Le 12 juin 2025, la Cour d’appel de Lyon (RG n°22 /00548) conclut que la responsabilité d’un prestataire informatique ne sera pas engagée en cas de cyberattaque sans preuve d’une faute contractuelle ou d’une défaillance imputable à celui-ci.
- Les faits à l’origine du litige
Une société spécialisée dans le conseil en systèmes et logiciels informatiques (le prestataire), a conclu avec une société ayant une activité de paysagiste (la société cliente) un contrat de maintenance informatique en date du 16 décembre 2014 ainsi qu’un contrat de sauvegarde en date du 1er octobre 2015, les échéances mensuelles pour ces deux contrats étant de 2.365,60 euros.
Il y a un différend qui se pose sur la question de la tacite reconduction des contrats, qui ne sera pas traité dans le cadre de cette brève.
La problématique intéressante en l’espèce réside dans la question de la responsabilité ou non du prestataire dans la cyberattaque.
La société cliente affirme qu’elle a fait l’objet d’une cyberattaque le 19 janvier 2020, du fait de :
- La faiblesse de la protection de ses données mises en place par le prestataire ;
- La défaillance du logiciel utilisé par le prestataire pour la maintenance, qui d’après elle a été la porte d’entrée de l’attaque. La société cliente soutient que le prestataire en avait connaissance car il remplaçait son logiciel chez ses clients par un nouvel outil.
La société cliente produit à l’appui de sa demande d’indemnisation une expertise d’assurance non-contradictoire qui ne démontre pas de manière certaine que le prestataire est à l’origine de la cyberattaque.
- La décision rendue par la Cour d’appel
La Cour d’appel relève que les parties n’avaient pas signé de contrat relatif à la protection contre les cyberattaques (uniquement des contrats de maintenance et de sauvegarde).
De plus, l’article 13 des deux contrats exclut la responsabilité du prestataire en cas de perte de données, une clause acceptée par le client lors de la signature des contrats.
A la fin de chaque contrat, il est stipulé l’obligation pour le client de souscrire une assurance indemnisant la perte d’exploitation notamment en cas de perte de données ou d’informations.
Le client ne démontre pas ses allégations concernant les défaillances du logiciel de maintenance utilisé par le prestataire.
La Cour avance en outre que le prestataire n’est pas l’éditeur du logiciel de maintenance et qu’il ne peut endosser une responsabilité liée à une éventuelle défaillance de celui-ci, aucune preuve n’étant rapportée en ce sens.
Le client a pu valablement reprendre les sauvegardes effectuées par le prestataire et reprendre son activité.
La Cour donne raison au prestataire et refuse de retenir la responsabilité du prestataire s’agissant de la cyberattaque.
- Quels enseignements retenir de cette décision en pratique ?
Cette décision rappelle que la responsabilité d’un prestataire informatique ne peut être engagée en matière de cyberattaque sans preuve précise d’une faute contractuelle ou d’un manquement avéré, et que les clauses d’exclusion ou de limitation de responsabilité conservent toute leur efficacité.
Elle souligne, pour les prestataires comme pour les clients, l’importance d’une rédaction contractuelle rigoureuse et d’une définition explicite des obligations en matière de cybersécurité, dans un contexte où le rythme des cyberattaques ne fait qu’augmenter.
Pour sécuriser vos contrats IT et anticiper les risques liés aux cyberattaques, l’accompagnement d’un avocat spécialisé dans la rédaction de contrats informatiques constitue un atout déterminant.