Droit et cryptologie : de Chronopost à Oracle, les clauses limitatives de responsabilité (2/2)
Dans le premier volet de cet article, nous avons fait un point rapide sur l’évolution de la réglementation en matière de prestations de cryptologie et sur le droit à présent applicable.
Il est donc peut-être temps d’entrer dans des considérations pratiques. Dans un récent billet, « cryptographie pour les néophytes », 0x0c nous livrait un cas concret que nous pourrions résumer ainsi. Toute ressemblance avec des circonstances s’étant déjà présentées serait purement fortuite.
Soit SuPersecuCloud, entreprise spécialisée dans le stockage sécurisé de données (et pas dans la supersécution).
Soit M. Ballot, grand scientifique et alchimiste, découvreur de la pierre philosophale et qui pour protéger son invention trouve que la plate-forme sécurisée de SuperSecuCloud est la solution de stockage la plus idoine. Son prénom est Christian. Nommons-le C. Ballot. Les perspectives économiques de sa découverte lui permettaient d’envisager sereinement une vieillesse dorée sur un yacht et l’opulence pour au moins une douzaine de générations.
Lui permettaient car, deux semaines après avoir déposé ses travaux sur SuperSecuCloud, une jeune entreprise syldave sort ladite invention en grande série, transformant l’eau en vin, et les tablettes Samsung bas de gamme en I-Pad.
Question : que peut faire C. Ballot ?
Voilà qui ferait un excellent challenge juridique car la question est complexe et relève en grande partie du droit de la propriété intellectuelle. Or ce n’est pas le thème de ce blog et, a fortiori, de cet article.
Demandons-nous plutôt et seulement ce que peut faire C. Ballot contre SuperSecuCloud.
Tous deux sont liés par un contrat auquel le droit français est applicable. (La question de la détermination du droit applicable aux contrats conclus sur Internet sera l’objet d’un prochain billet – préparez vous à des nervous-breakdown).
C. BALLOT vs Supersecucloud
Une étude approfondie des clauses sera indispensable pour déterminer la responsabilité ou non de SuperSecuCloud. Cependant, le contrat nous ne l’avons pas puisqu’il n’est qu’une fiction juridique.
Toutefois, il y sera à n’en pas douter écrit que SuperSecuCloud s’engage à garantir la confidentialité des informations, sauf demande légale, et que de toute façon il n’y a que C. BALLOT qui dispose de la clef pour décrypter ses données.
Il sera également précisé que le cloud n’engage pas sa responsabilité si M. BALLOT n’a pas assuré la confidentialité de sa clef.
Au cas où, SuperSecuCloud – qui est bien plus prudent que C. BALLOT – a cru malin d’indiquer en petits caractères que sa responsabilité est en tout état de cause limitée, par exemple, au double du montant total du prix que paye C. BALLOT pour le stockage de ses données, ce qui peinerai très certainement à dépasser les 200 €. On est loin du Yacht.
Et c’est ainsi que le cookie s’émiette le juriste s’éveille, et qu’également se ravive un traumatisme enfoui à la fin d’un TD de deuxième année, la découverte de CHRONOPOST.
Ou plutôt de l’arrêt CHRONOPOST, ou mieux encore des arrêts dits CHRONOPOST sur les clauses limitatives de responsabilité.
La jurisprudence a longtemps connu des errements quant à la validité et la portée de ces clauses. Alors je vais vous la faire brève voire très très brève. La Cour de cassation dit que ces clauses sont valides… mais pas toujours ce qui est une position assez classique.
Le manquement à une obligation essentielle du contrat ou la commission d’une faute lourde peut faire échec à leur application. Elles deviennent dès lors non écrites.
Les clauses limitatives de responsabilité
Si la saga a débuté par un arrêt CHRONOPOST, la doctrine pense qu’elle vient de se terminer par un arrêt FAURECIA contre ORACLE qui venait, fait rare, pour la seconde fois devant la Cour de cassation, cette fois en assemblée plénière, après Cour d’appel de renvoi.
Le 1er arrêt, c’est là.
