LA RESPONSABILITE DES PRESTATAIRES DE SERVICES INFORMATIQUES EN SECURITE INFORMATIQUE
/ Février 2022/
Aujourd’hui beaucoup de contrats se font sur internet, c’est pourquoi il est nécessaire que tous les échanges soient sécurisés afin d’éviter toutes fraudes. Il a alors fallu s’interroger sur la responsabilité des prestataires de services en sécurité informatique.
La sécurité par voie électronique repose largement sur l’utilisation de moyens de chiffrement des échanges pour en assurer la confidentialité. Ces dernières années, le cadre juridique de la sécurité des services informatiques était mis en place, avec deux grands volets : la libéralisation de la cryptologie et la reconnaissance de la signature électronique.
Besoin de l'aide d'un avocat pour un problème de contrat informatique ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
Il a adopté le 15 janvier 2003 une loi "sur la confiance dans l'économie numérique", dans lequel la question de la responsabilité des "prestataires techniques" de l'Internet est un des points majeurs (chapitre 2 du projet de loi). Ce projet de loi fait suite au projet de loi sur la société de l'information ("LSI") et à l'avant-projet de loi sur l'économie numérique ("LEN"). Il a notamment vocation à transposer en droit français la directive européenne du 8 juin 2000 sur le commerce électronique.
Cette réglementation a mis en place le système d'une responsabilité limitée des prestataires techniques. L'article 2 du projet de loi redéfinit les obligations des prestataires intermédiaires des services de communication en ligne.
En matière de sécurité, et sans l'abroger formellement, le nouveau projet de loi modifie substantiellement la partie de la loi du 26 juillet 1996 consacrée à la cryptologie. La nouvelle loi libéralise sans réserve l'utilisation des moyens de cryptologie, définies comme "tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète".
I. Obligations générales du prestataire de services informatiques
Le prestataire de services informatiques a d’abord une obligation d’information. Cela englobe, une obligation de conseil, une obligation de renseignement et une obligation de mise en garde. Depuis l’ordonnance du 10 février 2016 réformant le droit des obligations, l’obligation d’information préalablement à la conclusion d’un contrat est désormais fondée sur le nouvel article 1112-1 du Code civil qui instaure un « devoir d’informations » ainsi défini « Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant ».
Ainsi, la résolution d’un contrat aux torts du prestataire informatique a été prononcée par la Cour d’appel d’Orléans qui a considéré que le professionnel avait manqué à son obligation en ne remettant au client qu’une notice succincte que le matériel qu’il venait d’acquérir (1). Par ailleurs, la Cour d’appel de Paris a considéré qu’un prestataire avait manqué à son obligation de conseil en laissant un projet changer de nature, sans alerter le client sur les conséquences de ce changement (2).
Dans la même logique, la Cour de Paris a jugé en 2017 que, même face à un client, professionnel de l’informatique, le prestataire demeure redevable de son obligation de conseil et doit s’assurer que ce client dispose de la capacité d’apprécier la portée des caractéristiques techniques des équipements et solutions qui lui sont proposées (3).
De plus, le prestataire de services informatiques a aussi une obligation de délivrance de la prestation et que cette prestation soit conforme aux attentes du client.
Et enfin, le prestataire de services informatiques est responsable des vices cachés. Cela s’inspire de l’article 1641 du Code civil qui dispose que : « le vendeur est tenu de garantir à raison des défauts cachés de la chose vendue qui la rende impropre à l’usage à laquelle on la destine, ou qui diminue tellement cet usage, que l’acheteur ne l’aurait pas acquise, ou en aurait donné qu’un moindre prix s’il les avait connus ».
II. Étude de cas sur les prestataires assurant des prestations de cryptologie
En matière de sécurité, et sans l’abroger formellement, le nouveau projet de loi modifie substantiellement la partie de la loi du 26 juillet 1996 consacrée à la cryptologie. La nouvelle loi libéralise sans réserve l’utilisation des moyens de cryptologie, définie comme "tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète" (art. 29 LCEN). Cette version de l’article n’a pas changé. Elle est en vigueur depuis le 22 juin 2004.
En ce que concernent les prestataires qui assurent des prestations de cryptologie à des fins de confidentialité, le projet précise qu’ils sont présumés responsables, jusqu’à preuve contraire, et malgré toute disposition contractuelle contraire, du "préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions" (art. 32 LCEN).
Cette présomption pourra être levée si le prestataire peut démontrer qu’il n’a commis aucune faute intentionnelle ou de négligence. Toutefois, le texte semble d’application très large et exclure la force majeure.
Pourtant, en cette matière, il a déjà été constaté que certains algorithmes de chiffrement révèlent des « failles » postérieurement à leur mise en circulation ou encore que l’indisponibilité des données soit consécutive au dysfonctionnement d’un service de communication électronique d’un tiers ou du client lui-même.
De même, la confidentialité des données, objet du chiffrement, peut avoir été compromise du fait de la victime elle-même, par exemple à raison de la présence de programmes-espions préexistants dans le système d’information ou en présence de certains virus.
D’ailleurs, la présence d’un virus informatique peut-il constituer un cas de force majeure et exonérer la responsabilité du prestataire du prestataire informatique ?
Pour répondre à cette question, il serait intéressant d’évoquer une décision rendue par la Cour d’appel de Paris, le 7 février 2020 (4). En l’espèce, la société E, spécialisée dans la vente et la maintenance de terminaux de paiement par carte bancaire a conclu en 2012, avec la société M, un contrat d’assistance et de maintenance.
Ce contrat avait notamment pour objet la sécurisation et la sauvegarde de ses données informatiques. En 2016, la société E a été victime d’un virus informatique dénommé Locky ayant pour effet de crypter les fichiers infectés et ainsi, de les rendre inutilisables. Ce type de cryptovirus se présente sous la forme de rançongiciel ou ransomware qui sont des logiciels malveillants, et sont particulièrement dangereux pour les entreprises.
Dans notre affaire, la société M est intervenue afin de résoudre le problème de son client, mais a été incapable de restaurer les données infectées par le virus Locky. Le 25 mars 2016, la société E a fait appel à un huissier de justice afin que soit constatées d’une part l’infection de plus de 203 000 de ses fichiers et d’autre part l’absence de leur sauvegarde valide entre le 2 septembre 2015 et le 25 février 2016.
Elle a ensuite notifié à son prestataire la résiliation de leur contrat ainsi que l’annulation de la commande d’un nouveau serveur. Or, la société M a refusé de procéder à l’annulation de la commande en question et a nié être responsable des préjudices subis par son client. C’est ainsi que la société E a assigné la société M devant le tribunal de commerce de Lyon aux fins de voir constater la résiliation du contrat d’assistance et de maintenance informatique et obtenir la réparation de son préjudice.
Afin de contester sa responsabilité, le prestataire se fondait sur la force majeure. Or, le tribunal de commerce de Lyon a jugé que « l’infection du système informatique par un virus n’est pas un événement imprévisible et irrésistible, la société M ne peut se prévaloir de la force majeure ». Le prestataire informatique a alors fait appel de la décision au motif que l’absence de sauvegarde des données résulte du comportement fautif de la société E, mais également que l’infection par le virus constituait à son égard une cause étrangère revêtant le caractère de force majeure, sinon un cas fortuit excluant de fait sa responsabilité.
La cour d’appel a jugé que le prestataire informatique a laissé croire à son client que les sauvegardes étaient normalement effectuées et ainsi manqué à « son obligation d’information et à son devoir de conseil ».
Par ailleurs, son client n’a commis aucune faute lui permettant de se prévaloir ne serait-ce que d’une exonération partielle de responsabilité.
De même, ladite cour a confirmé le jugement de première instance et rappelé qu’« un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. L’exécution par l’appelante de ses obligations n’ayant nullement été empêchée par les causes étrangères qu’elle invoque, sa responsabilité contractuelle est donc engagée. ».
Par ailleurs, la cour d’appel a ainsi jugé qu’« en présence de sauvegardes totalement exploitables, l’infection du système informatique de l’intimée par le virus Locky n’aurait pas eu les conséquences dommageables constatées. »
In fine, les prestataires doivent pouvoir être reconnus responsables des dommages qui surviennent, lors de l’exécution de leurs prestations, aux personnes qui leur confient le soin d’assurer la confidentialité de certaines données ou assurer un devoir de conseil et d’information à l’égard des clients.
Aussi, lors de litiges mettant en cause la responsabilité civile de ces prestataires, la loi renverse la charge de la preuve en établissant un régime de présomption de responsabilité des fournisseurs de prestations de cryptologie. Le champ d’application de ce régime se limite aux prestations de cryptologie à des fins de confidentialité.
Un régime spécifique de responsabilité est prévu à l’article 33 du présent projet de loi pour les personnes qui fournissent des prestations de cryptologie ayant seulement une fonction d’authentification ou de contrôle de l’intégrité de données. Le présent article institue, dans des hypothèses spécifiques, une véritable présomption de responsabilité.
La présomption de responsabilité a un champ limité d’application : ce régime ne s’appliquerait qu’en présence de certificats dits « qualifiés » ou, tout au moins, présentés comme tels par le fournisseur.
La présomption de responsabilité ne jouerait qu’à l’égard des personnes ayant confié aux fournisseurs de prestations concernés la gestion de leurs conventions secrètes, lorsqu’un préjudice résulte d’une atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide desdites conventions.
Dans le projet de loi sur la confiance dans l’économie numérique, l’Assemblée nationale a, en première lecture, précisé que les fournisseurs ne sauraient être responsables que dans le cadre des prestations qu’ils ont effectuées auprès des victimes de dommages.
Cet article vise à transposer l’article 6 de la directive 1999/93/CE du 13 décembre 1999 définissant un cadre communautaire pour les signatures électroniques :
- les prestataires sont présumés responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés comme qualifiés qu’elles délivrent, lorsqu’il s’avère que ces certificats ne sont pas qualifiés;
- ils doivent justifier d’une garantie financière suffisante, spécialement affectée au paiement des sommes qu’ils pourraient devoir aux personnes s’étant fiées raisonnablement aux certificats qualifiés qu’elles délivrent, ou d’une assurance garantissant les conséquences pécuniaires de leur responsabilité professionnelle.
- Enfin, seuls certains faits générateurs du préjudice seraient couverts par ce régime de responsabilité présumée. A ce titre, le présent article définit les hypothèses limitatives :
1°) lorsque les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes. Cette hypothèse d’engagement de responsabilité est prévue par le a) du point 1 de l’article 6 de la directive.
2°) lorsque les données prescrites pour que le certificat puisse être regardé comme qualifiées étaient incomplètes.
3°) lorsque le prestataire d’un service de certification électronique n’a pas vérifié que le signataire détenait bien, lorsque le certificat lui a été délivré, des données de création de signatures qui correspondaient à celles, fournies ou identifiées dans le certificat, permettant de vérifier cette signature.
4°) lorsque le prestataire n’a pas assuré la complémentarité des données afférentes à la création de signatures (clé privée) et de celles relatives à la vérification de cette signature (clé publique).
5°) lorsque le prestataire n’a pas enregistré la révocation du certificat et n’a pas tenu informé les tiers de ce fait.
Malgré le fait que ces conditions de mise en jeu de la présomption de responsabilité sont satisfaites, le présent article prévoit, conformément aux points 3 et 4 de l’article 6 de la directive 1999/31/CE, une éventuelle exclusion de responsabilité.
Les prestataires des services de sécurité informatique ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé à la condition que ces limites aient été clairement portées à la connaissance des utilisateurs dans le certificat (art. 33 LCEN).
Contractuellement, les prestataires et utilisateurs peuvent fixer des limites à l’utilisation des certificats fournis ainsi qu’à la valeur des transactions pour lesquelles ils peuvent être utilisés. Le projet de loi exige qu’en pareille circonstance ces limites doivent avoir été « clairement portées à la connaissance des utilisateurs dans le certificat ».
Il faut en déduire que le défaut d’information des utilisateurs de certificats sur ce point rendra impossible l’exclusion contractuelle de la responsabilité du fournisseur de prestations de certification. Il reviendra à la jurisprudence de déterminer, au cas par cas, si le prestataire a bien « clairement » fait connaître à son cocontractant ces limitations de responsabilité.
Dans ces conditions, l’utilisateur ne pourra bénéficier du régime de responsabilité défini par le présent article s’il a, de manière abusive, utilisé le certificat au-delà des limites fixées par le prestataire. Pour échapper à la mise en cause de sa responsabilité, le prestataire pourra toujours apporter la preuve qu’il n’a commis aucune faute ou aucune négligence en fournissant ses services.
L’article 34 institue un mécanisme de sanction administrative et précise que « Lorsqu’un fournisseur de moyens de cryptologie, même à titre gratuit, ne respecte pas les obligations auxquelles il est assujetti en application de l’article 30, le Premier ministre peut, après avoir mis l’intéressé à même de présenter ses observations, prononcer l’interdiction de mise en circulation du moyen de cryptologie concerné ».
Cet article précise aussi que l’interdiction de mise en circulation est applicable sur l’ensemble du territoire national. Elle emporte en outre pour le fournisseur l’obligation de procéder au retrait :
1° Auprès des diffuseurs commerciaux, des moyens de cryptologie dont la mise en circulation a été interdite ;
2° Des matériels constituant des moyens de cryptologie dont la mise en circulation a été interdite et qui ont été acquis à titre onéreux, directement ou par l’intermédiaire de diffuseurs commerciaux.
Le moyen de cryptologie concerné pourra être remis en circulation dès que les obligations antérieurement non respectées auront été satisfaites, dans les conditions prévues à l’article 30.
Concernant les sanctions pénales, la violation du secret professionnel expose les personnes exerçant une activité de fourniture de prestations de cryptologie aux sanctions prévues pour les articles 226-13 et 226-14 du Code pénal : 1 an d’emprisonnement et 15 000 euros d’amende.
Par ailleurs, est sanctionné le non-respect de l’obligation de déclaration, qui expose le prestataire à des peines d’emprisonnement (2 ans) et d’amende (30 000 euros), assorties des mêmes peines complémentaires que celles énumérées précédemment pour les moyens de cryptologie.
Pour conclure, le décret du 2 mai 2007 a également prévu des sanctions associées puisque le fait de fournir des prestations de cryptologie ne visant pas à assurer des fonctions de confidentialité sans avoir satisfait à l’obligation de déclaration expose aux peines prévues pour les contraventions de la 5e classe soit 1 500 euros par contravention.
Cette sanction est assortie d’une peine complémentaire de confiscation, suivant les modalités prévues par l’article 131-21 du Code pénal, de la chose qui a servi ou était destinée à commettre l’infraction ou de la chose qui en est le produit, à l’exception des objets susceptibles de restitution.
Pour lire une version plus adaptée aux mobiles de cet article sur la responsabilité des prestataires informatiques, cliquez
Sources :
(1) CA Orléans, ch. com., 31 mai 2007, SA Cybervitrine c/ Agence BIB Immobilier, Juris-Data, no 2007-342466
(2) CA Paris, 5e ch., 13 sept. 2006, Prodimpor c/ Hays IT, no 224
(3) CA Paris, pôle 5, ch. 11, 17 nov. 2017, no 15/2004, Com. com. électr. 2018. Comm. 25, obs. E. Caprioli.
(4) CA Paris, pôle 5, ch. 11, 7 févr. 2020, nº 18/03616.
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000801164/
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:01999L0093-20081211&from=LT
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000646995/
ARTICLES QUI POURRAIENT VOUS INTERESSER :
