Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Incendie OVH : une deuxième condamnation (plus lourde)

Publié le par

En indiquant erronément à son client qui gérait lui-même le serveur de sauvegarde, que ce serveur était dans le bâtiment 2 alors qu’en réalité OVH l’avait placé dans le bâtiment 1, la société a commis une faute contractuelle qui engage sa responsabilité. Le client a pu légitimement se fier à cette information et il doit être indemnisé.

Nous avons relaté, il y a quelques semaines, le premier jugement rendu au fond à la suite de l’incendie OVH. Dans cette première décision, le tribunal avait jugé qu’en stockant les 3 réplications de sauvegarde au même endroit que le serveur principal, OVH a engagé sa responsabilité contractuelle au titre du contrat de sauvegarde.  

Une nouvelle décision vient d’être rendue ce 9 mars, par le même siège, mais dans une affaire légèrement différente sur le plan factuel et qui mérite à ce titre d’être mentionnée.

Les faits

Dans cette affaire-ci, la demanderesse est la société BLUEPAD, un éditeur de logiciel SaaS (solution hébergée dans le cloud) qui commercialise une solution de pilotage de projets, sur tablettes et smartphones, dédiée aux métiers de la construction.

En juin 2017, la société BLUEPAD a souscrit un contrat de location de serveur auprès de la société OVH sur son site de Strasbourg, site composé de quatre bâtiments dénommés SBG1, SBG2, SBG3 et SBG4.

Ce premier serveur a été localisé par la société OVH dans son bâtiment SBG1 : la société OVH en a informé la société BLUEPAD par le biais d’un document qu’elle lui a remis lors de la souscription au serveur.

En juillet 2018, la société BLUEPAD a souscrit à un second serveur auprès de la société OVH, également sur le site de Strasbourg. Ce second serveur a été localisé par la société OVH dans son bâtiment SBG2.

Sur la base des informations fournies par la société OVH, la société BLUEPAD a décidé sa politique de gestion et de sauvegarde de données comme suit :

  • le premier serveur, dans le bâtiment SBG1, servirait de serveur de production ;
  • le second serveur, dans le bâtiment SBG2, servirait de serveur de sauvegarde (sauvegarde de niveau 1, pour une reconstruction rapide).
  • une seconde sauvegarde des données du système de la société BLUEPAD, distante, serait distribuée sur les terminaux mobiles utilisés par les clients de la société BLUEPAD (sauvegarde de niveau 2, pour une reconstruction ultime).

Pendant toute la durée de l’exploitation de ces serveurs par la société BLUEPAD, l’espace client de la société OVH affichait la localisation des données du premier serveur dans le bâtiment SGB1 et du second serveur dans le bâtiment SBG2.

Le 10 mars 2021, un incendie a éclaté sur le site OVH de Strasbourg, détruisant l’intégralité du bâtiment SBG2 et un tiers du bâtiment SBG1.

Suite à cet incendie, la société OVH informait la société BLUEPAD que les 2 serveurs étaient en réalité localisés tous deux dans le bâtiment SBG2 entièrement détruit par l’incendie, contrairement à ce qu’indiquaient les documents et la console de gestion.

Ce dossier-ci est donc différent du premier en ce sens que la sauvegarde n’était pas réalisée par OVH mais restait entre les mains du client, celui-ci reprochant à OVH de lui avoir fourni une information erronée quant à la localisation des serveurs, l’amenant à construire sur cette croyance une politique de sauvegarde qui s’est révélée inefficace.

La faute d’OVH avant l’incendie

La société OVH a communiqué à la société BLUEPAD un document confirmant les caractéristiques matérielles du serveur loué pour la sauvegarde, ainsi que le bon fonctionnement de celui-ci. Ce document contenait des informations sur la localisation du serveur, notamment son numéro de serveur, son adresse IP et son numéro de baie. On l’a vu dans le rappel des faits : ce document présentait une erreur factuelle en ce sens qu’il localisait le serveur dans un autre bâtiment que celui où il se trouvait réellement.

Un débat se noue autour de la valeur de ce document : information non-contractuelle de nature informative, ou élément faisant partie du périmètre contractuel ?

Le tribunal constate que la société BLUEPAD a utilisé ces informations pour déterminer l’emplacement de ses serveurs, avec le premier serveur (principal) dédié dans le datacentre SBG1 et le second serveur VPS (de sauvagarde) dans le datacentre SBG2. La société a également établi sa politique de sauvegarde en fonction de ces informations, en utilisant le second serveur comme serveur de sauvegarde.

Le tribunal considère que c’est l’attitude normale d’un client, qui a pu légitimement se fier aux informations techniques fournies par son prestataire et au sujet desquelles il n’avait aucune raison de croire qu’elles puissent être factuellement erronées.

Pour le tribunal, « il ressort que la société BLUEPAD n’a jamais imaginé que la société OVH, qui se présente elle-même comme un leader européen du cloud, spécialiste de l’hébergement et qui se prévaut d’une certification ISO 27001, ait pu égarer le serveur d’un client ou commettre une erreur dans son emplacement. La société BLUEPAD n’avait aucune raison de douter de l’exactitude des informations fournies par la société OVH et aucun moyen de le vérifier par elle-même. »

Le tribunal se penche également sur les conditions générales et relève que celles-ci stipulent que « OVH s’interdit de modifier, sans l’accord du Client, la localisation ou zone géographique prévue à la Commande» ce qui démontre que la localisation d’un serveur est contractuelle. » Pour le tribunal, ceci est une indication supplémentaire de l’importance de la localisation des serveurs et, partant, de leur inclusion dans le périmètre contractuel.

