Incendies chez OVHCloud : quelles conséquences juridiques et comment faire valoir son préjudice ?

Deux incendies successifs ont ravagé le plus grand opérateur de cloud d’Europe, situé à Strasbourg. OVHCloud héberge 100 000 serveurs appartenant à des entreprises privées et des institutions ou autorités publiques. De nombreuses entreprises ont ainsi perdu une grande partie de leurs données ou ont subi des indisponibilités majeures de leur web services ou de leur site Internet de façon directe ou indirecte via l’indisponibilité d’un de leur sous-traitant. Voici notre analyse juridique de cet événement majeur en matière d’externalisation de données.

Incendie OVH : comment récupérer ses données ?

Cela doit être la première préoccupation des entreprises. Pour le savoir, il est nécessaire de consulter votre service level agreement (SLA) ou convention de service en français. Ce document regroupe l’ensemble des modalités techniques de votre hébergement et notamment les éventuels back-up (sauvegardes) de données garanties par OVHCloud. Plusieurs cas de figures peuvent se présenter :

• Votre SLA prévoit des back-ups : il convient alors de vérifier la date de la dernière sauvegarde pour évaluer l’impact de cet incendie sur vos données.
• Votre convention de service (SLA) prévoit une redondance miroir en temps réel : vos données sont en principe protégées puisque le back-up s’effectue simultanément sur un autre serveur. Il convient alors de vérifier où se trouve ce serveur et s’il a été endommagé.
• Votre SLA ne prévoit aucune sauvegarde des données et contenus du client : dans ce cas de figure, il est possible que vos informations soient définitivement perdues.

Agir juridiquement contre OVH ou un tiers qui a été paralysé par OVH : quelles sont les questions à se poser ?

Vous avez constaté une perte de données ou une indisponibilité qui vous a causé un préjudice ? Vous pouvez envisager d’engager la responsabilité d’OVH ou du tiers auprès de qui vous aviez externalisé un système informatique ou un traitement de données afin d’obtenir des dommages et intérêts. Pour cela, il est vivement conseillé de mettre en place les pratiques ci-dessous et d’être accompagné par un avocat expert en informatique.  Les premiers conseils à suivre sont les suivants :

• Faire constater les dégâts et conserver les preuves au besoin par un constat d’huissier ;
• Analyser si une prise en charge est possible aux termes de votre contrat d’assurance et faire une déclaration de sinistre ;
• Chiffrer votre préjudice en calculant les coûts d’indisponibilités et les pertes directes et indirectes ;
• Adresser un courrier à OVH ou à votre fournisseur de service intermédiaire qui vous a causé un préjudice, en reportant précisément les défaillances.

Pour déterminer la responsabilité d’OVH et/ou des services intermédiaires qui vous ont causé un préjudice, il conviendra d’étudier notamment les questions suivantes.

Vos cocontractants (OVH ou autres fournisseurs) sont-ils soumis à une obligation de moyen ou de résultat ?

Pour OVH, cette question n’est pas définitivement tranchée. Elle est pourtant essentielle. Pour les autres fournisseurs il faut regarder au cas par cas en fonction de de ce qui a été convenu dans les contrats. En effet, si votre cocontractant dispose d’une obligation de moyen, sa responsabilité ne peut être engagée qu’à condition de démontrer qu’il n’a pas mis en œuvre tous les moyen pour assurer la disponibilité des données. Si, au contraire, il est soumis à une obligation de résultat, cette indisponibilité suffit pour engager sa responsabilité. Par ailleurs, l’obligation de résultat implique une présomption de faute. OVH ne peut donc s’exonérer de sa responsabilité qu’en démontrant une cause étrangère. Il peut s’agir d’un événement de force majeure (l’incendie en l’espèce), du fait d’un tiers ou de la faute du client.

La force majeure peut-elle être invoquée par OVH ?

Les conditions générales d’OVH prévoient une exclusion de responsabilité pour force majeure et notamment en cas d’incendie. Par conséquent, il semble que la seule possibilité pour engager la responsabilité d’OVH soit de prouver une faute ou l’absence de caractère irrésistible. En tout état de cause, il est important de noter que cette force majeure ne couvre en réalité que la question de l’indisponibilité des données. OVH est censé avoir fait preuve de diligence pour assurer la continuité de ses obligations, après l’incendie, grâce à la mise en place d’un plan de reprise d’activité.

Votre fournisseur peut-il invoquer la clause limitative de responsabilité prévue dans ses conditions générales ?

Ce type de clause est parfaitement valable. Elle permettrait à OVH ou à votre fournisseur de limiter le montant des dommages et intérêts à verser à ses clients. Cependant, l’article 1170 du Code civil précise que toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite. Elle ne doit donc pas conduire à vider le contrat de sa substance. En d’autres termes, l’obligation d’hébergement et de disponibilité des données ne doit pas être anéantie par cette clause limitative de responsabilité.

Votre fournisseur a-t-il enfreint les normes professionnelles ?

C’est un point essentiel à vérifier avant d’agir. OVH disposerait de la certification ISO/IEC 27001 qui garantit une sécurité et une protection optimales pour les données stockées dans ses data centers. Il est donc nécessaire de s’assurer que toutes les obligations liées à cette certification ont bien été respectées par OVH et /ou votre fournisseur. Notamment, la localisation des serveurs de secours pose questions puisqu’ils se situaient à proximité immédiate des serveurs principaux. Ils étaient donc soumis à des risques similaires en cas d’incendie.

Bon à savoir : notifier l’indisponibilité de vos données à la CNIL ? Dans le cas où les données sont indisponibles (pendant un certain temps) ou détruites, vous avez l’obligation de faire une notification à la CNIL dès lors que vous n’avez pas mis en place un PCA PRA (Plan de Continuité / Plan de Reprise d’Activité), ou que vous ne disposez pas d’une sauvegarde ou que l’incident engendre un risque pour les personnes.

Pour résumer la position de la CNIL,

• si vous êtes sous-traitant de données, il faut informer vos clients ;
• En tant que Responsable de traitements, vous avez l’obligation d’informer la CNIL (en principe dans les 72 heures de la constatation de l’incident) si cela s’avère nécessaire et notamment dans le cas où les données sont perdues ou que l’indisponibilité a été insuffisamment longue pour engendre un risque pour les personnes ;
• Si le risque est « élevé », le Responsable de traitement doit également informer les personnes concernées.

Vous pourrez par la suite ajouter des informations complémentaires à votre première notification. À noter que la CNIL attendra sans aucun doute la fin de l’enquête pour se positionner.

Quelles précautions prendre à l’avenir pour assurer la sécurité de ses données ?

L’incendie des data centers d’OVH a mis en lumière l’importance de protéger ses données et de s’assurer que les garanties contractuelles des sous-traitants informatiques et notamment en matière d’hébergement sont suffisantes. Le cloud demeure une solution de conservation fiable et sécurisée. Cela dit, les entreprises doivent rester maîtres de la protection de leurs données, et de leur stratégie en la matière. À cet égard, certaines bonnes pratiques doivent impérativement être mises en place au sein de votre entreprise:

• Définir les besoins de votre activité et les niveaux d’indisponibilité acceptables ;
• Vérifier le niveau de service proposé par l’hébergeur (existence et fréquence des sauvegardes notamment) ;
• Opter pour une sauvegarde complète en appliquant la règle 3-2-1 (disposer de 3 copies au moins de ses données, sur deux supports différents, dont une sauvegarde en local et une sauvegarde hors site) ;
• Sécuriser davantage, en collaboration avec votre hébergeur, les données les plus sensibles ;
• Veiller à ce que vos données primaires et vos données de sauvegardes soient bien séparées géographiquement.

L’externalisation de vos données nécessite un accompagnement de la part d’un avocat spécialisé en droit du numérique. Celui-ci pourra vous aider à évaluer le niveau de service proposé par votre hébergeur et à vérifier que le SLA proposé par ce dernier correspond bien à vos besoins.