Est-ce qu’une cyberattaque constitue un cas de force majeure opposable à son cocontractant ?

Selon un rapport publié par la société Orange Cyberdéfense au mois de décembre 2021, les cyberattaques touchant les entreprises auraient augmenté de 13% au cours de l’année dernière. En cause notamment : les ransomwares. Des hôpitaux publics aux compagnies d’assurance, personne ne semble pouvoir totalement y échapper.

Récemment entrés dans la catégorie des attaques dites « Big Game Hunting » – c’est-à-dire le ciblage d’institutions ou d’entreprises capables de payer des rançons importantes via des opérations d’extorsion préparées en amont -, les rançongiciels peuvent avoir des conséquences parfois irréparables sur l’organisation d’une entité et son image.

En règle générale, les assaillants installent un rançonlogiciel sur le réseau d’une entreprise, lequel chiffre les données, pour ensuite exiger le paiement d’une rançon. Une telle attaque peut nettement porter atteinte à l’activité d’une entreprise.

Aussi la victime, fortement désorganisée, est susceptible d’engager sa responsabilité contractuelle à l’égard de ses partenaires commerciaux.

Il nous a dès lors semblé pertinent de devoir rappeler l’appréhension des cyberattaques en droit des contrats. L’article 1218 du code civil dispose qu’il y a force majeure lorsqu’un événement échappant au contrôle du débiteur, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées, empêche l’exécution de son obligation par le débiteur. Autrement dit, un cas de force majeure implique un évènement extérieur aux parties, imprévisible et irrésistible qui, une fois qualifié, libère en principe le débiteur de son obligation et empêche le créancier d’obtenir des dommages et intérêts.

La question de la qualification d’une cyberattaque a déjà été soumises aux juridictions françaises, et il a été jugé qu’une cyberattaque ne saurait être considérée comme un cas de force majeure (CA Paris, 7 févr. 2020, n° 18/03616, à propos d’un ransomware).

Pour la Cour d’appel de Paris, en effet :
« un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. »

Il n’en demeure pas moins que le sujet pourrait être longuement débattu, y compris devant nos juridictions, puisque l’appréciation doit être circonstanciée.

La solution rappelée invite l’ensemble des entreprises à prendre ce sujet au sérieux et à mettre en œuvre l’ensemble des mesures adéquates pour se protéger.

D’un point de vue contractuel, rappelons notamment que l’article 1218 du code civil n’est pas d’ordre public. Par conséquent, les parties sont libres de convenir des caractéristiques de la force majeure sous réserve de respecter les dispositions d’ordre public ; il est dès lors envisageable de traiter de l’hypothèse d’une attaque informatique dans ce cadre. Par ailleurs, les parties pourront aménager les effets d’un tel évènement sur le contrat. Pour autant, il n’en demeure pas moins que la clause devra être dénuée de toute ambiguïté car, dans un tel cas, le juge recouvrirait son pouvoir d’interprétation et d’appréciation, ce qui pourrait conduire à une neutralisation de la clause.

 

Claire Laporte
Contact : claporte@grenier-avocats.com