Un arrêt de la Cour d’appel de Rennes a récemment condamné une société informatique pour manquement à son devoir d’information et de conseil. Ce jugement souligne l’importance cruciale de fournir une documentation claire et des explications précises, notamment dans le cadre de la réglementation NIS2.
Les faits Une entreprise spécialisée dans la fabrication de portails avait confié la modernisation de son infrastructure informatique à un prestataire. Le projet comprenait le remplacement des serveurs et la configuration des systèmes de sauvegarde. Cependant, en juin 2020, une cyberattaque par rançongiciel a totalement chiffré le système d’information, y compris les sauvegardes. L’entreprise victime a pointé du doigt des défaillances techniques et un manque de conseil.
Les manquements constatés Les magistrats ont relevé plusieurs lacunes dans l’accompagnement fourni :
- Absence de proposition de sauvegardes déconnectées pour prévenir les cyberattaques.
- Aucune mise en garde sur les vulnérabilités de l’architecture informatique.
- Manque d’assistance pour adapter les systèmes aux besoins spécifiques du client.
Malgré une proposition commerciale prévoyant un accompagnement, le prestataire n’a pas démontré avoir informé sa cliente des risques encourus ni proposé des solutions alternatives comme une sauvegarde externalisée. En conséquence, la Cour d’appel a jugé que le prestataire avait manqué à ses obligations contractuelles.
Les conséquences juridiques Le tribunal a condamné le prestataire à verser :
- 50 000 € à titre de réparation pour perte de chance.
- 5 000 € pour les frais de justice.
Ce jugement constitue un rappel fort à l’ensemble des prestataires informatiques : respecter le devoir d’information et de conseil est une obligation légale. Le cadre de la directive NIS2 impose également une révision des pratiques contractuelles et une sensibilisation accrue des clients aux risques.
Source