ailleurs au regard de l’ancien article 1147 du Code civil qui régit la responsabilité contractuelle à laquelle est soumise la société X, qu’elle a statué.

Les

donc

énoncés dans cette décision sont principes transposables en l’espèce, puisque X, en raison de la nature de ses prestations et de ses fournitures, avait une obligation d’information, de conseil et de mise en garde, qui ne pouvait être atténuée même si AA INDUSTRIE avait des compétences.

La fourniture d’informations compréhensibles L’informatique est une matière particulièrement technique, qui crée une asymétrie de connaissances entre le prestataire et son client. C’est ce qui justifie que l’ensemble des informations et conseils que le prestataire communique, doit être clair et compréhensible. Elle ne peut se réduire à une présentation technique. Une cour d’appel, statuant à propos d’un litige portant sur un dysfonctionnement dans un processus de sauvegarde de données, a résumé l’obligation d’information du prestataire comme étant << un triple devoir de renseignement, de mise en garde et de conseil ». Elle a ainsi jugé que « la fourniture de données purement techniques est insuffisante » et que les informations devaient être compréhensibles. Les consignes qu’il fournit doivent aussi être claires quant à l’utilisation du matériel. Ainsi, il a été jugé qu’un prestataire a manqué à cette obligation, car, bien qu’il eût émis des consignes en matière de sauvegarde, ces consignes n’étaient pas suffisamment pédagogiques. Il a été condamné à réparer le préjudice subi par son client à la suite d’une perte de données due à la sauvegarde défaillante.

• La compétence du client

Il a déjà été rappelé que même si le client dispose d’un service informatique, pour autant, l’obligation d’information et de conseil ne disparait pas.

a le client

la

Ce n’est que si même spécialité que prestataire que cette obligation peut être supprimée

le ou

atténuée. Mais cela signifie qu’ils doivent, l’un et l’autre, exercer la même activité.

RG 2021004430

Page 5 sur 36

Qu

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

un

Elle soutient à cet égard que AA INDUSTRIE a établi cahier des charges portant exclusivement sur cette fourniture, et que sa mission se limitait à l’appliquer à la lettre. Elle en déduit qu’elle n’a pas pris d’obligation particulière qui l’obligerait spécialement à une information ou à un conseil. Ces affirmations, qui confinent à la caricature, sont invoquées pour tenter d’exclure toute obligation et responsabilité. Mais elles illustrent davantage sa responsabilité que son absence d’obligation. Car outre ses obligations générales, la Société X a pris des engagements particuliers sur son obligation d’information et de conseil mais aussi sur la sécurité de son de son installation.

La sécurité de son installation AA INDUSTRIE n’a jamais établi un cahier des charges. Le document que X communique (Sa pièce n° 1) n’est en effet qu’un état des lieux précisant ses besoins. Entre autres, AA INDUSTRIE souhaitait augmenter son. espace de stockage, ainsi que ses performances. Elle précisait qu’elle utilisait une solution « Veeam >> pour sauvegarder ses machines virtuelles et qu’elle souhaitait conserver en back up complet par mois. Bien que ce document soit sommaire, X prétend qu’il constituerait un véritable cahier des charges. Elle en déduit qu’il démontrerait les compétences de AA INDUSTRIE. L’argument est encore une fois soutenu de mauvaise foi. Car en matière informatique, comme dans tous les domaines techniques, le cahier des charges ne se confond pas avec une simple description d’un état des lieux et des besoins. Suivant des définitions courantes, c’est « un document visant à définir exhaustivement les spécifications de base d’un produit ou d’un service à réaliser. Outre les spécifications de base, il décrit ses modalités d’exécution et définit aussi les objectifs à atteindre et vise à bien cadrer une mission…». X dénature volontairement le document qu’elle qualifie de << cahier des charges » pour en déduire, de manière opportuniste. mais de mauvaise foi, que AA INDUSTRIE est un professionnel averti.

Pour répondre à ce besoin, X a établi une proposition, le 26 juillet en rappelant, que le système existant manquait de sécurité. Sa proposition était supposée l’améliorer. C’est ce qu’elle précise dans la définition de ses propres objectifs dans les termes suivants : << Objectif amélioration des performances pour les applications existantes, une sécurité renforcée, etc., une protection de l’investissement avec une solution pérenne et évolutive. ».

:

une

RG 2021004430

Page 7 sur 36

A

04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Indépendamment de cette obligation contractuelle qui l’obligeait expressément, la Cour d’Appel de Rennes, a rappelé qu’il incombe au professionnel, au titre de son devoir d’information et de conseil, d’informer son client « de la nécessité d’adapter, le cas échéant de modifier, le système de sauvegarde de manière à que les toujours être données puissent sauvegardées efficacement et, le cas échéant restaurées, en cas de sinistre affectant le serveur ».

ce

Conclusion

Pour apprécier sa responsabilité, le Tribunal devra considérer les obligations générales auxquelles elle était tenue, et les obligations particulières qu’elle contractuellement engagée à respecter.

ainsi

s’est

Car elle n’a pas été dispensée, directement ou indirectement, de les respecter

I-A-3 Les obligations de X ne sont ni supprimées ni réduites X revendique une dispense d’obligation d’information et de conseil en invoquant deux arguments. Elle prétend que la fourniture de matériel supprimerait ou atténuerait ses obligations. D’autre part, elle soutient que son obligation d’information et de conseil dépend de la compétence du client, et que la Société AA INDUSTRIE disposait d’un service informatique qui la dispensait, de fait comme de droit, de toute obligation. Ces arguments sont singuliers. Car X revendique un savoir- faire et un professionnalisme qui ne sont pas compatibles avec ses arguments.

