Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste. Cette décision, prononcée à la suite d’une cyberattaque dévastatrice, illustre concrètement les conséquences juridiques d’un manquement à ce devoir dans un contexte de sécurité numérique.
1 – Une cyberattaque rendue possible par des négligences techniques
En novembre 2019, une société confie à un prestataire le renouvellement de son infrastructure informatique. Quelques mois plus tard, en juin 2020, l’entreprise est victime d’une attaque par rançongiciel : l’ensemble des données – y compris les sauvegardes – est chiffré. Deux audits indépendants révèlent des manquements critiques : absence de sauvegardes déconnectées, configuration défaillante de l’environnement Active Directory, multiples comptes à privilèges sans contrôle, absence d’antivirus. Le prestataire se défend en invoquant la stricte exécution du cahier des charges et l’existence d’un service informatique interne chez le client. Mais la Cour ne retient pas cet argument. Elle constate que les conditions générales du prestataire promettaient un accompagnement personnalisé et une veille technique sur la sécurité, engageant ainsi sa responsabilité.
2 – Une obligation active à la place d’une exécution technique
La Cour rappelle que dans le cadre d’un système complexe, le prestataire doit alerter son client sur les risques, même lorsque le besoin est exprimé de manière imprécise. En qualité de spécialiste, il lui appartient de poser les bonnes questions, de formuler des recommandations adaptées et de s’assurer que les choix techniques sont compris et validés par le client. En d’autres termes, le devoir de conseil ne se limite pas à exécuter des demandes : il impose une démarche proactive.
3 – Une confirmation jurisprudentielle dans un contexte inédit de cyberattaque
Cette décision s’inscrit dans la lignée d’une jurisprudence constante de la Cour de cassation. Depuis 2006 (Cass. com., 29 mars 2006, n°03-19.421 ; Cass. com., 14 mars 2018, n°16-25.078), la Haute juridiction estime que le fournisseur d’un produit informatique complexe est tenu d’un devoir de conseil accru. Ce devoir est d’autant plus renforcé lorsque le client n’est pas un professionnel de l’informatique. Toutefois, les décisions portant spécifiquement sur la responsabilité d’un prestataire à la suite d’une cyberattaque sont encore très rares en jurisprudence. Cela confère à l’arrêt de la Cour de Rennes une valeur particulière : il précise les contours de cette obligation dans un contexte de cybercriminalité croissante.
4 – Une responsabilité partielle mais bien réelle
Même si le prestataire n’a pas causé la cyberattaque, il est reconnu partiellement responsable du préjudice subi par son client. En n’ayant pas mis en place les dispositifs de sécurité élémentaires (sauvegarde hors ligne, protection antivirus), il a fait perdre à son client une chance d’en limiter les effets. En l’espèce, la Cour d’appel a estimé ce préjudice à hauteur de 50 000 euros. Loin des 482.463,03 euros sollicités par le client dont 414 783 euros en dépenses salariales. Le client aurait ainsi gagné à être proactif dès le début de la prestation étant donné que les indemnités accordées par la Cour d’appel ne représentent qu’un dixième du préjudice subit.
5 – Les conséquences pratiques pour les professionnels
- Pour les prestataires informatiques, cette décision souligne l’importance d’une posture active dans la relation contractuelle. Il ne suffit plus d’exécuter une commande technique : il faut conseiller, alerter, justifier ses choix, et documenter les limites éventuelles de l’intervention.
- Pour les entreprises clientes, cet arrêt rappelle qu’il est essentiel de formuler précisément ses besoins, d’intégrer des clauses de sécurité dans les contrats, et d’exiger un suivi opérationnel au-delà de la livraison. En matière de cybersécurité, l’ignorance n’est plus une excuse, ni pour le prestataire, ni pour le client.
Pour en savoir plus / sources : https://www.courdecassation.fr/decision/673d7ce6d666990c113dbf0c https://itlaw.fr/cyberattaque-chez-le-client-prestataire-fautif/#_ftn1
|
L’intelligence artificielle au service de la Justice : une stratégie opérationnelle et éthique Le 23 juin 2025, le rapport « L’IA au service de la Justice : stratégie et solutions opérationnelles » a été remis au Garde des sceaux, Gérald Darmanin, par Haffide Boulakras, directeur adjoint de l’École nationale de la magistrature (ENM). Ce document marque une étape décisive dans la transformation numérique du système judiciaire français.
Loi anti-narcotrafic du 13 juin 2025 : une ambition freinée par la censure constitutionnelle. Adoptée dans un contexte d’urgence face à l’essor du narcotrafic en France, la loi du 13 juin 2025 visait à doter les autorités judiciaires et administratives de nouveaux outils pour lutter contre les réseaux criminels(I). Mais, si le texte a été promulgué, il n’a pas échappé au contrôle du Conseil constitutionnel, qui a censuré six de ses dispositions, dont les articles 5 et 15 (II).
L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)
Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.