Cybersécurité - Incendie d’un datacenter : déplafonnement de la responsabilité
Locations
Un jugement qui invite les fournisseurs de services numériques, hébergeurs et éditeurs, à faire preuve de vigilance à l’égard de leurs pratiques contractuelles, notamment dans la description de leurs services et moyens, dans leur conformité à l’état de l’art, et dans les conditions de conclusion des contrats, sous peine de déplafonnement de leur responsabilité.
Dans une économie numérique, la sécurité, la disponibilité, la confidentialité et l’intégrité des outils numériques, portails web, applications, logiciels d’une part, et des données d’autre part, constituent des enjeux majeurs.
Dans ce contexte, les conditions d’hébergement et la sécurité des infrastructures sont devenues stratégiques pour toutes les typologies d’acteurs, des commerçants et fournisseurs de prestations de services aux opérateurs de services essentiels.
Quel est l’état de l’art en la matière ? Quelle est la nature des obligations d’un hébergeur ? Quels sont les engagements contractuels structurants à cet égard ? Quelle est la valeur des clauses exclusives ou limitatives de responsabilité ? Quels points de vigilance dans les contrats IT ?
Autant de questions auxquelles le Tribunal de Commerce de Lille Métropole apporte, dans son jugement du 26 janvier 2023, des réponses motivées.
Le jugement concerne un litige entre un réseau commercial d’entrepreneurs et la société OVH, hébergeur français, proposant des solutions de cloud computing (« informatique dans les nuages ») dont l’un des datacenters, situé à Strasbourg, a été touché par un incendie dans la nuit du 9 au 10 mars 2021, occasionnant la perte des données de nombreux de clients.
Près de deux ans après cet incendie, l’hébergeur écope d’une condamnation, dont tirer quelques enseignements.
Les faits
La société plaignante avait souscrit auprès de la société OVH un contrat de location de serveur virtuel pour héberger ses sites internet, et un second contrat de service de « sauvegarde automatisée » ou « auto backup » décrit comme suit : « concrètement une sauvegarde [du] VPS (hors disques additionnels) planifiée quotidiennement, exportée puis répliquée trois fois avant d’être disponible dans [l’] espace client ».
Suite à l’incendie de mars 2021, les différents sites internet de la société demanderesse sont devenus inaccessibles.
Lorsque la société a souhaité restaurer les données perdues sur son serveur principal depuis les sauvegardes réalisées, OVH lui a annoncé que les données de sauvegarde avaient également été perdues, celles-ci ayant été stockées au même endroit que le serveur principal.
Le point de cristallisation réside dans la souscription par le client de l’option supplémentaire de sauvegarde automatisée.
Nature des obligations et des manquements de l’hébergeur
S’agissant de la nature de l’obligation de l’hébergeur, le contrat conclu la qualifie expressément d’obligation de moyens. Dès lors, la question qui s’est posée a été celle de qualifier les manquements de l’hébergeur.
A cet égard, le Tribunal a relevé que les choix techniques de l’hébergeur tenant à la sécurité anti-incendie de son site n’enfreignaient aucune loi ou réglementation, qu’il n’est pas démontré qu’ils ont eu un lien de causalité avec l’incendie ayant engendré les destructions de données, et enfin que les précautions d’usage contre l’incendie mises en œuvre étaient conformes aux usages du marché.
C’est ainsi que le Tribunal exclut la faute lourde, classiquement définie comme « comportement d’une extrême gravité, confinant au dol et dénotant l’inaptitude du débiteur de l’obligation à l’accomplissement de la mission contractuelle qu’il avait acceptée » [1].
L’appréciation de l’existence ou non de la faute lourde par le Tribunal aurait pu porter non pas sur la sécurité anti-incendie, mais sur les conditions de réalisation des sauvegardes.
De même, et a contrario, s’il avait existé une réglementation spécifique sur la sécurité anti-incendie, la faute lourde aurait pu être retenue.
Si la qualification de « faute lourde » avait été retenue, elle aurait permis d’écarter l’application de la clause limitative de responsabilité de l’hébergeur, puisque « Le débiteur n'est tenu que des dommages et intérêts qui ont été prévus ou qui pouvaient être prévus lors de la conclusion du contrat, sauf lorsque l'inexécution est due à une faute lourde ou dolosive » [2]. Toutefois en l’espèce le Tribunal parvient au même résultat mais sur un autre fondement.
S’agissant de engagements contractuels de l’hébergeur, les termes du contrat OVH faisaient état de sauvegarde « exportée » dans un espace de stockage « physiquement isolé de l’infrastructure dans laquelle est mise en place le Serveur Privé Virtuel du Client », et portaient un engagement de conformité à « l’état de l’art » de son service.
Or, l’hébergeur a réalisé des sauvegardes locales au même endroit que le serveur principal et dans le même datacenter, et ce faisant n’a pas respecté l’état de l’art - consistant à disposer d’au moins une copie sur un site externe – qu’il ne pouvait pas ignorer, ce d’autant qu’il était exposé dans sa propre politique de sauvegarde.
Dès lors, il est jugé que l’hébergeur n’a pas respecté les termes de ses engagements contractuels en n’exportant pas et n’isolant pas physiquement les sauvegarde, n’a pas respecté son engagement de conformité à l’état de l’art faute de copie sur un site externe.
Son obligation contractuelle de moyens l’obligeait à mettre en œuvre tous les moyens dont il disposait pour exécuter le contrat, ce qu’il n’a pas fait au regard de sa présentation commerciale faisant état de sa qualité de « leader européen du cloud » disposant de « 32 data centers répartis sur 13 sites » établissant la faculté qu’il avait de stocker les données de sauvegarde dans un autre datacenter.
Exclusion et limitation de responsabilité
La clause « force majeure » figurant au contrat OVH excluant sa responsabilité en cas de sinistre et notamment d’incendie, est « réputée non écrite » dès lors qu’elle prive de sa substance une obligation essentielle du contrat, en l’espèce le fait de réaliser les copies de sauvegarde et de les mettre en sécurité, pour l’hypothèse justement d’un sinistre.
De même, la clause limitant la responsabilité de l’hébergeur au montant des sommes payées en contrepartie des services impactés au cours des six mois précédant la demande d’indemnisation ou au préjudice du client s’il est inférieur, est réputée non écrite.
En effet, les contrats sont qualifiés de « contrats d’adhésion » - établis à l’avance sans possibilité pour le client d’en modifier les termes -, et la clause limitative de responsabilité est regardée comme créant un déséquilibre significatif entre les droits et obligations des parties au contrat, en ce qu’elle « octroie un avantage injustifié » à l’hébergeur « en absence de contrepartie pour le client », et donc caduque, puisque « toute clause non négociable, déterminée à l’avance par l’une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite » [3].
Au-delà de cette affaire, et sous réserve des suites de la procédure, les motifs du jugement invitent les fournisseurs de services numériques, hébergeurs et éditeurs, à veiller à respecter la réglementation et l’état de l’art, et à faire preuve de vigilance à l’égard de leurs pratiques contractuelles, notamment dans la description de leurs services et moyens, et dans les conditions de conclusion des contrats afin d’éviter les risques de déplafonnement de leurs limitations de responsabilité.
A suivre.
[1] Ch. Mixte 22 avr. 2005, n° 03-14112
[2] 1231-3 code civil
[3] 1171 code civil
