OVH condamnée pour absence de sauvegarde des données de ses clients

Dans un jugement du 26 janvier 2023, le tribunal de commerce de Lille s’est prononcé sur la portée de l’obligation contractuelle de sauvegarde des données, l’influence de la force majeure sur son respect et l’efficacité des limitations de responsabilité de l’hébergeur. La société France Bati Courtage, à l’origine de l’instance, avait à cette occasion perdu l’intégralité des données des sites internet qu’elle hébergeait sur les serveurs d’OVH ainsi que toutes les sauvegardes de ces données. Or, elle avait contractuellement souscrit, outre une prestation d’hébergement standard, à une option indépendante de « sauvegarde automatisée » censée permettre la préservation et la récupération des données de son serveur dédié. Malgré l’engagement contractuel d’OVH que « l’espace de stockage alloué à [cette] option de back-up soit physiquement isolé de l’infrastructure dans laquelle est mis en place le serveur privé virtuel du client », les données de back-up n’avaient pas pu être récupérées comme la société s’y attendait : stockées par OVH dans le même bâtiment que celui où se trouvait le serveur principal, elles furent également détruites par l’incendie. Selon OVH, le client n’avait souscrit qu’une obligation de sauvegarde « locale » n’impliquant pas la duplication des données sur un site distant. Le tribunal lillois balaie cet argument en relevant que l’offre commerciale OVH soumise à son client ne distinguait pas entre sauvegarde « locale » et « distante » ni n’indiquait que les sauvegardes seraient stockées dans un même data center. Pour le tribunal, la référence à une « exportation » des données et au caractère « physiquement isolé » du serveur de back-up ne laisse aucun doute quant à l’engagement de stockage distant assumé par OVH. Il est relevé qu’en tout état de cause, « stocker les données au même endroit que le serveur principal […] ne permet pas de mettre à l’abri les données, ne respecte pas l’état de l’art de la sauvegarde et ne permet pas d’atteindre l’objectif fixé par le contrat ». Avec 32 data centers répartis sur 13 sites les juges estiment qu’OVH avait toute possibilité de se conformer à son obligation, fût-elle de moyens.

Dans ces conditions, la force majeure était-elle de nature à exonérer OVH de sa responsabilité ?

Le tribunal écarte cette possibilité, au visa de l’article 1170 du code civil, considérant que la clause de force majeure a ici pour effet de vider de sa substance l’obligation essentielle de sauvegarde des données. Il retient que les sauvegardes litigieuses visaient précisément à mettre en sécurité les données pour les restaurer en cas d’incident touchant le serveur principal. Exclure sa responsabilité en cas de sinistre revient donc à se libérer de ses engagements au moment même où ceux-ci sont nécessaires. Quelle est en effet l’utilité d’une copie de sauvegarde en dehors d’un sinistre ? La décision n’est sur ce point guère contestable. Nuance est cependant de rigueur : pour écarter le précédent constitué par son jugement du 21 juin 2022 dans une affaire relative au même sinistre, le tribunal explique sa décision par le fait que le client avait ici expressément souscrit à une option de sauvegarde « physiquement isolée » en plus de la prestation d’hébergement. A contrario, en présence d’une prestation d’hébergement sans sauvegarde ou encore d’une obligation de sauvegarde « locale » sur site, l’exception de force majeure peut valablement être invoquée. On ne pourra alors que souligner l’importance, pour les parties, de bien définir contractuellement les modalités de sauvegarde de données. Ainsi fondée à engager la responsabilité d’OVH, la société se voyait opposer une clause limitant la responsabilité d’OVH aux montants payés pour les services au cours des six mois précédents, soit une somme dérisoire au regard du préjudice estimé par la société. La clause limitative de responsabilité est neutralisée au visa de l’article 1171 du code civil au motif qu’elle introduit un déséquilibre significatif entre les droits et obligations des parties, quand bien même le prix payé par le client pour les services serait peu élevé. La décision invite à s’interroger sur la validité, lorsqu’elles sont négociées, des clauses limitant la responsabilité du prestataire au montant payé par le client lorsque ce prix n’est pas en adéquation avec les risques inhérents à la prestation. Elle souligne également la difficile preuve du préjudice résultant d’une perte de données en l’absence de valeur intrinsèque attachée à ces dernières. En l’espèce, l’indisponibilité du site internet résultant de la restauration impossible des données justifie la réparation du préjudice d’image et d’exploitation subi (perte des revenus générés par le site) ainsi que le coût de reconstitution de l’hébergement.