Cour d’appel d’Aix-en-Provence, Arrêt du 25 mars 2021, Répertoire général nº 18/05350
Le prestataire, professionnel de l’informatique et des risques associés, sachant que son client a des données devant être sauvegardées pour les besoins de son exploitation, doit s’informer des réels besoins de sa cliente et l’informer des risques éventuels mais comme il n’est pas établi que le client, même informé des risques, aurait souscrit à solution plus chère et plus contraignante, le manquement à l’obligation d’information et de conseil n’est pas de nature à justifier la résolution du contrat.
Une association est victime d’une attaque d’un virus informatique conduisant à la perte des sauvegardes de ses données et assigne son prestataire en charge de la maintenance, estimant que la défaillance des sauvegardes était imputable à ses carences.
Le tribunal de commerce d’Aix-en-Provence juge d’une part que les contrats liant les parties n’ont pas à être résiliés, étant donné que l’inexécution n’est pas démontrée et déboute le client de sa demande de remboursement, d’autre part que la perte des données constitue un réel préjudice pour le client et considérant que le prestataire n’a pas rempli toutes ses obligations de conseil et est fautif sur une partie de ses prestations, le condamne à verser des dommages et intérêts.
Le client interjette appel, soutenant que la résolution est justifiée par un manquement essentiel aux obligations contractuelles du prestataire qui n’a notamment pas mis en place un système de sauvegarde fiable.
Le mainteneur considère avoir respecté ses obligations et n’être débiteur que d’une obligation de moyens. Il soutient que la mise en place d’un système de sauvegarde ne saurait être considéré comme une obligation essentielle au contrat dans la mesure où cette obligation n’est pas mentionnée.
La cour rappelle qu’aux termes de l’article 1184 du code civil la condition résolutoire est toujours sous-entendue dans les contrats synallagmatiques et il appartient au juge d’apprécier si l’inexécution est suffisamment grave pour justifier la résolution.
En l’espèce, le seul document liant les parties est la proposition commerciale acceptée qui prévoit en cas d’incident un diagnostic puis une prise de main et intervention. Au titre de ces opérations, le prestataire est intervenu dès qu’il a été informé de l’incident et a tout mis en œuvre pour contrer l’infection au virus et y remédier. Les seuls manquements relevés sont considérés comme mineurs.
L’association reproche en outre un manquement à son obligation d’information et de conseil en ne lui conseillant pas un système de sauvegarde efficace (externe au réseau installé), de nature à prévenir une attaque du type de celle dont elle a été victime.
La cour relève que la proposition commerciale ne mentionne aucun cahier des charges ni expression des besoins et considère que le prestataire, professionnel de l’informatique et des risques associés, qui savait que sa cliente avait des données administratives, comptables et médicales devant être sauvegardées pour les besoins de son exploitation, aurait dû, d’une part, s’informer des réels besoins de sa cliente en la matière et, d’autre part, l’informer des risques éventuels liés au système de sauvegarde choisi en l’espèce.
Cependant, une sauvegarde externe au réseau, seule à même d’éviter une perte de données en cas d’attaque virale du type de celle subie, implique des contraintes et un coût supplémentaires et il n’est pas établi que le client, même informé des risques, aurait souscrit à une telle solution, étant rappelé qu’il disposait déjà d’une solution de sauvegarde efficace, sur laquelle il n’avait pas émis d’objection pendant les 4 ans précédant l’incident.
Ainsi, ni les manquements constatés dans les opérations de maintenance, ni le manquement à l’obligation d’information et de conseil ne sont de nature à justifier la résolution du contrat de maintenance et le jugement est confirmé. Le contrat n’ayant pas été résilié, le client doit régler le solde du prix.
Pour autant, il ne peut être dénié que les manquements ont causé un préjudice au client, que les juges limitent à l’audit de l’installation et le surcroît d’activité pour que les données soient réintroduites dans le système, confirmant la somme allouée par le tribunal, l’appelante échouant à prouver le surplus.