Le prestataire Saas infecte son client d’un virus informatique. Le cas n’est pas théorique. Le prestataire peut il, dans cette hypothèse, voir sa responsabilité juridique engagée par son client ?Comme toujours, dans ce genre de situations, il convient de dissocier la responsabilité pénale de la responsabilité civile. Pour mémoire, la responsabilité pénale est celle qui résulte d’un fait constituant un trouble à l’ordre public. Le responsable est alors poursuivi par l’Etat. La responsabilité civile est celle qui consiste à réparer le dommage subi par la victime d’une faute. Fautes civiles et pénales ne se confondent mais une faute civile peut être pénale.
Diffuser un virus informatique, même si on ne l’a pas soi même créé, est bien un délit pénal (une faute pénale). C’est en effet la fameuse Loi pour la Confiance dans l’Economique Numérique du 21 Juin 2004 qui a créé le délit. L’article L 323-3-1 du code pénal punie de 2 à 5 ans de prison et de 30.000 à 75.000 euros d’amende « Le fait, sans motif légitime (…) de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions ». En clair, le simple fait de mettre à disposition une infrastructure Saas qui transfert un virus chez son utilisateur pourrait, dans certains cas, être puni pénalement en application de ce texte. Cette disposition avait été très critiquée lors de son vote, notamment par le monde de la recherche sur les virus informatiques qui manipule du virus au quotidien pour les étudier et les contrer, et pourrait dès lors les diffuser. Le législateur avait alors ajouté à son texte d’origine la formule « sans motif légitime » qui est censé exclure le monde de la recherche. Bien évidemment, ce délit pénal requiert l’intention (élément intentionnel). Un prestataire pourra toujours faire valoir son défaut d’intention pour échapper au texte. Mais il pourrait y avoir des cas limites qui prêtent à discussion. Que dire du prestataire qui a connaissance de virus présents sur ses machines et ne prend pas les mesures minimales techniques requises pour les éradiquer, ni n’alerte son ou ses clients qui se trouvent alors infectés et subissent un préjudice ? Le prestataire a tout intérêt à prendre toutes les mesures techniques pour contrer ces attaques et à conserver trace de ses diligences. Il devrait ainsi éviter la sanction pénale.
S’agissant de la responsabilité civile, la question est plus délicate. Le client victime d’un virus transmis par son prestataire et qui subit un préjudice, pourrait être tenté de se retourner contre celui-ci pour lui demander réparation. Le prestataire aura tout intérêt pour limiter ses risques à intégrer au contrat un certain nombre de dispositions minimales. D’une part, il devra en ce domaine intégrer au contrat une obligation de moyens à sa charge. Il devra donc justifier qu’il a pris, là encore, les « moyens », c’est-à-dire des mesures techniques préventives pour contrer la menace et que ces mesures ont été contournées. Cependant, il faut bien reconnaître que la jurisprudence a de plus en plus tendance à astreindre le professionnel à une obligation de résultat en matière de sécurité et il n’est donc pas certain que les juges suivent les dispositions du contrat. D’autre part, il devra imposer à son client d’intégrer au contrat une obligation de moyens en ce domaine lui enjoignant de prendre également de son côté et sur ses propres infrastructures, les « précautions utiles » dans ce domaine.