I-A-3-a) La nature de sa prestation X soutien qu’elle ne porterait que sur la fourniture de matériel. Mais s’il est vrai que son devis porte essentiellement sur du matériel, elle est légalement tenue aux obligations générales d’information et de conseil. Les principes, qui ont été rappelés ci-dessus, ne bornent pas. l’obligation d’information et de conseil à la fourniture de services, comme l’infogérance ou un audit. Elles s’imposent également lors de la fourniture de matériel. Car dès lors que ce matériel doit répondre à un besoin, que le fournisseur est tenu d’apprécier en se renseignant auprès de son client et en vérifiant que le matériel est adapté et suffisant pour répondre aux objectifs contractuels, l’information, le service sont indissociables de cette prestation.

comme

De même en raison de sa technicité le matériel ne peut être fourni sans être accompagné d’information et de conseil. Au surplus, X s’est obligée dans ses objectifs, à renforcer la sécurité de l’installation pour répondre aux besoins de AA INDUSTRIE. Elle s’est également engagée contractuellement de faire toute observation qui lui paraîtrait opportune. Ce premier argument est donc dépourvu de pertinence.

RG 2021004430

Page 9 sur 36

ои

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

La Société AA INDUSTRIE n’a pas élaboré un cahier des charges Le Tribunal pourra se reporter aux développements précédents. Car le document que X présente comme tel, ne fait qu’un état des lieux, qui exprime des besoins, sans être juridiquement et techniquement assimilable à un cahier des charges. X ne peut donc, sans dénaturer cet état des lieux, en déduire que AA INDUSTRIE disposait d’une compétence qui la dispensait de toute obligation d’information et de conseil, comme elle le soutient dans ses conclusions. ⚫ AA INDUSTRIE n’a pas, d’autre part, défini « sa politique » de sauvegarde. Elle a précisé l’état des lieux et ses besoins de manière assez sommaire. X l’a parfaitement compris en interprétant ses besoins et en proposant une nouvelle infrastructure avec une sauvegarde Veeam et de nouvelles prestations intégrées dans la phase 4, comprenant la rédaction d’un cahier d’exploitation et d’un plan de sauvegarde.

une

⚫ En outre, rien ne justifiait l’intervention d’un maitre d’œuvre puisque X revendique une compétence et expérience qui devaient permettre à AA INDUSTRIE bénéficier de services adaptés et efficients pour répondre à ses besoins.

de

Il est par ailleurs faux d’affirmer que AA INDUSTRIE aurait refusé un contrat d’assistance. Cette affirmation que rien ne justifie est au surplus ridicule car dans l’expression de ses besoins, qu’elle a récapitulés, elle a demandé un contrat d’infogérance sur ces hyperviseurs. Pour répondre à cette demande, X a établi un projet de contrat. Il devait être examiné le 12 mars 2020. Mais en raison d’un contretemps lié à la mise en place du télétravail, AA INDUSTRIE a demandé un report du rendez-vous inopiné qui lui avait été proposé à 8 jours. Le confinement qui a ensuite été ordonné par le Gouvernement n’a pas permis de le tenir. X n’a proposé aucune solution alternative. Il est donc choquant qu’elle prétende, sans le démontrer, que AA INDUSTRIE aurait refusé toute assistance. Cette affirmation démontre qu’elle ne tente pas d’établir loyalement qu’elle aurait respecté ses obligations. Elle prouve que pour ne pas les assumer, elle n’hésite pas à énoncer des

contrevérités.

Il est d’ailleurs remarquable de constater qu’après avoir affirmé que AA INDUSTRIE aurait refusé un contrat d’assistance, elle convient désormais que le contrat a bien été établi, et que par suite des circonstances qui sont rappelées ci-dessus, il n’a pu être signé. Enfin,

il

X

s’est

faut rappeler que obligée, contractuellement, à < présenter toute observation qui lui paraîtrait opportune, au regard des règles de son art sur la prestation confiée ».

RG 2021004430

Page 11 sur 36

04

ра

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE En tant que société informatique spécialisée, revendiquant un référencement auprès des autorités, elle ne peut ignorer les risques auxquels sont exposées les entreprises. Les objectifs de AA INDUSTRIE étaient de renforcer sa sécurité. Il faut à cet égard rappeler que dans sa proposition, 1'infrastructure devait comporter une sauvegarde «Veeam » et ses prestations devaient porter sur la configuration des travaux de sauvegarde « Veeam BACKUP », ainsi que sur la validation des sauvegardes à partir de la rédaction d’un plan de sauvegarde. La Société X reconnaît, que l’installation de AA INDUSTRIE 1'exposait à des risques, dès lors que la sauvegarde n’était pas déconnectée du réseau et que, d’autre part, il existait « de nombreux comptes utilisateurs à fort privilège >>. Elle complète ces affirmations en mentionnant qu’il ne serait pas nécessaire d’être un technicien pour appréhender les risques liés à cette situation. -X relève d’autre part, que AA INDUSTRIE « ne disposait d’aucune solution anti-spam dans sa messagerie qui aurait permis d’identifier les mails suspects ». Elle reconnait ainsi qu’elle avait identifié les failles de sécurité du système informatique de AA INDUSTRIE. La Société ASTEN, qui est intervenue dans les heures qui ont suivi l’attaque informatique, a effectué différents constats et a identifié d’autres failles. Elle relève ainsi que la conception

de l’architecture

informatique proposée et fournie par X ne prenait pas en compte le risque d’une compromission de son système d’information par le biais d’une attaque informatique. Elle constate également que la sauvegarde «Veeam >> était intégrée à l’Activ Directory, ce qui a permis aux hackeurs d’en. prendre le contrôle plus facilement. Il faut à cet égard rappeler que dans sa proposition, l’infrastructure devait comporter une sauvegarde << Veeam >> et ses prestations devaient porter sur la configuration des travaux de sauvegarde «Veeam BACKUP », ainsi que sur la validation des sauvegardes à partir de la rédaction d’un plan de sauvegarde. Il y a donc un rapport direct entre son intervention et les facilités dont le ou les hackers ont bénéficié. En outre, la Société ASTEN relève que : Le système de sauvegarde mis en œuvre ne permettait pas d’avoir sauvegardes déconnectées,

des

externalisées….

soit

soit

— Les stations de travail et les serveurs ne disposaient pas d’un système antivirus performent et centralisé. – Les firewalls logiciels, les PfSense installés sont des firewalls de type « open source », moins performants. Or X n’a jamais attiré son attention sur ces failles de sécurité. De même, en dépit d’un investissement de 160.000 €, X ne l’a jamais mise en garde comme elle devait légalement et le faire, sur les

contractuellement s’exposait.

RG 2021004430

Page 13 sur 36

он

risques auxquels elle

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Ainsi, il faut relever que ce document ne correspond pas aux dispositions de l’article 9 des conditions générales de vente, qui organisent la recette suivant des conditions particulières qui pouvaient, le cas échéant, être énoncées dans le bon de commande. Or, ces conditions ne sont pas communiquées. D’autre part, la délivrance pour les produits complexes n’est « pleinement exécutée qu’une fois réalisée la mise au point effective ». C’est ce qu’a rappelé la Cour de cassation. Or, ce procès-verbal ne démontre pas que la mise au point fût effective comme les circonstances d’ailleurs l’ont démontées. Car la sécurité du système informatique, qui constituait une exigence de AA INDUSTRIE, et que X s’est engagée à satisfaire, n’a pas été effective. Ainsi il faut relever que le document intitulé pré-recette infrastructure a été transmis par mail à AA INDUSTRIE. Dans la liste des contrôles effectués, le Tribunal pourra constater qu’aucun ne porte sur la sauvegarde alors même que l’objectif de consolider le système d’information est rappelé dans l’introduction de ce document. Les constatations de la Société ASTEN le démontrent. X ne peut par conséquent prétendre qu’elle aurait satisfait la demande de AA INDUSTRIE dès lors qu’il est avéré que la sécurité du système informatique a été défaillante. A toutes fins, il faut relever que l’affiche dite de « recettes », dans les conditions générales de vente, ne comporte aucune disposition qui interdirait à AA INDUSTRIE de contester la délivrance effective du matériel qui lui a été livré. Au demeurant comme l’a jugé la Cour d’Appel de Lyon dans un arrêt du 11 juin 2020 (18/03212), la signature d’un procès- verbal de réception ne peut justifier la conformité de la fourniture à la commande. La preuve de son manquement résulte également du rapport de la Société DIATEAM. Il constate aussi multitude de comptes à fort privilèges qui ont permis un attaquant de réussir très rapidement accéder à l’ensemble du système d’information. Or bien que ces comptes n’eussent pas de justification apparente, ils ont été dupliqués dans la configuration installée par X et ont ainsi largement ouvert la voie au cyber attaquant. La Société ASTEN relève aussi dans son attestation que : Les deux serveurs livrés n’ont pas la même configuration. Le serveur de sauvegarde Veeam était intégré à l’Activ Directory, ce qui a créé une faille de sécurité. Le système de sauvegarde ne permettait pas d’avoir des sauvegardes déconnectées.

— 

le paramétrage du système de sauvegarde ne permettait pas d’exécuter un << reverse snapshot », qui est une éventuelle solution pour revenir dans un état avant compromission. Les stations de travail et les serveurs ne disposaient pas d’un système anti-virus.

RG 2021004430

Page 15 sur 36

ои

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Jusqu’à cette date, les salariés ont du travailler dans des conditions difficiles pour récupérer toutes les informations qui leur étaient nécessaires, afin de rétablir progressivement un fonctionnement de la Société et éviter des conséquences très lourdes. Des salariés précisent pour chacun des services auxquels ils sont affectés, leur quotidien, notamment le service comptable, le service paie, le coordinateur au transport, le directeur des achats, le service après-vente, la production, la recherche et développement, et le service clients.

II-A-3 Le coût de la remise en état Dans son assignation, AA INDUSTRIE a précisé et justifié les coûts liés aux conséquences de l’attaque informatique. Ils s’élèvent à 477.463,03 €, auxquels s’ajoute la réparation. d’une atteinte à l’image qui a été évaluée à 5.000,00 €. La Société X conteste ces coûts. Après avoir rappelé que, suivant les principes généraux du droit, seul le préjudice actuel direct et certain peut être. réparé, elle prétend que AA INDUSTRIE ne justifierait pas les coûts externes et internes. Ces contestations ne sont pas sérieuses. Mais au préalable il faut rappeler que lorsqu’une faute lourde est commise, la réparation doit porter sur tous les préjudices qu’ils soient directs ou indirects. C’est ce qui résulte de l’ancien article 1150 du Code civil est désormais de l’article 1231-3 du Code civil.

II-A-3-a Les coûts externes

— 

Pour récupérer les données, qui avaient été cryptées, et permettre une reprise progressive, puis totale de l’activité, AA INDUSTRIE a été contrainte de faire appel à huit prestataires. Leurs factures ont été réglées pour un montant de 62.680,03 €. X prétend que ce préjudice ne serait pas justifié. Elle ose affirmer qu’elles ne seraient pas les conséquences de l’attaque informatique. Pour un spécialiste de la cibersécurité, une telle affirmation semble révéler une ignorance de la matière qu’elle est supposée maitriser, à moins qu’il ne s’agisse plus opportunément d’une contestation la loyauté permet de douter de son professionnalisme

dont

La Société LINKS est la société qui assiste la Société AA pour les aspects techniques liés à son ERP (CEGIP PMI) depuis plus de 15 ans. C’est elle qui l’a aidé à reconstituer au plus vite un réseau déconnecté avec des machines reformatées. Réinstallation des licences, paramétrage … La Société PC CLEAN est une société de services et de vente de matériel informatiques basée à Douarnenez tout proche de l’entreprise. Elle a aidé la Société AA à : 1- Reformater les ordinateurs infectés par le virus (par exemple facture FA20201148)

RG 2021004430

Page 17 sur 36

04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

Ce coût a été vérifié et attesté par l’expert-comptable la Société PWC. La Société PWC a effectué des investigations pour vérifier la sincérité de l’évaluation du temps de travail qui a été affecté en conséquence de l’attaque informatique. Dans ses conclusions, X prétend que ce coût serait injustifié, car le paiement des salaires est une obligation qui incombe à l’employeur. L’argument est désarmant de naïveté ou de mauvaise foi. Car les salariés n’ont pas été embauchés pour réparer les conséquences d’une attaque informatique. Les tâches auxquelles ils ont été obligés de se livrer à la suite de cette attaque, ne sont pas des tâches normales liées à un exercice normal de leur activité, mais des tâches exceptionnelles, dont le seul but était de permettre à la société de reprendre un fonctionnement normal et dans la cause exclusive résulte des conséquences de l’attaque. Ces salaires représentent ainsi un surcoût puisqu’ils rémunèrent un temps de travail affecté exclusivement à réparer les conséquences de l’attaque. Ce coût interne correspond donc bien à un préjudice réparable. C’est en ce sens qu’a statué la Cour d’Appel de Rennes dans un arrêt du 04 janvier 2022 (19/01179).

II-A-3-c L’atteinte à l’image

AA INDUSTRIE a demandé le versement d’une indemnité de 5.000,00 € en raison de l’atteinte portée à son image. Car il est vrai l’attaque, que dont elle a les subi conséquences, a affecté sa capacité à honorer ses engagements à l’égard de clients qui, pour l’essentiel, sont constitués de grands comptes. AA INDUSTRIE ne fournit pas en effet des particuliers, mais uniquement des professionnels. Elle compte parmi ceux-ci des distributeurs dont des enseignes nationales. En outre, la nature des informations, qui ont été cryptées et captées par les cyberattaquants, mettait en cause la conservation des données qui avaient été recueillies. C’est pour cela que AA INDUSTRIE a effectué une déclaration à la CNIL. Le préjudice moral, dont toute société peut demander la réparation, conformément aux principes généraux du droit est donc réel. L’indemnité réclamée, qui est modeste, justifie la demande de réparation.

II-B/ LE LIEN DE CAUSALITE

Il est de droit que le préjudice, dont la réparation est demandée, doit résulter des faits ou de la faute de celui à qui elle est imputée. Il n’est pas reproché à la Société X d’être responsable de l’attaque informatique. Ce qui lui est reproché, c’est par un manquement à son obligation d’information et de conseil.

RG 2021004430

Page 19 sur 36

он

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

X avait conseil, elle

respecté aurait dû

son obligation mettre en garde

D’autre part, si d’information et de AA INDUSTRIE sur les failles de sécurité qui ont été constatées après coup, et l’inviter, conformément aux principes généraux du droit, à s’équiper d’équipements complémentaires et/ou à prendre toutes dispositions qu’elle devait décrire pour respecter son obligation de conseil, afin d’éviter qu’une attaque n’ait les conséquences qui n’ont été rendues possible en l’espèce qu’en raison de la fourniture d’un équipement non sécure et d’une absence d’information et de conseil.

II-B-2 La volonté de la société AA INDUSTRIE de disposer d’une informatique sécure ne peut être mise en doute X prétend que même si elle avait été informée des risques auxquels elle s’exposait, AA INDUSTRIE n’aurait sans doute pas effectué les investissements qu’un système plus sécure aurait pu justifier. Elle en déduit l’absence de préjudice. Pour le démontrer, elle reproduit à la page 16 de ses conclusions un extrait d’une «< interview >>. Il est dommage qu’elle n’ait pas communiqué la totalité de cel document, que AA INDUSTRIE communique. Le Tribunal pourra relever que Madame Z a décrit les difficultés auxquelles elle était exposée. Si par ailleurs, elle a précisé qu’elle n’imaginait pas que son entreprise, en Finistère, serait victime d’une attaque, l’on ne peut en déduire qu’elle aurait négligé de prendre des mesures adaptées à sa sécurité. A cet égard, faut-il rappeler que AA INDUSTRIE a décidé de remplacer son matériel en investissant plus de 160.000,00 € afin de disposer d’équipements beaucoup plus performants et plus sécures. Dans la définition de ses besoins, elle précise son objectif, est d’augmenter la performance de ses serveurs, et sa capacité de stockage. Elle précise qu’elle souhaite que son volume de stockage soit doublé. Dans les contraintes, elle a exposé que pour pallier les risques de défaillances, elle a deux serveurs qui permettent un

basculement automatique.

Elle a également spécifié dans ses besoins, un contrat d’infogérance, qui devait se substituer à celui qui existait. La situation qu’elle a présentée à MIMO afin que celle-ci fasse une offre ne comporte aucune restriction budgétaire. X a répondu à sa demande en lui promettant de lui apporter, par ses équipements et leur structure, une sécurité renforcée qui protège son investissement avec une solution pérenne

évolutive.

AA INDUSTRIE a accepté son offre sans restriction ni négociation du prix qui lui était soumis. À cet égard il faut préciser que le matériel qui lui a été vendu qi considéré comme très performant et à un coût important.

RG 2021004430

Page 21 sur 36

он

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

L’argument est d’autant plus inconséquent que la Société DIATEAM, comme la Société ASTEN, ont pointé les défaillances de la structure informatique fournie par X. Il est donc aussi inconséquent qu’indigne. Pour le justifier, la Société X énonce plusieurs faits. Ainsi, en dépit des pièces qui lui ont été communiquées, X continue de soutenir des contrevérités. Car alors qu’elle s’est contractuellement engagée, conformément à ses conditions générales, à se renseigner et mettre à la disposition de AA INDUSTRIE une équipe disposant de ressources et de compétences, l’on découvre qu’elle ignore que

AA INDUSTRIE :

N’a pas un service informatique structuré. N’a pas les compétences qui lui sont attribuées de mauvaise

foi.

— 

Qu’elle avait un contrat d’infogérance. Qu’elle disposait d’anti-virus. Qu’elle disposait de firewalls logiciels. – Qu’elle a demandé un contrat d’infogérance. Qu’elle n’a jamais refusé la proposition de maintenance de

X.

En outre contrairement à ce qu’affirme X, elle disposait d’une protection antispam.

Ces constats sont importants.

Car si réellement X avait apporté à sa mission tout le soin qu’exigeaient ses obligations générales, mais plus encore les engagements contractuels qui sont énoncés dans ses conditions générales, elle n’aurait pas dû ignorer ce fait, qu’elle continue cependant de soutenir en affirmant qu’il n’existait pas de système anti-spams, ce qui est inexact. Ce fait, à sa manière, démontre sa carence et sa faute lourde. Au surplus c’est avec beaucoup de légèreté qu’elle soutient que AA aurait refusé sa proposition de maintenance, ce qu’elle ne prouve d’ailleurs pas. Ce refus au demeurant n’est pas crédible puisque dans la présentation de ses besoins, AA INDUSTRIE a identifié un contrat d’infogérance. Ce contrat fait partie de la proposition de la Société X. Le 12 mars 2020, un représentant de la Société X lui a proposé un rendez-vous sans en préciser l’objet. AA INDUSTRIE, qui préparait la mise en place du télétravail, a proposé de le reporter à la semaine suivante. Le Covid et la loi sur l’urgence sanitaire n’ont pas permis à ce rendez-vous de se tenir. C’est un fait objectif que la Société X, avec beaucoup de déloyauté transforme en un refus d’une prestation de service.

II-B-4 La liquidation du préjudice La totalité du préjudice subi par AA INDUSTRIE est imputable. à X. Aussi, en application des articles 1103, 1112-1, 1604, 1231-2, 1231-4 du Code Civil, le Tribunal la condamnera à payer la somme de 482.463,03 €.

