Une attaque par cryptolocker n’est pas un cas de force majeure
Un virus informatique qui crypte les fichiers de la victime ne constitue pas un cas de force majeure permettant à un cocontractant de s’exonérer de ses obligations.
C’est ce que la Cour d’appel de Paris vient de rappeler dans un arrêt en date du 7 février 2020 non publié au bulletin (1).
Pas de cas de force majeure en cas de virus informatique
En l’espèce, une société informatique avait conclu un contrat d’assistance et de maintenance avec l’un de ses clients dont l’activité porte sur la vente, la location, l’installation et la maintenance de terminaux de paiement par carte bancaire.
En 2016, le client a été victime d’un cryptolocker, virus informatique qui crypte les fichiers du système informatique qu’il infecte.
L’intervention de la société informatique n’a pas permis la restauration des données. Son client a alors fait constater par huissier de justice l’infection des fichiers mais également l’absence de sauvegarde valide entre le 2 septembre 2015 et le 25 février 2016 puis a notifié à la société informatique la résiliation de leur contrat et l’annulation d’une future commande.
La société informatique a contesté l’annulation de la commande, considérant ne pas être responsable des préjudices subis son client. Ce dernier l’a alors assigné devant le Tribunal de commerce de Lyon aux fins de voir constater la résiliation du contrat d’assistance et obtenir la réparation de son préjudice.
Manquement aux obligations contractuelles
Pour sa défense, la société informatique invoquait la force majeure en s’appuyant sur l’article 1148 du Code civil (2) – dans sa version applicable au moment des faits – qui prévoyait :
« Il n’y a lieu à aucuns dommages et intérêts lorsque, par suite d’une force majeure ou d’un cas fortuit, le débiteur a été empêché de donner ou de faire ce à quoi il était obligé, ou a fait ce qui lui était interdit ».
Pour rappel, la force majeure ne peut être invoquée que lorsque l’évènement est « irrésistible, imprévisible, et extérieur » à une partie, de sorte qu’elle se trouve dans l’incapacité de remplir ses obligations contractuelles.
Le Tribunal de commerce de Lyon a jugé que la société informatique avait manqué à ses obligations contractuelles en laissant penser à son client que les mises à jour étaient effectuées et qu’en « présence de sauvegardes exploitables (…) l’infection (…) par le virus (…), qui ne constitue pas un cas de force majeure, n’aurait pas eu les conséquences constatées ».
Invocation vaine de la force majeure
La société informatique a alors interjeté appel de ce jugement, soutenant que l’infection par le virus lui était une cause étrangère, et faisant valoir à titre subsidiaire que l’attaque subie par son client constituait, si ce n’est un cas de force majeure, un cas fortuit excluant sa responsabilité.
Cette argumentation n’a pourtant pas convaincu la Cour d’appel qui a rappelé que le virus informatique « ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité ».
Cette solution comprend ainsi la réalité technique des systèmes d’information, dont la sécurisation ne peut être absolue, mais qui font nécessairement l’objet d’attaques ou de failles.
Virginie Bensoussan-Brulé
Raphaël Liotier
Chloé Perruchot
Lexing Contentieux du numérique
(1) CA Paris, Pôle 05 ch. 11, n°18/03616, 7-2-2020.
(2) Depuis la réforme, le nouvel article 1218 al. 1 du Code civil pose la définition de la force majeure « il y a force majeure en matière contractuelle lorsqu’un événement échappant au contrôle du débiteur, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées, empêche l’exécution de son obligation par le débiteur ».