Scroll Top
Incendie des data center : les clauses limitatives de responsabilité partent en fumée - OVH
Actualités Actualités du moment Autorités et organismes nationaux Clinique contrat de droit privé ESPIC Établissement de santé privé Etablissement public de santé Force majeure Hébergement des données Industriels Laboratoires Laurence Huin Ordres professionnels Professionnels Libéraux Responsabilité Système d'information
Partager l'article



*




OVH: les clauses limitatives de responsabilité partent en fumée !

Article rédigé le 5 mars 2023  par Me Laurence Huin et Raphaël Cavan

 

Une décision sur la responsabilité d’OVH à la suite des incendies dans ses datacenters en mars 2021 a été rendue récemment par le tribunal de commerce de Lille. La position des juges est claire : OVH a manqué de diligence dans l’exécution de sa mission relative à la sauvegarde des données. Les clauses relatives à la Force majeure et au plafond de responsabilité, telles que rédigées dans les contrats, ont été déclarées non écrites par le juge et l’hébergeur français a été condamné à près de 100 000 euros de dommages et intérêts. Si le juge vient parfois au secours de la partie lésée, il ne saura être saisi de tout les différends avec les prestataires informatiques. Cette décision est l’occasion de revenir sur l’intérêt de négocier les clauses contractuelles de tout contrat informatique.

 

SOMMAIRE
1 Une prestation attendue sur la sauvegarde des données
2 La clause d’exclusion de responsabilité d’OVH écartée
3 La clause limitative de responsabilité écartée aussi

 

OVHcloud est une société française fournisseur de solutions cloud et hébergeur de données dont l’incendie au sein de l’un de ses datacenters en mars 2021 avait marqué l’actualité au point d’avoir une page Wikipédia consacrée à l’évènement.
Cet incendie a eu de lourdes conséquences pour les clients d’OVH, notamment en provoquant des interruptions de service pour des milliers d’entreprises et services publics, mais aussi, pour certains de ses clients, la perte définitive de leurs données. Les répercussions sont également importantes pour OVH dont les clients se retournent désormais contre lui pour obtenir réparation de leurs préjudices. L’un de ses clients ayant perdu toutes ses données dans l’incendie a porté l’affaire devant le tribunal de commerce de Lille. Quelles ont été les clauses analysées par le juge et qui lui ont permis de retenir la responsabilité d’OVH ?

 

Une prestation attendue sur la sauvegarde des données

La SAS FRANCE BATI COURTAGE est une société qui gère un réseau commercial composé d’entrepreneurs franchisés et qui développe son activité quasi-exclusivement sur internet via ses différents sites internet lui permettant de promouvoir son enseigne et son activité, mais aussi de recruter de nouveaux franchisés.

Pour les besoins de son activité, la société a souscrit auprès d’OVH un « contrat de location de serveur virtuel VPS », mais également à une option contractuelle complémentaire de « sauvegarde automatisée » afin de préserver et récupérer les données sauvegardées sur son serveur via le service « auto-backup » proposé par l’hébergeur.

Concrètement cette option signifie « [qu’]une sauvegarde des données de la société est planifiée quotidiennement, exportée puis répliquée trois fois avant d’être disponible dans l’espace client ».

En outre, les dispositions du contrat signé avec OVH précisaient que dans le cadre de cette option, l’hébergeur s’engageait à ce que l’espace alloué soit « physiquement isolé de l’infrastructure dans laquelle est mis en place le serveur privé virtuel du client ».

Lorsque l’incendie a eu lieu, les sites internet du client ont été indisponibles, provoquant le mécontentement de ses franchisés, et OVH a informé ce dernier un mois après l’incendie que ses données de sauvegarde avaient également été détruites dans la mesure où celles-ci se trouvaient au même endroit que le serveur principal.

La société a considéré, dès lors, qu’OVH avait manqué à ses obligations contractuelles.

A ce sujet, le tribunal de Lille lui a donné raison considérant que bien que les contrats signés par OVH et son client relèvent de l’obligation de moyens « en raison de la haute technicité du service » proposé et qu’aucune faute lourde ou grave n’avait été commise par l’hébergeur, OVH ne pouvait pour autant invoquer la clause de Force majeure excluant sa responsabilité, ni les clauses limitatives de responsabilité contenues dans le contrat.

 

La clause d’exclusion de responsabilité d’OVH écartée

La clause d’exclusion insérée par OVH dans ses contrats proposés à ses potentiels clients, qui adhèrent ou non à ses termes, prévoyait :

« qu’aucune des parties ne pouvait voir sa responsabilité engagée pour une défaillance résultant, directement ou non, d’évènements non prévisibles ayant les caractéristiques de la force majeure telle que définie par l’article 1218 du code civil ».

S’ensuit une liste des événements inclus dans la force majeure que l’on retrouve assez classiquement dans ce type de clause, mais qui avait cette particularité d’être particulièrement extensive sur les événements pouvant survenir (inondation, vandalisme, guerre, sabotage, incendie, actes terroristes, épidémies, tremblements de terre, coupure d’électricité …).

Or, le tribunal a considéré que dans le cadre de l’activité proposée par OVH, la clause contenue dans le contrat permettait de caractériser tout sinistre comme relevant systématiquement comme un cas de force majeure, et par conséquent permettait à OVH de ne pas être tenu de réaliser sa mission d’hébergeur à un moment où pourtant celle-ci est nécessaire.

Ainsi, les juges ont conclu qu’une telle disposition contredisait l’essence même de son obligation pour laquelle ses clients sollicitaient ses services, en particulier dans le cadre de son obligation d’assurer la sauvegarde des données de ses clients, qui justement souscrivent à cette option pour éviter les répercussions d’un sinistre, comme un incendie, sur leurs données. Le tribunal de commerce de Lille a ainsi déclaré la clause de « Force majeure » contenue dans le contrat non écrite.

 

La clause limitative de responsabilité écartée aussi

De même, concernant la clause limitative de responsabilité ayant pour objet de plafonner le montant des préjudices à payer par OVH à ses clients, soit 1800 euros en l’espèce, celle-ci a également été considérée par le juge comme créant un déséquilibre significatif au contrat et a de la même manière été réputée non écrite par le juge.

Dans ces conditions, OVH a été condamné à verser 100 000 euros à la société FRANCE BATI COURTAGE. Le préjudice aurait pu être plus grand selon la nature des données ; on rappellera à cette occasion qu’OVH est un hébergeur de données de santé (HDS), dont la sensibilité des données impliquent de sa part une plus grande vigilance et expertise en matière d’hébergement qui est légitimement attendue de la part de ses clients.

 

En parallèle de cette décision, un collectif de 140 entreprises ayant également perdu leurs données dans l’incendie sont en train de se réunir dans le cadre d’un recours collectif contre OVH qui n’a visiblement pas fini de payer les conséquences de cet incendie.

Pour consulter la décision, cliquer ici.

 

Laurence Huin
Laurence Huin

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.