Alors que NIS2 se met en place, un arrêt de la Cour d’appel de Rennes rappelle l’importance de fournir des informations claires et une documentation pour que le client puisse bien comprendre et apprécier les risques.
La Cour d’appel de Rennes a rendu un arrêt et condamné une société informatique “pour avoir failli à son devoir d’information et de conseil“. Dans le cadre de NIS2, les prestataires sont invités à réviser leurs contrats, à fournir des informations détaillées, et à s’assurer que le client comprend pleinement la solution et les risques associés.
Une société spécialisée dans la fabrication de portails a confié à une entreprise informatique la modernisation de son infrastructure. Ce projet incluait notamment le remplacement de serveurs et la configuration des systèmes de sauvegarde. En juin 2020, l’entreprise cliente a subi une cyberattaque par rançongiciel, entraînant le chiffrement total de son système d’information, y compris les systèmes de sauvegarde. La victime a attribué ce sinistre à des défaillances techniques, une mauvaise configuration des équipements et un manque de conseils de la part de la société prestataire.
Risque et mise en garde
Les magistrats ont observé qu’à aucun moment la société prestataire n’a démontré qu’elle avait informé sa cliente de ce risque ni qu’elle avait respecté son devoir de mise en garde. Cela malgré une proposition commerciale prévoyant un accompagnement. La société prestataire a également affirmé que l’installation d’une sauvegarde externalisée aurait impliqué un surcoût, sans toutefois prouver qu’une telle solution avait été proposée à la cliente ou que celle-ci l’avait refusée.
La Cour d’appel a constaté que le prestataire :
– n’a pas proposé de sauvegardes déconnectées ou de solutions adaptées pour prévenir une cyberattaque ;
– n’a pas signalé les faiblesses de l’architecture informatique du client ;
– n’a pas respecté son obligation d’assistance pour adapter les systèmes aux besoins spécifiques du client.
Ainsi, la Cour d’appel a jugé que le prestataire avait manqué à ses obligations en matière d’information et de conseil vis-à-vis de la société cliente. Les obligations imposent au prestataire de fournir des informations claires et pertinentes sur les risques, les solutions proposées et leur mise en œuvre.
Le manquement à l’obligation de délivrance a également été retenu. Cette obligation exige que le prestataire fournisse un service ou un produit conforme aux attentes aux besoins exprimés par le client.
En conséquence, la Cour d’appel a condamné la société prestataire à verser à la société cliente la somme de 50 000 euros en réparation de son préjudice lié à la perte de chance ;
payer la somme de 5 000 euros au titre des dépens et frais de première instance et d’appel.