La responsabilité d’OVH retenue vis-à-vis d’un client victime de l’incendie de son data center

Voici une décision du Tribunal de commerce de Lille qui devrait faire du bruit : par un jugement du 26 janvier dernier, les juges lillois ont considéré qu’OVH avait manqué à ses obligations contractuelles, en particulier de sauvegarde informatique, à telle enseigne qu’elle devait indemniser un client ayant perdu ses données dans le cadre de l’incendie ayant ravagé son data center.

L’affaire opposait l’hébergeur à un client, à la tête d’un réseau de franchise, qui était titulaire d’un contrat prévoyant à la fois l’hébergement de son site internet et ceux de ses franchisés, ainsi que, précision importante, une sauvegarde automatique des données. Toutes ses données ayant été indisponibles pendant plusieurs jours et même définitivement perdues à la suite de l’incendie de mars 2021, ce client, la société France Bati Courtage, avait assigné OVH pour tenter d’obtenir l’indemnisation de son préjudice.

Cette affaire est loin d’être isolée, l’incendie ayant causé la perte de données pour une multitude de clients d’OVH et ayant donné lieu à une multitude de réclamations. Mais, contrairement à certains précédents ayant exclu la responsabilité de l’hébergeur, cette fois le Tribunal de commerce de Lille rend une décision selon laquelle OVH a bel et bien compris une faute dans l’exécution du contrat.

Le jugement retient tout d’abord que les conditions contractuelles d’OVH constitue un contrat d’adhésion et que, dès lors, ses stipulations doivent s’interpréter en faveur du client. Précisément, les juges estiment que la clause du contrat prévoyant que la sauvegarde automatique devait être réalisée dans un endroit « physiquement isolé » de l’infrastructure hébergeant les données de production, devait s’entendre comme créant pour OVH une obligation de placer ces données dans un espace de stockage distinct du serveur principal.

Selon le jugement,

« stocker les données au même endroit que le serveur principal, et a fortiori, de conserver toutes les copies de sauvegarde au même endroit ne permet pas de mettre à l'abri les données, ne respecte par l'état de l'art de la sauvegarde et ne permet pas d'atteindre l'objectif fixé par le contrat. »

OVH a donc bien commis une faute vis-à-vis de ce client. Et les juges estiment qu’OVH ne peut pas se retrancher derrières les clauses limitatives ou même exonératoires de responsabilité de son contrat. En effet, la clause excluant la responsabilité d’OVH en cas de force majeure était rédigée d’une manière tellement large que, selon les juges, elle vidait de toute substance l’obligation d’OVH :

« avec une telle clause, la SAS OVH vide le contrat de sa principale obligation et se libère de ses engagements dans des circonstances où justement ils sont nécessaires. »

Cette clause devait donc être réputée non écrite.

De même, la clause prévoyant un plafond d’indemnisation limité au montant des sommes payées à OVH pendant les 6 mois précédant l’incident est réputée non écrite au motif qu’elle crée un déséquilibre significatif entre les droits et obligations des parties :

« la clause de limitation de responsabilité établie par la SAS OVH octroie un avantage injustifié à celle-ci en absence de contrepartie pour le client. Cette clause crée une véritable asymétrie entre les obligations de chacune des parties. En définitive, cette clause transfère le risque sur l'autre partie de manière injustifiée et sans contrepartie pour cette dernière. »

OVH était donc tenue d’indemniser son client à hauteur du préjudice subi. Et le jugement de passer en revue l’ensemble des chefs de préjudice invoqués par la société France Bati Courtage, pour retenir une indemnisation au titre de la perte des données (« perte d’un actif incorporel »), des frais exposés par la société pour reconstituer les données perdues (au vu des factures réglées), et enfin du préjudice d’image.

Cette décision est très importante et pourrait ouvrir la voie à d’autres demandes d’indemnisation. Il contient toutefois de relever qu’elle concerne le cas d’un client ayant souscrit à l’option de sauvegarde automatique, qui était présentée par OVH comme un moyen efficace de sécuriser ses données.