Virus informatique et force majeure : incompatibles selon la Cour d’appel

« Un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ».

La cour d’appel de Paris établit ce constat dans un arrêt du 7 février 2020.

L’affaire oppose deux SARL rhônalpines. D’un côté, EXM – Euro et Expertise Monétique (que nous appellerons EXM). De l’autre, Mise à Jour Informatique (que nous appellerons M.I.).

La première vend, loue, installe et effectue la maintenance de terminaux de paiement par carte bancaire.

Elle a fait appel à la seconde, dans le cadre d’un contrat d’assistance et de maintenance informatique signé le 16 février 2012.

Quatre ans plus tard (24 février 2016), EXM était victime du ransomware Locky. L’intervention de M.I. n’avait pas permis de restaurer les données.

Le 25 mars 2016, EXM avait fait constater l’infection de plus de 203 000 fichiers. Et l’absence de sauvegarde valide entre le 2 septembre 2015 et le 25 février 2016.

EXM avait alors notifié à M.I. la résiliation de son contrat et l’annulation de la commande d’un serveur de secours.

Devoir de collaboration

Le bras de fer qui s’était ensuivi avait abouti à l’assignation de M.I. devant le tribunal de commerce de Lyon.

Celui-ci avait rendu son jugement le 12 janvier 2018. Ses principales conclusions étaient les suivantes :

  • M.I. a manqué à ses obligations contractuelles. Ce en laissant penser à son client que les sauvegardes de données étaient parfaitement effectuées et en poursuivant la facturation à ce titre.
  • M.I. n’a pas démontré qu’EXM aurait manqué à son devoir de collaboration ou commis une faute qui exonérerait M.I. de sa responsabilité.
  • L’infection du SI d’EXM ne constitue pas un cas de force majeure.

Ainsi le tribunal de commerce de Lyon avait-il condamné M.I. à payer à EXM plus de 40 000 € de dommages-intérêts. Une somme tenant compte, entre autres, des frais d’intervention de la société One System, sollicitée après l’incident.

À qui la faute ?

Le 20 février 2018, M.I. avait fait appel du jugement à son encontre.

L’entreprise basée à Caluire-et-Cuire avançait notamment que :

  • L’absence ou les erreurs de sauvegarde des données d’EXM avaient été causée(s) par la faute de cette dernière. Notamment son manque d’investissement dans des capacités supplémentaires, alors que les disques existants étaient saturés.
  • L’infection n’était pas due à une erreur de sauvegarde, mais à la défaillance du système de protection de l’hébergeur de messagerie d’EKM. Et à l’ouverture, par une employée, d’un pièce jointe contenant le virus.
  • Les systèmes d’EKM auraient pu être préservés si l’entreprise avait réagi correctement. En l’occurrence, en débranchant l’ordinateur infecté dès l’affichage de la demande de rançon.
  • Le recours aux services de la société concurrente One System sans en informer M.I. avait enclenché une clause exonératoire de responsabilité figurant au contrat.
  • L’attaque constituait un cas de force majeure, sinon un cas fortuit excluant sa responsabilité (avec sur ce point, une clause exonératoire en cas de vice caché ou de défaillance d’un matériel, d’un logiciel ou d’un support contenant des données).

Pas de force majeure

Dans sa réponse de juillet 2018, EXM avait fait valoir qu’au contraire, M.I. avait manqué à son obligation de résultat.

L’entreprise villeubannaise contestait par ailleurs sa propre responsabilité. Si le matériel avait été insuffisant, M.I. aurait dû constater l’échec des sauvegardes et l’en informer. Ou tout du moins cesser de lui facturer une prestation qu’elle n’était pas en mesure de réaliser.

La Cour d’appel a relevé que du 2 septembre 2015 au 25 février 2016, toutes les tentatives de sauvegarde automatique avaient effectivement échoué. Sur un total de 565 tâches exécutées au global, 143 avaient foncitonné.

Parmi ses conclusions :

  • Le fait que l’infection ait été causée par des faits étrangers à M.I. ne l’exonèrent pas de sa responsabilité au titre de ses manquements contractuels.
  • M.I. ne nie pas l’insuffisance des sauvegardes. Ce qui suffit à établit une défaillance dans l’exécution de l’obligation de résultat.
  • M.I. a manqué à son obligation d’information en poursuivant la facturation de prestations qu’elle savait non réalisées.
  • EXM n’a pas commis de faute en refusant les recommandations initiales d’acquérir un nouveau serveur. Et pour cause : M.I. a par la suite indiqué que le changement de matériel n’était pas nécessaire.

La Cour d’appel maintient ainsi pour l’essentiel le jugement de première instance.

Photo d’illustration : portalgda via VisualHunt / CC BY-NC-SA