RG 2021004430

Page 23 sur 36

он

160

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Dès lors, la direction informatique de AA a défini la politique de sauvegarde de l’entreprise moyennant le budget qui lui avait été alloué par la direction générale. AA ne saurait sérieusement soutenir que sa direction informatique n’était pas en mesure d’apprécier la portée exacte de ne pas disposer d’une sauvegarde de données déconnectée du réseau, ainsi que de disposer de nombreux comptes utilisateurs à fort privilèges. Il n’est nul besoin d’être technicien pour appréhender qu’une sauvegarde déconnectée du réseau est plus sécurisée qu’une sauvegarde connectée pour faire face aux attaques de pirates informatiques. Il relève également du bon sens que plus il existe de comptes utilisateurs à fort privilèges, moins le système d’information est sécurisé. En l’espèce, AA, qui gère elle-même son système d’information, sans faire appel à un prestataire externe pour la maintenance de celui-ci, ne saurait sérieusement alléguer qu’elle n’était pas en mesure d’appréhender la portée exacte de ses choix techniques. C’est très exactement la conclusion à laquelle le Cabinet GM Consultant abouti dans sa note technique. Il apparaît clairement que la société AA était son propre. administrateur et infogérant et disposait de toute la connaissance et des compétences pour conduire tes missions dévolues à ces activités. Ainsi, AA ne saurait alléguer que l’obligation d’information et de conseil d’un prestataire informatique ne saurait être atténuée ou supprimée lorsque son client dispose d’un service informatique, est assisté d’un technicien extérieur, ou a la même spécialité que le prestataire informatique. La jurisprudence a par ailleurs pu considérer qu’un manquement à une obligation de conseil relative à des prestations incluses out non-incluses dans un contrat de prestation informatique ne pouvait être allégué lorsque la partie contractante avait un niveau de technicité suffisant : En l’espèce, le document d’état des lieux réalisé par AA, un cahier des qui s’apparente charges, démontre les connaissances et capacités informatiques et techniques de son équipe. A ce titre, AA ne saurait décemment alléguer que le document transmis à X avant le début de leur relation contractuelle ne pourrait être considéré comme un cahier des charges. La doctrine rappelle en effet que le cahier des charges << représente l’expression des besoins du client en informatique » et traduit les attentes et les exigences du client >>. Ainsi, «< modèle « de cahier des charges ne être peut raisonnablement présenté, ce dernier étant chaque fois la traduction d’une situation particulière de l’entreprise ». La doctrine rappelle également que le cahier des charges, ou l’expression des besoins du client, devra notamment présenter les éléments suivants :

Aucun

RG 2021004430

<<

Page 25 sur 36

oll

1PA

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

se

AA allègue que la proposition émise par X pour améliorer la sécurité du système de sécurité existant de AA, n’aurait jamais été suivie d’effet, alors que X se serait engagée, dans ses conditions générales, à mettre en œuvre des mesures assurant la sécurité du système informatique de sa cliente. Par ailleurs, selon AA, X aurait dû vérifier que les informations relatives à la sécurité du système informatique de de cette dernière étaient exactes, précises et suffisantes, sorte qu’elle ne pourrait alléguer que ses obligations limitaient à l’application du cahier des charges de AA. Toutefois, il convient de souligner que lorsque les prestations sur lesquelles les parties se sont accordées font l’objet d’un contrat, tel que c’est le cas en l’espèce, il convient pour la partie qui se prévaut d’un manquement contractuel, de qualifier ce manquement, en application de l’article 1353 du Code civil selon lequel: celui qui réclame l’exécution d’une obligation. doit la prouver ». Or, pour alléguer du manquement contractuel reproché à X, AA se fonde sur les conditions générales de vente de cette dernière, aux termes desquelles celle-ci assure disposer d’une équipe de collaborateurs permettant d’assurer l’exécution des services, et indique s’engager à faire les observations lui paraissant opportunes au regard des règles de l’art.

Ce

fondement

ne

aucun

lien

avec

le

contractuel présente manquement allégué de X à son devoir de conseil relatif à la sécurité de l’installation du matériel. En tout état de cause, X a respecté ses engagements contractuels à la lettre, en faisant intervenir des équipes compétentes pour l’installation du matériel litigieux, et en respectant les règles de l’art, ce qui a été expressément reconnu par AA à l’occasion de la signature de la fiche de recette du 20 février 2020, laquelle rappelle:

la

sa

« Ce jour, le client a recetté avec un représentant de Société X Informatique le bon fonctionnement de l’installation de la commande référencée ci-dessus et conformité avec les engagements prévus initialement. » En tout état de cause, le contrat signé par les parties indique de manière claire : « Cette prestation n’inclut pas les coûts potentiels pour des l’acquisition mises à jour des anti-virus et des applications de sauvegarde. L’installation d’une mise à jour implique que le Client dispose des médias nécessaires l’installation, et d’un accès au support de l’éditeur. ». Il appartenait donc à AA de réaliser les mises à jour des anti-virus de son matériel, et des applications de sauvegarde installée.

RG 2021004430

Page 27 sur 36

A

ои

.

