Les clauses de responsabilité et d'assurance ne font pas toujours bon ménage

Les contrats informatiques prévoient de faire supporter une responsabilité aux prestataires en cas de dysfonctionnement préjudiciable aux clients. Un véritable enjeu pour les deux parties.

Les contrats de prestations informatiques comprennent classiquement deux types de clauses : la clause de responsabilité et la clause d'assurance.

La clause de responsabilité fait l'objet d'une négociation dont les enjeux sont connus : le client veut que le prestataire supporte une responsabilité la plus étendue possible en cas de dysfonctionnement lui ayant fait subir un préjudice. Le prestataire cherche quant à lui à limiter au maximum cette responsabilité, voire à s'en exonérer totalement.

De cette bataille tout le monde sort fatigué, et la clause d'assurance (lorsqu'elle existe) se réduit à une clause de style par laquelle le client exige de son prestataire qu'il ait souscrit une assurance de responsabilité civile professionnelle et soit en mesure d'en produire l'attestation.

Il est rare que les négociateurs du contrat prennent le soin de lire ladite police, et notamment ses clauses d'exclusion de garantie.


"Il existe sur le marché plusieurs offres d'assurance civile professionnelle dédiées aux acteurs des technologies de l'information"


Il existe en effet maintenant sur le marché plusieurs offres d'assurance civile professionnelle dédiées aux acteurs des technologies de l'information. Celles-ci comprennent toutes des dispositions qui excluent la garantie de l'assurance dès lors que l'assuré, c'est-à-dire le prestataire, n'a pas rempli pas certaines conditions lors de l'exécution du projet en cause.

A titre d'exemple, la garantie est exclue, dans certaines polices, dans les cas suivants :
- Inexistence d'un référentiel précis de conformité;
- Inadéquation des moyens humains ou matériels mis en œuvre par le prestataire;
- Méconnaissance délibérée des règles de l'art;
- Atteinte à des brevets de tiers;
- Violation de dispositions légales impératives;
- Perte de donnée en l'absence de sauvegarde.

La liste n'est pas exhaustive, et encore moins représentative de toutes les polices.


"Toute inexécution du prestataire risque de lui être reprochée par son client, mais aussi de ne pas faire l'objet d'une couverture par son assurance civile professionnelle"


Mais d'une police à l'autre, l'on retrouve la même idée : toute inexécution du prestataire risque non seulement de lui être reprochée par son client, mais également de ne pas faire l'objet d'une couverture par son assurance civile professionnelle.

Il s'en infère plusieurs conséquences.

La première est que les prestataires doivent très bien connaître les limites de leurs assurances civiles professionnelles. En pratique, cela n'est presque jamais le cas, car les polices d'assurance sont souscrites par des acteurs de l'entreprise qui ne sont pas en contact avec les opérationnels.

La seconde est que la négociation des clauses de responsabilité devrait inclure une réflexion sur l'assurance et là aussi, en pratique, ce n'est jamais le cas. Les éléments de cette réflexion sont les suivants : le prestataire doit engager sa responsabilité en cas de dysfonctionnement, sinon cela revient à vider le contrat de son sens. C'est d'ailleurs le message de la jurisprudence dite "Chronopost" et ses suites.

Mais une fois que l'on a dit cela, encore faut-il trouver une limite à cette responsabilité, et que cette limite soit cohérente avec la surface financière du prestataire. Car même s'il est satisfaisant d'obtenir de la part du prestataire un montant de réparation très élevé en cas de dysfonctionnement, on peut s'interroger sur la pertinence de cette victoire si, le moment venu, l'assureur du prestataire fait jouer la clause d'exclusion de garantie et que le prestataire ne peut supporter l'indemnité de réparation.


"Il apparaît une ligne de partage entre la réparation due par le prestataire et la part de préjudice que le client doit accepter"


Nous considérons, pour notre part, que cette négociation devrait être non pas le terrain d'exercice d'un rapport de force entre les parties, mais bien plutôt une analyse objective du risque et des mécanismes de réparation.

En cas de défaillance totale du prestataire, quel est le risque du client ? Déjà, un premier élément doit rentrer en ligne de compte : il est normal et indispensable que le prestataire supporte une part du dommage. Mais il n'est pas nécessairement logique qu'il supporte tout le dommage.

Car si le client avait fait lui-même plutôt que de faire faire, il aurait également supporté un risque. Il apparaît une première ligne de partage entre la réparation due par le prestataire et la part de préjudice que le client doit accepter, et/ou faire supporter par son assurance dommage.

Le second élément qui doit rentrer en ligne de compte est la capacité du prestataire à supporter la réparation du préjudice maximum qu pourrait être mis à sa charge. Certains prestataires - les plus gros - sont leurs propres assureurs. D'autres choisissent la voie de l'assurance.

Et, dès lors, tant le client que le prestataire doivent prendre connaissance de sa police car, si le risque d'exclusion de garantie est grand, le client a intérêt à le savoir. Sinon il enverra son prestataire ad patres au premier faux pas, ce qui n'est pas nécessairement son intérêt.