Deux ans après l'incendie dévastateur, le tribunal de commerce de Lille Métropole a enfin rendu son jugement concernant OVHCloud et l'un de ses clients de l'époque, Bati Courtage. Ils ont malheureusement subi d'importantes pertes de données à cause des flammes.
Rappel des faits
Dans la nuit du 9 au 10 mars 2021, une catastrophe a frappé le centre de données SGB2 OVHCloud à Strasbourg. Des flammes ont englouti de nombreux serveurs et, heureusement, aucune personne n'a été blessée. Au milieu de cet incident se cache cependant une question importante : qui est à blâmer pour une telle catastrophe évitable ?
Une chose certaine, il était temps pour OVH d'envisager de meilleurs protocoles de sécurité incendie avant que le prochain accident soit plus grave, que des gens y laissent la vie, ou que d'autres données ne soient perdus. Car dans cet incident, certaines entreprises ont perdu gros... C'est le cas de Bati Courtage.
Après l'incendie destructeur, Bati Courtage, comme beaucoup d'autres entreprises, s'est retrouvé dans une situation catastrophique. Organisation d'entrepreneurs indépendants spécialisée dans le courtage de travaux immobilier, leurs sites web ont été détruits et avec eux, les services qu'ils fournissaient à la fois aux clients et aux franchisés.
Cependant, qu'est-il advenu des données détenues chez OVHCloud ? Bati Courtage les avait en effet réclamées dans le cadre de son plan de sauvegarde avec l'hébergeur. Pourtant, la société d'Octave Klaba n'a pas pu récupérer toutes les données... bon nombre d'entre elles avaient été définitivement perdues.
Ayant un besoin urgent de sortir de cette crise, des données antérieures qui avaient heureusement été conservées se sont avérées déterminantes au cours du processus de restauration, permettant un retour à la normale. Mais les données les plus récentes ont définitivement été perdues. Mais le préjudice subit a fait perdre de nombreux bénéfices à Bati Courtage, qui a décidé de porter l'affaire devant la justice pour demander des dommages et intérêts.
La décision du tribunal de commerce de Lille Métropole
Le tribunal de commerce de Lille Métropole a rendu un verdict dans l'affaire opposant OVHCloud et son ancien client Bati Courtage. Dans le cadre de la plainte déposée par Bati Courtage, l'hébergeur s'est vu condamné à verser une indemnisation pour les nombreuses données perdues par l'incident.
Presque deux ans plus tard, un verdict a été rendu en faveur du client. OVHCloud a été condamné à payer un montant supérieur à 100 000 euros en compensation de sa négligence. Mais c'est une petite victoire
Lorsque Bati Courtage a initialement demandé 6,5 millions d'euros à OVHCloud. Son équipe juridique a pensé qu'il s'agirait d'un montant suffisamment élevé pour rembourser le préjudice subi. Il faut dire que Bati Courtage avait réalisé près de 2 millions d'euros de chiffre d'affaires en 2018 si l'on en croit le dernier exercice rendu public avant le début de ce litige.
Sur quels éléments se base le tribunal pour sa décision
Après 8 ajournements et une réflexion approfondie, le tribunal a finalement donné raison à Bati Courtage. La raison vient de la souscription à une option de sauvegarde automatique. Cependant, il n'a pas tenu compte de la négligence grave ou du manque de protocoles de sécurité incendie au centre de données de Strasbourg qui avaient été présentés par le plaignant.
Notamment, OVHCloud a été sévèrement critiqué pour avoir omis de divulguer dans ses documents marketing que le service incluait une sauvegarde "locale". Après avoir examiné l'affaire, un tribunal a ordonné à la société de verser 38 530 euros à Bati Courtage afin de réparer la perte financière subie en 2021. En outre, un montant supplémentaire de 26 472 euros a été exigé en réparation du dommage causé à son actif incorporel.
Ponpon sur la Garonne, 20 000 euros doivent être versés pour le préjudice d'atteinte à l'image et d'autres indemnités. Ce qui donne un total de 100 000 euros. On ignore encore si OVHCloud, qui fait également l'objet d'une procédure collective liée à l'accident, fera ou non appel de cette décision initiale.
Le verdict semble en tout cas asssez juste. Car il est basé sur les lois en vigueur et prend en compte les pratiques professionnelles courantes, telles que la responsabilité limitée et le respect des normes de protection des données. Cela indique que les entreprises doivent être particulièrement vigilantes quant à la sûreté et à la sauvegarde de leurs données afin d’assurer la sécurité et la confidentialité du contenu qu’elles possèdent ou dont elles ont la garde.
Un verdict pour servir d'exemple ?
On peut se poser la question. Pour ma part, même s'il est juste sur le principe, ce jugement est clairement est un rappel pour toutes les entreprises qui traitent ou stockent des données. Mais pas seulement.
Certes, elles doivent prendre des mesures supplémentaires pour protéger les serveurs de stockage. Les hébergeurs doivent se conformer aux lois et règlements applicables qui régissent la protection des données et le respect des normes professionnelles.
Mais cette décision met aussi un autre point en évidence. Le fait que les entreprises clientes des différents Cloud doivent être vigilantes avec la sûreté et la sauvegarde de leurs données. Il ne faut pas les confier à n'importe qui, n'importe comment.
Le "faible montant" que le tribunal a accordé ressemble à un aveux à demi-mot et veut dire "bon ok... vous avez perdu des données... mais vous aviez qu'à faire attention aussi"
Cette décision du tribunal de commerce de Lille Métropole crée tout de même un précédent dans le droit français, démontrant que les entreprises sont responsables de leurs données et doivent prendre les mesures de sécurité appropriées pour les protéger. Même si pour OVHCloud, c'est aussi un rappel important que les protocoles de protection des données doivent toujours être à jour.
L'issue de cette affaire, qui aura fait beaucoup de bruit dans les actualités numériques, va probablement encourager d'autres entreprises à accroître leur vigilance en matière de protection des données qu'elles gèrent ou stockent.
Elle conduira, espérons-le, à une plus grande prise en compte de la sécurité des données et des normes de conformité, afin que des incidents similaires ne se reproduisent pas à l'avenir.