Le tribunal de commerce de Paris, statuant le 3 septembre 2025, examine les conséquences d’un piratage informatique survenu en avril 2023. Une société de soustraitance informatique avait installé un serveur de test pour le compte de son cliente. Une faille de sécurité sur ce serveur permit à des pirates de passer des appels téléphoniques frauduleux. La cliente engage la responsabilité contractuelle de son prestataire pour couvrir le préjudice financier subi. Le tribunal retient la faute contractuelle du prestataire et le condamne à indemniser intégralement le préjudice avéré.
La caractérisation d’une faute contractuelle par omission
L’obligation de sécurité constitue le cœur du contrat liant les parties. Le contrat définissait précisément les prestations confiées au prestataire informatique. Il devait assurer « la compliance et la sécurisation de la plateforme », ce qui impliquait le respect de cette obligation lors de l’installation d’un nouveau serveur. Le prestataire était intégré à l’équipe technique de la cliente en occupant un rôle de DevOps. Cette intégration confirme son rôle central dans la définition et l’application de la politique de sécurité. La mission incluait donc une obligation de moyens renforcée en matière de sécurisation des infrastructures.
L’aveu circonstancié du prestataire établit incontestablement la faute. Le prestataire a reconnu qu’il n’avait pas correctement assuré la sécurisation du serveur installé par ses soins. Il a précisé les circonstances techniques de son omission dans une déclaration écrite. « C’est lors de cette installation que j’ai oublié de filtrer par adresse IP sur le protocole TCP, ce qui a ouvert une brèche exploitée par les pirates ». Cet aveu détaillé, corroboré par un rapport d’incident conjoint, démontre le manquement à l’obligation contractuelle de sécurité. La jurisprudence confirme cette approche en retenant la faute dès lors que le prestataire reconnaît son rôle et son erreur. « Attendu que FABRIQUE IT a reconnu qu’elle n’avait pas correctement assuré la sécurisation du serveur installé par ses soins, mais également qu’elle s’était chargée de la sécurisation de ce serveur ; Le tribunal dira que la faute contractuelle de FABRIQUE IT est démontrée ». Cette décision renforce la portée des obligations de sécurité inhérentes aux contrats de services informatiques.
La réparation intégrale d’un préjudice certain et direct
Le préjudice réside dans le paiement forcé de communications frauduleuses. La cliente a dû régler à son opérateur une facture anormale correspondant aux appels passés par les pirates. La facturation distingue clairement l’usage frauduleux de la clé de test défectueuse. « APIKEY cac819bb-V01 : 84,166.00 €. (non opérationnelle ; exclusivement dédiée à des tests) ». Le montant très élevé et soudain de cette facture, comparé aux factures habituelles, en démontre le caractère anormal et préjudiciable. La production d’un justificatif de paiement atteste de la réalité de la dépense subie.
Le lien de causalité est établi entre la faille de sécurité et le préjudice financier. Le tribunal constate que l’intrusion frauduleuse a été rendue possible par l’utilisation de la faille de sécurité imputable au prestataire. Les appels frauduleux ont été passés via la clé de test dont la sécurisation était défaillante. « Attendu qu’il est démontré que l’attaquant a utilisé le port qui avait été laissé ouvert par FABRIQUE IT pour s’introduire sur le serveur ». La condamnation couvre l’intégralité du montant de la facture litigieuse, après défalcation de la TVA non applicable. Cette solution assure une réparation complète sans enrichissement sans cause de la victime. Elle consacre le principe de la réparation intégrale pour les préjudices directs et certains résultant d’une cyberattaque.