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Les tests et recettes réalisés par X ne concernaient que la continuité de services des équipements et non les mécanismes de sauvegarde ou la résilience des systèmes informatiques AA à la cybercriminalité : l’objectif des tests était de s’assurer l’infrastructure resterait opérationnelle en que cas de défaillance d’un équipement, de l’alimentation ou d’un lien réseau. Il ne s’agissait pas de tester les sauvegardes ou de s’assurer de la résilience de l’infrastructure AA à une attaque par des cyber criminels. AA a refusé la proposition de contrat de maintenance proposé par X: AA a, en toute connaissance de cause, refusé cette offre de maintenance de la société X pour la raison qu’elle souhaitait conserver cette maîtrise en interne aut regard des compétences dont elle disposait dans sa DSI.

A

titre, ce X a adressé de une proposition contrat. d’assistance à AA le 25 février 2020, à laquelle elle n’a jamais eu de réponse; AA ne saurait alléguer que l’épidémie de COVID-19, qui a entrainé un premier confinement à compter du 17 mars 2020, soit plus de trois semaines après la réception dudit contrat, ne lui aurait pas d’en permis prendre connaissance, pas plus qu’elle ne saurait imputer à X le report de la réunion prévue pour échanger sur la proposition del contrat, alors même que c’est elle qui l’a décalée, et ce, avant le début du confinement. En réalité, AA tente, en toute mauvaise foi, de reporter 1'imputabilité de ses propres négligences sur X. En effet, il

Consultant que :

Cabinet résulte de la note technique du

GM

de

AA était son propre administrateur et infogérant, cette dernière porte donc la responsabilité des mécanismes sauvegarde mis en place. Le sinistre trouve sa cause dans une opération de Phishing sans lien avec la prestation de X :

le

. Le courrier de la société DIATEAM n’apprend rien sur sinistre et ne fait que confirmer la négligence de AA. Le courrier de la société DIATEAM n’apporte aucun éclairage concret sur les circonstances du sinistre ni sur les moyens par lesquels les pirates se sont introduits. Il apparait même que des informations essentielles sont passées sous silence (ouverture d’un e-mail compromis par un ou des utilisateurs de la société), ce qui atténue la crédibilité de cette pièce produite pour les besoins de la cause de AA. Et même pour ce qui concerne les supposés manquements de X, il est clairement établi qu’ils relevaient en réalité de défaillances de AA. A contrario, le courrier de la société ASTEN, produit par AA, indique que l’attaque provient de l’ouverture d’un courriel par un utilisateur membre de AA, qui ne disposait d’aucune solution anti-spam dans sa messagerie, et qui n’a pas formé ses utilisateurs aux risques liés à la cybercriminalité ;

RG 2021004430

Page 29 sur 36

04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE La direction informatique de AA a établi un cahier des charges respectant le budget que lui a été alloué par direction générale.

la

Afin de bénéficier d’une sauvegarde externe déconnectée du réseau, il aurait fallu que la direction générale de AA accorde un budget supplémentaire à la direction informatique. Or, il n’est aucunement établi que AA aurait accepté les contraintes et les coûts supplémentaires d’une solution de sauvegarde déconnectée du réseau, peu important ce qu’allègue désormais AA sur l’importance de ses ressources financières. Au contraire, AA ne s’estimait pas exposée aux risques cyber d’où sa décision de ne pas mettre en œuvre une politique de sauvegarde comprenant un support déconnecté du réseau. En résumé, la société AA se considérait non-exposée aux risques cyber au point d’avoir refusé de souscrire à une police. la d’assurance protégeant contre les attaques des cybercriminels. Autrement dit, la société AA n’a pas été indemnisée par un assureur pour son préjudice, ce qui l’a conduit aujourd’hui à chercher la responsabilité de la société X.

En conséquence, X sollicite que le Tribunal : Juge que AA ne justifie pas d’un lien de causalité entre la faute et le préjudice qu’elle allègue avoir subi ; ⚫ Déboute AA de l’intégralité de ses demandes.

III. A TITRE INFINIMENT SUBSIDIAIRE, AA NE JUSTIFIENT NI DU PRINCIPE, NI DU MONTANT DE SA RECLAMATION FINANCIERE Si par impossible, le Tribunal devait juger que X a engagé sa responsabilité,

il ne

pourra

la que

débouter de

sa

réclamation financière exorbitante d’un montant de 482.463,03 € qui n’est justifiée ni dans son principe, ni dans son montant. Il convient de rappeler que la réparation du préjudice résultant de l’inexécution d’un contrat est régie par les articles 1231-2 et suivants du Code civil.

En particulier :

L’article 1231-2 dispose que : « Les dommages et intérêts dus au créancier sont, en général, de la perte qu’il a faite et du gain dont il a été privé ». L’article 1231-3 dispose que : « Le débiteur n’est tenu que des dommages et intérêts qui ont été prévus ou qu’on a pu prévoir lors du contrat, lorsque ce n’est point par son dol que l’obligation n’est point exécutée ». L’article 1231-4 dispose que : Dans le cas même où l’inexécution du contrat résulte d’une faute lourde ou dolosive, les dommages et intérêts ne comprennent que ce qui est une suite immédiate et directe de l’inexécution ».

