Ransomware : le prestataire informatique n’est pas responsable du comportement fautif du client qui se connecte sur le serveur de sauvegarde depuis un poste non sécurisé
CA Lyon., 14 décembre 2023, n° 20/02356
Une société avait conclu en 2012, avec un prestataire informatique, deux contrats de fourniture de services pour la mise à disposition d’un serveur de stockage de données et de sauvegarde automatique de celles-ci : l’un intitulé « Maintenance Annuel Sérénité » et l’autre : « Solubackup ». En 2017, le serveur a fait l’objet d’une attaque informatique par un pirate consistant à crypter les données capturées avant d’exiger le versement d’une « rançon » pour en obtenir le déchiffrage. La société cliente a refusé de verser le montant correspondant à la rançon mais exigé le rétablissement de ses données par le prestataire informatique au titre de ses engagements découlant des deux contrats précités.
Ne pouvant matériellement accéder aux demandes de la société cliente, le prestataire informatique fut assigné en responsabilité contractuelle par celle-ci.
Dans son arrêt du 14 décembre 2023, la cour d’appel de Lyon rejette les demandes de la société cliente et conclut à l’absence de faute du prestataire informatique. En effet, elle relève premièrement qu’au terme de ces contrats, le prestataire était tenu de fournir une « solution de sauvegarde à distance », située dans un centre de données sécurisé bénéficiant de redondance de continuité d'alimentation, 24h/24 et 7j/7, de surveillance et de contrôle d'accès aux locaux. Par ailleurs, le prestataire était engagé à fournir un service de maintenance du lundi au vendredi de 8 h 30 à 12 h et de 14 h à 18 h sauf les jours fériés.
Or, les juges observent que le piratage informatique est survenu un samedi alors qu’un des membres du personnel de la société cliente s’est connecté « depuis son domicile sur son ordinateur personnel, non inclus dans le contrat de maintenance et dépourvu de solution anti-virus ». Compte tenu de la nature des engagements du prestataire informatique, qui s’analysent en une obligation de moyens, « le fonctionnement du système implique la participation active du client et sa vigilance ». La cour en déduit que le prestataire n’a commis aucune faute contractuelle. C’est pourquoi les demandes de la société cliente sont intégralement rejetées.
Une société avait conclu en 2012, avec un prestataire informatique, deux contrats de fourniture de services pour la mise à disposition d’un serveur de stockage de données et de sauvegarde automatique de celles-ci : l’un intitulé « Maintenance Annuel Sérénité » et l’autre : « Solubackup ». En 2017, le serveur a fait l’objet d’une attaque informatique par un pirate consistant à crypter les données capturées avant d’exiger le versement d’une « rançon » pour en obtenir le déchiffrage. La société cliente a refusé de verser le montant correspondant à la rançon mais exigé le rétablissement de ses données par le prestataire informatique au titre de ses engagements découlant des deux contrats précités.
Ne pouvant matériellement accéder aux demandes de la société cliente, le prestataire informatique fut assigné en responsabilité contractuelle par celle-ci.
Dans son arrêt du 14 décembre 2023, la cour d’appel de Lyon rejette les demandes de la société cliente et conclut à l’absence de faute du prestataire informatique. En effet, elle relève premièrement qu’au terme de ces contrats, le prestataire était tenu de fournir une « solution de sauvegarde à distance », située dans un centre de données sécurisé bénéficiant de redondance de continuité d'alimentation, 24h/24 et 7j/7, de surveillance et de contrôle d'accès aux locaux. Par ailleurs, le prestataire était engagé à fournir un service de maintenance du lundi au vendredi de 8 h 30 à 12 h et de 14 h à 18 h sauf les jours fériés.
Or, les juges observent que le piratage informatique est survenu un samedi alors qu’un des membres du personnel de la société cliente s’est connecté « depuis son domicile sur son ordinateur personnel, non inclus dans le contrat de maintenance et dépourvu de solution anti-virus ». Compte tenu de la nature des engagements du prestataire informatique, qui s’analysent en une obligation de moyens, « le fonctionnement du système implique la participation active du client et sa vigilance ». La cour en déduit que le prestataire n’a commis aucune faute contractuelle. C’est pourquoi les demandes de la société cliente sont intégralement rejetées.
