Suite au piratage de PABX ou « phreaking », se pose souvent la question de la responsabilité de l’installateur.
La chaîne de responsabilité est en effet assez longue compte tenu du nombre d’acteurs potentiellement responsables (opérateur, installateur, constructeur, utilisateur etc.). La jurisprudence, même si elle reste encore peu abondante, tend à se préciser et ne sanctionne pas systématiquement l’installateur.
Chaîne de responsabilité
Les autocommutateurs privés (ou PABX) sont des dispositifs chargés principalement d’assurer la commutation téléphonique d’un réseau téléphonique privé. Ils permettent ainsi d’offrir un grand nombre de fonctionnalités inexistantes, ou peu répandues sur le réseau téléphonique commuté public : messagerie vocale, standard téléphonique intégré, redirection d’appels dynamique, accès distant au poste, etc. Le PABX s’analyse ainsi en un système d’information : tous les outils de configuration, les services proposés, ainsi que la commutation de communications, sont des applicatifs s’exécutant sur un système d’exploitation.
Aussi, différents acteurs interviennent à différents stades ou simultanément sur le système et la détermination du véritable responsable en cas de piratage n’est pas toujours évidente. Il peut s’agir : de l’installateur qui aurait été défaillant lors du paramétrage de l’équipement ou qui n’aurait pas informé son client des risques de piratage, de l’opérateur qui n’a pas pris toutes les précautions qui relèvent de sa responsabilité, du fabricant des équipements qui a laissé des failles dans ses logiciels ou encore de l’utilisateur qui a fait preuve de négligence.
Chacun sera dès lors tenté de rejeter sa propre responsabilité en imputant une faute à un autre acteur de la chaine.
Reconnaissance d’une obligation d’information renforcée pesant sur l’installateur
L’obligation d’information et de conseil, accessoire à l’obligation de délivrance, est un ensemble d’obligations, d’informations, de préconisations et de dissuasions qui s’inscrivent dans les phases précontractuelle et contractuelle. L’étendue du devoir de conseil dépend de la qualification des parties et plus le client de l’installateur sera néophyte, plus l’obligation de conseil sera renforcée.
Une jurisprudence défavorable aux installateurs s’est développée autour de cette obligation d’information, les installateurs en étant débiteurs pendant toute l’exécution du contrat et non uniquement lors de sa formation.
En particulier, il repose sur le prestataire une obligation de sensibiliser le client sur les changements de mots de passe des postes et de la messagerie, certains phreaking résultant de l’absence de mot de passe ou d’un mot de passe trop simpliste.
La Cour d’appel de Versailles, rendant l’un des premiers arrêts en la matière dont la solution a été reprise par la suite, a ainsi considéré qu’en cas de phreaking, la responsabilité du prestataire installateur de PABX doit être engagée s’il est établi un manquement de sa part à son obligation d’information caractérisé en l’espèce par le fait que « la cliente n’avait aucune conscience des risques qu’elle courait » (1).
En parallèle, la jurisprudence reconnait une obligation d’acheminer les appels incombant à l’opérateur, lequel, en l’absence de stipulation contractuelle particulière, demeure fondé à obtenir le paiement de la surconsommation engendrée par le piratage (2).
A la suite de ces décisions, les utilisateurs victimes d’un phreaking ont eu tendance à systématiquement mettre en cause la responsabilité de l’installateur.
La jurisprudence la plus récente a néanmoins refusé de condamner automatiquement l’installateur et s’est attachée à caractériser, au cas par cas, la part de responsabilité de chacun en fonction du type et des circonstances entourant le piratage.
Emergence d’une jurisprudence plus favorable aux installateurs
Quatre décisions rendues en 2016 et 2017 (3), trois par le Tribunal de commerce de Paris et une par le Tribunal d’instance de Bordeaux, ont rejeté la demande de clients visant à mettre en cause la responsabilité de l’installateur à la suite d’un piratage.
Dans l’arrêt du 18 janvier 2017 (4), la responsabilité de l’installateur a été écartée compte tenu de sa pleine satisfaction à son obligation de conseil et d’information vis-à-vis du client. Il était en l’occurrence démontré que le prestataire avait sensibilisé le client quant au changement de mots de passe de telle sorte que le Tribunal de commerce de Paris a considéré que le piratage avait été permis par la seule carence du client qui a délaissé la sécurisation de son installation.
La solution est similaire dans l’arrêt du 1er février 2017 (5).
Dans les arrêts des 20 janvier et 9 novembre 2016 (6), la responsabilité du prestataire a été écartée car il n’était pas démontré de lien de causalité entre l’absence supposée de modification des mots de passe et le piratage allégué. Le Tribunal de commerce de Paris relève à ce titre que « les piratages ayant pour conséquence une augmentation des factures téléphoniques sont nombreux et variés » et, le Tribunal d’instance de Bordeaux rappelle quant à lui que l’installateur n’est pas tenu à « une obligation de résultat au titre de la sécurisation de l’équipement ».
Il résulte de ces décisions que, pour que la responsabilité du prestataire soit mise en cause, le client doit a minima démontrer non seulement, que le prestataire n’a pas satisfait à son obligation de conseil en omettant d’informer le client de la nécessité de changer régulièrement de mot de passe et de choisir un mot de passe non trivial, mais également que le mot de passe configuré était trivial et n’avait pas été changé et enfin que c’est en raison de l’existence de ce mot de passe trivial que le piratage a pu avoir lieu.
Virginie Bensoussan-Brulé
Marion Catier
Lexing Contentieux numérique
(1) CA Versailles, 25-3-2014 et TC Nanterre, 5-2-2015
(2) CA Versailles, 25-3-2014 et TC Nanterre, 5-2-2015
(3) TC Paris, 8e chambre, 18-01-2017, RG n°2016000686 ; TC Paris, 8e chambre, 01-02-2017, RG n°2015065343 ; TI Bordeaux, 20-1-2016, RG n°11-14-00406 ; TC Paris, 9-11-2016, RG n°2015023613
(4) TC Paris, 8e chambre, 18-01-2017, RG n°2016000686
(5) TC Paris, 8e chambre, 01-02-2017, RG n°2015065343
(6) TI Bordeaux, 20-1-2016, RG n°11-14-004062 ; TC Paris, 9-11-2016, RG n°2015023613