Victimes de rançongiciels : quel préjudice indemnisable ?

Victimes de rançongiciels : quel préjudice indemnisable ?

Par Stéphane Astier et Jessica Moraly

Dans un arrêt du 30 juin 2021, la Cour d’appel de Versailles a considéré que le préjudice d’affection n’est pas réparable pour une personne morale. Dans cette affaire concernant une société victime de rançongiciel, les magistrats ont rappelé que la réparation du préjudice moral suppose, pour une personne morale, de « démontrer la dégradation concrète de sa réputation ou de son image auprès de ses clients ».

Cette décision nous permet de revenir sur les règles d’indemnisation applicables lorsqu’une entreprise est victime d’une attaque informatique.

La nécessaire justification du préjudice financier invoqué en cas de cyberattaque

En matière de cyber attaque, l’entreprise victime peut traditionnellement invoquer plusieurs chefs de préjudice qui se découpent en (i) préjudice financier[1], (ii) préjudice moral[2] et (iii) préjudice matériel[3].

Dans l’affaire soumise à la Cour d’appel de Versailles les faits étaient les suivants :

Un ancien salarié d’une société a, avant son licenciement, mis en place un programme lui ayant permis d’extraire les données issues des serveurs de messagerie de ladite société. Ce même salarié s’est ensuite rendu auteur de rançongiciel auprès de son ex employeur par l’envoi d’un courriel « anonyme » dans lequel il indiquait être en possession de données confidentielles de l’entreprise. Des exemples précis étaient données dans ce courriel qui contenait en outre des menaces de révéler aux clients, partenaires, employés et concurrents de la société si celle-ci ne lui remettait pas un million d’euros sur différents comptes BITCOINS.

En première instance, le tribunal correctionnel de Nanterre avait condamné l’auteur des faits à payer à la société victime la somme de 325 930,59 euros, décomposée comme suit :

  • 315 930 euros au titre du préjudice financier pour le remboursement des frais et honoraires visant la communication de crise, les diligences liées à la procédure auprès de la CNIL, les frais liés à la recherche de preuves techniques, mais également les honoraires et frais juridiques et de management ;
  • 10 000 euros au titre du préjudice moral;
  • 2 000 euros au titre d’une indemnité procédurale.

Le préjudice financier peut en effet couvrir, selon les cas, :

  • Les gains manqués affectent l’exploitation de l’entreprise : ils peuvent concerner la privation ou le défaut de trésorerie [4], la rupture d’approvisionnement, etc. ;
  • La perte de chance de réaliser un gain peut notamment être invoquée lorsque l’activité est mise à l’arrêt ou lorsque l’entreprise a perdu un contrat [5];
  • Le surcoût[6] peut être invoqué lors d’un dysfonctionnement de l’entreprise.

Un contrôle strict est effectué sur les justificatifs fournis par la victime. Il est par conséquent indispensable pour la victime d’une cyber-attaque de réunir les éléments matériels attestant des différents préjudices en lien avec ce type de sinistre.

Or, en l’espèce, la Cour relève que les éléments de preuve rapportés par la société victime ne sont pas suffisants en ce sens que

  • les factures n’étaient pas établies pour la société victime mais pour une société tierce
  • aucun élément probant ne venait justifier la prise en charge financière des frais avancés.

La Cour d’appel réaffirme en outre la nécessité de justifier des pertes subies.

Cette position résulte de plusieurs décisions antérieures et notamment d’une décision de la Cour d’appel de Lyon[7] de 2014. Les magistrats du second degré y rappelaient l’importance de démontrer la réalité d’un préjudice financier en expliquant que dans le cas d’espèce la victime n’avait pas justifié que les pertes de données avaient affecté ses productions industrielles ou la qualité de ses relations avec ses clients. Rappelons ici qu’en droit civil français la réparation d’un dommage a pour objectif de rétablir la situation antérieure de la victime.

Les modalités de réparation d’une cyber attaque sont soumises à l’appréciation souveraine des juges du fond. Ces derniers s’attachent à contrôler la matérialité du préjudice au regard des éléments dont justifie la victime pour attester des pertes subies et gains manqués.

Spécificités du préjudice moral

Concernant le préjudice moral, décision commentée du 30 juin 2021 rappelle qu’il s’agit d’un dommage atteignant les intérêts extrapatrimoniaux et non économiques. Il en est ainsi, pour une personne morale, en cas d’atteinte à sa réputation et/ou son image.

