Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste. Cette décision, prononcée à la suite d’une cyberattaque dévastatrice, illustre concrètement les conséquences juridiques d’un manquement à ce devoir dans un contexte de sécurité numérique.
1 – Une cyberattaque rendue possible par des négligences techniques
En novembre 2019, une société confie à un prestataire le renouvellement de son infrastructure informatique. Quelques mois plus tard, en juin 2020, l’entreprise est victime d’une attaque par rançongiciel : l’ensemble des données – y compris les sauvegardes – est chiffré. Deux audits indépendants révèlent des manquements critiques : absence de sauvegardes déconnectées, configuration défaillante de l’environnement Active Directory, multiples comptes à privilèges sans contrôle, absence d’antivirus. Le prestataire se défend en invoquant la stricte exécution du cahier des charges et l’existence d’un service informatique interne chez le client. Mais la Cour ne retient pas cet argument. Elle constate que les conditions générales du prestataire promettaient un accompagnement personnalisé et une veille technique sur la sécurité, engageant ainsi sa responsabilité.
2 – Une obligation active à la place d’une exécution technique
La Cour rappelle que dans le cadre d’un système complexe, le prestataire doit alerter son client sur les risques, même lorsque le besoin est exprimé de manière imprécise. En qualité de spécialiste, il lui appartient de poser les bonnes questions, de formuler des recommandations adaptées et de s’assurer que les choix techniques sont compris et validés par le client. En d’autres termes, le devoir de conseil ne se limite pas à exécuter des demandes : il impose une démarche proactive.
3 – Une confirmation jurisprudentielle dans un contexte inédit de cyberattaque
Cette décision s’inscrit dans la lignée d’une jurisprudence constante de la Cour de cassation. Depuis 2006 (Cass. com., 29 mars 2006, n°03-19.421 ; Cass. com., 14 mars 2018, n°16-25.078), la Haute juridiction estime que le fournisseur d’un produit informatique complexe est tenu d’un devoir de conseil accru. Ce devoir est d’autant plus renforcé lorsque le client n’est pas un professionnel de l’informatique. Toutefois, les décisions portant spécifiquement sur la responsabilité d’un prestataire à la suite d’une cyberattaque sont encore très rares en jurisprudence. Cela confère à l’arrêt de la Cour de Rennes une valeur particulière : il précise les contours de cette obligation dans un contexte de cybercriminalité croissante.
4 – Une responsabilité partielle mais bien réelle
Même si le prestataire n’a pas causé la cyberattaque, il est reconnu partiellement responsable du préjudice subi par son client. En n’ayant pas mis en place les dispositifs de sécurité élémentaires (sauvegarde hors ligne, protection antivirus), il a fait perdre à son client une chance d’en limiter les effets. En l’espèce, la Cour d’appel a estimé ce préjudice à hauteur de 50 000 euros. Loin des 482.463,03 euros sollicités par le client dont 414 783 euros en dépenses salariales. Le client aurait ainsi gagné à être proactif dès le début de la prestation étant donné que les indemnités accordées par la Cour d’appel ne représentent qu’un dixième du préjudice subit.
5 – Les conséquences pratiques pour les professionnels
- Pour les prestataires informatiques, cette décision souligne l’importance d’une posture active dans la relation contractuelle. Il ne suffit plus d’exécuter une commande technique : il faut conseiller, alerter, justifier ses choix, et documenter les limites éventuelles de l’intervention.
- Pour les entreprises clientes, cet arrêt rappelle qu’il est essentiel de formuler précisément ses besoins, d’intégrer des clauses de sécurité dans les contrats, et d’exiger un suivi opérationnel au-delà de la livraison. En matière de cybersécurité, l’ignorance n’est plus une excuse, ni pour le prestataire, ni pour le client.
Pour en savoir plus / sources : https://www.courdecassation.fr/decision/673d7ce6d666990c113dbf0c https://itlaw.fr/cyberattaque-chez-le-client-prestataire-fautif/#_ftn1
|
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.