Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste. Cette décision, prononcée à la suite d’une cyberattaque dévastatrice, illustre concrètement les conséquences juridiques d’un manquement à ce devoir dans un contexte de sécurité numérique.
1 – Une cyberattaque rendue possible par des négligences techniques
En novembre 2019, une société confie à un prestataire le renouvellement de son infrastructure informatique. Quelques mois plus tard, en juin 2020, l’entreprise est victime d’une attaque par rançongiciel : l’ensemble des données – y compris les sauvegardes – est chiffré. Deux audits indépendants révèlent des manquements critiques : absence de sauvegardes déconnectées, configuration défaillante de l’environnement Active Directory, multiples comptes à privilèges sans contrôle, absence d’antivirus. Le prestataire se défend en invoquant la stricte exécution du cahier des charges et l’existence d’un service informatique interne chez le client. Mais la Cour ne retient pas cet argument. Elle constate que les conditions générales du prestataire promettaient un accompagnement personnalisé et une veille technique sur la sécurité, engageant ainsi sa responsabilité.
2 – Une obligation active à la place d’une exécution technique
La Cour rappelle que dans le cadre d’un système complexe, le prestataire doit alerter son client sur les risques, même lorsque le besoin est exprimé de manière imprécise. En qualité de spécialiste, il lui appartient de poser les bonnes questions, de formuler des recommandations adaptées et de s’assurer que les choix techniques sont compris et validés par le client. En d’autres termes, le devoir de conseil ne se limite pas à exécuter des demandes : il impose une démarche proactive.
3 – Une confirmation jurisprudentielle dans un contexte inédit de cyberattaque
Cette décision s’inscrit dans la lignée d’une jurisprudence constante de la Cour de cassation. Depuis 2006 (Cass. com., 29 mars 2006, n°03-19.421 ; Cass. com., 14 mars 2018, n°16-25.078), la Haute juridiction estime que le fournisseur d’un produit informatique complexe est tenu d’un devoir de conseil accru. Ce devoir est d’autant plus renforcé lorsque le client n’est pas un professionnel de l’informatique. Toutefois, les décisions portant spécifiquement sur la responsabilité d’un prestataire à la suite d’une cyberattaque sont encore très rares en jurisprudence. Cela confère à l’arrêt de la Cour de Rennes une valeur particulière : il précise les contours de cette obligation dans un contexte de cybercriminalité croissante.
4 – Une responsabilité partielle mais bien réelle
Même si le prestataire n’a pas causé la cyberattaque, il est reconnu partiellement responsable du préjudice subi par son client. En n’ayant pas mis en place les dispositifs de sécurité élémentaires (sauvegarde hors ligne, protection antivirus), il a fait perdre à son client une chance d’en limiter les effets. En l’espèce, la Cour d’appel a estimé ce préjudice à hauteur de 50 000 euros. Loin des 482.463,03 euros sollicités par le client dont 414 783 euros en dépenses salariales. Le client aurait ainsi gagné à être proactif dès le début de la prestation étant donné que les indemnités accordées par la Cour d’appel ne représentent qu’un dixième du préjudice subit.
5 – Les conséquences pratiques pour les professionnels
- Pour les prestataires informatiques, cette décision souligne l’importance d’une posture active dans la relation contractuelle. Il ne suffit plus d’exécuter une commande technique : il faut conseiller, alerter, justifier ses choix, et documenter les limites éventuelles de l’intervention.
- Pour les entreprises clientes, cet arrêt rappelle qu’il est essentiel de formuler précisément ses besoins, d’intégrer des clauses de sécurité dans les contrats, et d’exiger un suivi opérationnel au-delà de la livraison. En matière de cybersécurité, l’ignorance n’est plus une excuse, ni pour le prestataire, ni pour le client.
Pour en savoir plus / sources : https://www.courdecassation.fr/decision/673d7ce6d666990c113dbf0c https://itlaw.fr/cyberattaque-chez-le-client-prestataire-fautif/#_ftn1
|
Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.
Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.
Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.
Dans un arrêt du 9 avril 2025, la Cour de cassation a apporté une précision importante sur le régime juridique applicable à l’exploitation des fichiers de journalisation informatiques (logs), et notamment aux adresses IP des salariés, dans le cadre d’une procédure disciplinaire. Une décision qui interpelle les employeurs : faut-il désormais obtenir le consentement du salarié pour pouvoir utiliser son adresse IP à des fins de contrôle ?