CONTACT

Le préjudice subi par la victime d’une cyber-attaque impliquant un cryptage de données est « indiscutable »

13 janvier 2026 | Pierre de Boismenu|

Le préjudice subi par la victime d’une cyber-attaque impliquant un cryptage de données est « indiscutable »

Une société spécialisée dans l’édition de logiciels pour instituts de beauté a confié à un prestataire le soin de développer une nouvelle version dudit logiciel et d’assurer la maintenance de l’ancienne version.

Il a été convenu que deux salariés de la société du prestataire assureraient les prestations, et qu’une 3e personne, un informaticien intervenant en sous-traitance du prestataire, compléterait l’équipe projet.

Plusieurs acomptes ont été versés par la société cliente au prestataire mais au bout de quelques mois, le client estimait que le projet stagnait et qu’aucun logiciel ne lui avait été livré.

En dépit des protestations du prestataire (lequel remettait notamment la faute sur son sous-traitant), le client a finalement suspendu les paiements.

Quelques mois plus tard, elle a été victime d’une cyber-attaque par « crypto-locker » associé à une demande de rançon en bitcoin (0.25 bitcoins, pour être exact, soit l’équivalent de 14.500€). 

Elle a payé la somme (afin de décrypter ses données et son système d’informations) et a déposé une plainte qui a permis de mettre en évidence le fait que (i) les salariés précité et le sous-traitant étaient à l’origine de l’attaque informatique et (ii) qu’ils avaient facturé des prestations fictives.

Au cours de la procédure correctionnelle, la rançon a été restituée et le client a saisi le juge des référés pour récupérer une provision de 21.000€ à valoir sur l’indemnisation de son préjudice.

Par ordonnance du 18 mars 2025, le juge des référés a fait droit à la demande de provision.

Les défendeurs ont interjeté appel soulevant :

  • L’irrecevabilité de la demande de provision en raison de l’existence d’un procès pénal dans lequel la demanderesse s’était constituée partie civile ;
  • L’absence de responsabilité personnelle (le contrat ayant été conclu avec leur société) ;
  • L’absence de certitude d’une créance indemnisable.

Sur la recevabilité de la demande

La Cour d’appel rappelle que selon l’article 5-1 du Code de procédure pénale « Même si le demandeur s’est constitué partie civile devant la juridiction répressive, la juridiction civile, saisie en référé, demeure compétente pour ordonner en référé toute mesure provisoire relative aux faits qui sont l’objet des poursuites, lorsque l’existence de l’obligation n’est pas sérieusement contestable », de sorte que la demande d’irrecevabilité doit être rejetée.

Le caractère non-contestable du préjudice découlant d’une attaque cyber

Afin de confirmer la condamnation des appelants au versement d’une provision, la Cour conste qu’en l’espèce, ces derniers ont introduit un crypto-locker dans l’ordinateur du client, bloqué l’accès de cette société à toutes les données qui y étaient stockées et n’ont pas remis la clé de décryptage, même lorsqu’ils ont été identifié comme étant les auteurs de l’attaque.

La Cour d’appel en déduit qu’il « n’est pas discutable » que ces manœuvres ont entrainé un préjudice dans l’activité commerciale de l’intimé, notamment par la neutralisation et l’indisponibilité de ses données.

Autrement dit, pour la Cour d’appel, statuant en référé, l’existence d’un préjudice sur lequel une provision peut être accordé n’est pas « sérieusement contestable » lors d’une cyber-attaque impliquant une indisponibilité des données.

Cette indisponibilité, qui implique généralement aussi celle du système d’informations (du moins le temps que les analyses forensic ainsi que les opérations de décontamination et de reconstruction soient effectuées) est, dans la majorité des cas, la première conséquence préjudiciable d’une attaque par crypto-locker.

Il est donc bienvenu que la Cour d’appel rappelle, comme elle le fait, que cette situation entraine de façon non-discutable et non-contestable, un préjudice pour le client, la véritable question portant, finalement sur le chiffrage de celui-ci.

A ce titre, l’arrêt récent de la Cour de cassation (29 mars 2023 n°21-21.432[1]) précisant que « le juge ne peut refuser d’indemniser un préjudice dont il constate l’existence dans son principe » devrait faciliter l’indemnisation par les clients de leur préjudice (que ce soit vis-à-vis des assaillants, lorsque ceux-ci sont identifiés, mais cela reste rare, ou vis-à-vis des prestataires spécialisés dans la protection des systèmes d’informations qui ont manqué à leurs obligations, ce qui constitue, pour l’instant, la configuration contentieuse traditionnelle).
Source : Cour d’appel, Agen, 1er décembre 2025 – n°25/00266

[1] 
https://derriennic.com/risque-deni-justice-obligation-juge-tenter-chiffrer-prejudices/#:~:text=Par%20un%20arr%C3%AAt%20du%2029,lui%20sont%20fournies%20par%20les

    Personnalisation des cookies

    Cookies strictement nécessaires

    Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.

    Cookies de mesures d'audience

    Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

    Il s’agit des cookies suivants :

    _ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

    _gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

    _gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

    Vous pouvez consulter la page dédié à la protection des données de Matomo