Type de juridiction : Cour d’appel

Juridiction : Cour d’appel d’Orléans

Thématique : Piratage informatique : obligations du professionnel

Obligation de conseil du prestataire

Un prestataire a été condamné pour avoir failli à son obligation d’information sur les risques encourus par son client sur l’existence d’un piratage de son installation téléphonique.

Aux termes de l’article L33-1 du code des postes et des communications électroniques, l’établissement et l’exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont soumis au respect de diverses règles.

Si les dispositions code de la consommation ne sont habituellement pas applicables aux relations entre professionnels, le fournisseur doit toutefois mettre à la disposition des utilisateurs professionnels certaines informations sur les risques encourus et notamment : i) le type de mesure qu’est susceptible de prendre le fournisseur de téléphonie afin de réagir à un incident ayant trait à la sécurité et de faire face à des menaces ou des situations de vulnérabilité, ii) les moyens de protection contre les risques d’atteinte à la sécurité individuelle à la vie privée et aux données à caractère personnel lors de l’utilisation des services de communication électronique.

Sécurité et intégrité des réseaux

Par ailleurs, l’article D 98-5 du code des postes et communications électroniques impose à l’opérateur de prendre toutes les mesures appropriées pour assurer l’intégrité de ses réseaux et garantir la continuité des services fournis. L’opérateur informe aussi ses clients des services existants permettant, le cas échéant, de renforcer la sécurité des communications.

Lorsqu’il existe un risque particulier de violation de la sécurité du réseau, l’opérateur doit informer ses abonnés de ce risque ainsi que de tout moyen éventuel d’y remédier et du coût que cela implique.

Piratage établi

En l’espèce,  ont été passés à partir du réseau du client, plus de 700 appels à destination de quelques numéros de téléphones mobiles à Sainte Hélène. L’existence d’un piratage de l’installation ne pouvait faire aucun doute, les appels d’une durée de moins d’une minute se succédant toutes les minutes pendant la nuit, de sorte que la facture de téléphone du client a  dépassé 29.000 euros.

Paralysie de la clause exonératoire

La clause exonératoire de responsabilité stipulée par le prestataire dans ses CGV a été écartée. Cette dernière stipulait que « la responsabilité du prestataire ne pouvait être directement ou indirectement recherchée à quelque titre ou quelque cause que ce soit pour les dommages résultant d’accès illicite … que le client reconnaît qu’en l’état la mise en oeuvre de moyens de protection au travers de logiciel de type firewall éventuellement associée au service ne saurait être à elle seule une garantie de protection et qu’en conséquence la prestation de protection éventuellement fournie constitue strictement une obligation de moyens ».

Or, cette clause écrite en caractères de deux millimètres de hauteur, était très difficilement déchiffrable, ce qui ne répondait pas à l’exigence du code de la consommation d’une « forme claire et facilement accessible ».

La mention suivante apposée sur les factures, a également été déclarée inopposable : « IMPORTANT : la recrudescence des actes de piratage des standards téléphoniques nous oblige à vous demander d’en sécuriser le fonctionnement. Merci de contacter votre installateur à cette fin. En aucun cas le prestataire ne pourrait être tenue pour responsable de dommages financiers afférents ». En effet, si cette mention informait bien les clients des risques particuliers et importants de violation de la sécurité de leur réseau, elle ne répondait pas aux exigences du Code de la communication électronique qui impose non seulement cette information mais aussi celle portant sur les moyens éventuels d’y remédier et leur coût. En conclusion, le prestataire n’a pas pris de mesures particulières pour sécuriser son réseau.