Quels recours en cas de manquement contractuel ou de fraude ? (1)

Le contrôle des accès et des droits des utilisateurs d’un système d’information est la clé de voûte de ce qu’on appelle un « espace de confiance ». La collecte, l’enregistrement, le traitement et la mise à disposition de données au sein d’un système d’information sont, en principe, protégés par des logiciels de sécurité censés le rendre invulnérable.

En matière de sécurité informatique, la défaillance génère des préjudices considérables. A cet égard, l’exploitant du système (banque, opérateur de commerce ou de jeux en ligne…) dispose de recours efficaces, soit à l’encontre du prestataire de services informatiques à l’origine du manquement (1), soit à l’encontre des tiers ayant frauduleusement porté atteinte au système informatisé (2 - A paraître le 6 mai).

1. Face au prestataire de services informatiques pour manquement aux obligations contractuelles

Lorsqu’un prestataire de services chargé d’assurer la sécurité d’un espace de confiance manque à ses obligations contractuelles, sa responsabilité peut être recherchée. La responsabilité contractuelle varie en fonction du type d’engagement mis à sa charge dans le contrat de service. Il convient, avant tout recours, d’analyser minutieusement cet engagement.

S’il s’analyse en une obligation de résultat, le prestataire doit exécuter son engagement en toutes circonstances et sera responsable de la défaillance du service qu’il a fourni. Sa responsabilité ne pourra être écartée qu’en cas de force majeure, par exemple, une catastrophe naturelle qui aurait interrompu l’enregistrement de données.

Lorsque seule une obligation de moyens a été convenue, le prestataire doit mettre en œuvre tous les moyens conformes aux règles de l’art pour réaliser sa mission. Ce type de responsabilité est d’autant plus envisageable que les prestations portent sur une technologie particulière et novatrice ne permettant pas de garantir systématiquement un niveau de performance donné. Le prestataire n’engagera sa responsabilité qu’après démonstration d’une faute par le client.

Les parties optent parfois pour une solution médiane : l’obligation de moyens renforcée. Dans cette hypothèse, pour se dégager de toute responsabilité, le prestataire doit prouver qu’il n’a pas commis de faute

En cas de non-respect par le prestataire de ses obligations de sécurité – notamment celles portant sur la performance du service et regroupées sous le terme SLA (Service Level Agreement) –, le contrat peut également prévoir le règlement d’indemnités par la partie défaillante en application d’une clause pénale. Ce mécanisme permet aux parties de convenir à l’avance de la sanction infligée à la partie – en principe le prestataire – qui n’exécute pas son obligation.

En pratique, le client peut directement solliciter du prestataire défaillant le versement de la somme contractuellement acceptée. Par ce mécanisme, le client n’a pas à justifier l’évaluation de son préjudice et, inversement, le prestataire ne peut pas contester l’importance du dommage. De nombreuses sources de procès sont ainsi évitées.

Le recours à la clause pénale permet en même temps aux parties de fixer, préalablement et de façon définitive, le montant des indemnités, évitant, en principe, qu’un juge statue a posteriori sur ce point. Le juge, s’il est néanmoins saisi, ne pourra modérer ou augmenter le montant des indemnités prévues que s’il est manifestement excessif ou dérisoire.

Outre le recours à une clause pénale, le contrat peut également prévoir sa propre résiliation dans l’hypothèse de dysfonctionnements graves et répétés du service mettant en péril la sécurité du système. Dans l’hypothèse d’une action judiciaire, cette résiliation pourra être accompagnée, le cas échéant, du versement de dommages et intérêts en réparation des préjudices subis qui peuvent être considérables.

Face à un tel risque financier, les prestataires prévoient souvent dans leur contrat un plafond de responsabilité au-delà duquel ils ne sont plus tenus d’indemniser leur cocontractant. De telles clauses doivent, toutefois, prévoir une indemnisation proportionnelle aux enjeux financiers du contrat, soit une somme supérieure à celle du prix de la prestation globale. Par un arrêt du 29 juin 2010, la Cour de cassation a en effet considéré que le plafond de responsabilité devait être suffisamment élevé pour inciter le prestataire à exécuter son obligation ; en pratique, il est recommandé que le plafond soit supérieur au prix de la prestation contractuelle.

La résiliation du contrat peut également s’effectuer de manière amiable, voire faire l’objet d’une transaction, d’une médiation ou encore d’un arbitrage entre les parties. L’ultime recours en cas de dysfonctionnement grave d’un service est, pour la partie lésée, de saisir le juge au besoin, selon la procédure urgente des référés.