Par Mathieu MARTIN, Avocat associé

Jurisprudence : la responsabilité du prestataire en matière de cyberattaque
Nous avions déjà rappelé quel était le périmètre de l’obligation de conseil du prestataire et cyberattaque suite à un arrêt rendu par la Cour d’appel de Rennes le 19 novembre 2024.
Nous avons ici l’occasion de nous intéresser, suite à un arrêt rendu par la Cour d’appel de REIMS le 28 avril 2026, à la responsabilité du prestataire informatique en cas de cyberattaque ( en l’espèce une attaque informatique de type «ransomware » subie par son client).
La Cour rappelle tout d’abord que le prestataire est tenu d’une obligation de moyen renforcée quant à son obligation de délivrance conforme et son obligation de conseil
- le prestataire de services informatique chargé de la création et de l’élaboration de logiciels, sites web ou applications mobiles, prestations intellectuelles complexes par nature soumises à des aléas résultant de l’obligation de collaboration du client et de l’évolution rapide du secteur informatique, est tenu d’une obligation de moyens renforcée quant à la délivrance de l’ouvrage commandé. Il lui appartient ainsi de rapporter la preuve qu’il a accompli toute diligence en vue de l’obtention du résultat escompté, mais également qu’il n’a pas commis de faute dans l’exécution de ses obligations.
- Il incombe par ailleurs au vendeur professionnel de prouver qu’il s’est acquitté de l’obligation de conseil
L’expert judiciaire missionné va conclure à ce que :
l’analyse des causes ayant rendu possible cette attaque mettent en lumière un déploiement candide du système d’exploitation Windows server 2019 en totale inadéquation avec les prescriptions sécuritaires du moment »
et que
« cette configuration primaire est le vecteur de la compromission du système d’information de la société X. Il en déduit que les conséquences financières doivent être considérées pour partie par la société intimée dans la mesure où en professionnel du domaine, elle se doit de livrer une installation présentant un fonctionnement optimal et sécurisé ».
La Cour va donc rappeler que l’étendue de l’obligation du prestataire informatique, et les manquements qui en résultent, doivent s’apprécier par rapport aux attentes de la société cliente.
La Cour va ainsi relever qu’ « il ne fait pas débat que l’installation informatique en cause est conforme aux termes du devis. » mais que « Cependant aucun cahier des charges, ni aucune planification ponctuée de phases de réception, n’a été établi entre les parties préalablement ».
Or, et selon la Cour le cahier des charges est, en pratique, l’outil central des obligations des parties : il formalise les besoins spécifiques du client et sert de référence pour juger de l’adéquation de la solution livrée. Son établissement était normalement à la charge de la société cliente.
Ainsi, l’absence de cahier des charges et la transmission d’informations insuffisantes à son cocontractant ont également concouru à la réalisation du dommage subi par la société cliente.
C’est donc dans ce contexte que la Cour va juger que le prestataire informatique ne sera tenu des conséquences de ses dommages qu’à hauteur de 50 %.
Réglementation : NIS 2 et Résilience des entités critiques: toujours pas de transposition des Directives
La cybersécurité vise à assurer la protection des réseaux et des systèmes d’information, ainsi que des utilisateurs et des personnes exposées contre les cyberincidents et les cybermenaces.
Pour faire face à la multiplication des cybermenaces, la Directive NIS 2 (Network and Information Systems) impose aux États membres de renforcer leurs capacités en matière de cybersécurité et d’introduire des mesures de gestion des risques et des obligations de signalement des incidents pour les entités de 18 secteurs critiques (Plusieurs milliers d’entités) .
Ce texte édicte un véritable management de la sécurité.
Devant être transposé en droit national avant le 17 octobre 2024, La Commission européenne a décidé le 8 juillet de saisir la Cour de justice de l’Union européenne d’un recours contre l’Irlande, l’Espagne, la France et les Pays-Bas pour défaut de notification des mesures de transposition en droit national.
Les services de l’Etat relevant tout de même la « menace actuelle », ont d’ores et déjà invité l’ensemble de acteurs à entreprendre les démarches visant à renforcer leur niveau de sécurité
https://messervices.cyber.gouv.fr/nis2
Il reste que non transposé, ce texte fait déjà l’objet au niveau européen de modifications ciblées par la Commission afin d’apporter une plus grande clarté juridique pour permettre aux entreprises opérant dans l’UE de se conformer plus facilement aux règles de cybersécurité et aux exigences en matière de gestion des risques.
S’agissant de la Directive sur la Résilience des entités critiques , Ce texte vise à réduire les vulnérabilités et renforcer la résilience des entités critiques dans l’Union européenne afin d’assurer la prestation sans entrave de services essentiels à l’économie et à la société dans son ensemble.
Devant être transposé en droit national avant le 17 octobre 2024, là encore, la France est à la traine.
Des transpositions pour la fin d’année ?
Anne Le Henanff, ministre déléguée auprès du ministre de l’Économie, des Finances et de la Souveraineté industrielle, énergétique et numérique, chargée de l’Intelligence artificielle et du Numérique a annoncé que ces deux textes inclus dans le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité seraient évoqués au mieux en septembre….
En parallèle, preuve de l’importance de la question cyber, la CNIL a annoncé au mois de mai qu’elle consacrera 50 % de ses contrôles et actions répressives aux manquements en matière de cybersécurité.
Reste donc à savoir, en sus de l’article 32 du RGPD, quel référentiel elle opposera selon les entités contrôlées.