Contrat informatique : une obligation de conseil forte !
Dans une décision du 4 janvier 2022 (n°19/01179), la Cour d’appel de Rennes a apprécié la répartition des obligations entre client et prestataire dans le cadre d’un contrat informatique de prestation de services de sauvegarde de données.
Contexte : un contrat informatique portant sur une prestation de sauvegarde de données
Une société spécialisée dans l’accompagnement d’entreprise en ressources humaines et gestion de paie faisait appel depuis plusieurs années à un prestataire dans le cadre d’un contrat informatique portant sur de l’assistance et de maintenance pour notamment des besoins de prestation de services de sauvegarde de ses données.
Dans le cadre de cette prestation de service, le prestataire mettait à sa disposition un système relais, sur lequel le client avait la charge de procéder à la sauvegarde de ses données.
En cours d’exécution et changeant de logiciel, le client a fait procédé par un tiers à une migration de ses bases de données sous langage SQL, et le prestataire lui a confirmé avoir procédé à un test de fonctionnement du matériel sans difficultés.
Quelques années plus tard, la société a fait l’objet d’une attaque virale, qui a contaminé ses logiciels et les données issues de son logiciel de paie.
Devant donc réinstaller ce dernier, l’entreprise tierce chargée de la réinstallation du logiciel constatait alors avec désarroi que l’intégralité des « données » sauvegardées n’étaient en réalité que des raccourcis, le langage SQL n’étant pas supporté par le système mis en place par le prestataire.
Ayant perdu toutes ses données, la société a donc dû les réintégrer informatiquement à la main dans son logiciel, et engagé la responsabilité du prestataire dans le cadre d’une action en justice.
Solution : la responsabilité du prestataire engagée au titre de son devoir de conseil
Le juge commence par déterminer quelle est la cause du sinistre, et ce n’est pas une faute du client, qui a dans les faits bien procédé à une sauvegarde de ses données régulière et conformément au contrat informatique signé.
Cette sauvegarde n’était certes pas fait dans le bon format, mais ne possédant pas de compétence particulière en informatique, le client ne pouvait pas s’en rendre compte et il ne peut donc pas lui être reproché de ne pas avoir averti son prestataire d’une défaillance du système.
En revanche, les juges considèrent que le prestataire a lui fauté : au titre de ses prestations de services, en ayant installé un système qui s’est avéré obsolète suite au changement du format des données, mais n’a pas alerté son client sur cette obsolescence – et pire il lui a affirmé que le système fourni permettait toujours la sauvegarde.
Or en droit, il pèse sur celui qui propose une prestation de service informatique une obligation d’information et de conseil (en sus de ses autres obligations, telle l’obligation de sécurité, et indépendamment des clauses du contrat), par laquelle il doit s’assurer que les solutions proposées sont conformes aux besoins de son client, et sa responsabilité est de ce fait engagée auprès de l’entreprise cliente. De la même manière récemment, s’agissant d’un litige relatif à l’exécution d’un contrat informatique la Cour d’appel de Nîmes dans un arrêt du 13 décembre 2018 a été amenée à considérer que la vérification du respect des pré-requis incombait au prestataire.
Dans la présente affaire, le juge fait donc droit au principe de la condamnation, et fait partiellement droit à une partie des demandes indemnitaires du client.
Le prestataire est ainsi condamné, par application de l’article 1231-1 du code civil, à indemniser la société de son préjudice, comprenant notamment le temps qui a du être passé par les salariés de celle-ci pour réintégrer manuellement les données perdues, ainsi qu’une atteinte à son image auprès de ses propres clients.
En revanche, le juge écarte les frais nécessaires à la réinstallation du logiciel corrompu par le virus, qui auraient du être payés quoi qu’il arrive par la société même si les données avaient fait l’objet d’une sauvegarde valide et ne relevaient donc pas d’un défaut du professionnel dans l’exécution de ses prestations de services.