ARRÊT N°417

N° RG 23/04627 – N° Portalis DBVL-V-B7H-T7SK

(Réf 1ère instance : 2021004430)

S.A.S. [L]

C/

S.A.S. MISMO

Copie exécutoire délivrée

le :

à : Me COROLLER BEQUET

Me VERRANDO

Copie certifiée conforme délivrée

le :

à : TC de NANTES

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE RENNES

ARRÊT DU 19 NOVEMBRE 2024

COMPOSITION DE LA COUR LORS DES DÉBATS ET DU DÉLIBÉRÉ :

Président : Monsieur Alexis CONTAMINE, Président de chambre,

Assesseur : Madame Fabienne CLEMENT, Présidente de chambre, Rapporteur

Assesseur : Madame Sophie RAMIN, Conseiller,

GREFFIER :

Madame Frédérique HABARE, lors des débats et Madame Julie Rouet lors du prononcé

DÉBATS :

A l’audience publique du 24 Septembre 2024

ARRÊT :

Contradictoire, prononcé publiquement le 19 Novembre 2024 par mise à disposition au greffe comme indiqué à l’issue des débats

****

APPELANTE :

S.A.S. [L]

immatriculée au RCS de QUIMPER sous le n° 316 973 312, prise en la personne de ses représentants légaux domiciliés en cette qualité au siège

[Adresse 4]

[Localité 1]

Représentée par Me Alain COROLLER-BEQUET de la SELAS ALEMA AVOCATS, Plaidant/Postulant, avocat au barreau de QUIMPER

INTIMÉE :

S.A.S. MISMO, société immatriculée au Registre du Commerce et des

Sociétés de Nantes sous le numéro 388 185 068, prise en la personne de ses représentants légaux domiciliés en cette qualité au siège

[Adresse 3]

[Localité 2]

Représentée par Me Marie VERRANDO de la SELARL LX RENNES-ANGERS, Postulant, avocat au barreau de RENNES

Représentée par Me Nicolas HERZOG de la SELEURL H2O Avocats, Plaidant, avocat au barreau de PARIS

La société [L] INDUSTRIE est un fabricant de portails à [Localité 1].

Elle a souhaité développer son infrastructure informatique et a fait appel aux services de la société MISMO.

Sur la base d’un projet de remplacement des serveurs et de la baie SAN établi par la société [L] INDUSTRIE la société MISMO lui a proposé le renouvellement de ses infrastructures.

Le matériel devait être installé en quatre phases :

– Une phase de gestion de projet ;

– Une phase de travail en atelier chez MISMO pour, notamment, configurer le matériel et effectuer des tests ;

– Une phase de travail se déroulant chez [L] INDUSTRIE, pour de nouveau configurer et installer le matériel ;

– Une dernière phase consistant en la rédaction d’un cahier d’exploitation, rédaction d’un plan de sauvegarde, des procédures, une modification supervision, une recette finale.

La société [L] INDUSTRIE a accepté le projet pour un coût de 193.525,27 euros TTC.

La société MISMO a installé le matériel en novembre 2019.

Durant la nuit du mercredi 17 juin 2020, la société [L] INDUSTRIE a été victime d’une cyberattaque par rançongiciel. Les responsables ont procédé au chiffrement complet de son système d’information, dont les systèmes de sauvegarde.

Parmi les données chiffrées se trouvaient des données administratives, industrielles et économiques ainsi que des données personnelles telles que le numéro de sécurité sociale des salariés, les RIB des salariés, des clients et des fournisseurs, ainsi que les copies des pièces d’identité de quatre membres de la direction.

L’activité de la société [L] INDUSTRIE a été intégralement à l’arrêt durant une semaine. Elle a repris son activité progressivement;

La société [L] INDUSTRIE signale qu’elle a supporté des charges considérables liées à l’intervention de plusieurs prestataires extérieurs et au travail réalisé par ses salariés pour la récupération et la réorganisation des données nécessaires au fonctionnement de la société.

Elle ajoute que les diagnostics de l’incident ont conclu à d’importantes failles du matériel informatique qui a permis aux cybercriminels de s’introduire dans le système d’information, ces failles ayant été aggravées par une mauvaise configuration du contrôleur de domaine, installé par MISMO.

La société [L] INDUSTRIE a dénoncé ces manquements à la société MISMO le 30 juillet 2020. La société MISMO estime pour sa part avoir rempli ses obligations.

La société [L] INDUSTRIE a assigné la société MISMO devant le tribunal de commerce de Nantes aux fins de la voir condamner à lui régler la somme de 482.463,03 euros au titre de son préjudice en raison de ses manquements à son obligation d’information, de conseil et de délivrance.

Par jugement du 17 juillet 2023 le tribunal a :

– Débouté la société [L] INDUSTRIE de l’ensemble de ses demandes ;

– Condamné la société [L] INDUSTRIE à verser à la société MISMO la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile ;

– Débouté la société MISMO du surplus de ses demandes ;

– Condamné la société [L] INDUSTRIE aux entiers dépens, dont frais de greffe liquidés à 69.59 euros toutes taxes comprises.

La société [L] INDUSTRIE a fait appel du jugement le 27 juillet 2023.

L’ordonnance de clôture est en date du 5 septembre 2024.

MOYENS ET PRETENTIONS DES PARTIES

Dans ses écritures notifiées le 21 septembre 2023 la société [L] INDUSTRIE demande à la cour de :

-Réformer en toutes ses dispositions le jugement du tribunal de commerce de Nantes du 17 juillet 2023 statuant à nouveau

Vu les articles 1103, 111 2-1, 1217, 1604, 1231-2, 1231-4 du Code civil ;

Vu les principes généraux du droit ;

– Juger que la société MISMO a manqué à son obligation d’information et de conseil

– Juger que la société MISMO a manqué à son obligation de délivrance ;

– Juger que les manquements à ses obligations générales et à ses obligations contractuelles en raison de leur extrême gravité, constituent une faute lourde ;

– Juger qu’elle est responsable du préjudice subi par la société [L] INDUSTRIE

– Condamner la société MISMO à verser à la société [L] INDUSTRIE la somme de 482.463,03 euros, correspondant à :

– Factures des prestataires : 62.680,03 euros ;

– Dépenses salariales : 414.783,00 euros

– Atteinte à l’image : 5.000 euros.

– Condamner la société MISMO aux dépens de première instance et d’appel l’instance et à 10.000 euros au titre de l’article 700 du code de procédure civile.

Dans ses écritures notifiées le 11 décembre 2023 la société MISMO demande à la cour au visa des articles 1231 et suivants du code civil, de :

A titre principal,

– Confirmer le jugement de 1 ère instance en ce qu’il a débouté [L] de l’intégralité de ses demandes en ce qu’elle ne rapporte pas la preuve que MISMO aurait commis une faute susceptible d’engager sa responsabilité.

A titre subsidiaire,

– Confirmer le jugement de 1 ère instance en ce qu’il a débouté [L] de l’intégralité de ses demandes, celle-ci ne justifiant pas d’un lien de causalité entre la faute et le préjudice qu’elle allègue avoir subi.

A titre infiniment subsidiaire,

– Confirmer le jugement de 1 ère instance en ce qu’il a débouté [L] de l’intégralité de ses demandes, celle-ci ne justifiant ni du principe, ni du montant du préjudice qu’elle allègue avoir subi.

En tout état de cause,

Et rejetant toute demande contraire comme irrecevable et en toute hypothèse mal fondée,

– Condamner [L] à payer à MISMO une somme de 10 000 euros au titre de l’article 700 du code de procédure civile.

– Condamner [L] aux entiers dépens d’instance, avec distraction au profit de l’avocat soussigné aux offres de droit.

Il est renvoyé à la lecture des conclusions précitées pour un plus ample exposé des demandes et moyens développés par les parties.

