Par Stéphane Astier et Hugues Payen
Dans un contexte marqué par une augmentation importante des litiges informatiques, le contrat apparait comme une arme de dissuasion au service de la réussite du projet informatique.
A ce titre comme dans bon nombre de situations, le droit s’impose comme un outil indispensable de gestion des difficultés avec une priorité : l’anticipation.
Dans ce contexte, la rédaction du contrat informatique et plus particulièrement de la clause de responsabilité, génère d’abord des discussions concernant le niveau d’obligation (obligation de moyen, moyen renforcé ou de résultat), le périmètre de la responsabilité (la qualification de dommages indirects).
Enfin, la négociation du plafond de responsabilité constitue un point clé dans l’hypothèse d’une défaillance ultérieure du prestataire informatique.
Si dans la pratique cette clause fait référence au montant des prestations payées par le client, la jurisprudence récente[1] invite à une vigilance accrue dans la détermination du plafond de responsabilité, afin d’éviter tout déséquilibre contractuel et que la clause puisse être déclarée non écrite.
La définition précise des différents niveaux d’obligation : résultat/moyen/moyen renforcé
La définition du niveau des obligations du prestataire aura des conséquences sur les modalités de mise en œuvre de sa responsabilité.
- En effet, d’un côté l’obligation de résultat vise un résultat précis dont le débiteur de l’obligation est tenu d’atteindre, tels que classiquement : le respect des niveaux de services et des délais contractuels, l’obligation de délivrance conforme de la solution au cahier des charges.
A ce titre, la non-atteinte de ce résultat suffit à caractériser une faute que le cocontractant pourra invoquer pour engager la responsabilité du prestataire.
- De l’autre, dans le cadre d’une obligation de moyen celui qui s’oblige est seulement tenu de mettre en œuvre tous les moyens nécessaires en vue d’atteindre un résultat, tels que : le devoir de conseil, d’information, de collaboration, de recommandation ou de mise en garde à l’égard du Client.
Dans ce contexte, le cocontractant ne peut mettre en jeu la responsabilité du prestataire qu’à condition de démontrer un manquement de celui-ci.
- Enfin, l’obligation de moyen renforcé permet de renforcer la responsabilité du prestataire. En effet, s'il n'arrive pas à atteindre le résultat escompté, le prestataire doit prouver qu'il n'a commis aucune faute pour éviter que sa responsabilité ne soit engagée.
Pour autant, la jurisprudence tend à analyser, in concreto, la nature des prestations. Les juges se prononceront dès lors au regard du projet et des interventions respectives des Parties.
Ainsi, par exemples certaines obligations seront par nature qualifiées d’obligations de moyens, notamment lorsqu’il s’agit de prestations réalisées selon les méthodologies dites Agile, dont le choix implique « une construction collaborative du projet avec le client »[2]. Une attention toute particulière devra par conséquent être portée quant aux méthodes de conduite de projet adoptées, leur dénomination et modalités de mise en œuvre. Cela aura en effet une incidence forte sur l’équilibre contractuel et le niveau d’engagement du prestataire comme du client.
La définition du périmètre de responsabilité, l’exclusion des dommages indirects
Si les dommages indirects sont par principe exclus de la responsabilité contractuelle[3], un certain nombre de contrats informatiques comportent une exclusion de dommages considérés comme indirects par nature, créant ainsi une source d’insécurité juridique importante.
Par exemple, qualifier la perte de donnée de préjudice indirect par nature et l’exclure par principe du régime de responsabilité pose quelques questions de cohérence et d’équilibre dès lors que la perte de données en cause peut résulter directement d’une faute commise par le prestataire (non-respect de son obligation de sécurité) et que la prestation informatique a précisément pour objet l’hébergement et la sécurisation des données.
C’est, du reste, la raison pour laquelle tendent à se généraliser des accords sur la protection des données rédigés en application de l’article 28 du RGPD qui visent à déroger au contrat général en réintégrant la perte de données dans le périmètre des préjudices indemnisables. Il en va de même s’agissant des avenants contractuels dédiés à l’encadrement des relations entre les parties en cas d’incident cyber.
La détermination des plafonds d’indemnisation
La détermination à l’avance du plafond d’indemnisation en cas de manquement contractuel constitue l’un des enjeux majeurs des négociations contractuelles.
D’un côté le prestataire refusera de s’engager au-delà d’un plafond établi en cohérence avec sa couverture assurantielle ou pour des préjudices qui ne sont pas couverts par son contrat d’assurance civile professionnel, au risque de devenir son propre assureur.
D’un autre côté, le client doit s’assurer d’un plafond en cohérence avec le risque induit par les prestations attachées au contrat.
Une analyse juridique permettant d’évaluer ce risque est à ce titre déterminante.
Bien que les parties soient libres quant à la détermination du plafond d’indemnisation, le caractère dérisoire du montant prévu sera susceptible d’impacter la validité de la clause limitative de responsabilité qui pourra le cas échéant être réputée non écrite[4] dans le cadre d’un litige.
Dans ce contexte les arrêts rendus par la Cour d’appel de Versailles le 16 décembre 2021 et par la Cour d’appel de Montpellier le 26 mai 2021 illustrent l’appréciation du caractère dérisoire du plafond de responsabilité par les juges, notamment au regard des faits de l’espèce. Les faits de ces deux arrêts étaient similaires : les sociétés clientes contestaient chacune la validité de la clause limitative de responsabilité au profit de leur prestataire, prévoyant un plafond d’indemnisation égal au montant effectivement payé par le client dans le cadre du contrat. Pour autant, bien que la détermination du plafond soit identique, la Cour d’appel de Versailles a estimé que la clause n’était pas dérisoire et ne vidait pas l’engagement du prestataire de sa substance alors que, dans la seconde affaire, la Cour d’appel de Montpellier a retenu l’inverse et l’a déclaré non écrite. En effet, le prix payé par la société cliente au moment de leur litige était de 341.920 €, dans la première affaire et de 2.700 € dans la seconde. Cette dernière a ainsi pu être indemnisée de son préjudice par un montant supérieur à celui prévu par la clause de responsabilité.
Ces deux décisions rappellent l’importance de mener une analyse juridique de risque préalable à la contractualisation et à la détermination du plafond de responsabilité, en tenant compte de l’ensemble des éléments liées aux prestations envisagées.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, mais aussi en matière de droit des contrats. Si vous souhaitez obtenir une assistance dans la rédaction de vos contrats commerciaux, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.
Pour plus d’informations ou des demandes de rendez-vous, contactez-nous ici.
[1] CA Versailles, 16 décembre 2021, n° 20/00467 ; CA Montpellier, 26 mai 2021, n° 18/05776.
[2] Civ.2ème, 19 novembre 2018, n°17/03030