Le 2nd c’est ici.
Il s’agissait d’un contrat conclu entre une entreprise FAURECIA et l’entreprise ORACLE pour la mise en œuvre d’une solution progicielle intégrée. Cependant, tout n’a pas fonctionné comme prévu. Les solutions n’ont pas été livrées dans les délais et cet état de fait a occasionné un préjudice pour le client qui demandait des millions d’euros.
Le contrat comportait une clause limitative de responsabilité à environ 200.000 €.
Et la Cour a jugé que :
« Attendu que la société Faurecia fait encore le même grief à l’arrêt, alors, selon le moyen, qu’après avoir constaté que la société Oracle n’avait pas livré la version V 12, en considération de laquelle la société Faurecia avait signé les contrats de licences, de support technique, de formation et de mise en oeuvre du programme Oracle applications, qu’elle avait ainsi manqué à une obligation essentielle et ne démontrait aucune faute imputable à la société Faurecia qui l’aurait empêchée d’accomplir ses obligations, ni aucun cas de force majeure, la cour d’appel a jugé que n’était pas rapportée la preuve d’une faute d’une gravité telle qu’elle tiendrait en échec la clause limitative de réparation ; qu’en statuant ainsi, la cour d’appel n’a pas tiré les conséquences légales de ses constatations, violant les articles 1134, 1147 et 1150 du code civil ;
Mais attendu que la faute lourde ne peut résulter du seul manquement à une obligation contractuelle, fût-elle essentielle, mais doit se déduire de la gravité du comportement du débiteur ; que le moyen n’est pas fondé ; »
Ainsi, dans le contrat que nous avons vu, la sécurité des informations stockées est une obligation essentielle. Mais la Cour nous dit que M. BALLOT va devoir démontrer que SuperSecureCloud a commis une faute lourde et a donc eu un comportement d’une certaine gravité.
En bref, si Supersecucloud a gravement négligé la sécurité de ses algorithmes et de ses serveurs en mode passoire, elle risque de se voir condamnée à indemniser M. BALLOT de l’intégralité des conséquences du vol de ses données.
Si Supersecucloud a par contre fait le job, ou a seulement un peu exagéré sur sa supersécurité, cela ne suffira pas à faire obstacle à la clause de limitation de responsabilité.
La connaissance préalable de la valeur des données
Par ailleurs, si C. BALLOT veut être indemnisé pour l’intégralité de son préjudice qui se chiffre en milliards de millions, encore faut-il que Supersecucloud ait été informée de la valeur des travaux qu’il stockait sur ses serveurs.
En effet, l’article 1150 du code civil dispose que :
« Le débiteur n’est tenu que des dommages et intérêts qui ont été prévus ou qu’on a pu prévoir lors du contrat, lorsque ce n’est point par son dol que l’obligation n’est point exécutée. »
Là encore, une faute lourde de Supersecucloud pourrait permettre à C. BALLOT d’échapper à cette limitation à défaut d’une précision dans le contrat de la valeur des travaux de notre chercheur émérite.
Ces questions résolues, elles en soulèvent immédiatement une nouvelle. Comment M. BALLOT va pouvoir démontrer que SuperSecucloud a eu un comportement d’une particulière gravité confinant à la faute lourde.
Expert judiciaire indispensable
Eh bien, tout d’abord, il devra demander par une assignation en référé devant un Tribunal compétent la désignation d’un Expert judiciaire (il ne peut pas le choisir, c’est malheureux, car sur Internet on en connaît un qui a l’air excellent, pas cher, et surtout grand explorateur des tréfonds, son blog étant une grotte pleine de trésors) ainsi que le permettent les dispositions de l’article 145 du code de procédure civil.
En effet, les magistrats civils n’ont des connaissances que très limités en matière d’informatique et attendent que des experts impartiaux leur mâchent le travail.
Ce dernier mènera les investigations qu’il estimera nécessaires. Et quant à moi, j’estime que ce point nécessitera un autre billet… de même que les responsabilités découlant de la cession d’un moyen ou d’une prestation de cryptologie.