Le sinistre

La société DIATEM spécialisée dans la sécurité informatique précise dans une attestation du 14 octobre 2020 :

A la demande de la société [L] INDUSTRIE en la personne de sa présidente directrice générale, madame [Y] [L] et du fait du chiffrement de son système d’information, notre société est intervenue en réponse à incident sur le site de [L] INDUSTRIE le 18juin 2020. L’intervention des équipes techniques de ma société a consisté a faire un état des lieux du système d’intervention (périmètre) et mesurer l’ampleur de l’incident (impact). Les investigations menées ont permis de parer au plus urgent et de sauver une partie du patrimoine informationnel de [L] INDUSTRIE. Les prélévements collectés pendant cette phase de recueil (journaux, configuration, fichiers, traces, …) ont ensuite fait l’objet d’une analyse détaillée et la production d’un rapport d’intervention dénommé RAPPORT INCIDENT CADlOU INDUSTRlE1.2.

Mes équipes techniques d’intervention ont constaté que l’attaquant avait opéré à un chiffrement complet et méthodique des systèmes en charge de la sauvegarde (aussi bien sur les baies Nimble synchrones que sur les baies QNAP). Cette action destructrice et la perte de l’ensemble des données n’ont pu avoir lieu que parce qu’il n’existait aucun mécanisme de sauvegardes déconnectées, du réseau de production. Les deux mécanismes de sauvegarde présents étaient directement administrables depuis le réseau de l’entreprise, rendant la tache aisée pour l’attaquant des sa prise de contrôle du parc de [L] INDUSTRIE (en particulier celle du contrôleur de domaine Windows Server Active Directory / Domain Controller).

Mes équipes techniques d’investigation ont constaté une mauvaise configuration du controleur de domaine (Windows Server Active Directory/ Domain Controller) qui est la pierre angulaire des parcs informatiques de ce type. Une multitude de comptes a forts privilèges ont été retrouvés, sans aucune justification apparente d’un tel besoin puisque la plupart jamais utilisés. Dans une telle configuration et avec autant d’accès à fort privilèges, l’attaquant a réussi, très rapidement à accéder à l’ensemble du système d’information de [L] INDUSTRIE et à s’y propager pour déposer sa charge malveillante rançongiciel afin de chiffrer la majorité du parc.

Le groupe ASTEN expert en numérique ajoute le 20 mai 2021 :

Nos constats et remarques en complément des opérations menées pour la société [L] lndustrie après ce sinistre :

– Les deux serveurs ESX VM ware livrés n’ont pas les mêmes configurations (1 serveur dispose de disque en plus de la carte microSD par rapport au second).

Sur ce point, il s’agit sans doute de permettre à l’un des deux serveurs ESX VMware de disposer d’un stockage local ‘ Nous ne préconisons pas ce type de configuration et par ailleurs il me semble plus conforme d’être livré de deux configurations identiques de serveurs, lors d’une seule et même commande,

– Le serveur de sauvegarde Veeam était intégré à l’Active Directory. Cette facilité/défaut a permis aux hackers d’en prendre le contrôle plus facilement,

– Le système de sauvegarde mis en oeuvre ne permettait pas d’avoir des sauvegardes soit déconnectées, soit externalisées vers un Datacenter externe, ce qui aurait permis un redémarrage plus rapide, de l’ordre de 1 à 3 jours en fonction des difficultés rencontrées,

– Le système de sauvegarde était interface via une API aux baies de stockage afin d’en piloter les snapshots. Ce paramétrage condamnait la possibilité d’exécuter un reverse snapshot qui était une éventuelle solution pour revenir dans un état avant Compromission,

-Les stations de travail et les serveurs ne disposaient pas d’un système antivirus performant et centralisé sur une console d’administration afin de garantir une gestion sécuritaire optimale du parc informatique,

– Les firewalls logiciel PfSense installés sont des firewalls de type open Source bases sur l’OS FreeBSD (nous préconisons à nos clients de disposer de Firewall matériel avec leurs abonnements antivirus, anti-spam, IP réputation qui permettent de disposer continuellement d’une solution à jour par publications des constructeurs, des bases de signatures et virales au même titre qu’un logiciel anti-virus plusieurs mises à jour quotidiennes),

Conclusions :

La contamination du système d’information de [L] lndustrie est arrivée via le service de messagerie (voir le rapport d’audit réalisé par la société Diateam du 14 octobre 2020, à sa lecture nous partageons ses conclusions).

En synthèse, ce qui aurait pu être mis en oeuvre pour éviter cette intrusion ou tout au moins permettre un retour à la normale plus rapide :

1- Mise en oeuvre d’une solution antivirale sur tous les serveurs et les postes de travail

2- Mise en oeuvre d’une solution anti-spam et de sandboxing (test des pièces jointes aux mails)

3- Disposer des derniers correctifs sécuritaires sur les différents logiciels (OS…)

4- Ne pas intégrer le serveur de sauvegarde à l’annuaire LDAP et au domaine Activ Directory

5- Disposer de jeux de sauvegardes externalisées ou a minima déconnectées

6- Ne pas intégrer la gestion des snapshots des baies Nimble via la solution de sauvegarde

7- Disposer de mot de passe administrateur différent sur chaque équipement

Ces éléments sont désormais en oeuvre chez [L] lndustrie en conservant les serveurs achetés en 2019.

La société MISMO considère que le contrat régularisé avec la société [L] INDUSTRIE ne consistait qu’en la fourniture de matériels et de logiciels pour remplacer les équivalents obsolètes.

Elle s’appuie sur une note technique établie par le cabinet de consultants la société GM CONSULTANT qui précise que la mission de sauvegarde des données ne relevait pas de la mission contractuellement dévolue à la société MISMO et que la société [L] INDUSTRIE est responsable du sinistre.

L’offre de prix du 25 juillet 2019 pour un montant de 161 271,36 euros HT (193 525,63 euros TTC) comprend en effet :

Salle 1 : (rack 24 u existant)

Salle 2 (rack 2 42 u existant)

Serveurs ESXI 1 et 2

SAN PRODUCTION

Sauvegarde principale

Sauvegarde secondaire

Migration vers Veeam Entreprise plus

Licence Wmware

Commutateur réseau

Salle info 1

Salle info 2

Salle info 2 (doublage distribution fibre)

Communateur distribution salle 1

La proposition commerciale comporte un schéma des montages techniques nécessaires à l’installation d’une nouvelle architecture. Il illustre la complexité informatique du projet.

Les manquements

L’offre de prix ne vise pas l’installation de sauvegardes déconnectées.

La société MISMO a effectué les prestations prévues.

En matière de prestations informatiques comprenant l’installation d’une nouvelle architecture, considérées comme un produit complexe, le fournisseur a l’obligation de s’assurer que ses prestations répondent aux besoins de son client, qu’il aura analysés.

Pour y parvenir il doit s’informer sur ses besoins pour lui présenter une proposition commerciale adaptée.

La société MISMO estime qu’elle a répondu aux demandes de la société [L] INDUSTRIE sur la base du cahier des charges que cette dernière a établi.

Le projet de remplacement serveurs et baie communiqué par la société [L] INDUSTRIE sur la base duquel la société MISMO a fourni une proposition commerciale mentionne ses besoins .

Il indique s’agissant de la partie sauvegarde :

D- Sauvegarde

Nous utilisons aujourd’hui la solution Veeam pour sauvegarder nos machines virtuelles. Actuellement nous gardons un historique de backups sur 11 jours. Nous souhaitons conserver un backup complet par mois sur un an sur certains serveurs critiques. Nous envisageons d’ajouter un second NAS.

Machines virtuelles à sauvegarder:

– SRV-DATA2

o Taille Backup Full : 902 Gb

– SRV-DATA et CEGID

o Taille Backup Full : 1460 Gb

– SRV-BDD

Taille totale Backups : 2,5 Tb

Il récapitule les besoins :

– Changement de nos deux serveurs Hyper-V

– Changement de notre baie SAN

– Remplacement de l’onduleur serveur

– Remplacement de deux switchs de niveau 3

– Ajout de deux switchs de niveau 2 (compatible POE+ avec uplink SFP+ 10Gb)

– Remplacement du switch de PRA

– Ajout d’un nas avec un minimum de 42Tb de stockage disponible

– Réinstallation du serveur de PRA sous Windows Server 2019 et ajout d’une carte réseau 10 Gb

– Contrat d’infogérance sur nos hyperviseurs.

La société [L] INDUSTRIE souhaitait une modernisation de son système de sauvegarde ce dont était informée la société MISMO.

En effet la proposition commerciale de la société MISMO du 26 juillet 2019 pour le renouvellement de l’infrastructure rappelle notamment :

Le contexte : système informatique à renouveler suite à la vétusté du matériel et logiciel et au manque de sécurité du système (fin du support Microsoft).

Objectifs : une sécurité renforcée;

Dans ce cadre elle proposait l’installation et la configuration des nouvelles Vms Active directory, la configuration des sauvegardes et leur validation ainsi que la rédaction d’un plan de sauvegarde.

Ses conditions générales de vente rappellent en outre que :

MISMO s’engage à mettre en oeuvre les mesures de sécurité techniques et d’organisation de systèmes de services se conformant aux normes standards et aux usages internationaux applicables dans son secteur d’activités, notamment afin d’empêcher l’accès accidentel ou non autorisé aux infrastructures et données supportant l’application et/ou la solution logicielle et/ou le site internet objet(s) du Contrat.

Ainsi si elle estimait que le document transmis par la société [L] INDUSTRIE n’était pas suffisamment précis sur la définition des attentes, la société MISMO devait la solliciter pour faire préciser sa commande. Au besoin elle devait la conseiller sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées.

La société [L] INDUSTRIE fabrique des portails. Elle n’est pas un professionnel de l’informatique.

La société MISMO lui oppose l’absence de maître d’oeuvre pour piloter son projet.

Cette mission incombait à la société MISMO spécialisée en ingénierie informatique au regard du coût de son intervention, notamment.

La société MISMO fait encore valoir que la présence d’un service informatique au sein des établissements [L] INDUSTRIE était de nature à la dispenser de ses obligations d’information et de conseil en matière de sécurité.

Le service informatique de la société [L] est constituée de trois personnes qui ne peuvent se voir attribuer les mêmes compétences expertales que celles qui sont revendiquées par la société MISMO qui s’affiche spécialiste en matière de cybersécurité.

Les informaticiens de la société [L] INDUSTRIE pouvaient tout au plus assurer la gestion du parc informatique au quotidien, mais aucunement installer et/ou repenser une architecture informatique à l’abri de toute attaque puisque précisément la société [L] INDUSTRIE a fait appel à une société spécialisée.

Pour s’affranchir de toute responsabilité, la société MISMO fait valoir que la gestion des sauvegardes était assurée par la cliente elle-même et relevait de sa seule responsabilité. Elle ajoute que la société [L] INDUSTRIE a refusé de régulariser un contrat d’assistance et qu’elle ne peut pas se plaindre d’avoir été victime de rançonneurs.

Le 25 février 2020 la société MISMO a effectivement transmis un projet de contrat d’assistance à la société [L] INDUSTRIE.

La société [L] INDUSTRIE communique un mail du 11 mars 2020 aux termes duquel elle sollicite un report de RDV à la semaine suivante voire celle qui suit.

La suite des échanges reste ignorée. Il n’est donc pas établi que l’absence de signature du contrat provienne de la seule volonté de la société [L] INDUSTRIE, les échanges datant de la période COVID.

En tout état de cause la maintenance n’aurait été que de peu d’utilité pour faire obstacle aux hackers dès lors que les sauvegardes n’étaient pas déconnectées.

C’est donc bien à la société MISMO qu’il appartenait d’informer la société [L] INDUSTRIE de la nécessité d’adapter, et le cas échéant de modifier le système de sauvegarde, de manière à ce que ses données puissent toujours être sauvegardées et, le cas échéant, restaurées en cas de sinistre affectant le serveur.