En conséquence, le Tribunal dit que la société OVH a commis une faute dans la localisation du serveur de la société BLUEPAD et que cette faute a causé des préjudices à la société BLUEPAD, celle-ci étant fondée à rechercher la responsabilité de la société OVH à ce titre.

La faute d’OVH après l’incendie

Deuxième caractéristique de ce dossier-ci : une faute alléguée de l’hébergeur après l’incendie.

La société OVH affirme que le 1er avril 2021 ses équipes techniques ont finalement réussi à récupérer les données du 2ème serveur de la société BLUEPAD.

Néanmoins le tribunal relève que l’étude des pièces et des faits montre que la société OVH, n’ayant pas informé son client qu’il remettait en service le 2ème serveur précédemment déclaré comme détruit par l’incendie et n’ayant pris aucune précaution lors du redémarrage du serveur, c’est un serveur vidé de ses données qui a été restitué à la société BLUEPAD. En effet, le serveur, qui était à l’arrêt depuis près d’un mois, a exécuté des scripts de purge système et a effacé les données anciennes lors de sa remise en service.

C’est donc une deuxième faute qui est reprochée à OVH, tenant dans le fait que la société a remis « en service le second serveur un mois après avoir annoncé à son client qu’il avait brûlé dans l’incendie, sans l’accord et sans avertir ce dernier. »

Sur la force majeure

Le tribunal écarte la faute majeure au motif que « la cause des préjudices subis par la société BLUEPAD est la faute de la société OVH dans la localisation des serveurs et non l’incendie. En conclusion, la société OVH n’est pas fondée à invoquer sa clause d’exclusion pour cas de de force majeure. »

Sur cette question précise, le raisonnement du tribunal nous laisse sur notre faim.

C’est étonnant dans la mesure où le tribunal avait eu une position plus radicale dans sa première décision rendue il y a quelques semaines, dans laquelle il a estimé que la clause d’exclusion qui figure dans le contrat doit être écartée au motif que : « Avec une telle clause, en cas de sinistre, la SAS OVH n’est jamais tenue de réaliser sa mission au moment où, pourtant, celle-ci est nécessaire. Les copies de sauvegarde n’ont pas d’intérêt en l’absence de sinistre et elles ne sont d’ailleurs pas utilisées. Les copies de sauvegarde ne sont utiles qu’en cas de sinistre. » Le tribunal y voyait une disposition vidant le contrat de sa principale obligation et, dès lors, réputée non-écrite sur pied de l’article 1170 du Code civil.

Sur les clauses limitatives de responsabilité

Le tribunal considère que le contrat d’OVH est un contrat d’adhésion soumis l’article 1171 du Code civil : « Dans un contrat d’adhésion, toute clause non négociable, déterminée à l’avance par l’une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite. L’appréciation du déséquilibre significatif ne porte ni sur l’objet principal du contrat ni sur l’adéquation du prix à la prestation. »

Pour le tribunal, la clause de limitation de responsabilité établie par la société OVH octroie un avantage injustifié à cette dernière en l’absence de contrepartie pour le client, et elle crée « une véritable asymétrie entre les obligations de chacune des parties. En définitive, cette clause transfère le risque sur l’autre partie de manière injustifiée et sans contrepartie pour cette dernière. »

La clause de limitation de responsabilité est donc réputée non écrite.

Sur le quantum des préjudices

Le tribunal se montre beaucoup plus généreux qu’il ne l’a été dans la première décision : celle-ci était sur le plan des principes défavorable OVH, mais la somme finalement allouée au client était relativement modeste.

Dans cette décision-ci, le tribunal a été beaucoup plus loin sans que l’on sache si ce sont les spécificités de l’affaire qui justifient cette augmentation du quantum, ou si le tribunal a modifié ses critères d’appréciation.

Ceci nous amène à formuler trois observations :

Premièrement, il est étonnant que le tribunal choisisse ce dossier-ci pour alourdir substantiellement les montants alloués. En effet, on peut légitimement questionner l’attitude du client : n’a-t-il pas été un peu imprudent lui aussi en décidant de localiser son serveur de sauvegarde dans un autre bâtiment, certes, mais adjacent au sein du même complexe ? Ne dit-on pas en matière de sécurité informatique, que ce sont les kilomètres qui séparent le serveur principal de sa sauvegarde qui constituent la meilleure protection contre la destruction physique (feu, eau, etc.) ?

Deuxièmement, le tribunal aurait pu être plus sévère en se fondant sur la perte d’une chance. En effet, dès l’instant où le client a localisé la sauvegarde dans un bâtiment séparé mais adjacent, auquel le feu s’est donc communiqué tout en n’en détruisant qu’un tiers, il n’aurait pas été totalement impensable de tenir compte de cet élément statistique dans les montants alloués.

Troisièmement, on imagine que OVH est couverte par une police d’assurance qui doit probablement prévoir un montant maximum. Une fois ce montant atteint, c’est la société elle-même qui devra supporter les indemnités sur fonds propres. On imagine que la société, saine d’après les informations disponibles, a les moyens couvrir ce risque. Il reste que comme dans tous les dossiers de gros sinistres pour lesquels l’assureur agit dans le cadre d’une enveloppe fermée, les premiers servis ont toujours un avantage sur les autres …

Plus d’infos

En lisant le jugement commenté, disponible en annexe.

En lisant notre analyse de la première décision rendue.

Droit & Technologies

Annexes

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK