Cyberattaques : le prestataire est-il toujours responsable ?
Dans un réflexe presque pavlovien, les victimes de cyberattaques recherchent immédiatement un responsable. Mais la répartition des responsabilités est plus complexe qu'il n'y paraît, et les entreprises victimes se retrouvent souvent elles-mêmes en première ligne, soulignent les avocats de Derriennic Associés.
PublicitéLa cyberattaque n'est plus un cas de force majeure. Ce point est désormais établi par une jurisprudence constante depuis l'arrêt précurseur de la Cour d'appel de Saint-Denis de La Réunion en 2019, confirmé par de nombreuses juridictions. La logique est implacable : avec une hausse des atteintes numériques de 87% en cinq ans et de 27% depuis 2024 (selon le rapport annuel sur la cybercriminalité 2026 du ministère de l'Intérieur), le risque est par nature prévisible. L'imprévisibilité juridique s'efface devant la réalité statistique. L'entreprise victime se trouve donc en première ligne face à ses clients, et se retourne naturellement vers ses prestataires informatiques.
Quels prestataires pour quelle responsabilité ?
L'infogérant, garant du maintien en condition opérationnelle du SI, est le premier mis en cause : vulnérabilité de l'architecture, obsolescence d'un composant, accès distant insuffisamment sécurisés. Les prestataires spécialisés en sécurité sont logiquement exposés selon leur mission : le PACS (prestataire d'accompagnement et de conseil en sécurité des systèmes d'information) répondra d'une faille dans son périmètre d'intervention, le PDIS (prestataire de détection d'incidents de sécurité) de la non-détection d'un incident. Le prestataire cloud verra sa responsabilité se cristalliser sur l'intégrité et la disponibilité des données. Enfin, longtemps laissé en marge du débat, l'éditeur de logiciel peut désormais voir sa responsabilité engagée s'il manque à son devoir de notification d'une faille, sur le fondement du RGPD et du Cyber Resilience Act.
Au-delà des obligations contractuelles, tous ces acteurs sont tenus à un devoir de conseil renforcé. L'infogérant doit signaler proactivement toute obsolescence, recommander les correctifs de sécurité, préconiser l'authentification multifacteur - et formaliser ces alertes par écrit pour se prémunir. La jurisprudence est sévère : un prestataire ayant réalisé la refonte intégrale d'un SI ne peut s'abriter derrière l'absence de cahier des charges ; il aurait dû « exiger la remise du cahier des charges » ou « refuser de s'engager » (CA Reims, 2025).
L'état de l'art s'impose, qu'il soit contractualisé ou non
Les référentiels de l'ANSSI, de la CNIL et des associations professionnelles - guides sur l'infogérance, l'administration sécurisée des SI, l'Active Directory, l'authentification multifacteur - sont désormais considérés par les juges et les experts judiciaires comme définissant les diligences attendues de tout professionnel, indépendamment de toute stipulation contractuelle. Dans les secteurs critiques, ces référentiels ont même acquis force normative avec NIS 2 et DORA.
Le client n'est pas exempt de ses propres obligations
PublicitéRecourir à des prestataires ne dispense pas l'entreprise de définir sa politique de sécurité et de s'y conformer : mises à jour logicielles, politique de mots de passe, conformité aux préconisations reçues. Tout manquement conduira, en cas d'incident, à un partage de responsabilité - voire à l'exonération totale du prestataire, comme l'a jugé le Tribunal des Activités Économiques de Paris en juin 2026, retenant le défaut généralisé de politique de sécurité interne du client. Sans oublier l'exposition administrative devant la CNIL au titre de l'article 32 du RGPD.
Construire le dossier de préjudice : un exercice exigeant
La cyberattaque génère un préjudice composite : manque à gagner lié à la paralysie opérationnelle, frais de remédiation (recours à un prestataire de réponse aux incidents de sécurité, ressources internes, conseils juridiques), préjudice d'image et responsabilités en cascade vis-à-vis des partenaires. Les juges examinent rigoureusement chaque poste, et les plafonds contractuels de responsabilité viennent souvent réduire les indemnisations obtenues.
L'assurance cyber, pilier incontournable
Face à un risque désormais systémique - la question n'étant plus si une cyberattaque surviendra, mais quand -, la couverture assurantielle constitue un pilier de toute stratégie de résilience. À condition que le risque ait été régulièrement déclaré et qu'une plainte pénale ait été déposée dans le délai impératif de 72 heures (conformément à la LOPMI, Loi d'orientation et de programmation du ministère de l'intérieur). La garantie neutralise alors sans délai le préjudice financier et reporte sur l'assureur la recherche du responsable, via le recours subrogatoire légal.
Tribune co-rédigée par Victor Chauve, avocat counsel au cabinet Derriennic Associés.
Article rédigé par
François-Pierre Lani, Avocat Associé - Derriennic Associés
François-Pierre Lani. Titulaire d'un DESS de Droit Informatique et Technologies Nouvelles de l'Université de Paris XI, François-Pierre a été juriste pendant plus de dix ans au sein de différentes directions juridiques, dont celles d'acteurs majeurs tels que AXA, la SLIGOS et le Groupe ELF AQUITAINE. Il a acquis une solide expérience dans le domaine des contrats internationaux. Fort de cette expertise, François-Pierre concentre aujourd'hui son activité sur les fusions-acquisitions en France et à l'international, le contentieux des nouvelles technologies, le droit social et de la distribution, notamment appliquée au domaine de l'énergie.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire