Type de juridiction : Cour d’appel
Juridiction : Cour d’appel de Rennes
Thématique : Cyberattaque par rançongiciel : la responsabilité du prestataire informatique
→ RésuméContexte de l’affaireLa société [L] INDUSTRIE, spécialisée dans la fabrication de portails, a décidé de moderniser son infrastructure informatique en faisant appel à la société MISMO. Ce projet incluait le remplacement des serveurs et de la baie SAN, avec un coût total de 193.525,27 euros TTC. L’installation du matériel a été réalisée en novembre 2019, suivant un plan en quatre phases. Cyberattaque et conséquencesLe 17 juin 2020, la société [L] INDUSTRIE a subi une cyberattaque par rançongiciel, entraînant le chiffrement complet de son système d’information, y compris les systèmes de sauvegarde. Cette attaque a paralysé l’activité de l’entreprise pendant une semaine et a exposé des données sensibles, telles que des informations personnelles des employés et des clients. La société a engagé des frais considérables pour récupérer et réorganiser ses données. Manquements alléguésSuite à l’incident, [L] INDUSTRIE a signalé à MISMO des manquements concernant la configuration du matériel, qui aurait permis l’intrusion des cybercriminels. La société a assigné MISMO devant le tribunal de commerce de Nantes, demandant une indemnisation de 482.463,03 euros pour préjudice, en raison de manquements à ses obligations d’information et de conseil. Jugement de première instanceLe tribunal a débouté [L] INDUSTRIE de toutes ses demandes le 17 juillet 2023, tout en condamnant cette dernière à verser 3.000 euros à MISMO au titre des frais de justice. [L] INDUSTRIE a fait appel de ce jugement. Arguments des partiesDans ses écritures, [L] INDUSTRIE a demandé la réforme du jugement, arguant que MISMO avait manqué à ses obligations contractuelles. De son côté, MISMO a soutenu avoir respecté ses engagements et a demandé la confirmation du jugement de première instance, affirmant que [L] INDUSTRIE n’avait pas prouvé la faute de MISMO. Expertises et constatationsDes experts en sécurité informatique ont été sollicités pour analyser les causes de l’incident. Ils ont constaté des failles dans la configuration du système, notamment l’absence de sauvegardes déconnectées, ce qui a facilité l’attaque. Les experts ont également souligné que la société [L] INDUSTRIE n’était pas suffisamment informée des risques liés à la sécurité de ses données. Indemnisation et décision finaleLa cour a finalement jugé que les manquements de MISMO avaient contribué au préjudice subi par [L] INDUSTRIE. Elle a condamné MISMO à verser 50.000 euros à [L] INDUSTRIE pour perte de chance, ainsi que 5.000 euros au titre des frais de justice. Les autres demandes des parties ont été rejetées. |
3ème Chambre Commerciale
ARRÊT N°417
N° RG 23/04627 – N° Portalis DBVL-V-B7H-T7SK
(Réf 1ère instance : 2021004430)
S.A.S. [L]
C/
S.A.S. MISMO
Copie exécutoire délivrée
le :
à : Me COROLLER BEQUET
Me VERRANDO
Copie certifiée conforme délivrée
le :
à : TC de NANTES
RÉPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
COUR D’APPEL DE RENNES
ARRÊT DU 19 NOVEMBRE 2024
COMPOSITION DE LA COUR LORS DES DÉBATS ET DU DÉLIBÉRÉ :
Président : Monsieur Alexis CONTAMINE, Président de chambre,
Assesseur : Madame Fabienne CLEMENT, Présidente de chambre, Rapporteur
Assesseur : Madame Sophie RAMIN, Conseiller,
GREFFIER :
Madame Frédérique HABARE, lors des débats et Madame Julie Rouet lors du prononcé
DÉBATS :
A l’audience publique du 24 Septembre 2024
ARRÊT :
Contradictoire, prononcé publiquement le 19 Novembre 2024 par mise à disposition au greffe comme indiqué à l’issue des débats
****
APPELANTE :
S.A.S. [L]
immatriculée au RCS de QUIMPER sous le n° 316 973 312, prise en la personne de ses représentants légaux domiciliés en cette qualité au siège
[Adresse 4]
[Localité 1]
Représentée par Me Alain COROLLER-BEQUET de la SELAS ALEMA AVOCATS, Plaidant/Postulant, avocat au barreau de QUIMPER
INTIMÉE :
S.A.S. MISMO, société immatriculée au Registre du Commerce et des
Sociétés de Nantes sous le numéro 388 185 068, prise en la personne de ses représentants légaux domiciliés en cette qualité au siège
[Adresse 3]
[Localité 2]
Représentée par Me Marie VERRANDO de la SELARL LX RENNES-ANGERS, Postulant, avocat au barreau de RENNES
Représentée par Me Nicolas HERZOG de la SELEURL H2O Avocats, Plaidant, avocat au barreau de PARIS
FAITS
La société [L] INDUSTRIE est un fabricant de portails à [Localité 1].
Elle a souhaité développer son infrastructure informatique et a fait appel aux services de la société MISMO.
Sur la base d’un projet de remplacement des serveurs et de la baie SAN établi par la société [L] INDUSTRIE la société MISMO lui a proposé le renouvellement de ses infrastructures.
Le matériel devait être installé en quatre phases :
– Une phase de gestion de projet ;
– Une phase de travail en atelier chez MISMO pour, notamment, configurer le matériel et effectuer des tests ;
– Une phase de travail se déroulant chez [L] INDUSTRIE, pour de nouveau configurer et installer le matériel ;
– Une dernière phase consistant en la rédaction d’un cahier d’exploitation, rédaction d’un plan de sauvegarde, des procédures, une modification supervision, une recette finale.
La société [L] INDUSTRIE a accepté le projet pour un coût de 193.525,27 euros TTC.
La société MISMO a installé le matériel en novembre 2019.
Durant la nuit du mercredi 17 juin 2020, la société [L] INDUSTRIE a été victime d’une cyberattaque par rançongiciel. Les responsables ont procédé au chiffrement complet de son système d’information, dont les systèmes de sauvegarde.
Parmi les données chiffrées se trouvaient des données administratives, industrielles et économiques ainsi que des données personnelles telles que le numéro de sécurité sociale des salariés, les RIB des salariés, des clients et des fournisseurs, ainsi que les copies des pièces d’identité de quatre membres de la direction.
L’activité de la société [L] INDUSTRIE a été intégralement à l’arrêt durant une semaine. Elle a repris son activité progressivement;
La société [L] INDUSTRIE signale qu’elle a supporté des charges considérables liées à l’intervention de plusieurs prestataires extérieurs et au travail réalisé par ses salariés pour la récupération et la réorganisation des données nécessaires au fonctionnement de la société.
Elle ajoute que les diagnostics de l’incident ont conclu à d’importantes failles du matériel informatique qui a permis aux cybercriminels de s’introduire dans le système d’information, ces failles ayant été aggravées par une mauvaise configuration du contrôleur de domaine, installé par MISMO.
La société [L] INDUSTRIE a dénoncé ces manquements à la société MISMO le 30 juillet 2020. La société MISMO estime pour sa part avoir rempli ses obligations.
La société [L] INDUSTRIE a assigné la société MISMO devant le tribunal de commerce de Nantes aux fins de la voir condamner à lui régler la somme de 482.463,03 euros au titre de son préjudice en raison de ses manquements à son obligation d’information, de conseil et de délivrance.
Par jugement du 17 juillet 2023 le tribunal a :
– Débouté la société [L] INDUSTRIE de l’ensemble de ses demandes ;
– Condamné la société [L] INDUSTRIE à verser à la société MISMO la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile ;
– Débouté la société MISMO du surplus de ses demandes ;
– Condamné la société [L] INDUSTRIE aux entiers dépens, dont frais de greffe liquidés à 69.59 euros toutes taxes comprises.
La société [L] INDUSTRIE a fait appel du jugement le 27 juillet 2023.
L’ordonnance de clôture est en date du 5 septembre 2024.
MOYENS ET PRETENTIONS DES PARTIES
Dans ses écritures notifiées le 21 septembre 2023 la société [L] INDUSTRIE demande à la cour de :
-Réformer en toutes ses dispositions le jugement du tribunal de commerce de Nantes du 17 juillet 2023 statuant à nouveau
Vu les articles 1103, 111 2-1, 1217, 1604, 1231-2, 1231-4 du Code civil ;
Vu les principes généraux du droit ;
– Juger que la société MISMO a manqué à son obligation d’information et de conseil
– Juger que la société MISMO a manqué à son obligation de délivrance ;
– Juger que les manquements à ses obligations générales et à ses obligations contractuelles en raison de leur extrême gravité, constituent une faute lourde ;
– Juger qu’elle est responsable du préjudice subi par la société [L] INDUSTRIE
– Condamner la société MISMO à verser à la société [L] INDUSTRIE la somme de 482.463,03 euros, correspondant à :
– Factures des prestataires : 62.680,03 euros ;
– Dépenses salariales : 414.783,00 euros
– Atteinte à l’image : 5.000 euros.
– Condamner la société MISMO aux dépens de première instance et d’appel l’instance et à 10.000 euros au titre de l’article 700 du code de procédure civile.
Dans ses écritures notifiées le 11 décembre 2023 la société MISMO demande à la cour au visa des articles 1231 et suivants du code civil, de :
A titre principal,
– Confirmer le jugement de 1 ère instance en ce qu’il a débouté [L] de l’intégralité de ses demandes en ce qu’elle ne rapporte pas la preuve que MISMO aurait commis une faute susceptible d’engager sa responsabilité.
A titre subsidiaire,
– Confirmer le jugement de 1 ère instance en ce qu’il a débouté [L] de l’intégralité de ses demandes, celle-ci ne justifiant pas d’un lien de causalité entre la faute et le préjudice qu’elle allègue avoir subi.
A titre infiniment subsidiaire,
– Confirmer le jugement de 1 ère instance en ce qu’il a débouté [L] de l’intégralité de ses demandes, celle-ci ne justifiant ni du principe, ni du montant du préjudice qu’elle allègue avoir subi.
En tout état de cause,
Et rejetant toute demande contraire comme irrecevable et en toute hypothèse mal fondée,
– Condamner [L] à payer à MISMO une somme de 10 000 euros au titre de l’article 700 du code de procédure civile.
– Condamner [L] aux entiers dépens d’instance, avec distraction au profit de l’avocat soussigné aux offres de droit.
Il est renvoyé à la lecture des conclusions précitées pour un plus ample exposé des demandes et moyens développés par les parties.
PAR CES MOTIFS
La cour
Réforme le jugement.
Statuant à nouveau :
Condamne la société MISMO à verser à la société [L] INDUSTRIE la somme de 50 000 euros en réparation de son préjudice lié à la perte de chance ;
Condamne la société MISMO à payer à la société [L] INDUSTRIE la somme de 5 000 euros au titre de l’article 700 du code de procédure civile ;
Condamne la société MISMO aux dépens de première instance et d’appel ;
Rejette les autres demandes des parties.
LE GREFFIER LE PRESIDENT
Laisser un commentaire