Un commerçant en ligne n’est pas un expert en cybersécurité : Cardinal Avocats

Un commerçant en ligne n’est pas un expert en cybersécurité

C’est à cette conclusion que la Cour d’appel de Paris est parvenue dans un arrêt du 10 janvier 2025, suivant ainsi la thèse défendue devant elle par notre Cabinet (CA Paris, Pôle 5 – Chambre 11, 10 janvier 2025, n° 22/11677).

Dans cette affaire, une société qui commercialisait des chèques-cadeaux sur Internet avait conclu un contrat avec un prestataire afin d’assurer la sécurité des paiements électroniquement réalisés par ses clients sur son site. Sur recommandation dudit prestataire, la société commerçante avait alors opté pour le déploiement d’un procédé prétendument capable de quantifier le risque de fraude pour chaque opération, et de déclencher en temps réel le mécanisme d’authentification-client adapté à ce risque. Après que plusieurs opérations frauduleuses ont été détectées, ce qui trahissait manifestement la défaillance de la solution proposée par le prestataire, ce dernier s’était obstiné à déconseiller la mise en place d’une authentification forte – système 3D Secure – pour l’ensemble des paiements effectués sur le site. La société commerçante s’était à nouveau laissé convaincre, avant de découvrir de nouvelles fraudes, de rompre la relation contractuelle en conséquence, et de saisir notre Cabinet pour obtenir l’indemnisation de son préjudice.

Pour se dégager de la responsabilité qui découlait des fâcheux conseils dispensés, le prestataire arguait notamment que la société commerçante était une professionnelle de la vente sur Internet et qu’elle ne pouvait donc ignorer le risque inhérent à la solution technique qu’elle avait choisie.

L’argument revenait à se prévaloir de la jurisprudence qui exclut qu’une partie soit tenue d’un devoir de conseil vis-à-vis de son cocontractant lorsque ce dernier est un « professionnel averti », c’est-à-dire une personne ayant les compétences nécessaires pour apprécier les caractéristiques du service qui lui est prodigué.

Il apparaissait toutefois un peu court, comme l’a souligné le Cabinet, dès lors qu’exercer une activité de commerce en ligne n’implique pas de disposer de compétences spécifiques en matière de sécurité informatique.

Ainsi s’explique son rejet par la Cour d’appel et la condamnation subséquente du prestataire, laquelle avait déjà été prononcée en première instance par les juges consulaires (Tribunal de commerce de Paris, Chambre 8, n° 2020036302).

Cette décision concourt à la construction de la jurisprudence sur les contrats ayant pour objet une prestation de service numérique (voir récemment encore CA Rennes, 3^e Chambre commerciale, 19 novembre 2024, n° 23/04627, pour la condamnation d’un prestataire ayant modernisé l’architecture informatique d’une société sans l’informer sur ses besoins réels, ce qui avait exposé cette société à une attaque par ransonware quelques temps plus tard).

Un autre apport de la décision mérite d’être signalé, relatif à l’opposabilité des clauses limitatives de responsabilité.

En effet, au cas présent, les conditions générales de vente du prestataire informatique prévoyaient une exonération de toute responsabilité du prestataire dans de très nombreux cas de figures. Et naturellement, cette clause exonératoire était opposée au client, en lui faisant valoir qu’il avait, en concluant le contrat, accepté ladite clause.

La Cour d’appel de Paris a joué le rôle disciplinaire que l’on attendait d’elle en jugeant que cette clause ne pouvait s’appliquer car ce qui était reproché au prestataire informatique n’était pas une mauvaise performance du service proposé, mais un manquement de conseil au moment de la conclusion du contrat puis en cours de contrat.

Et l’on ne saurait renoncer, même contractuellement, à se prévaloir d’un manquement à un devoir de conseil et, parallèlement, le prestataire de services lorsqu’il prodigue des conseils, ne peut pas s’exonérer de sa responsabilité par une simple clause limitative.

Ce point vaut rappel du fait que bien des contrats commerciaux, et notamment des conditions générales de vente, contiennent des dispositions abusives, illégales, et qu’il ne faut pas renoncer à les contester par la voie judiciaire si nécessaire.

Me Xavier Chabeuf

30 mars 2025