7 Fév 2022
LA RESPONSABILITE DES PRESTATAIRES DE SERVICES INFORMATIQUES
À l’heure actuelle, nous assistons à une croissance massive des secteurs du numérique . De plus en plus de contrats se forment par voie dématérialisée. Il a alors fallu s’interroger sur la responsabilité des prestataires de services informatiques en matière de sécurité informatique.
NOUVEAU : Utilisez nos services pour faire respecter un contrat en passant par le formulaire !
La sécurité par voie électronique repose largement sur l’utilisation de moyens de chiffrement des échanges pour en assurer la confidentialité. Ces dernières années, le cadre juridique de la sécurité des services informatiques était mis en place, avec deux grands volets : la libéralisation de la cryptologie et la reconnaissance de la signature électronique.
Le Conseil des ministres a adopté le 15 janvier 2003 un projet de loi « sur la confiance dans l’économie numérique », dans lequel la question de la responsabilité des « prestataires techniques » de l’Internet est un des points majeurs (chapitre 2 du projet de loi). Ce projet de loi avait, aussi, comme vocation à transposer en droit français la directive européenne du 8 juin 2000 sur le commerce électronique. Cette réglementation a mis en place le système d’une responsabilité limitée des prestataires techniques. L’article 2 du projet de loi redéfinit les obligations des prestataires intermédiaires des services de communication en ligne.
Besoin de l’aide d’un avocat pour un problème de contrat ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
I. Obligations générales du prestataire de services informatiques
En droit, l’ article 1112-1 du Code civil prévoit le devoir d’information du prestataire de services informatiques et dispose ainsi : « Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant ».
Ainsi, la résolution d’un contrat aux torts du prestataire informatique a été prononcée par la Cour d’appel d’Orléans qui a considéré que le professionnel avait manqué à son obligation en ne remettant au client qu’une notice succincte que le matériel qu’il venait d’acquérir (1). Par ailleurs, la Cour d’appel de Paris a considéré qu’un prestataire avait manqué à son obligation de conseil en laissant un projet changer de nature, sans alerter le client sur les conséquences de ce changement (2).
Dans une autre affaire et suivant le même raisonnement, la Cour de Paris a jugé en 2017 que, même face à un client, professionnel de l’informatique, le prestataire demeure redevable de son obligation de conseil et doit s’assurer que ce client dispose de la capacité d’apprécier la portée des caractéristiques techniques des équipements et solutions qui lui sont proposées (3).
De plus, le prestataire de services informatiques a aussi une obligation de délivrance de la prestation et que cette prestation soit conforme aux attentes du client.
Et enfin, le prestataire de services informatiques est responsable des vices cachés en vertu de l’article 1641 du code civil.
II. Étude de cas sur les prestataires assurant des prestations de cryptologie
En matière de sécurité, un projet de loi libéralise sans réserve l’utilisation des moyens de cryptologie, définies comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète » (art. 29 LCEN). Cette version de l’article n’a pas changé. Elle est en vigueur depuis le 22 juin 2004.
En ce que concernent les prestataires qui assurent des prestations de cryptologie à des fins de confidentialité, le projet précise qu’ils sont présumés responsables, jusqu’à preuve contraire, et malgré toute disposition contractuelle contraire, du « préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions » (art. 32 LCEN).
Cette présomption pourra être levée si le prestataire démontre qu’il n’a commis aucune faute intentionnelle ou de négligence. Toute ce texte semble d’application très large et exclure la force majeure. Pourtant, il a déjà été constaté que la confidentialité de certaines données peut avoir été compromise du fait de la victime elle-même, par exemple à raison de la présence de programmes-espions préexistants dans le système d’information ou en présence de certains virus.
De ce fait, on pourrait se demander si la présence d’un virus informatique peut-il constituer un cas de force majeure et exonérer la responsabilité du prestataire informatique ?
La Cour d’appel de Paris a répondu à cette question dans une décision rendue le 7 février 2020 (4). Les magistrats de la Cour ont estimé, dans cette affaire, qu’« un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. L’exécution par l’appelante de ses obligations n’ayant nullement été empêchée par les causes étrangères qu’elle invoque, sa responsabilité contractuelle est donc engagée. ».
In fine, les prestataires doivent pouvoir être reconnus responsables des dommages qui surviennent, lors de l’exécution de leurs prestations, aux personnes qui leur confient le soin d’assurer la confidentialité de certaines données ou assurer un devoir de conseil et d’information à l’égard des clients.
Par ailleurs, l’article 33 de la loi pour la confiance dans une économie numérique institue une véritable présomption de responsabilité, nonobstant qu’elle a un champ d’application limitée : ce régime ne s’appliquerait qu’en présence de certificats dits « qualifiés » ou, tout au moins, présentés comme tels par le fournisseur. La présomption de responsabilité ne jouerait qu’à l’égard des personnes ayant confié aux fournisseurs de prestations concernés la gestion de leurs conventions secrètes, lorsqu’un préjudice résulte d’une atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide desdites conventions.
Il convient de préciser, toutefois, que les prestataires des services de sécurité informatique ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé à la condition que ces limites aient été clairement portées à la connaissance des utilisateurs dans le certificat (art. 33 LCEN).
L’article 34 institue un mécanisme de sanction administrative et précise que « Lorsqu’un fournisseur de moyens de cryptologie, même à titre gratuit, ne respecte pas les obligations auxquelles il est assujetti en application de l’article 30, le Premier ministre peut, après avoir mis l’intéressé à même de présenter ses observations, prononcer l’interdiction de mise en circulation du moyen de cryptologie concerné ». Cet article précise aussi que l’interdiction de mise en circulation est applicable sur l’ensemble du territoire national.
Concernant les sanctions pénales, la violation du secret professionnel expose les personnes exerçant une activité de fourniture de prestations de cryptologie aux sanctions prévues pour les articles 226-13 et 226-14 du Code pénal : 1 an d’emprisonnement et 15 000 euros d’amende.
Par ailleurs, est sanctionné le non-respect de l’obligation de déclaration, qui expose le prestataire à des peines d’emprisonnement (2 ans) et d’amende (30 000 euros), assorties des mêmes peines complémentaires que celles énumérées précédemment pour les moyens de cryptologie.
Pour conclure, le décret du 2 mai 2007 a également prévu des sanctions associées puisque le fait de fournir des prestations de cryptologie ne visant pas à assurer des fonctions de confidentialité sans avoir satisfait à l’obligation de déclaration expose aux peines prévues pour les contraventions de la 5e classe soit 1 500 euros par contravention. Cette sanction est assortie d’une peine complémentaire de confiscation, suivant les modalités prévues par l’article 131-21 du Code pénal, de la chose qui a servi ou était destinée à commettre l’infraction ou de la chose qui en est le produit, à l’exception des objets susceptibles de restitution.
Pou rlire une version plus complète de cet article sur la responsabilité des prestataires informatiques, cliquez
Sources :
(1) CA Orléans, ch. com., 31 mai 2007, SA Cybervitrine c/ Agence BIB Immobilier, Juris-Data, no 2007-342466
(2) CA Paris, 5e ch., 13 sept. 2006, Prodimpor c/ Hays IT, no 224
(3) CA Paris, pôle 5, ch. 11, 17 nov. 2017, no 15/2004, Com. com. électr. 2018. Comm. 25, obs. E. Caprioli.
(4) CA Paris, pôle 5, ch. 11, 7 févr. 2020, nº 18/03616.
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000801164/
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:01999L0093-20081211&from=LT
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000646995/