15 février 2024
Cour d’appel de Grenoble
RG n°
22/00952

N° RG 22/00952 – N° Portalis DBVM-V-B7G-LIO5

C4

Minute N°

Copie exécutoire

délivrée le :

la SELARL COOK – QUENARD

la SELARL LEXAVOUE GRENOBLE – CHAMBERY

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE GRENOBLE

CHAMBRE COMMERCIALE

ARRÊT DU JEUDI 15 FEVRIER 2024

Appel d’un jugement (N° RG 2021J00046)

rendu par le Tribunal de Commerce de ROMANS SUR ISERE

en date du 16 février 2022

suivant déclaration d’appel du 04 mars 2022

APPELANTE :

S.A.S. IPSET au capital de 8 004,00 euros, immatriculée au registre du commerce et des sociétés de Romans-sur-Isere sous le numéro 442 674 156, représentée par son dirigeant en exercice domicilié es-qualités audit siège.

[Adresse 1]

[Localité 2]

représentée par Me Nathalie COOK de la SELARL COOK – QUENARD, avocat au barreau de GRENOBLE, postulant et par Me Sémir GHARBI, avocat au barreau de LYON

INTIMÉE :

S.A.S. FERREIRA BATIMENT immatriculée au Registre du Commerce et des Sociétés de ROMANS, sous le numéro 393 998 950, agissant poursuites et diligences de son représentant légal domicilié ès qualités audit siège,

[Adresse 4]

[Localité 3]

représentée par Me Alexis GRIMAUD de la SELARL LEXAVOUE GRENOBLE – CHAMBERY, avocat au barreau de GRENOBLE, et par Me Laure VERILHAC, avocat au barreau de VALENCE,

COMPOSITION DE LA COUR :

LORS DES DÉBATS ET DU DÉLIBÉRÉ :

Madame Marie-Pierre FIGUET, Présidente,

M. Lionel BRUNO, Conseiller,

Mme Raphaele FAIVRE, Conseillère,

Assistés lors des débats de Alice RICHET,Greffiière,

DÉBATS :

A l’audience publique du 14 décembre 2023, M. BRUNO, Conseiller, a été entendu en son rapport,

Les avocats ont été entendus en leurs conclusions,

Puis l’affaire a été mise en délibéré pour que l’arrêt soit rendu ce jour,

Faits et procédure :

1. Le 2 octobre 2015, la société Ferreira Bâtiment a contracté auprès de la Sarl Ipset un contrat de sauvegarde à distance de ses donnés informatiques. Dans la nuit du 31 janvier au 1er février 2019, la société Ferreira Bâtiment a été victime d’une attaque virale sur le serveur de son site. Il en est résulté la disparition définitive de la totalité des fichiers qui se trouvaient sur le serveur soit l’ensemble des documents comptables, administratifs, financiers, tous les documents des marchés en cours, et de ceux pour lesquels la société Ferreira Bâtiment prévoyait de candidater, tous les documents de production, ceux liés aux fournisseurs et prestataires. La sauvegarde externalisée réalisée par la société Ipset n’a pas permis de récupérer les ‘chiers piratés. La société Ferreira Bâtiment n’a jamais reçu la moindre proposition d’indemnisation de ses préjudices ni de la société Ipset ni de son assureur. Elle a en conséquence saisi le tribunal de commerce de Romans sur Isère.

2. Par jugement du 16 février 2022, le tribunal de commerce de Romans sur Isère a :

– condamné la société Ipset à payer à la société Ferreira Bâtiment la somme de 56.556,39 euros au titre des prestations commandées à des tiers ;

– débouté la société Ferreira Bâtiment de sa demande en paiement au titre du temps passé sur la reconstitution des données ;

– débouté la société Ferreira Bâtiment de sa demande en paiement de dommages et intérêts pour perte de chance d’être attributaire des marchés de travaux ;

– condamné la société Ipset à payer à la société Ferreira Bâtiment la somme de 1.000 euros au titre de l’article 700 du code de procédure civile ;

– rejeté toutes autres demandes, fins et conclusions contraires ;

– liquidé les dépens visés à l’article 701 du code de procédure civile pour être mis à la charge de la société Ipset.

3. La société Ipset a interjeté appel de cette décision le 4 mars 2022 en ce qu’elle a :

– condamné la société Ipset à payer à la société Ferreira Bâtiment la somme de 56.556,39 euros au titre des prestations commandées à des tiers ;

– condamné la société Ipset à payer à la société Ferreira Bâtiment la somme de 1.000 euros au titre de l’article 700 du code de procédure civile ;

– liquidé les dépens visés à l’article 701 du code de procédure civile pour être mis à la charge de la société Ipset.

L’instruction de cette procédure a été clôturée le 9 novembre 2023.

Prétentions et moyens de la société Ipset :

4. Selon ses conclusions remises le 9 mars 2023, elle demande à la cour, au visa des articles 1231-1 et suivants du code civil :

– d’infirmer le jugement déféré et statuant à nouveau, à titre principal, de juger qu’aucun lien de causalité n’est établi entre la faute présumée imputable à la concluante et le préjudice allégué par la société Ferreira Bâtiment ;

– de rejeter l’ensemble des demandes présentées par la société Ferreira Bâtiment comme étant non fondées ;

– à titre subsidiaire, de juger que la société Ferreira Bâtiment a commis une faute en n’assurant pas la protection de ses équipements informatiques par l’installation d’un logiciel antivirus ;

– de juger que la concluante ne saurait être tenue à une quelconque indemnisation du préjudice subi par la société Ferreira Bâtiment en raison de ses propres défaillances ;

– en tout état de cause, de condamner la société Ferreira Bâtiment à payer à la concluante la somme de 4.000 euros en application des dispositions de l’article 700 du code de procédure civile, outre les dépens de l’instance.

Elle soutient :

5. – que le contrat n’a prévu qu’une sauvegarde des données, mais pas leur protection par un antivirus, que l’intimée devait assurer elle-même en recourant à des logiciels ou à un autre système de protection ; si que le jugement déféré a condamné la concluante au titre de son obligation de sauvegarde de sept jours, l’intimée a cependant fondé toute son argumentation sur le fait que l’origine du sinistre résulte de l’attaque survenue sur son serveur ; que le rapport d’expertise non contradictoire du 17 décembre 2020 de monsieur [Y] indique que ce serveur a été la cible d’un virus qui a chiffré l’intégralité des données stockées sur le serveur de l’intimée ; ainsi, que le préjudice subi résulte de ce chiffrement, résultant de l’absence de mise en place d’un antivirus alors qu’il n’existe pas de lien de causalité entre ce chiffrement et le reproche formulé à l’encontre de la concluante concernant la sauvegarde des données pendant sept jours ;

6. – que la concluante a bien réalisé des sauvegardes journalières comme prévu au contrat et aurait pu subir des dommages si elle n’avait pas elle-même mis en ‘uvre un système de protection ; que les premiers juges n’ont pas ainsi compris que la sauvegarde des données infectées était forcément inexploitable ;

7. – qu’en attendant près de 18 mois avant d’engager son action, l’intimée a placé la concluante dans l’impossibilité de démontrer qu’elle avait exécuté son obligation, en raison du temps écoulé ; que le rapport d’expertise indique d’ailleurs que les données ont été restituées par la concluante en novembre 2018 lors du changement de serveur ; que la restitution est cependant devenue impossible en raison de données devenues inexploitables en raison du virus ; que la concluante n’a pas présenté de mail falsifié émanant de l’intimée le 8 février 2019 et que peu importe le constat d’huissier indiquant que ce mail figure dans la messagerie de l’intimée, alors qu’il n’établit pas qu’il ait été falsifié ;

8. – que si l’huissier commis par l’intimée indique que celle-ci est protégée par un pare-feu, celui-ci n’existait pas lors du sinistre ;

9. – subsidiairement, que l’intimée a commis une faute qui est à l’origine de son dommage, en raison de l’absence de protection de ses équipements faute d’installation d’un antivirus ou d’un logiciel de protection, ce qui a permis le chiffrement de ses données ; qu’elle a ainsi installé postérieurement un pare-feu ;

10. – concernant l’appel incident, que l’intimée ne produit aucune preuve de ce qu’elle aurait chargé trois personnes pour reconstituer ses fichiers, ne fournissant qu’un tableau contenant le nom des personnes qui seraient intervenues, et des attestations de ses salariés ; qu’il s’agit ainsi de preuves que l’intimée s’est constituée à elle-même ; que la somme demandée au titre de la perte de marchés ne repose sur aucune évaluation ni aucun critère ; qu’en raison de la durée de détention du serveur par l’intimée, une exploitation des données est devenue impossible et rend une expertise inutile.

Prétentions et moyens de la société Ferreira Bâtiment :

11. Selon ses conclusions remises le 22 mars 2023, elle demande à la cour, au visa des articles 1231 et suivants du code civil :

– de confirmer le jugement entrepris en ce qu’il a condamné la société Ipset à payer à la concluante la somme de 56.556,39 euros au titre des prestations commandées à des tiers et celle de 1.000 euros au titre de l’article 700 du code de procédure civile ; en ce qu’il a rejeté toutes autres demandes, fins et conclusions contraires ; en ce qu’il a liquidé les dépens visés à l’article 701 du code de procédure civile pour être mis à la charge de la société Ipset ;

– de le réformer en ce qu’il a débouté la concluante de sa demande en paiement au titre du temps passé sur la reconstitution des dossiers et de sa demande en paiement de dommages et intérêts pour perte de chance d’être attributaire des marchés de travaux ;

– statuant à nouveau, de condamner la société Ipset à payer à la concluante la somme de 33.571,54 euros au titre du temps passé sur la reconstitution des données ;

– de condamner la société Ipset à payer à la concluante la somme de 10.000 euros à titre de dommages et intérêts pour la perte de chance d’être attributaire des marchés de travaux ;

– à titre subsidiaire et avant dire droit, d’ordonner une expertise judiciaire et confier à l’expert ainsi désigné la mission suivante :

* rechercher les causes et origines de l’incident survenu dans la nuit du 31 janvier au 1er février 2019,

* rechercher les causes et origines de la défaillance du processus de sauvegarde dont la société Ipset avait la charge, et qui est à l’origine de la perte totale et définitive de tous les fichiers,

* chiffrer le coût de remplacement ou de reconstitution des supports matériels, notamment les coûts externes et les coûts internes,

* évaluer le préjudice matériel subi par la concluante et notamment la perte de chance de réaliser un chiffre d’affaires lié aux marchés,

* s’adjoindre pour ce faire si nécessaire la collaboration d’un sapiteur financier et/ou comptable,

– en tout état de cause, de condamner la société Ipset à payer à la concluante la somme de 8.000 euros en application de l’article 700 du code de procédure civile;

– de condamner la société Ipset aux entiers dépens.

L’intimée indique :

12. – que la responsabilité de l’appelante est établie puisqu’elle n’a pas restitué une sauvegarde malgré ses engagements contractuels, ce qu’a exactement retenu le tribunal ; que l’appelante ne rapporte aucune preuve que le préjudice subi résulte du chiffrement de l’intégralité des données par l’attaque subi par le serveur de la concluante par un virus ; que la faute reprochée étant l’absence de sauvegarde, et le préjudice la perte des données, l’existence d’un lien de causalité est certain ; que l’appelante devait sauvegarder pendant sept jours les données, alors qu’en indiquant avoir sauvegardé des données cryptées et qu’elle ne pouvait restituer de sauvegarde saine, elle reconnaît ne pas avoir sauvegardé les données antérieures ; que l’expert [Y] a conclu que le virus s’est déclenché dans un délai de 24 heures, de sorte que les données sauvegardées antérieurement étaient saines et pouvaient être restituées ;

13. – que l’appelante a falsifié un mail du 8 février 2019, indiquant qu’elle n’a pu remonter la sauvegarde d’il y a sept jours car elle était corrompue, et qu’elle a dû remonter à une date antérieure, ajoutant un paragraphe à ce mail adressé à la concluante; que cela démontre qu’elle n’a pas assuré sa mission et n’a pu communiquer aucune sauvegarde ; que suite à la production de cette pièce devant le tribunal dans le cadre d’une note en délibéré, la concluante a fait constater par huissier la présence du mail en cause dans sa messagerie informatique, ne comportant pas le passage rajouté par l’appelante ;

14. – que l’expert [Y] a retenu les fautes de l’appelante, reposant sur l’absence de sauvegarde et l’inexécution du contrat prévoyant une conservation pendant sept jours ; que les données qui ont pu être récupérées sont celles qui avaient été sauvegardées sur un disque dur avant l’intervention de l’appelante sur le serveur en novembre 2018, disque conservé par la concluante ; qu’il en

est résulté une perte de données sur quatre mois, alors que la mission confiée à l’appelante devait permettre de récupérer les données sauvegardées la veille de l’attaque virale ;

15. – que le tribunal a justement évalué le préjudice subi, la concluante ayant dû recourir à du personnel intérimaire afin de saisir à nouveau les données, ainsi qu’à un comptable pour gérer la partie financière ; qu’elle a sous-traité certaines prestations pour des chantiers en cours et a dû reprendre les documents en cours de rédaction concernant des marchés publics ;

16. – que le tribunal a commis une erreur d’appréciation lors du rejet de la demande de la concluante visant le temps passé pour la reconstitution des données ; que la concluante produit le tableau du temps passé et des charges de personnel générées, puisque les trois personnes employées par la concluante et qui ont réalisé ces reconstitutions n’ont pu se consacrer à d’autres tâches ; que ce tableau a été réalisé par l’expert-comptable de la concluante alors que les salariés confirment la réalité du travail réalisé ;

17. – que la concluante a subi une perte de chance d’obtenir les marchés qui avaient été chiffrés et préparés ; que son préjudice consiste dans le temps passé à cet effet en pure perte et à la perte de chance de réaliser un chiffre d’affaires ;

18. – concernant la demande subsidiaire visant l’organisation d’une expertise, que l’appelante est mal fondée à reprocher à la concluante d’avoir attendu avant d’engager la présente procédure, puisque la concluante a d’abord tenté d’obtenir un accord avec l’assureur de l’appelante, qui a tardé à indiquer que l’appelante n’était finalement pas assurée pour la prestation de sauvegarde de données ; qu’une expertise amiable a été refusée par l’appelante ; que la concluante a saisi le juge des référés afin d’expertise, mais lequel a refusé cette demande en demandant aux parties à se pourvoir au fond ; que l’expert [Y] a pu réaliser une expertise malgré le temps écoulé, à laquelle l’appelante a refusé de participer.

*****

19. Il convient en application de l’article 455 du code de procédure civile de se référer aux conclusions susvisées pour plus ample exposé des prétentions et moyens des parties.

MOTIFS DE LA DECISION

20. Selon le tribunal de commerce, le devis signé avec la société Ipset indique que cette dernière avait pour mission la sauvegarde de données et sept jours de rétention. Il ressort du dépôt de plainte que l’attaque a eu lieu dans la nuit du 31 janvier au 1er février 2019. Si la société Ipset soutient que le déclenchement a pu avoir lieu avant, elle n’en apporte pas la preuve. En outre, même si la date du déclenchement de l’attaque n’est pas sûre, il appartenait à la société Ipset de fournir une sauvegarde à 7 jours à la société Ferreira Bâtiment, même si cette sauvegarde était corrompue. Le tribunal a constaté que la société Ipset n’a pas fourni cette sauvegarde et n’apporte pas la preuve de l’avoir faite. Il en a retiré que la société Ipset a commis une faute qui engage sa responsabilité contractuelle.

21. La cour constate que le bon de commande du 2 octobre 2015 vise la sauvegarde des données, qui doivent être retenues pendant sept jours par l’appelante. Il est précisé que ce système offre une réplication distante 100 % automatique, autonome et sécurisée. Cette obligation de conserver les sauvegardes pendant sept jours n’est pas contestée par l’appelante.

22. Selon le procès-verbal de dépôt de plainte de l’intimée du 12 février 2019, les faits se sont déroulés dans la nuit du 31 janvier 2019 au 1er février. Lors du démarrage du système le matin, il a été constaté l’intrusion dans le système et le blocage des données. Tout a été crypté et est devenu inexploitable. Les attestations des salariés de l’intimée confirment que lors de leur prise de travail le 1er février 2019, ils n’ont pu accéder à l’ensemble des documents contenus dans le serveur. L’intimée rapporte ainsi la preuve que son serveur a bien été la cible d’une intrusion informatique dans la nuit, rendant les données hébergées inexploitables.

23. En raison des énonciations du bon de commande, l’appelante était tenue de réaliser des sauvegardes journalières des données figurant dans le serveur de l’intimée, et de les conserver pendant sept jours. Le fait qu’un anti-virus n’avait pas été installé dans le serveur est sans incidence, puisque la sauvegarde journalière des données et leur conservation par l’appelante pendant sept jours était de nature à pallier ce manquement. Peu importe également la discussion relative à l’absence d’un pare-feu lors de l’intrusion dans le serveur de l’intimée, la réalisation de sauvegardes journalières avec leur conservation pendant sept jours étant également de nature à éviter tout risque lié à l’absence de ce type de protection. L’appelante est ainsi mal fondée à invoquer une faute de l’intimée au titre de l’absence de ces logiciels de protection.

24. Il n’est pas contesté que l’appelante a été contactée, dans le délai de sept jours, afin de fournir une copie de la sauvegarde journalière réalisée avant l’intrusion. Comme soutenu par l’intimée, en raison des obligations résultant du bon de commande, l’appelante devait alors fournir une copie des données sauvegardées avant cette intrusion et notamment celle réalisée dans la journée du 31 janvier 2019, l’intrusion sur le serveur de l’intimée s’étant produite dans la nuit suivante. Elle est mal fondée à soutenir qu’elle n’a pu fournir une sauvegarde exploitable car corrompue, tout en soutenant avoir bien réalisé les sauvegardes journalières comme stipulé dans le bon de commande. L’absence de fourniture d’une sauvegarde réalisée la veille de l’incident au plus tard permet de constater que la société Ipset n’a pas exécuté son obligation de réaliser une sauvegarde journalière, avec sa conservation pendant sept jours. Cette inexécution a entraîné l’impossibilité pour l’intimée de pouvoir restaurer les données existantes la veille de l’intrusion, et la preuve d’un lien de causalité entre la faute de l’appelante et les dommages subis par l’intimée est rapportée. Sans qu’il soit nécessaire de plus amplement statuer, le jugement déféré sera ainsi confirmé en ce qu’il a retenu la responsabilité de l’appelante.

25. Sur le montant du préjudice subi, le tribunal a constaté que l’absence de sauvegarde de la société Ipset a désorganisé la société Ferreira Bâtiment ; que cette dernière a été contrainte de faire appel à des intérimaires, de sous-traiter diverses prestations techniques pour des chantiers, et qu’il résulte des pièces versées au débat, et notamment des factures fournies par la société Ferreira Bâtiment, que son préjudice au titre des prestations commandées à des tiers s’élève à la somme de 56.559,39 euros HT. Il a ainsi fait droit à la demande en paiement de cette somme.

26. La cour ne peut que confirmer le jugement déféré sur ce point, puisque l’appelante a été dans l’incapacité de fournir une sauvegarde des données réalisée dans le délai maximal de sept jours précédant l’intrusion dans le serveur de l’intimée. L’assureur de l’appelante a dénié toute garantie, la prestation de sauvegarde de données n’étant pas couverte par la police d’assurance. L’intimée justifie de factures concernant la sous-traitance d’un chantier, le recours à un bureau d’études pour la reprise de plans, l’emploi d’un salarié intérimaire en mars 2019 pour reconstituer ses données, le recours à un consultant en gestion pour la remise à jour de la comptabilité.

27. Concernant le temps passé sur la reconstitution des données, le tribunal de commerce a estimé que la société Ferreira Bâtiment a chargé trois personnes de ces missions, mais qu’elle échoue à apporter la preuve du coût réel de ce temps passé. Il a ainsi débouté la société Ferreira Bâtiment de sa demande en paiement de la somme de 33.571,54 euros au titre du temps passé sur la reconstitution des données.

28. La cour note que cette demande repose sur une attestation de l’expert-comptable de l’intimée, comportant des tableaux de valorisation des charges de personnel liées au sinistre. Il est indiqué par l’expert-comptable que ces tableaux ont été réalisés à partir des fiches de paies des personnes concernées. Il en résulte que les données exploitées par cet expert-comptable ont été remises par l’intimée elle-même, sur la base d’éléments salariaux qu’elle a définis. Cette attestation ne permet pas de rapporter la preuve du coût réel du temps passé pour la reconstitution des données. Le jugement déféré sera également confirmé sur ce point.

29. Le tribunal a enfin estimé que la société Ferreira Bâtiment ne rapporte pas la preuve du préjudice causé par la perte des données et ainsi que sa demande de dommages-intérêts doit être écartée. La cour ne peut que confirmer cette motivation, la preuve de la perte d’une chance d’obtenir l’obtention de marchés n’étant pas rapportée.

30. En conséquence, le jugement déféré sera confirmé en toutes ses dispositions, sans qu’une expertise soit nécessaire à l’effet de déterminer la bonne ou mauvaise exécution par l’appelante de ses obligations, et de chiffrer les préjudices subis par l’intimée, en raison de l’ancienneté des faits et de préjudices infondés, ainsi qu’il a été indiqué plus haut. La société Ipset succombant en son appel sera condamnée à payer à la société Ferreira Bâtiment la somme complémentaire de 4.000 euros par application de l’article 700 du code de procédure civile, outre les dépens exposés en cause d’appel.

PAR CES MOTIFS

La Cour statuant publiquement, contradictoirement, par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile, après en avoir délibéré conformément à la loi,

Vu les articles 1103 et suivants, 1231 et suivants du code civil ;

Confirme le jugement déféré en ses dispositions soumises à la cour ;

y ajoutant ;

Condamne la société Ipset à payer à la société Ferreira Bâtiment la somme complémentaire de 4.000 euros par application de l’article 700 du code de procédure civile

Condamne la société Ipset aux dépens exposés en cause d’appel ;

SIGNÉ par Mme FIGUET, Présidente et par Mme RICHET, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

La Greffière La Présidente