Suite à l’incendie survenu dans le bâtiment principal du datacenter d’OVH situé à Strasbourg (Bas-Rhin) dans la nuit du 9 au 10 mars 2021, des milliers de clients ont perdu, temporairement ou définitivement, leurs données. Les conséquences sont pour certains désastreuses. Pour l’instant, l’heure est au sauvetage technique et OVH temporise avec des gestes commerciaux. La question des recours juridiques des clients touchés se posera sans doute dans un second temps. L’occasion de faire le point sur la responsabilité encourue par OVH.
Une responsabilité définie contractuellement
La responsabilité d’OVH en tant que prestataire technique vis-à-vis de ses clients est de nature contractuelle et n’est pas définie précisément par la loi. Les contours de la responsabilité d’OVH vont donc varier d’un contrat à l’autre, en fonction des options choisies par le client. Selon Me Eric Barbry, avocat en droit des nouvelles technologies et associé du cabinet Racine, "c’est en fonction du contrat signé que les clients vont savoir quelle est l’ampleur du désastre. Très schématiquement, il y a deux grands types de contrat chez les hébergeurs : soit un contrat d’hébergement simple, sans service associé, soit un contrat d’hébergement avec des services ajoutés (sauvegarde, plan de continuité ou de reprise d’activité – PCA/PRA, Disaster Recovery Plan - DRP, etc…)."
Les difficultés vont se poser pour les clients ayant conclu un contrat d’hébergement simple, sans service de sauvegarde associé, et qui sont le plus touchés. La question est de savoir si leur contrat d’hébergement simple implique une obligation a minima de sauvegarde de leurs données à la charge d’OVH, ou si elle est exclue du champ contractuel. Dans ce dernier cas, ils ne pourront être indemnisés au titre de la perte de données.
Pour Me Eric Barbry, la question de l’étendue de l’obligation d’OVH au titre de l’offre de base doit se poser : "est-ce que naturellement un contrat d’hébergement doit comporter une prestation de sauvegarde ? Quand un client n’a pas opté pour l’option supplémentaire de sauvegarde, est-ce qu’il est de la responsabilité de l’hébergeur de sauvegarder les données quoi qu’il en soit ? Aujourd’hui, personne ne peut répondre à cette question. OVH dit que ça n’est pas dans sa mission. En cas de recours, ce sera aux tribunaux de déterminer si l’hébergeur doit obligatoirement faire la sauvegarde des environnements qu’il héberge."
Modification de la politique d’OVHcloud en matière de sauvegarde des données
Le 16 mars, le fondateur et CEO d’OVH a reconnu, dans une vidéo postée sur son compte Twitter, que beaucoup de clients n’avaient pas compris l’offre d’OVH en matière d’hébergement et la nécessité de souscrire à une offre complémentaire de sauvegarde. Octave Klaba a alors annoncé une modification de la politique d’OVH en la matière, afin d’accroître la sécurité des données en offrant le plus haut niveau de sauvegarde de données à tous les clients, sans aucun surcoût. Cette annonce, destinée à rassurer la clientèle pour l’avenir, ne réglera cependant pas la problématique pour les clients qui n’avaient pas souscrit à l’offre de sauvegarde supplémentaire avant la survenance de l’incendie.
La sauvegarde des données sur un même datacenter, une faute contractuelle ?
Pour les clients qui avaient souscrit des options supplémentaires leur assurant la sauvegarde et la récupération des données, les dommages devraient être plus limités. Cependant, il semblerait qu’OVH ait sauvegardé certaines données dans le même datacenter que celui qui hébergeait initialement les données. Certains clients ayant souscrit l’option de sauvegarde auraient donc malgré tout perdu leurs données, du fait de cette localisation. Dans ce cas précis, selon Me Eric Barbry, "si cela est avéré, la faute contractuelle sera certainement constituée".
Plafonds de garantie et force majeure, les limites à la responsabilité d’OVH
Pour empêcher que sa responsabilité soit engagée, OVH pourrait tenter d’opposer aux clients l’exception de la force majeure, l’incendie constituant un accident industriel. Cependant, comme le souligne Me Eric Barbry, "le feu dans un datacenter, ça n’est pas imprévisible au regard de la nature même de ce type d’installation. Ici, le système de sécurité était manifestement mal dimensionné. A titre personnel, je pense que la force majeure ne pourrait pas être admise."
Même si les clients parviennent à faire engager la responsabilité contractuelle d’OVH et à écarter la force majeure, les indemnisations seront toutefois limitées par les plafonds de garantie prévus aux contrats, qui seront bien souvent totalement en deçà de la réalité du préjudice économique subi par le client. Dans ce cas, selon Me Eric Barbry, "le seul moyen pour le client de voir son préjudice pleinement indemnisé sera de tenter de démontrer la faute lourde d’OVH, seule de nature à empêcher l’application du plafond contractuel d’indemnisation."
Le rôle incertain de la Cnil
Pour Me Eric Barbry, "la perte de données à caractère personnel est constitutive d’une « violation de sécurité » au sens du RGPD. Les éditeurs de sites web dont les données hébergées ont été détruites devront déclarer cette perte auprès de la Cnil, c’est une obligation. Ce sont les éditeurs de site, en première ligne vis-à-vis de leurs clients, qui supporteront la responsabilité de la perte de données. La question va toutefois se poser de savoir si les responsables de traitements vont pouvoir reporter cette responsabilité sur OVH en tant que prestataire technique sous-traitant."
Pour l’heure, il est cependant difficile de savoir à quel point la Cnil va s’impliquer au vu de ces déclarations de violations de sécurité, et si elle ira jusqu’à prononcer des sanctions, en l’absence vraisemblable de tout élément intentionnel dans cet incident.
