Exclusif : 103 sociétés réclament plus de 9 millions d'euros à OVH
C'est désormais 103 entreprises qui ont rejoint le recours collectif initié suite à l'incendie des datacenters d'OVHCloud à Strasbourg en mars 2021. Portée par le cabinet d'avocats parisien Ziegler & Associés, la class action reproche à OVH d'avoir proposé à ses clients impactés la même indemnisation, représentant environ 900 euros, sans prendre en compte le chiffrage du préjudice individuel consécutif à la perte de leurs données. "Sur 102 organisations engagées (la 103e n'ayant pas encore été évaluée, ndlr), l'estimation du préjudice total que nous avons réalisée s'élève à 9,2 millions d'euros", confie au JDN Jocelyn Ziegler, fondateur de Ziegler & Associés.
Une cinquantaine d'autres acteurs ont contacté le cabinet en vue de rallier le mouvement
Un groupe du Cac 40 et trois sociétés de 10 000 à 15 000 salariés ont par ailleurs décidé de faire appel au cabinet pour initier des recours individuels de manière à avoir plus de poids. Une nouvelle information qui change la dimension de l'affaire.
Parmi les acteurs ayant rejoint le recours collectif figurent six entreprises de plus de 500 salariés. Auxquelles s'ajoutent six sociétés étrangères, dont trois originaires d'autres continents que l'Europe. Une cinquantaine d'autres acteurs ont en outre contacté le cabinet en vue de rallier le mouvement, assure le cabinet. Il s'agit en vaste majorité d'administrations centrales ou de grandes entreprises de plus de 1 000 salariés, qui doivent d'abord consulter leur conseil d'administration avant d'entamer la démarche.
En phase avec sa feuille de route dévoilée en décembre, Ziegler & Associés a donc commencé à estimer le préjudice de chaque entreprise engagée dans la class action. Objectif : établir un montant d'indemnisation tenant compte, au cas par cas, des pertes financières et des conséquences de la panne sur l'image de marque. La prochaine étape ? L'envoi d'une lettre de mise en demeure à OVHCloud fin février. Objectif : donner le coup d'envoi d'une phase de négociation à l'amiable qui restera confidentielle. Le cabinet s'y engage. "Si dans le mois qui suit, la négociation n'a pas abouti, nous saisirons le tribunal de commerce", affirme Jocelyn Ziegler.
"L'objectif est de démontrer que la situation d'OVH n'est plus tenable, et qu'il devra passer par une discussion à l'amiable s'il ne veut pas d'un procès perdu d'avance"
Pour rappel, Ziegler & Associés avait récupéré l'argumentaire juridique d'OVH auprès d'une des sociétés ayant rejoint la class action. Une entreprise qui avait tenté individuellement d'obtenir réparation. A partir de là, le cabinet a planché sur ses contre-arguments. Dans sa lettre d'assignation à OVH, Ziegler & Associés ajoutera d'autres arguments, que nous avons rassemblés dans le tableau ci-dessous. "L'objectif est de démontrer que la situation d'OVH n'est plus tenable, et qu'il devra passer par une discussion à l'amiable s'il ne veut pas d'un procès perdu d'avance", martèle Maître Ziegler. "Les organisations qui ont rejoint le recours collectif en ont marre de la réaction d'OVH. La plupart ont reçu des courriers dans lesquels le groupe indique se désengager de sa responsabilité ou se limiter à une clause limitative de responsabilité. Elles demandent qu'OVH reconnaisse le préjudice et les indemnisent."
"OVHCloud a engagé des moyens d'accompagnement rapidement pour aider au mieux les clients impactés par l'incident"
Contacté par le JDN, OVHCloud a réagi à cette nouvelle information : "Pour l'heure et dans la mesure où le dossier est encore à l'état de projet, il nous est impossible de commenter avec pertinence les griefs portés par le cabinet Ziegler", indique un porte-parole du groupe avant de rappeler : "OVHCloud a engagé des moyens d'accompagnement rapidement pour aider au mieux les clients impactés par l'incident. Des gestes commerciaux ont ainsi été accordés pour l'ensemble des services impactés et nous continuons d'échanger régulièrement avec ceux qui ont été dans des situations particulièrement difficiles, ce qui explique que peu de clients aient choisi la voie judiciaire. Nous continuons de suivre attentivement ce projet et restons déterminés à accompagner l'ensemble de nos clients dans les meilleures conditions possibles. Compte tenu de la variété des situations rencontrées par les clients impactés, nous attachons une attention particulière à chaque cas individuel porté à notre connaissance."
