Assurance / Cybersécurité / Incendie/explosion / Industrie/ICPE

Pertes de données : un recours collectif envisagé

22 juin 20229 min

Certaines entreprises ayant confié leurs données à OVHcloud ont vu leur activité massivement et durablement affectée à la suite de l’incendie du data center de Strasbourg. En dépit des gestes de compensation de l’hébergeur, un nombre croissant de clients envisagent un recours collectif devant le tribunal afin de recevoir une indemnisation à la hauteur du préjudice subi.

Ceci est une légende Alt

Au lendemain du sinistre, les conséquences de l’incendie tiennent en quelques chiffres : 3,6 millions de serveurs représentant 464 000 noms de domaines ont été affectés. Entre 12 000 et 16 000 clients ont été impactés. Parmi les victimes, des sites très connus tels que la plateforme ouverte de données publiques data.gouv.fr, l’université du Mans, la Fédération française de motocyclisme, ou encore ceux de nombreuses collectivités locales (Arras, Cherbourg, Vichy…).

L’impact de l’incendie d’OVHcloud

Le séisme est donc massif et bien réel, mais la mobilisation rapide des équipes d’OVHcloud et la communication efficace de son PDG Octave Klaba amènent à penser que l’hébergeur accompagne soigneusement tous ses clients pour que la situation rentre dans l’ordre rapidement. Tout en suspendant temporairement la facturation de ses services dégradés, Octave Klaba n’affirmait-il pas dès le 16 mars 2021 que « les clients bénéficieraient de trois mois gratuits en cas de coupure de service et d’une gratuité de six mois en cas de perte de données » ?

Quinze mois après les faits, et malgré le discours affiché, le compte n’y est cependant pas pour un certain nombre de clients touchés par la perte de données.

Recours collectif

À l’heure où nous écrivons ces lignes, 141 entreprises envisagent un recours collectif contre la société OVHcloud. Pour les plaignants, ce recours collectif présente tous les avantages d’une action de groupe : éviter les coûts et la lourdeur d’une procédure individuelle en attaquant ensemble lorsque l’on est victime d’un même manquement commis par un professionnel.

C’est le cabinet parisien Ziegler & Associés qui porte la procédure au nom de ces clients mécontents. Support d’ancrage réel et matériel de la donnée, un data center reste un bâtiment vulnérable à de nombreux risques. Plusieurs clients de l’hébergeur OVHcloud l’ont appris à leurs dépens, certains ayant perdu leurs données de façon irréversible. Ils étaient une vingtaine en 2021, ils sont à présent plus d’une centaine. Quel est leur profil ? « La plupart des entreprises, environ 60 %, emploient plus de 100 salariés, le reste ce sont des PME et TPE », nous explique Jocelyn Ziegler, avocat du cabinet. De fait, on y retrouve des entreprises de différents secteurs : comptabilité, immobilier, marketing, médical, touristique…

À côté de ce recours collectif, trois autres grosses sociétés (entre 10 000 et 15 000 salariés) ont décidé également de faire appel au cabinet pour intenter cette fois-ci des actions individuelles envers l’hébergeur.

Diversité des clients, préjudices analogues

Malgré la diversité des clients et des secteurs engagés dans le recours collectif, les impacts sont essentiellement de deux ordres. Certaines entreprises ont dû supporter une panne de leur site web pendant plusieurs jours, ce qui a impacté leur activité et leur chiffre d’affaires.

Cependant, la majorité des plaignants a subi une perte de données, qui a gravement et durablement paralysé leur activité : perte de données des patients dans le secteur médical, perte des réservations dans le domaine du tourisme… Parfois, l’atteinte aux données a pu provoquer la disparition pure et simple de l’activité, comme dans le cas de l’arrêt du fonctionnement d’un site internet de e-commerce ou l’impossibilité de facturer des clients devenus « fantômes ».

Ces préjudices économiques ont aussi pu entraîner des atteintes à la réputation ou à l’image, pour des entreprises leaders sur leur marché.

Des assurances sans objet

Ces préjudices peuvent-ils être pris en charge par une quelconque assurance ? Cela reste difficile car la perte de données n’est pas couverte par l’assurance multirisque d’une entreprise, ni par la responsabilité civile. Et les entreprises qui ont souscrit une assurance dite « cyber » ne sont pas mieux couvertes puisque la perte de données, hors fait de malveillance, fait généralement partie des exclusions.

Le pire est que certaines entreprises clientes d’OVHcloud croyaient être assurées contre la perte de données. En cas de pertes financières, les professionnels n’ont donc d’autre choix que d’entamer un recours contre l’hébergeur.

