[contrat BtoB] Perte des données et limitation de responsabilité

1ere-couv-07-12-2016-ledieu-avocat-contrat-droit-nouvelle-technologie-web-saas-logiciel-cybersecurite-metadata-donnee-personnelle-renseignement-001


[mis à jour le 29 août 2016] Le jugement du 2 mai 2014 du Tribunal de commerce de Nanterre incite à rappeler l’importance du back up des données, surtout lorsque une entreprise fait intervenir un prestataire pour la maintenance des applications logicielles qu’elle utilise. Et au passage, celle des clauses limitatives de responsabilité, sujettes à de fréquentes négociations contractuelles.

Perte des données par un prestataire : qui est responsable ?

Les faits de l’espèce sont simples et très éclairants, et la solution du tribunal assez logique.

[mis à jour du 29 août 2016] Et puisque le Code civil sur le droit des contrats est en passe d’être réformé (en principe pour les contrats signés à compter du 1er octobre 2016), voyons si les choses auraient été différentes sous l’empire de la loi nouvelle.

1 – Ce que prévoyait le contrat

Par contrat de « facilities Management » du 1er septembre 2008, Tamaya Telecom (le prestataire) s’engageait vis-à-vis de Pharmotel (le client bénéficiaire des licences de logiciels) à « assurer la maintenance du réseau local des ordinateurs et périphériques ainsi que des logiciels utilisés » (article 1er) par le client « dans le cadre d’une obligation de moyens » (article 5).

L’article 10 « limitation de responsabilité » de ce contrat prévoyait :

la responsabilité éventuelle du PRESTATAIRE à raison de l’exécution des obligations prévues au présent contrat sera limitée à un montant n’excédant pas la somme totale effectivement payée par le CLIENT pour les services fournis par le PRESTATAIRE (apparemment 1 an de « forfait fixe ») ;

en cas de perte de données ou de logiciels et ce quelle qu’en soit la cause, le PRESTATAIRE ne pourra être rendue responsable de cette perte dans la mesure où le CLIENT garde la responsabilité de la bonne réalisation de ses sauvegardes et de l’utilisation des logiciels dont il a acquis les licences.

2 – La perte des données du client

Citons le jugement pour le rappel des faits :

Lors d’une intervention, le 10 novembre 2010, dans les locaux de la société Pharmodel (CLIENT) sous la responsabilité de Tamaya Telecom (PRESTATAIRE), l’ensemble des données stockées sur les trois disques durs présents dans le serveur informatique a été irrémédiablement endommagé et perdu. [NDLR: des professionnels avec un tel talent, ce n’est pas si courant…].

Les différentes tentatives de récupération de ces données effectuées par Tamaya Telecom puis par la société Chronodisk spécialisée dans la récupération de données, n’ont pas permis de récupérer les données de la société Pharmodel sur les disques durs du serveur, et la société Pharmodel s’est rendue compte à cette occasion que son système de sauvegarde de ses données n’était plus opérationnel depuis plusieurs mois, et que de ce fait, elle ne disposait plus d’aucun moyen lui permettant de récupérer ces données.

Du fait de la perte totale de ses données, Pharmotel réclamait l’indemnisation de son préjudice estimé à 158.745,95 €.

Tamaya Telecom, pour sa défense, demandait l’application de la clause limitative de responsabilité, soit le paiement d’une somme de 7.280 € (montant du « forfait annuel fixe » du contrat). A ce niveau d’écart entre les deux parties, la transaction était difficile…

3 – Le débat : la clause limitative de responsabilité

Le débat tournait donc autours de l’application de la clause limitative de responsabilité :

– soit cette clause était considérée comme valable, auquel cas Pharmotel recevrait comme indemnité le « montant du forfait annuel fixe du contrat », soit 7.280 € pour indemniser la perte des données;

– soit Pharmotel pouvait démontrer (i) une faute lourde, (ii) un dol (une faute intentionnelle) de son prestataire ou (iii) que cette clause « vidait de sa substance l’obligation essentielle » de Tamaya Telecom, ce qui permettrait d’écarter l’application de la clause limitative. Dans ce cas, et sous réserve de la preuve de l’étendue réelle de son préjudice, Pharmotel pouvait prétendre au 158.745,95 € réclamés.

4 – Ce que retient le Tribunal

4.1 – Le dol

Sur le dol, pas un mot du Tribunal dans son jugement. Ce n’est pas étonnant, le dol est « une faute intentionnelle » dont la preuve est particulièrement difficile à établir, puisqu’il faut prouver à la fois (i) la faute ET (ii) son caractère intentionnel (la volonté délibérée du prestataire de causer un dommage à son client).

[mise à jour du 29 août 2016] Le [nouveau] Code civil pose une définition du dol (ce qui ne change rien à notre affaire)

046-reforme-2016-contrat-non-juristes-1-ledieu-avocat-ledieu-avocat-droit-nouvelles-technologies-logiciel-saas-web-cloud-computing-metadonnees-vfr3-3-16-11-2016-024

Or, manifestement, le prestataire n’avait pas volontairement causé la perte des données de son client. S’il y avait (probablement) faute, il n’y avait pas intention de nuire. Pas de dol, donc.

4.2 – La faute lourde

L’argument de la faute lourde était plus intéressant.

La faute lourde doit être « d’une particulière gravité » et s’apprécie au regard des obligations du prestataire prévues au contrat.

Apparemment, rien de particulier dans le contrat sur la sauvegarde des données puisque le prestataire devait simplement « assurer la maintenance des matériels et logiciels (du CLIENT) » nous dit le Tribunal.

L’article 10 du contrat prévoyait plus explicitement que:

En cas de perte de données ou de logiciels et ce quelle qu’en soit la cause, le PRESTATAIRE ne pourra être rendu responsable de cette perte dans la mesure où le CLIENT garde la responsabilité de la bonne réalisation de ses sauvegardes et de l’utilisation des logiciels dont il a acquis les licences.

Le Tribunal a apparemment fait une application simple du contrat et note que :

Tamaya Telecom … n’était pas responsable des sauvegardes non effectuées depuis plusieurs semaines par Pharmodel.

Si le manquement n’est pas contractuel, la notion de faute lourde ne permet pas d’écarter la clause limitative de responsabilité.

[mise à jour du 29 août 2016] Dans la réforme du 10 février 2016 du droit des contrats, la notion de faute lourde n’est pas reprise ni comme vice du consentement des parties, ni comme cause d’annulation des clauses limitatives de responsabilité. Peut-être les tribunaux maintiendront quand même cette jurisprudence… En tout cas, les clauses contractuelles pourront toujours inclure cette notion de faute lourde.

Apparait en revanche dans la réforme du Code civil la notion de « clause qui prive de sa substance l’obligation essentielle du débiteur« . Nous y arrivons…

Alors ? [quel suspense…]

4.3 – La faute du prestataire

Le constat du Tribunal est somme toute assez simple :

les données qui figuraient dans le système d’information de Pharmodel avant l’intervention de Tamaya Telecom n’y figuraient plus après.

Quelles que soient les raisons de l’intervention technique du prestataire, c’est bien cette intervention qui avait provoqué la perte des données du client. Voici le manquement contractuel. Le prestataire a mal effectué sa prestation, il a causé un dommage à son client, il en est donc responsable.

Et, à défaut de prouver la « faute lourde » ou le « dol », la responsabilité du prestataire est engagée dans les conditions prévues au contrat. L’application de la clause limitative de responsabilité est donc parfaitement logique.

Le tribunal prend soin – en plus – de noter que le prestataire « n’a pas ménagé ses efforts suite à la survenance de l’incident pour que (le CLIENT) puisse récupérer les données perdues ». Sur ce point, il est évident que doit être réputé de bonne foi un prestataire qui tente activement de limiter les conséquences du dommage qu’il cause.

En revanche, ce comportement actif du prestataire ne devrait en principe pas influer sur la nature de la faute commise, qui pourrait rester une « faute lourde ».

Le prestataire devait-il, préalablement à son intervention, « s’assurer au préalable que la sauvegarde avait été effectuée » ? En matière informatique, on pourrait penser qu’il s’agit là d’une précaution élémentaire à la charge du prestataire. Mais le Tribunal retient apparemment la propre faute du client pour ne pas aggraver celle (établie) du prestataire :

Tamaya Telecom … n’était pas responsable des sauvegardes non effectuées depuis plusieurs semaines par Pharmodel.

Donc, si l’obligation contractuelle ne concernait pas le back up des données, la faute (éventuelle) du prestataire semble moindre que celle du client qui n’a pas pris soin de son système de sauvegarde.

Il n’y a donc pas de raison de modifier le contrat qui représente « la loi des parties » (article 1134 Code civil).

Et si le juge ne respecte pas l’équilibre voulu par les parties dans le contrat, la sanction du jugement qui dirait le contraire viendra (probablement) en appel.

A cet égard, passons rapidement sur la tentative de Pharmotel de faire requalifier la nature de l’obligation de son prestataire en obligation de résultat. Le jugement ne prend pas la peine de réponse à la demande de Pharmotel sur ce point, l’article 5 du contrat prévoyant une « obligation de moyens » à la charge du prestataire, suffisamment claire pour que le Tribunal ne se risque pas – ici non plus – à modifier la loi des parties. (voir nos explications sur ce blog).

4.4 – L’argument du manquement à une « obligation essentielle »

En perdant les données de son client lors d’une intervention de maintenance, le prestataire manque-t-il à une de ses obligations essentielles ?

Pour cela, il faut revenir au rôle précis du prestataire au titre du contrat : « assurer la maintenance des matériels et logiciels (du CLIENT) » nous dit le Tribunal.

Si la sauvegarde des données ne fait pas partie du périmètre contractuel, le fait pour le prestataire de ne pas sauvegarder les données de son client avant son intervention de maintenance n’est (apparemment) pas un manquement à une de ses obligations essentielles.

Bien que le Tribunal reste muet sur ce point, nous lui donnons raison :

– le contrat prévoyait clairement que :

  • … le CLIENT garde la responsabilité de la bonne réalisation de ses sauvegardes et de l’utilisation des logiciels dont il a acquis les licences
  • le client n’avait pas assuré de sauvegarde de ses données « depuis plusieurs semaines » note le Tribunal.

Si, selon nous, le prestataire aurait, par prudence au moins, dû faire une sauvegarde des données avant intervention, (et ne le faisant pas, commet certainement une faute professionnelle), cette faute ne saurait constituer un manquement à une « obligation essentielle » du contrat, c’est-à-dire un manquement si grave qu’il serait de nature à écarter le bénéfice de la clause limitative de responsabilité. Car le débat revient inlassablement autours de cette clause.

Oui, par prudence, le prestataire aurait du faire un back up des données de son client. Mais … errare humanum est… Constatant son erreur, le prestataire avait au moins réagi en professionnel diligent, et n’avait « pas ménagé ses efforts suite à la survenance de l’incident pour que (le CLIENT) puisse récupérer les données perdues ».

L’équation semble donc être la suivante :

Prestataire pas en charge du back up

+ client fautif (pas de back up depuis plusieurs semaines)

+ faute du prestataire (perte des données)

+ vrais efforts pour tenter la récupération des données

= sans influence sur la gravité du dommage subi par le client (perte totale des données)

= application de la clause limitative de responsabilité.

Le contrat fait la loi des parties (je me répète ?) et la gravité des conséquences d’un manquement (hors périmètre contractuel) du prestataire ne permet pas de déroger aux dispositions claires et précises du contrat. Y compris sur la limitation de la responsabilité.

[mise à jour du 29 août 2016] Dans la réforme 2016 du droit des contrats, apparait « en dur » la notion de « clause qui prive de sa substance l’obligation essentielle du débiteur » [de l’obligation] (en clair : du prestataire).

28-contrat-gre-a-gre-code-civil-reforme-ordonnance-2016-131-10-fevrier-2016-nouvelles-technologies-logiciel-saas-web-cloud-computing-donnees-ledieu-avocat-vfr5-4-06-12-2016-065-copie

En application du [nouvel] article 1170 Code civil, SI le contrat avait concerné les obligation de back-up à titre principal, le montant de la limitation de responsabilité du prestataire aurait pu être considéré comme privant « de sa substance l’obligation essentielle » du prestataire. Et si la clause saute, l’indemnisation du client est alors sans limite (autre que celle de la preuve de son préjudice).

Mais tel n’était pas le cas dans l’espèce ici analysé. Alors, un autre fondement ?

4.5 – L’argument du manquement à « l’obligation de conseil »

Pour contourner l’écueil de la preuve (extrêmement difficile) de la faute intentionnelle qu’est un dol, ou de la faute lourde, Pharmotel pouvait aussi tenter de prouver la faute de son prestataire dans l’exécution de son devoir de conseil.

Le Tribunal de Nanterre rappelle en effet que :

Tamaya Telecom … est spécialisée dans les services informatiques, dont notamment l’infogérance et le stockage de données.

Cette argumentation – à laquelle le Tribunal ne répond pas – était tactiquement bien pensée par le demandeur dans la mesure où un manquement éventuel du prestataire à cette obligation permettrait également d’écarter l’application de la clause limitative de responsabilité, l’obligation « de conseil et de mise en garde » étant, selon la jurisprudence qualifiée d’obligation « pré-contractuelle », donc non soumise aux dispositions limitative du contrat.

Oui, encore et encore la même clause limitative…

Il semble que le Tribunal n’ait pas répondu à cette argumentation, dans la mesure où les obligations du prestataire :

(i) était clairement cantonnée à « la maintenance des matériels et logiciels » et que

(ii) la charge des back up était sans ambiguïté à la charge du client :

en cas de perte de données ou de logiciels et ce quelle qu’en soit la cause, le PRESTATAIRE ne pourra être rendu responsable de cette perte dans la mesure où le CLIENT garde la responsabilité de la bonne réalisation de ses sauvegardes et de l’utilisation des logiciels dont il a acquis les licences » (article 10 du contrat).

Si un prestataire limite le champs de ses interventions à la maintenance, on peut difficilement lui reprocher un manquement à une obligation de conseil, d’information, d’alerte ou de mise en garde au titre de la sauvegarde des données.

Au contraire, le texte même de l’article 10 était à lui seul un avertissement à l’égard du client.

Et en plus, Pharmotel en l’espèce n’avait pas assuré la sauvegarde de ses données « depuis plusieurs semaines. Franchement, quelle négligence… Et tenter de faire supporter cette négligence par le prestataire, franchement…

L’argumentation de Pharmotel était audacieuse, certes, mais ne pouvait décemment prospérer.

[mise à jour du 29 août 2016] Le « devoir de conseil » était une pure création de la jurisprudence. Elle figure maintenant « en dur » dans l’article 1104 [nouveau] Code civil, via l’obligation d’exécution de bonne foi des obligations. Cette obligation d’information perdure donc tout au long de l’exécution du contrat.

046-reforme-2016-contrat-non-juristes-1-ledieu-avocat-ledieu-avocat-droit-nouvelles-technologies-logiciel-saas-web-cloud-computing-metadonnees-vfr3-3-16-11-2016-010-copie


Ce que changerait un contrat de service en mode SaaS ?

Les éditeurs qui concèdent un droit d’utilisation de leur logiciel en mode SaaS (Software as a Service) s’engagent en général (i) à assurer la maintenance de leur logiciel et (ii) à assurer le back up complet tant de leur application et que des données de leurs clients.

Si tel avait été le cas, si Tamaya Telecom avait commis la même faute d’effacement des données de Pharmotel lors d’une opération de maintenance, et si le contrat avait prévu une clause identique de limitation de responsabilité à hauteur du « forfait annuel fixe », le jugement du Tribunal aurait-il été différent ?

PROBABLEMENT PAS !

Sauf à prouver – une fois encore – une faute lourde ou un dol du prestataire, le prestataire qui efface les données de son client serait très probablement protégé par la clause limitative de responsabilité.

Si le client confie des données stratégiques à son prestataire dans le cadre d’un contrat de service en mode SaaS, il appartient au client de vérifier que la clause d’indemnisation qu’il contracte avec le prestataire tienne compte de ce caractère « stratégique ». Et que son prestataire soit officiellement informé de ce caractère stratégique ? (ça pourrait le motiver, non ?)

Dans ce cas, plusieurs solutions s’offrent au client :

– une mention contractuelle spéciale d’indemnisation en cas de perte de ses données « stratégiques » (par exemple une dérogation à la limitation de responsabilité) ;

– la souscription par le client d’une assurance spécifique lui permettant une indemnisation de ce dommage spécifique ;

– la souscription par le prestataire d’une assurance spécifique (ou d’une extension des garanties) pour ce client en cas de perte de données. Dans cette hypothèse, le plus souvent, le prestataire demande alors au client d’assumer la charge financière de la sur-prime spécifiquement contractée pour le client.

Le prestataire, pour sa part, prendra soin de bien rédiger sa clause limitative de responsabilité. Et de préciser dans le contrat l’étendue de de son obligation de conseil, de mise en garde, d’information et d’alerte. De sorte que le client ne sorte pas de son chapeau, en cas de litige, l’argument du défaut au devoir de conseil ou celui du manquement du prestataire à une des obligations essentielles.

Pour paraphraser le célèbre « dura lex, sed lex », le contrat est dur, mais il fait la loi des parties. Et il faut approuver la décision des juges de Nanterre.

1ere-couv-07-12-2016-ledieu-avocat-contrat-droit-nouvelle-technologie-web-saas-logiciel-cybersecurite-metadata-donnee-personnelle-renseignement-001