Elle ne peut lui reprocher de ne pas avoir identifié la difficulté relative à la sauvegarde de ses données, ou encore de ne pas avoir émis de réserves au moment du recettage. Cette opération ne permettait pas d’identifier un accident qui surviendrait plusieurs mois plus tard, sinistre n’ayant même pas été anticipé par la société MISMO.

A aucun moment la société MISMO ne démontre qu’elle a informé sa cliente de ce risque et donc qu’elle a respecté son devoir de mise en garde alors que sa proposition commerciale prévoyait l’accompagnement au changement pour les utilisateurs.

La société MISMO affirme encore que l’installation d’une sauvegarde externalisée supposait un surcoût.

Elle ne démontre pas qu’elle a proposé cette solution à sa cliente ni que dans ce cas la société [L] INDUSTRIE a refusé.

Il est donc établi que la société MISMO a manqué à ses obligations en matière d’information et de conseils vis à vis de la société [L] INDUSTRIE.

Le jugement est infirmé de ce chef.

Sur l’indemnisation des préjudices subis par la société [L] INDUSTRIE :

Par suite des défaillances de son système de sauvegarde, la société MISMO a perdu de nombreuses données.

La société ASTEN rappelle les contours de son intervention à compter du 17 juin 2020 (pièce 11 [L]). Le déroulé des opérations de restauration et remise en service démontre l’ampleur du sinistre. La société ASTEN confirme que le retour à la normale est intervenu à compter du 20 septembre 2020 date à laquelle tous les services ont été rouverts.

Les attestations de salariés signalent également l’importance et la durée du travail de reprise des données.

Les manquements de la société MISMO sont à l’origine des préjudices subis par la société [L] INDUSTRIE. Le défaut d’information et de conseil de la société MISMO sur les incidences d’une sauvegarde déconnectée a fait perdre à la société [L] INDUSTRIE la chance d’éviter le sinistre.

Son indemnisation doit être mesurée à la chance perdue d’éviter le fishing mais ne peut-être égale au dommage résultant de ce sinistre.

L’indemnité doit correspondre à une fraction des différents chefs de préjudice supportés par la victime.

1) Les coûts externes de la remise en état

La société [L] INDUSTRIE sollicite le remboursement des frais des prestataires qui sont intervenus pour récupérer les données cryptées et permettre une reprise, et ce pour un montant de 62.680,03 euros.

– La facture du 28 juillet 2020 d’un montant de 3920 euros HT de la société LINKS consultant vise une prestation sur manufacturing PMI . La société [L] INDUSTRIE explique que la société LINKS l’assiste pour les aspects techniques liés à son ERP (CEGIP PMI) depuis plus de 15 ans.

La facture est donc justifiée.

– La société [L] INDUSTRIE verse 3 factures de la société PC CLEAN du 29 juillet 2020 pour un montant total de 7460, 03 euros HT. La société PC CLEAN confirme son intervention dans une attestation (pièce 38).

La facture est justifiée.

– La société ASTEN justifie son intervention par une attestation qui décrit toutes les tâches qui ont été effectuées.

Sa facture d’un montant de 5350 euros HT du 31 juillet 2020 est justifiée.

– La société A3C a émis une facture du 31 juillet 2020 pour la somme de 3900 euros HT.

Ses prestations pour ce montant sont justifiées.

– La société ONTRACK a émis une facture du 29 juin 2020 d’un montant de 2000 euros HT et une facture du 13 juillet 2020 d’un montant de 29 000 euros HT. La société MISMO reconnaît que cette société est intervenue pour nettoyer les disques durs contenant la sauvegarde.

Ces factures sont justifiées.

– La société [L] INDUSTRIE sollicite le remboursement de la facture de la société IROISE AERO SERVICES du 19 juin 2020 qui a été affrétée pour transporter la présidente de la société [L] INDUSTRIE depuis la Corse d’un montant de 4700 euros HT. La société MISMO considère que cette dépense n’a pas de lien de causalité avec le sinistre.

La gravité du sinistre justifiait un retour immédiat de la dirigeante de la société [L] INDUSTRIE en Bretagne pour qu’elle puisse prendre toute disposition utile pour limiter les incidences du fishing.

Son éloignement dans une île de la Méditerranée ne permettait pas un retour rapide sans moyen aérien.

Le coût exposé en lien avec le sinistre est justifié .

– La société DIATEAM est également intervenue. Elle en atteste. Ses factures du 23 septembre 2020 pour un montant de 500 euros HT et du 19 octobre 2020 pour un montant de 5 000 euros HT sont justifiées.

– La société ARONDOR a émis une facture du 9 juillet 2020 pour un montant du 850 euros HT pour des prestations de reprise des factures.

Sa facture est justifiée.

La somme totale de 62 680, 03 euros HT est donc justifiée au titre des coûts externes.

La société MISMO réplique qu’il n’est pas démontré que la société [L] INDUSTRIE ait réglé ces factures. Cet argument n’est pas fondé puisque toutes ces factures sont exigibles depuis leur émission.

2) Les coûts internes

La société [L] INDUSTRIE fait valoir que les salariés des services informatique, comptabilité-gestion, ordonnancement, ressources humaines, bureau d’étude front et back, ainsi que le service d’administration des ventes ont été fortement impliqués dans la réorganisation des données du 17 juin au 23 juillet 2020. Elle ajoute que durant ce temps ils n’ont pas pu se consacrer à leurs tâches quotidiennes et ont perçu un salaire pour ces seules tâches.

Elle évalue son préjudice sur la base du coût du temps passé à la somme de 414.783 euros.

Ce préjudice qui est indemnisable doit être justifié.

A ce titre la société [L] INDUSTRIE verse une attestation de son expert comptable (pièce 30) qui atteste de la conformité des calculs figurant au tableau établi par la société [L] concernant la valorisation des heures passées par les salariés au rétablissement des données.

Mais comme le signale la société MISMO il appartient à l’employeur de régler ses salariés.

Les attestations des salariés concernés précisent que le temps de travail consacré à la récupération des données perdues a oscillé entre 70 et 80% de leur temps de travail.

Il n’est pas établi que la société [L] INDUSTRIE ait versé des salaires au titre d’heures supplémentaires et/ou fait appel à des recrutements dans le cadre de cette surcharge de travail.

Ce poste de préjudice de la société [L] INDUSTRIE n’est donc pas justifié. La demande est rejetée.

3) L’atteinte à l’image

La société [L] INDUSTRIE sollicite la somme de 5.000 euros au titre d’une atteinte à son image.

Il est acquis que pendant la période de recollement de ses données qui a duré 3 mois, le société [L] INDUSTRIE n’a pas été en mesure de répondre dans les délais à ses partenaires.

Sa réputation a donc été ternie d’autant que certaines données comportaient des informations confidentielles les concernant.

Le préjudice lié à l’attaque à ce titre est justifié à hauteur de la somme de 5 000 euros.

Au vu de ces trois préjudices et de la chance perdue d’éviter le sinistre, il y a lieu de condamner la société MISMO à régler à la société [L] INDUSTRIE la somme de 50 000 euros à titre de dommages et intérêts.

Le jugement est infirmé de ce chef.

Les demandes annexes

Il n’est pas inéquitable de condamner la société MISMO à régler à la société [L] INDUSTRIE la somme 5 000 euros au titre des dispositions de l’article 700 du code de procédure civile.

La société MISMO est condamnée aux dépens de première instance et d’appel.

La cour

Réforme le jugement.

Statuant à nouveau :

Condamne la société MISMO à verser à la société [L] INDUSTRIE la somme de 50 000 euros en réparation de son préjudice lié à la perte de chance ;

Condamne la société MISMO à payer à la société [L] INDUSTRIE la somme de 5 000 euros au titre de l’article 700 du code de procédure civile ;

Condamne la société MISMO aux dépens de première instance et d’appel ;

Rejette les autres demandes des parties.

LE GREFFIER LE PRESIDENT