Droit informatique : contrat de maintenance
Par un jugement du 5 février 2015, la troisième chambre du tribunal de commerce de Nanterre a condamné un prestataire de maintenance pour manquement à son obligation d’information.
L’obligation d’information est un engagement classique du prestataire informatique, même s’il n’est pas expressément stipulé dans le contrat. Il s’agit d’une construction prétorienne venue compenser le déséquilibre naturel qui existe entre le professionnel (ici, le prestataire informatique) et le profane (le client), et qui permet notamment de sanctionner le professionnel qui n’explique pas un minimum le fonctionnement du produit ou du service qu’il fournit.
Ce type de litige pose toujours la question du degré de « culture technologique » qui constitue le minimum dont un agent économique normalement prudent et diligent doit faire preuve dès lors qu’il recourt à un outil informatique. En l’espèce, le prestataire a tout simplement été sanctionné pour ne pas avoir informé son client de la nécessité de changer son mot de passe afin de garantir un maximum de sécurité.
Cette décision présente un intérêt sur le fondement contractuel, mais aussi d’un point de vue procédural. La société Fast Lease avait conclu trois contrats : un contrat de location de matériel téléphonique et un contrat d’ouverture de compte avec la société Normaction SA, et un contrat de maintenance du service avec la société sœur AET Normaction.
A la suite de la liquidation judiciaire des deux prestataires, les contrats ont été cédés à deux autres sociétés : Normaction SAS pour les contrats de location et d’ouverture de compte, et UTT pour le contrat de maintenance.
Le 26 juin 2012, Fast Lease est informée par Normaction d’une utilisation anormale de sa ligne téléphonique, « suite à une facturation anormalement élevée » des communications du mois de juin 2012. Dans son courrier, Normaction envisage la possibilité d’un piratage de la ligne téléphonique de son client et précise qu’il serait souhaitable de « changer les codes d’accès sur le matériel téléphonique ».
Fast Lease répond qu’elle n’est pas à l’origine des consommations, et refuse de payer la facture relative à ces désordres, qui s’élève à un montant de 12.492,30 € TTC. Elle consentait à payer une somme de 283,59 €, montant relatif aux communications effectivement émises par la société, mais n’entend pas supporter la charge des communications piratées dont elle ne s’estime évidemment pas responsable.
Après avoir mis en demeure Fast Lease de payer la totalité de la facture, le prestataire Normaction a saisi le Président du tribunal de commerce de Nanterre d’une demande d’injonction de payer, à laquelle il a été fait droit.
En parallèle, le client Fast Lease a assigné UTT en intervention forcée aux fins de la voir condamnée à garantir les sommes qui seraient mises à sa charge au profit de Normaction.
Par jugement du 5 février 2015, le tribunal de commerce de Nanterre a procédé en deux temps.
Il a d’abord écarté toute qualification de « force majeure » au piratage, pour condamner la société cliente au paiement de la totalité de la facture impayée, au motif que « les appels passés frauduleusement ou à l’insu des abonnés n’exonèrent pas ces derniers de leur obligation de payer les factures ».
Le tribunal écartait ainsi l’exonération de la force majeure, dont ils ont estimé qu’elle ne pouvait pas s’appliquer au piratage dénoncé, pour des raisons exposées ci-après.
Cependant, les juges ont également condamné le prestataire de maintenance Fast Lease au paiement de la somme des communications non passées par le client Fast Lease., pour manquement à son obligation d’information et de conseil.
En effet, sur le plan technique, les juges ont noté que « la sécurité d’une installation téléphonique et sa résistance aux risques de piratages dépend exclusivement de sa protection à travers d’un mot de passe ».
Or ce mot de passe était celui programmé par les réglages d’usine (« 0000 »), autant dire une porte grande ouverte, et n’avait jamais été modifié par l’utilisateur Fast Lease.
Les juges ont donc écarté la responsabilité du client Fast Lease en s’appuyant sur sa méconnaissance en matière de sécurité informatique, et en précisant que certes, Fast Lease était responsable de la sécurité de sa ligne, mais à la condition « qu’elle ait été informée de la nécessité [du changement de mot de passe] et qu’on lui ait également montré comment procéder ».
A ce titre, les juges ont relevé que la société UTT, prestataire de maintenance, aurait dû « vérifier l’état de sécurisation téléphonique de sa cliente », « vérifier que celle-ci l’utilisait dans des conditions optimales de sécurité et d’efficacité » et vérifier qu’elle « était informée de la nécessité de modifier son mot de passe régulièrement ».
Le manquement à cette obligation d’information caractérise une négligence de la part du prestataire de maintenance, engageant dès lors sa responsabilité, ce qui justifie la condamnation du prestataire UTT à payer des dommages-intérêts à la cliente Fast Lease, dont le montant correspond au montant des communications qu’elle n’avait pas effectivement passées, mais qui résultent du piratage de sa ligne.
La question de la force majeure
Pour se dégager de son obligation de payer, la société Fast Lease prétendait que le piratage de sa ligne téléphonique relevait de la force majeure. Selon elle, le piratage remplissait tous les critères : un évènement extérieur, irrésistible et imprévisible.
Cependant, les juges ont refusé de recevoir cette cause d’exonération, notamment car le piratage ne présente pas un caractère irrésistible : il aurait suffi que la société ait « suivi les préconisations du constructeur du central téléphonique et protégé son installation avec un mot de passe » rendant l’utilisation frauduleuse de la ligne impossible.
Les juges font ainsi remarquer que le piratage peut être évitable si des mesures adéquates sont prises : ici l’utilisation d’un mot de passe et son actualisation fréquente. Ce n’est que si le piratage avait eu lieu en dépit d’un changement régulier du mot de passe, que la force majeure aurait été caractérisée (Cour de cassation, 3ème chambre civile, 17 février 2010, n° 08-20.943). Ce n’était pas le cas ici.
Dès lors, à défaut de mesures appropriées, la société cliente voit sa responsabilité engagée. Ce principe n’est pas nouveau : on retrouve la même solution pour une espèce similaire impliquant le même prestataire (Cour d’appel de Versailles, 12ème chambre, 25 mars 2014, n° 12/07079).
Dans cette espèce en effet, la société cliente Les Films de la Croisade avait vu sa ligne téléphonique piratée et avait demandé l’annulation de la facturation. Les juges, tout en déboutant la société requérante de sa demande d’annulation, avaient condamné la société prestataire de maintenance à payer à la société cliente la somme de 18.000 € à titre de remboursement, somme destinée à couvrir les communications que la société cliente n’avait pas effectivement passées, en raison du manquement à son obligation d’information.
La responsabilité du prestataire de maintenance
Il est cependant possible de s’interroger sur la motivation du tribunal qui axe sa réflexion sur la force majeure autour des préconisations du constructeur, alors que du point de vue du client, la bonne sécurisation du système incombait à son prestataire de maintenance, tenu d’une obligation contractuelle d’information et de prévention des risques – notamment de piratage.
C’est dire, en clair, que l’information délivrée par le constructeur n’exonère en rien le prestataire de maintenance de son obligation de mise en garde. Bien que le constructeur d’une solution avertisse sur la nécessité de renouveler régulièrement les identifiants des utilisateurs, il appartient également au prestataire (intégrateur, mainteneur) de souligner cette nécessité auprès de son client.
S’il s’en abstient, il encourt la responsabilité des dommages subis par son client, et ne pourra pas se réfugier derrière la notice du constructeur… Ni même dernière le minimum de culture technologique dont les entreprises devraient se doter avant d’utiliser des systèmes sensibles, manifestement. Il est clair que cette décision illustre la recherche d’une indemnisation pour le client, plus que d’une réflexion sur ce que doit être « l’utilisateur normalement prudent et diligent » d’un système informatique.
Ce n’est donc qu’une fois l’information fournie par le prestataire de maintenance, que sa responsabilité ne peut plus être engagée, quand bien même d’ailleurs la société cliente n’aurait pas respecté ses recommandations (Cour d’appel de Versailles, 18 novembre 2014, n° 13/01375). En effet, une fois les indications fournies par le prestataire de maintenance, son obligation d’information est respectée.
C’est donc à l’entreprise cliente de s’assurer de l’application des conseils fournis par le prestataire de maintenance.
Une stratégie procédurale efficace
Il est opportun de s’interroger sur la voie procédurale engagée par la société cliente. En effet, pourquoi préférer l’assignation en intervention forcée du prestataire de maintenance alors que d’autres voies juridiques étaient envisageables à l’encontre des auteurs du piratage ?
D’une part, il était possible d’engager une action pénale (articles 323 et suivants du Code pénal) ou une action civile contre les auteurs du piratage, ce qui soulève la question de leur identification. Or une telle identification présente les inconvénients d’être lente et complexe, mais aussi le risque de ne pas aboutir.
D’autre part, une action sur le fondement contractuel contre le prestataire de maintenance peut s’avérer plus rapide et plus efficace. On évite ainsi une multiplication des recours, d’autant plus aléatoire qu’elle pouvait retarder le recouvrement de la dette auprès du fournisseur de service. Par la voie contractuelle on facilite de facto l’identification de la personne civilement responsable, et le fondement de la responsabilité est clair, puisque directement issu du contrat.
Ce jugement semble s’inscrire dans une dynamique de démocratisation de l’obligation contractuelle de sécurité informatique. Cela démontre le caractère évidemment fondamental de la sécurité dans les contrats informatique, au-delà de la culture technologique qu’on pourrait penser minimale à l’époque des services applicatifs et des bases de données.
C’est un truisme de rappeler que les clauses relatives à la sécurité et au conseil relatif à la sécurité, sont amenées à prendre une place de plus en plus importante dans les contrats informatiques. La valeur des actifs informationnels pour l’entreprise, la connexion de son système à l’internet, le recours aux services cloud, les possibilités de fraudes informatiques, sont autant d’arguments pour pousser tous les acteurs économiques à avoir une vraie réflexion sur la sécurité des systèmes. Il ne s’agit pas de développer une paranoïa générale sur l’utilisation des réseaux, mais de rappeler qu’en cas de sinistre, les conséquences sont d’autant plus lourdes qu’elles n’ont pas été anticipées. Puisque le client utilisateur ne les anticipe pas, le juge estime que le professionnel doit, en tous cas, anticiper ce risque.