Le principe constamment cassation :

de énoncé

la

est

réparation intégrale du préjudice de la manière suivante par la Cour de

RG 2021004430

Page 31 sur 36

A

all

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE Cette facture porte sur l’acquisition d’un logiciel antivirus et son installation. Il n’existe manifestement aucun lien de causalité entre cette facture, la survenance de l’attaque et les fautes que AA reproche à X.

.

AA produit une facture d’un montant de 3.900 € d’une société dénommée A3C INFORMATIQUE. Cette facture porte sur comptabilité CEGID. du logiciel la réinstallation.

de

Cette prestation a dû être réalisée et assumée par AA en raison de la survenance de l’attaque informatique et non des prétendues fautes alléguées à l’encontre de X. Il n’existe donc manifestement aucun lien de causalité entre cette facture et les fautes que AA reproche à X. ⚫ AA produit deux factures d’un montant total de 31.000 € d’une société dénommée ONTRACK. Cette société est intervenue pour décrypter les AA.

données de

Ces factures n’appellent pas d’observation de X dans leur principe. X conteste en revanche fermement la demande de prise en charge formulée à encontre par AA pour les raisons exposées au point I et II des présentes conclusions.

son

AA produit une

facture d’un montant de 4.700 € d’une

société dénommée IROISE AERO SERVICES. Cette facture porte sur des frais de déplacement en avion privé. Il n’existe manifestement aucun lien de causalité entre cette facture, la survenance de l’attaque et les fautes que AA reproche à X. ⚫ AA produit deux factures d’un montant total de 5.500 € d’une société dénommée DIATEAM. Ces factures portent sur des prestations de réponse à incident à la suite de la survenance de l’attaque informatique. Ces prestations ont été rendues nécessaires en

survenance

de l’attaque informatique

et non

raison de la des prétendues

fautes que AA allègue à l’encontre de X. Il n’existe donc manifestement aucun lien de causalité entre ces factures et les fautes que AA reproche à X. ⚫ AA produit une facture d’un montant de 850 € d’une société dénommée ARONDOR. La prestation objet de cette facture est intitulée « reprise de factures ». AA ne justifie pas d’un quelconque lien de causalité entre cette facture et les faute qu’elle allègue à l’encontre de X. X entend en outre souligner que AA ne justifie pas avoir effectivement réglé ces montants.

En conséquence, X sollicite que le Tribunal déboute AA de l’intégralité de sa demande d’un montant de 62 680,03 € au titre des coûts internes qui n’est justifiée ni dans principe, ni dans son montant.

son

RG 2021004430

Page 33 sur 36

A

04

EXTRAIT des Minutes du Greffe du Tribunal de Commerce de NANTES Département de LOIRE-ATLANTIQUE

A titre subsidiaire

DEBOUTER AA de l’intégralité de ses demandes en ce qu’elle ne justifie pas d’un lien de causalité entre la faute et le préjudice qu’elle allègue avoir subi ;

A titre infiniment subsidiaire

DEBOUTER AA de l’intégralité de ses demandes en ce qu’elle. ne justifie ni du principe, ni du montant du préjudice qu’elle allègue avoir subi;

En tout état de cause

AB AA à payer à X une somme de 10.000 e au titre. de l’article 700 du Code de procédure civile ; AB AA aux entiers dépens d’instance.

MOTIFS DE LA DECISION

Sur la demande principale

la

de son

Attendu que AA INDUSTRIE demande au Tribunal de juger que la société X a manqué à son obligation d’information et conseil de juger que société X a manqué à obligation de délivrance; de juger que les manquements à ses à obligations générales et ses obligations contractuelles raison de leur extrême gravité, constituent une faute lourde; de juger qu’elle est responsable du préjudice subi par société AA INDUSTRIE;

en

la

Que X demande au Tribunal de débouter AA INDUSTRIE de l’intégralité de ses demandes en ce qu’elle ne justifie ni du principe, ni du montant du préjudice qu’elle allègue avoir subi; Attendu que l’expression de besoins formulée par le service informatique de AA INDUSTRIE portait exclusivement sur le remplacement de matériel et ne formule aucune demande relative à la sécurité informatique ; Que les objectifs de sécurité contenus dans la présentation de X préalable à l’offre visaient la nouvelle infrastructure à mettre en place (en particulier du fait de la fin de support Microsoft) et non la sécurité relative aux procédures et à 1'administration du système d’information de l’entreprise ; Que l’offre de service proposée par X et acceptée par AA INDUSTRIE portait exclusivement sur l’installation de matériels (serveurs, disques, cartes, cables, écrans, consoles, onduleurs, baies, switchs, ) et leurs logiciels associés ;

sans

Que la recette de l’installation des ces nouveaux matériels a été fait INDUSTRIE ; matériels livrés fonctionnement. contestés par AA INDUSTRIE ;

réserve et

par leur

AA

bon

et ne

que sont

les

pas

Qu’il ne peut donc être reproché à X d’avoir manqué à son obligation de délivrance; Que par ailleurs, X avait proposé, le 25 février 2020, un contrat d’assistance globale visant à délivrer, entre autres, des prestations relatives aux sauvegardes et à l’administration du réseau ;

RG 2021004430

Page 35 sur 36

Oll