Cette décision vient apporter des précisions quant à la caractérisation du préjudice moral et la validité de son invocation y compris lorsque l’on est en présence d’une personne morale.

La Cour d’appel de Versailles a ainsi estimé que :

  • Le préjudice d’affection n’est réparable que du chef d’une personne physique et non d’une personne morale; et
  • Pour obtenir la réparation du préjudice moral, les personnes morales doivent « démontrer la dégradation concrète de sa réputation ou de son image auprès de ses clients».

La Cour précise que les Personnes morales ne peuvent pas subir de préjudice de stress, d’anxiété, de déception ou d’affectation. Ces préjudices ne concernent que les personnes physiques. S’agissant d’une entreprise, le préjudice moral résultera des preuves de l’atteinte à la réputation ou à l’image subi par la société victime.

S’agissant d’une entreprise, le préjudice moral résultera des preuves de l’atteinte à la réputation ou à l’image subi par la société victime.

Les personnes morales sont des êtres de fiction. C’est la raison pour laquelle les droits et prérogatives accordés et reconnus aux personnes physiques ne peuvent leur être applicables dans leur globalité. La jurisprudence reconnait pour autant aux personnes morales des intérêts de nature extrapatrimoniales[8] (l’honneur, la réputation, traitement équitable…).

Observons ici que le principe de réparation du préjudice moral des personnes morales, comme il est rappelé dans la présente décision, répond nécessairement à une acception différente du principe d’indemnisation des personnes physiques qui, elles sont dotées de réelles émotions. Des entreprises ou organisation ne peuvent « stresser », ou subir des sentiments « d’anxieté ». Elles peuvent néanmoins être fortement impactées par des faits atteignant leur réputation et portant atteinte à leur image.

Cette décision invite également à prendre en compte les exigences en matière de preuve du préjudice résultant d’une cyber attaque. Il est ainsi nécessaire de justifier comment cette attaque est venue affecter la situation de la victime[9] ainsi que la matérialité et les coûts afférents aux mesures engagées pour retrouver une situation normale.

 

***

Le pilotage juridique pour réparer vos préjudices

Amplifiée par la crise sanitaire et l’accélération de la digitalisation des activités humaines, la délinquance informatique explose et pose de nombreuses questions. Chaque jour, c’est une nouvelle attaque d’ampleur qui défraye la chronique. Tous les secteurs sont concernés. Les cyberattaques visent aujourd’hui tout type d’acteurs : géants du web, hôpitaux, mairies, entreprise du BTP,

Au cours des derniers mois, nous évoquions déjà la cyberattaque contre KASEYA (juillet) et la fuite de données massive sur Facebook de près de 533 millions d’individus possédant un compte (avril).

Les conséquences de ce type de sinistre sont énormes et peuvent s’avérer irréversibles, allant d’une dégradation de l’image de la société, la mise à l’arrêt de ses activités opérationnelles, jusqu’à la mort pure et simple de l’organisation du fait des pertes financières subies.

Dans ce contexte il apparaît crucial de se doter d’un pilotage juridique ; pilotage devant être directement en lien avec les questions assurantielles et plus spécifiquement avec la question de l’assurance cyber risque.

Ainsi, pour optimiser la réparation des préjudices subis par les entreprises victimes de cybercriminalité, il est important de ne pas négliger l’intervention du professionnel du droit qui vous permettra d’assurer, dans la mesure du possible, que vos préjudices soient réparés.

 

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, mais aussi en matière de droit des contrats. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.

 

 

[1] Cass. Com., 10 juillet 2019 n°18-12.213.

[2] Cass. Com., 15 mai 2012 n°11-10.278.

[3] CA de Riom, chambre commerciale 13 janvier 2016 n° 15/00410.

[4] CA Paris, Pôle 5, Chambre 4, 17 juin 2020 n°17/23041

[5] CA Paris, Pôle 4, Chambre 1, 13 mars 2020 n°18/14402

[6] CA Paris, Chambre 4, 17 juin 2020 n°17/23041

[7] CA Lyon, ch.8, 11 février 2014 n°13/00022

[8] Cass. Crim., 27 novembre 1996 n°96-18.728 ; Cass. Com., 25 avril 2001 n°98-19.670 ; Cass. Com., 3 juin 2003 n°01-15.145.

[9] CA Paris, Pôle 4, Chambre 9, Arrêt du 5 octobre 2017 n°17/12476.

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin