Un virus informatique type rançongiciel ou ransomware peut-il constituer un cas de force majeure susceptible d’exonérer un prestataire informatique de sa responsabilité à l’égard de son client ? Dans une récente affaire, la Cour d’appel de Paris a jugé que non2.
Bien qu’une comparaison entre les virus informatiques et les virus biologiques paraisse incongrue, elle est en réalité plus pertinente qu’il n’y paraît sur le plan juridique puisque qu’elle permet de mobiliser une notion importante du droit civil : la force majeure.
La société EXM, spécialisée dans la vente et la maintenance de terminaux de paiement par carte bancaire a conclu en 2012, avec la société Mise à Jour Informatique, un contrat d’assistance et de maintenance. Ce contrat avait notamment pour objet la sécurisation et la sauvegarde de ses données informatiques.
En 2016, la société EXM a été victime d’un virus informatique dénommé Locky ayant pour effet de crypter les fichiers infectés et ainsi, de les rendre inutilisables. Ce type de cryptovirus se présente sous la forme de rançongiciel ou « ransomware » qui sont des logiciels malveillants, et sont particulièrement dangereux pour les entreprises.
Un Cryptolocker est souvent diffusé par le simple biais d’une pièce jointe insérée dans un message électronique. Il contamine les périphériques externes (clés USB, etc.) ainsi que tous les lecteurs réseaux connectés et se propage ainsi à grande vitesse à toute une entreprise. Il a vocation à verrouiller l’accès à un portable, un ordinateur ou encore à chiffrer les fichiers contenus dans les disques durs afin de rendre ces données totalement inaccessibles, sauf à payer une rançon. Pour exemple, l’an dernier, le virus Ryuk a permis à des pirates de récolter 700 bitcoins en quatre mois, soit un total de plus de 3,2 millions d’euros3.
Dans notre affaire, la société Mise à Jour Informatique est intervenue afin de résoudre le problème de son client mais a été incapable de restaurer les données infectées par le virus Locky. Le 25 mars 2016, la société EXM a fait appel à un huissier de justice afin que soit constatées d’une part l’infection de plus de 203 000 de ses fichiers et d’autre part l’absence de leur sauvegarde valide entre le 2 septembre 2015 et le 25 février 2016.
Elle a ensuite notifié à son prestataire la résiliation de leur contrat ainsi que l’annulation de la commande d’un nouveau serveur. Or, la société Mise à Jour Informatique a refusé de procéder à l’annulation de la commande en question et a nié être responsable des préjudices subis par son client.
C’est ainsi que la société EXM a assigné la société Mise à Jour Informatique devant le Tribunal de commerce de Lyon aux fins de voir constater la résiliation du contrat d’assistance et de maintenance informatique et obtenir la réparation de son préjudice.
Afin de contester sa responsabilité, le prestataire informatique se fondait sur l’article 1148 du Code civil (actuel 1218) et donc sur la force majeure. Cet article disposant alors qu’ :
« il n’y a lieu à aucuns dommages et intérêts lorsque, par suite d’une force majeure ou d’un cas fortuit, le débiteur a été empêché de donner ou de faire ce à quoi il était obligé, ou a fait ce qui lui était interdit ».
À ce titre, rappelons que l’ancienne disposition du Code civil (article 1148) faisait état de la force majeure ou du cas fortuit, ces deux notions répondant à la même définition et au même régime juridique. Toutefois, selon la doctrine, la force majeure serait essentiellement insurmontable, alors que le cas fortuit serait principalement imprévisible4.
Pour que la force majeure puisse prospérer, il aurait fallu que l’évènement invoqué par ledit prestataire informatique soit extérieur c’est-à-dire que l’événement ne puisse lui être imputable, imprévisible au moment de la conclusion du contrat et irrésistible dans sa survenance (l’événement doit être inévitable et le débiteur ne peut en prévenir la survenance) et dans ses effets (les conséquences de l’événement sont insurmontables pour le débiteur qui ne peut pas prendre les mesures permettant d’y remédier) et l’empêche d’exécuter son obligation.
Or, le Tribunal de commerce de Lyon a jugé que :
« l’infection du système informatique par un virus n’est pas un évènement imprévisible et irrésistible, la société Mise à Jour Informatique ne peut se prévaloir de la force majeure ».
Le prestataire informatique a alors fait appel de la décision au motif que l’absence de sauvegarde des données résulte du comportement fautif de la société EXM mais également que l’infection par le virus constituait à son égard une cause étrangère revêtant le caractère de force majeure sinon un cas fortuit excluant de fait sa responsabilité.
La Cour d’appel a jugé que le prestataire informatique a laissé croire à son client que les sauvegardes étaient normalement effectuées et ainsi manqué à « son obligation d’information et à son devoir de conseil ». Par ailleurs, son client n’a commis aucune faute lui permettant de se prévaloir ne serait-ce que d’une exonération partielle de responsabilité.
De même, ladite Cour a confirmé le jugement de première instance et rappelé qu’ :
« un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. L’exécution par l’appelante de ses obligations n’ayant nullement été empêchée par les causes étrangères qu’elle invoque, sa responsabilité contractuelle est donc engagée ».
Par ailleurs, l’insuffisance des sauvegardes informatiques effectuées, suffit :
« à établir sa défaillance dans l’exécution de son obligation de résultat tenant, d’une part, à la sauvegarde des données informatiques de l’intimée, d’autre part, au contrôle des dites sauvegardes ».
La Cour d’appel a ainsi jugé qu’ :
« en présence de sauvegardes totalement exploitables, l’infection du système informatique de l’intimée par le virus Locky n’aurait pas eu les conséquences dommageables constatées ».
Dès lors, un virus de type CryptoLocker ne constitue pas un cas de force majeure. Toutefois, cette solution ne nous paraît transposable à tout type d’attaque de virus informatiques. En effet, prenons l’exemple de l’infection qu’a très récemment connu le constructeur Honda et dont l’activité a été paralysée de ce fait5. Un rançongiciel a affecté les serveurs internes de l’entreprise qui a dû suspendre une partie de sa production dans certaines usines afin de s’assurer que ses systèmes de contrôle qualité n’étaient pas compromis. La force majeure n’obéit pas à une règle absolue et dans cette affaire nous ne pouvons pas d’office exclure que ce virus informatique ne constitue pas un cas de force majeure dès lors qu’il était irrésistible d’une part dans sa survenance et d’autre part dans ses effets puisqu’il a entraîné une désorganisation de l’entreprise.
Même s’il s’agit ici d’un virus informatique et que la gravité n’est pas comparable, nous ne pouvons nous empêcher, en cette période de pandémie de faire une analogie avec un autre virus : celui du Sars Cov 2 qui fait l’objet d’une forte actualité. En effet, le virus de la Covid-19 a récemment reçu qualification de force majeure6. Dans une affaire relative au droit des étrangers, l’appelant, faisant l’objet d’une mesure de rétention administrative en France et n’avait pu se présenter à l’audience d’appel en raison d’une suspicion d’infection au coronavirus.
La Cour d’appel de Colmar a ainsi jugé que :
« ces circonstances exceptionnelles entraînant l’absence de M G à l’audience de ce jour revêtent le caractère de la force majeure, étant extérieures, imprévisibles et irrésistibles vu le délai imposé pour statuer et le fait que, dans ce délai, il ne sera pas possible de s’assurer de l’absence de risque de contagion et de disposer d’une escorte autorisée à conduire M G à l’audience ».
Ainsi, son absence était bien :
« justifiée en raison des circonstances exceptionnelles et insurmontables revêtant le caractère de force majeure liées à l’épidémie en cours de Covid-19 ».
Plus récemment encore, dans une autre affaire, la société Total a assigné en référé EDF aux fins que soit suspendue l’exécution de l’Accord-cadre relatif à l’accès régulé à l’électricité nucléaire les liants, et ce en raison de la force majeure que constituait la pandémie de Covid-197. En effet, la baisse de consommation d’électricité liée au confinement avait forcé Total à céder des quantités qu’elle est dans l’obligation d’acheter auprès d’EDF à un prix très sensiblement inférieur à son coût d’acquisition.
L’article 10 de cet accord, signé en mai 2016, stipulait que « la force majeure désigne un évènement, extérieur, irrésistible et imprévisible rendant impossible l’exécution des obligations des parties dans des conditions économiques raisonnables ».
Sur la force majeure, le Président du Tribunal de commerce a considéré que :
« la diffusion du virus (Codid-19) revêt, à l’évidence, un caractère extérieur aux parties, qu’elle est irrésistible et qu’elle était imprévisible comme en témoignent la soudaineté et l’ampleur de son apparition ».
Quant à l’impossibilité d’exécution, il a noté que la définition de la force majeure retenue à l’article 10 du contrat, supposait « l’exécution des obligations dans des conditions économiques raisonnables ». Cette notion de conditions économiques raisonnables ne faisait l’objet d’aucune définition. Toutefois, son lien avec la survenance d’un événement de force majeure permettait de supposer « un bouleversement des conditions économiques antérieures qui se traduit par la survenance de pertes significatives nées de l’exécution du contrat ».
Dès lors, le Président du Tribunal a constaté que la baisse brutale et imprévisible de la consommation d’électricité avait bien conduit Total :
« à céder des quantités qu’elle est dans l’obligation d’acheter auprès d’EDF à un prix très sensiblement inférieur à son coût d’acquisition » et qu’ainsi, elle a connu des pertes importantes, immédiates et définitives ».
Ainsi, étaient :
« manifestement réunies les conditions de la force majeure telle que définie à l’alinéa 1 de l’article 10 de l’accord-cadre liant les partes ».
Notons toutefois que le jugement a été rendu aux vues de circonstances particulières et la décision aurait pu être bien différente en fonction d’autres facteurs tels que la date de signature du contrat ou encore de l’impact concret de l’évènement qualifié de force majeure sur les obligations des parties
En effet, il est bien souvent arrivé aux juridictions françaises de refuser d’appliquer la notion de force majeure à d’autres virus biologiques. Cela a notamment été le cas pour une épidémie de Dengue car elle n’était pas un phénomène nouveau8 ou encore du virus du chikungunya car généralement surmontable par la prise d’antalgiques9. Ainsi, en fonction de leur dangerosité et de leur permanence ces virus peuvent ou non se voir reconnaître la qualification de force majeure. Il s’agit d’une notion qui s’apprécie in concreto.
L’arrêt de Cour d’appel de Paris du 7 février 2020 relative au virus informatique consiste également en une décision d’espèce et nous ne pouvons exclure que dans d’autres circonstances, comme pour les virus biologiques, la force majeure n’aurait pas été retenue. Ici, le refus d’appliquer la notion de force majeure ne tient pas au fait que ces rançongiciels et leurs méfaits sont connus mais plutôt au fait qu’une forme de « vaccin » existe : celui de la sauvegarde rigoureuse.
Ainsi, ce jugement vient rappeler l’importance de la sauvegarde des données afin de prévenir notamment les cyberattaques. En réalité, nous comprenons de cet arrêt que l’existence de la sauvegarde des données touche à la fois à la condition d’irrésistibilité de la force majeure, puisque celle-ci est susceptible de rendre surmontable l’attaque par un virus mais il concerne également les conséquences préjudiciables de l’attaque, puisque comme le dit si bien la Cour, ces conséquences auraient été moindres en présence de « sauvegardes totalement exploitables ».
Les faits de l’affaire remontaient certes à 2016 mais cette décision tombe à point nommé en 2020 dans un contexte de forte augmentation des cyberattaques et d’une forte actualité liée à la force majeure.
Effectivement, même si l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ne communique aucune information pour l’année 2020, le Groupement d’Intérêt Public Action contre la Cyber malveillance (GIP ACYMA) assiste à une croissance d’attaques effectives, notamment par rançongiciels10. Le 1 avril dernier, Microsoft mettait même en place un guide de bon usage, relatif à la protection son entreprise contre les cyberattaques et notamment contre les attaques de ransomware à destination des PME11. Ce guide recommande d’être particulièrement prudent avec les mots de passe, d’opérer les mises à jour de son système d’exploitation ou encore d’opérer des sauvegardes de données sur un système distincts.
Les nouvelles habitudes de télétravail ont généré de nouveaux risques pour les entreprises en termes de cybersécurité. Les salariés ont récemment multiplié les connexions à différents réseaux wifi ou installé diverses applications à la hâte et ainsi accru les risques de cyberattaques envers leur entreprise. Ces dernières assistent aujourd’hui à une croissance exponentielle des attaques informatiques à leur encontre.
La solution de la Cour, dans la situation d’espèce, nous semble fondée. La sécurité des systèmes d’information et plus encore des données est au cœur de la prestation informatique d’assistance. Dès lors, il semble parfaitement logique que le prestataire ne puisse pas échapper à sa responsabilité première à l’égard de son client. Toutefois, cette règle n’est pas de portée générale et n’exclut pas que certaines attaques de virus puissent être qualifiées de force majeure, notamment comme cela semble être le cas dans l’affaire Honda récemment relayée par la presse.
1 Vincent Fauchoux adresse ses remerciements à Doréa Bacha, élève-avocat, pour son aide précieuse
2 Cour d'appel de Paris, Pôle 5 - chambre 11, 7 février 2020, n° 18/03616
3 Le rançongiciel Ryuk a rapporté plus de 3 millions d’euros à ses auteurs, Le Monde - 14 janvier 2019
4 Vocabulaire juridique, Gérard Cornu, 9ème Ed. PUF
5 Une cyberattaque perturbe la production du géant japonais Honda, Le Figaro, Ingrid Vergara, 10 juin 2020
6 CA Colmar, 12 mars 2020, n°20/01098
7 Tribunal de commerce de Paris, 20 mai 2020, n° 2020016407
8 Cour d'appel de Nancy, 1ère chambre, 22 novembre 2010, n° 09/00003
9 Cour d'appel de Basse-Terre, 1ère chambre, 17 décembre 2018, n° 17/00739
10 « Désinformation, Cyberattaques et Cybermalveilance : « L’autre guerre du Covid-19 », Note de synthèse du Sénat, 14 avril 2020
11 Comment protéger votre entreprise des cyberattaques, Microsoft 365 Team, 1 avril 2020