Les failles de sécurité informatique sont un sujet important pour tous les acteurs de l'informatique et leurs clients. En effet, ces failles peuvent entraîner des conséquences dramatiques pour une entreprise utilisatrice d'un système informatique qui peut, notamment, avoir à faire face à une paralysie complète de son système d'information suite à une attaque virale exploitant ces trous de sécurité. De même, pour un prestataire, les conséquences de telles failles peuvent donner lieu à des coûts importants de résolution et, le cas échéant, de réparation des préjudices subis par ses clients. Sur un plan juridique, comment ces failles peuvent-elles être traitées ?

L'aspect contractuel
Dans l'hypothèse de découverte d'une faille, le premier réflexe, tant pour le client que le prestataire, est de se référer au contrat et en particulier au contrat de maintenance qui doit permettre au client d'exiger la résolution technique des failles et d'obtenir des dommages et intérêts du fait du préjudice éventuellement subi.

Une faille de sécurité, comme tout bogue, doit donc être corrigée par l'éditeur au titre de ses prestations de maintenance corrective et/ou évolutive. Il peut d'ailleurs être utile de la qualifier de défaut bloquant ou majeur dans le contrat. Lorsque le contrat est silencieux ou à l'expiration de celui-ci, le client devra alors faire appel aux mécanismes de droit commun de la responsabilité.

Les mécanismes de droit commun
Au titre de son obligation d'information, le prestataire informatique doit renseigner son client sur les caractéristiques et limites techniques de la solution informatique proposée, ainsi que le mettre en garde sur les difficultés susceptibles d'être rencontrées lors de l'installation ou de l'utilisation du logiciel.

En conséquence, le prestataire doit, dès qu'il en a connaissance et par tous moyens, informer spontanément ses clients de l'existence de failles de sécurité sur le logiciel qu'il édite et des moyens mis en œuvre pour y remédier (patchs, etc).

Le prestataire doit aussi être diligent. Au regard de l'état de l'art à l'époque de la diffusion d'une nouvelle version d'un produit, l'éditeur doit avoir effectué tous les tests nécessaires pour s'assurer qu'une faille n'existe pas.

Au-delà de ces obligations pesant sur tout éditeur, quels sont les fondements sur lesquels un utilisateur final pourrait agir ?

Le vice du consentement
Un client pourrait tenter d'alléguer qu'il y a eu vice du consentement, c'est-à-dire principalement erreur sur les qualités substantielles de la chose ou dol (articles 1110 et 1116 du Code civil) afin de demander l'annulation du contrat.

Néanmoins, le client devra à cette fin prouver, respectivement, que la faille de sécurité a engendré un dysfonctionnement sur la substance même du logiciel, l'erreur devant être déterminante de son consentement, ou que le prestataire a commis une manœuvre dolosive sans laquelle le client n'aurait pas contracté (par exemple, en ne mentionnant pas une information en connaissance de laquelle le client n'aurait pas contracté). Il convient, dans ces cas, de prouver que le prestataire connaissait, au moment de la conclusion du contrat, les failles de sécurité affectant son produit, ce qui est, en tout état de cause, très difficile à démontrer.

L'obligation de délivrance conforme
Un client peut invoquer plus pertinemment l'obligation de délivrance conforme (article 1604 du code civil), le défaut de conformité constituant tout défaut apparent au regard des spécifications convenues entre les parties ou de la documentation du progiciel.

En effet, qu'il s'agisse d'un logiciel spécifiquement développé pour les besoins de l'entreprise ou d'un progiciel, le prestataire est tenu à une délivrance conforme. La conformité s'appréciera donc en fonction du contrat, tout particulièrement pour un logiciel spécifique.

Encore faut-il que le contrat ait prévu clairement ce que le client attendait dudit logiciel. A ce titre, peut-on considérer qu'une recette effectuée sans réserve sur un produit par un client exclut définitivement la possibilité pour celui-ci d'agir sur ce fondement en cas de découverte d'une faille de sécurité ?

Pour fixer les modalités de réparation du préjudice résultant du défaut de conformité, les juges du fond disposent d'un pouvoir souverain d'appréciation. Dans l'hypothèse d'une faille de sécurité, une action en résolution du contrat peut être envisagée lorsque le défaut de conformité concerne un élément en considération duquel la vente a été conclue et lorsque ledit défaut a une incidence sur l'utilisation du produit.

L'action en garantie des vices cachés
Le client dispose également de l'action en garantie des vices cachés, garantie contre tous les défauts cachés de la chose vendue. Cette action s'applique aux contrats de vente (article 1641 du code civil) et non aux contrats d'entreprise. Or, en matière de logiciels, la doctrine reste partagée sur la possibilité d'invoquer cette garantie.

Quant à la jurisprudence, elle est divisée et non constante en la matière. Elle semble admettre l'application de la garantie des vices cachés lorsque le logiciel est en rapport avec un élément matériel. Ainsi, la garantie pourrait être invoquée par un utilisateur final lorsque la faille de sécurité du logiciel affecte l'ensemble du système informatique qui deviendrait alors indisponible. Le client pourrait alors demander la résolution du problème technique, ainsi qu'éventuellement réparation du préjudice subi, voire la résolution du contrat.

A ce titre, le client devra apporter la preuve du caractère occulte du vice et que ce dernier rend la chose impropre à l'usage auquel on la destine ou diminue tellement cet usage, qu'il ne l'aurait pas acquis ou n'en aurait donné qu'un moindre prix s'il les avait connus. La détermination contractuelle de l'usage auquel le client destine le logiciel est donc primordiale. A défaut, le Tribunal prendra en considération l'usage normal et habituel d'un tel logiciel. L'utilisateur final devra agir dans un délai de deux ans à compter de la découverte du vice.

Les nouvelles dispositions
Notons que les consommateurs disposent, depuis l'ordonnance du 17 février 2005, d'une nouvelle action en garantie de conformité, couvrant les deux actions précédemment évoquées, en cas de défaut de conformité du bien. Ils doivent agir dans un délai de deux ans à compter de la délivrance du bien et peuvent choisir entre le remplacement ou la réparation du bien. Ils peuvent également subsidiairement demander la résolution du contrat ou la réduction du prix. Cette action ne prive pas le consommateur du droit d'agir sur le fondement des actions précédemment évoquées et notamment l'action en garantie des vices cachés.

Enfin, tout produit et service devant présenter la sécurité à laquelle on peut légitimement s'attendre (article L. 221-1 du Code de la Consommation), une action sur le fondement de l'obligation de sécurité engageant la responsabilité du prestataire du fait des produits défectueux pourrait être éventuellement envisagée.

En effet, toute personne ayant subi des dommages du fait de la défaillance d'un système informatique pourrait tenter de rechercher directement la responsabilité du fournisseur du système. Toutefois, l'application de ces dispositions aux logiciels ne vise que des situations limitées, dans la mesure où elles ne permettent la réparation que des atteintes physiques à la personne ou des dommages matériels causés aux biens par le logiciel.

En conclusion, mieux vaut un bon contrat qu'une bataille judiciaire qui, étonnamment, en matière de faille de sécurité, n'a donné lieu qu'à peu de jurisprudence.

Accueil | Haut de page