Juridique

Un virus n'est pas un événement fortuit

Selon cette jurisprudence, un ransomware n’est pas un cas de force majeure.

Un arrêt de la Cour d'Appel de Paris, dans un litige entre un prestataire de maintenance et son client, vient rappeler qu'un virus ou un ransomware ne constituent pas un cas de force majeure permettant d'exonérer qui que ce soit de ses obligations.

PublicitéLe litige est né en 2016 mais la Cour d'Appel de Paris vient de le juger après une décision de première instance du tribunal de commerce en janvier 2018. Si l'affaire est assez complexe et avec de nombreuses ramifications sur la responsabilité et les manquements de chaque partie, un point particulier mérite d'être relevé. En l'occurrence, un crypto-virus a rendu inexploitable les sauvegardes et les données de l'entreprise cliente, problème de plus en plus fréquent de nos jours. Le prestataire a voulu faire considérer ce fait comme une circonstance de force majeure l'exonérant de sa responsabilité. La Cour d'Appel vient rappeler qu'un virus n'est aucunement un cas de force majeure (Cour d'appel de Paris, Pôle 5 - chambre 11, 7 février 2020, affaire n° 18/03616, non-publié).

Dans cette affaire, la société Exm Euro et expertise monétique (EXM), dont l'activité est la vente, la location, l'installation et la maintenance de terminaux de paiement par carte bancaire, a conclu en 2012 avec Mise à jour informatique, une société spécialisée dans le service informatique de proximité, un contrat d'assistance et de maintenance ayant pour objet l'assistance, l'entretien et le dépannage de postes informatiques, la sécurisation et la sauvegarde des données informatiques pour une vingtaine de postes informatiques. Or, « le 24 février 2016, la société Exm a été victime d'un virus informatique dénommé Locky qui a eu pour effet de rendre inutilisables les fichiers infectés en les cryptant. » Mise à jour informatique n'a pas été en mesure de régler le problème. Pire : les sauvegardes n'étaient plus réalisées sur le NAS depuis plusieurs mois, faute de place et de commande de davantage de stockage selon le mainteneur, alors même que le contrôle de la sauvegarde était toujours facturé. Précisons que l'entrée du ransomware dans le SI était parfaitement tracée : un mail ouvert par un collaborateur, passé par la messagerie de l'entreprise gérée par un tiers au litige. Le jugement de première instance a déjà affirmé l'entière responsabilité du mainteneur et n'obligeant le client qu'à régler la commande d'un nouveau NAS, commande passée avant la naissance du litige et la dénonciation du contrat.

La Cour d'Appel vient également rappeler : « un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. » La responsabilité contractuelle du mainteneur était donc bien engagée. Par ailleurs, « aucun partage de responsabilité » ne peut être retenu : l'ouverture d'un mail infecté n'était pas une faute intentionnelle ou une imprudence.