🔎 Les faits
Une société de fabrication et vente de portails est victime d'une cyberattaque. Il est établi que des sauvegardes externalisées auraient pu permettre d’éviter l’intrusion, ou au moins de faciliter le retour à la normale.
La victime intente une action contre son prestataire informatique, chargé du renouvellement de son infrastructure IT. Elle estime que celui-ci n’a pas respecté son obligation d’information et de conseil.
💬 Les arguments du prestataire
Pour exclure sa responsabilité, le prestataire avance les éléments suivants :
🔸 Les sauvegardes ne faisaient pas partie des prestations contractuelles, le client en était donc responsable.
🔸 Le client disposait d’un service informatique, ce qui décharge le prestataire de ses obligations d’information et de conseil en matière de sécurité.
❌ La Cour d’appel : le prestataire devait alerter le client.
Le client n’est pas un professionnel de l’informatique, et son service informatique restreint (3 personnes) ne peut pas avoir les mêmes compétences qu’un spécialiste en cybersécurité.
C’était donc au prestataire d’informer le client sur la nécessité d’adapter son système de sauvegarde.
Le prestataire est condamné à une indemnisation partielle, évaluée au vu de la perte de chance du client d’éviter la cyberattaque.
➡️ Les enseignements pour les prestataires informatiques
Même si votre contrat prévoit que c’est au client d’effectuer les sauvegardes, vous devez l’alerter sur les différentes options et les risques afférents.
En tant que professionnel, il vous revient de l’informer sur les mesures de sécurité à mettre en œuvre. Et pensez à conserver la trace écrite de vos conseils, y compris si votre client ne les applique pas !
CA Rennes, 19-11-2024, n° 23/04627
Comments