| Argument | Détail |
|---|---|
| Les data centers Strasbourg 1 et Strasbourg 4 devaient être fermés | La décision de fermer les datacenters SBG1 et SBG4 avait été prise en novembre 2017 suite à une panne électrique qui avait engendré une coupure de courant complète sur SBG1, SBG2 et SBG4. Elle provenait d'un dysfonctionnement dans le système de bascule vers les groupes électrogènes de secours dû à la défaillance d'un automate. Dans son rapport d'incident, Octave Klaba mentionnait alors la volonté de fermer de SBG1 et SBG4. (lire l'article : Six choses qu'OVH ne dit pas sur l'incendie de Strasbourg) |
| Le datacenter SBG4 n'était pas indépendant énergétiquement | Suite à l'incendie, OVH a annoncé le déploiement "d'un nouveau câble électrique pour connecter SBG3 avec SBG4" en vue de réalimenter ce dernier en énergie. Conclusion : SBG4 ne disposait pas de sa propre ligne. Il devait dépendre en électricité d'un des deux centres de données touchés, SBG1 ou SBG2. Cette architecture aurait dû être abandonnée au profit de réseaux électriques indépendants par datacenter. Un engagement pris par le groupe dans son rapport d'incident de 2017. (lire l'article : Six choses qu'OVH ne dit pas sur l'incendie de Strasbourg) |
| Un manquement au règlement de la CNIL | Le règlement de la CNIL prévoit au Chapitre IV, Article 32 que le responsable du traitement ou le sous-traitant doit mettre en œuvre "des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique". L'Article 34 prévoit aussi que "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées." |
| Un manquement au RGPD | L'article 32 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) stipule que "le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins […] des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.". |
| Des manquements à la législation sur les Etablissements relevant du Code du travail | Pour un datacenter situé sur un site classé ERP (Etablissements relevant du Code du travail) ou IGH (Immeubles de Grande Hauteur), l'obligation minimale pour une installation automatique d'incendie est de respecter les normes existantes ou les règles techniques définies dans les instructions particulières des référentiels assureurs (exemple : NFPA, APSAD, FM Global). Dans un bâtiment classé ERP, l'article R4227-30 du Code du travail indique : "Si nécessaires, l'établissement est équipé de robinets d'incendie armés, de colonnes sèches, de colonnes humides, d'installations fixes d'extinction automatique d'incendie ou d'installations de détection automatique d'incendie." |
| Argument d'OVH | Contre-argument de Ziegler & Associés |
|---|---|
| "Aucune faute n'est imputable à OVH dans le cadre de l'exécution de ses obligations de sécurité." | "OVH a l'obligation de mettre en place tous les moyens nécessaires pour faire face à une éventuelle défaillance de sécurité, par exemple un incendie. Or, ses datacenters de Strasbourg n'étaient pas équipés de système d'extinction incendie automatique. De plus pour certaines entreprises ayant pris l'option backup, les sauvegardes étaient réalisées dans le même centre de données. Elles ont de facto tout perdu." |
| OVH invoque un cas de force majeure. | "Un cas de force majeure implique trois conditions cumulatives : l'imprévisibilité de l'événement, son caractère irrésistible, et son extériorité (c'est-à-dire le fait qu'il soit extérieur à la volonté du fournisseur). OVH ne remplit ici que la troisième condition." |
| "Les conditions générales souscrites énoncent une clause limitative de responsabilité." | "Dès lors que les clauses limitatives engendrent un déséquilibre significatif entre les partis, le juge peut considérer ces clauses comme non-valables. De nombreuses jurisprudences vont dans ce sens. Avec cet argument, OVH admet qu'il n'a aucune responsabilité générale dans la sécurité des données. Il se dédouane de son propre objet qui est d'héberger des données de manière sécurisée."* |
| "Selon les conditions générales de vente, la responsabilité d'OVH exclut les dommages indirects." | "Là encore, le juge peut considérer, et la jurisprudence le montre, ces clauses comme non-valables, notamment du fait de la disproportion existante entre les dommages directs et indirects. Ces derniers pouvant engendrer un surcroît de coût pour récupérer ou reconstituer les données, un impact sur le chiffre d'affaires, voire sur l'image de marque." |
* L'article 1171 du Code civil stipule que dans le cadre d'un contrat d'adhésion, "toute clause non négociable, déterminée à l'avance par l'une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite."