Publié le 08/03/2016
Avec l’avènement du « big-data », lié à l’usage quasi-universel des smartphones, applications et réseaux sociaux, les données collectées par les entreprises sont de plus en plus nombreuses,et permettent de mieux cibler la clientèle, elles représentent donc désormais un véritable actif facilement monnayable.
Parallèlement, les scandales récents liés au piratage de données personnelles de clients de sites renommés (Ashley Maddison, Playstation, Icloud, etc.) poussent les entreprises à communiquer sur la sécurité et la confidentialité et à assurer leurs données pour rassurer leurs clients.
La combinaison de ces phénomènes pousse les entreprises à faire insérer dans leurs contrats informatiques, tels que les contrats de développement de sites Internet, d’infogérance, ou encore de licence d’utilisation de logiciels en mode SaaS, des clauses de confidentialité de plus en plus rigoureuses qui prévoient généralement des pénalités ou indemnités forfaitaires importantes.
La plupart du temps ces clauses sont peu discutées ou négociées car leur principe est bien accepté par les prestataires.
Toutefois, une décision récente du Tribunal de Commerce de Paris (Tribunal de Commerce Paris 15e chambre du 15 février 2016) est venue rappeler l’importance d’être vigilant sur la négociation de ce type de clauses.
Dans cette espèce, une société exploitant un site de vente de meubles avait confié le développement de son site Internet à une agence de communication qui avait en charge, notamment, l’hébergement des données collectées depuis le site.
Dans le cadre de l’exécution du contrat, l’agence de communication a sous-traité l’hébergement des données à un tiers sans en avertir son client.
Ayant appris fortuitement ce transfert, le client a donc assigné l’agence de communication en paiement de l’indemnité forfaitaire de 100 000 € prévue au contrat en cas de manquement à l’obligation de confidentialité, et ce alors même qu’aucune autre faute ni violation de sécurité n’étaient reprochées dans le cadre de la conservation des données.
Le Tribunal de Commerce de Paris a fait droit aux demandes de l’exploitant du site web, considérant ainsi que la simple sous-traitance de la prestation d’hébergement constituait à elle seule un manquement à l’obligation de confidentialité.
Cela révèle le danger qu’il y a, d’une part, à accepter des pénalités dont le montant est parfois disproportionné par rapport à la réalité du préjudice subi et, d’autre part, à ne pas prévoir contractuellement la possibilité de sous-traiter les prestations d’hébergement, alors même que la plupart des prestataires informatiques font appel à des « data centers » exploités par des tiers.
En effet, la décision du Tribunal de Commerce de Paris aurait très vraisemblablement été différente si la le prestataire avait prévu cette possibilité au contrat.
Il est donc opportun de rappeler que, dans tout contrat informatique, il est souhaitable d’inclure:
- une clause limitative de responsabilité prévoyant un plafond indexé sur la valeur du marché
- un montant maximum indexé sur la valeur du marché pour les éventuelles pénalités de retard ou de défaut de qualité
- la possibilité expresse de sous-traiter toute ou partie des prestations, notamment l’hébergement, sous réserve de maintenir le même niveau de qualité de sécurité de confidentialité.
En tout état de cause s’agissant de contrat complexe, aux enjeux potentiellement élevés, il est primordial d’être accompagné par un avocat pour la négociation et la rédaction.