Un virus informatique n’est pas un cas de force majeure

Le 7 février 2020, la cour d’appel de Paris a refusé de qualifier la survenance d’un virus informatique de cas de force majeure.

Une Société avait fait appel à un prestataire informatique afin de lui confier la maintenance de ses postes informatiques ainsi que la sécurité et la sauvegarde de ses données.

Par la suite, la Société fut victime d’un virus informatique prenant la forme d’un logiciel de rançon, et ayant pour effet de chiffrer les données pour les rendre inutilisables. En tout, 203.000 fichiers furent atteints, et la sauvegarde fut rendue inopérante sur une période de cinq mois. Malgré l’intervention de prestataire informatique, les données n’ont pas pu être récupérées.

La Société l’assigna en réparation de son préjudice, chiffré à plus de 34.000 euros.

Pour sa défense, le prestataire informatique faisait valoir une série d’arguments, dont le fait qu’un virus informatique constitue un cas de force majeure. La force majeure permet au débiteur d’une obligation de ne pas l’exécuter et a fortiori, de ne pas voir sa responsabilité engagée en cas d’inexécution de son obligation. Pour ce faire, il faut que l’événement qualifié de force majeure remplisse trois critères : il doit être extérieur, imprévisible et irrésistible.

La Cour juge qu’un virus informatique, s’il satisfait en effet le critère d’extériorité, ne présente ni un caractère imprévisible, ni un caractère irrésistible.

Le raisonnement des magistrats quant à l’absence d’imprévisibilité est aisément compréhensible, car les attaques informatiques sont très courantes.

Mais qualifier un virus informatique d’irrésistible est moins évident. En effet, les méthodes des pirates informatiques sont en constante évolution et de nombreux facteurs entrent en considération lorsqu’il est question de sécuriser des données informatiques. La moindre faille peut être exploitée par les criminels.

Au regard de cette décision, il serait tentant pour les prestataires de limiter leur responsabilité par l’insertion d’une clause dédiée au sein de leurs contrats. Si par principe les clauses limitatives de responsabilité sont valables, c’est à la condition qu’elles ne portent pas sur une obligation essentielle. Ainsi, si l’obligation essentielle du prestataire informatique est d’assurer la sécurité des données de son client, comme ce fut le cas en l’espèce, il ne peut pas limiter sa responsabilité à cet égard.

Articles similaires