Une indemnisation insuffisante

En dehors de l’attitude d’OVHcloud, qui refuserait de discuter et d’entendre les plaintes, l’un des principaux reproches qui lui sont adressés concerne le montant des indemnisations accordées à certains de ses clients affectés par la perte de données : quelques centaines d’euros alors que la majorité de ces entreprises auraient subi « des préjudices s’élevant à plusieurs milliers voire millions d’euros ». L’évaluation de ce préjudice tient compte par exemple de la perte de chiffre d’affaires, du temps et du coût liés à la récupération des données, du nombre de clients perdus, du recours à un autre hébergeur…

En décembre dernier, Jocelyn Ziegler déclarait par exemple au Journal du net que « pour le plus petit client de ce recours, la perte représente 10 000 euros, alors qu’OVH offre à peine l’équivalent de 900 euros en proposant son cloud sans frais pendant quelques mois ». À ce jour, l’avocat estime le montant global du préjudice des 141 plaignants à un montant compris « entre 12 et 14 millions d’euros d’indemnisations ». À noter qu’un premier bilan des indemnisations liées à l’incendie a été évoqué lors de l’assemblée générale d’OVHcloud début janvier 2022. L’octroi de bons d’achats aurait coûté 27,8 millions d’euros, l’émission d’avoirs s’élèverait à 5,2 millions d’euros et les services non facturés à 2,9 millions d’euros. La facture va-t-elle s’alourdir ?

Utilisateur d'OVH ayant perdu ses données suite à l'incendie des serveurs. Crédit : gstockstudio/AdobeStock

Le recours collectif met en avant deux manquements principaux à l’encontre de l’hébergeur. Primo, les données de certains clients et leur sauvegarde étaient hébergées physiquement au même endroit ; deuxio, le cas de force majeure ne peut être invoqué par l’hébergeur, les caractères imprévisible et irrésistible de l’événement ne pouvant être retenus.

Argumentaire juridique

Quels manquements sont reprochés à l’hébergeur par les victimes via le cabinet Ziegler & Associés ? Deux arguments principaux sont invoqués pour engager la responsabilité d’OVHcloud.

En premier lieu, la perte définitive des données de sauvegarde pour les clients ayant souscrit un service de back-up dans leurs contrats d’hébergement. « Plus de 95 % des entreprises qui intentent le recours collectif ont signé un contrat comportant la facturation d’une option de back-up, précise Jocelyn Ziegler. Dans le monde du clouding, il est établi que la sauvegarde des données doit se faire en doublon dans un lieu différent de l’hébergement initial. Nos clients ont fait confiance à OVHcloud pensant que la sauvegarde de leurs données était externalisée. Or, il s’avère que les back-up ont aussi brûlé car ils étaient stockés en local sur le même site de Strasbourg. L’hébergeur a donc failli à son obligation de résultat. »

Cas de force majeure

L’autre argument fait appel au cas de force majeure, mentionné de façon extensive dans l’une des clauses des contrats, derrière lequel l’hébergeur se retrancherait afin de minimiser ou d’échapper à sa responsabilité. « Le cas de force majeure implique trois conditions : l’événement doit être imprévisible, irrésistible et extérieur, poursuit maître Ziegler. Ces trois conditions sont cumulatives, autrement dit il faut qu’elles soient toutes les trois présentes pour pouvoir invoquer le cas de force majeure. En l’occurrence, seule la condition d’extériorité est ici remplie, à savoir que la cause de l’incendie est extérieure à la société OVHcloud. Par contre, considérant les deux autres conditions, notre argumentation prouve qu’elles ne sont pas réunies : l’absence de dispositif d’extinction automatique montre que le scénario de propagation d’un incendie n’avait pas été suffisamment anticipé, dans un environnement où l’énergie électrique est omniprésente. »

Les suites

Victime de son succès, le recours collectif n’a pu être finalisé dans les temps prévus. La récolte des diverses pièces et le bouclage des dossiers auprès des retardataires devait rendre effective l’action collective fin mars 2022. Elle ne le sera que courant mai. Le but est d’amener OVHcloud à une négociation à l’amiable et confidentielle, avant d’envisager de sortir les armes lourdes : « Si la procédure va à son terme, énonce Jocelyn Ziegler, elle s’exercera auprès du tribunal de commerce. Et elle sera forcément hyper médiatisée, car c’est la première fois qu’un recours collectif s’effectuera contre une entreprise de clouding. »

C’est la première fois qu’un recours collectif s’effectue contre une entreprise de clouding.

Jocelyn Ziegler, avocat du cabinet Ziegler & Associés

Jocelyn Ziegler
Avocat du cabinet Ziegler & Associés

Contrat d’hébergement : les 5 conseils de Jocelyn Ziegler

Vous vous apprêtez à signer un contrat d’hébergement de vos données ? Maître Ziegler préconise 5 points de vigilance :

« Le service juridique de votre entreprise, ou bien un avocat, doit relire l’intégralité du contrat en vérifiant bien toutes les clauses et les engagements réciproques. »

« À propos de la sauvegarde des données, il faut doubler le contrat par une lettre où l’on énonce ce que l’on a compris concernant le traitement des back-up. Et demander que la société qui héberge vos données confirme vos propos en retour. La preuve écrite dans ce domaine est fondamentale. »

« Il est nécessaire de se protéger du risque de perte de données en souscrivant la bonne assurance. Le numérique étant devenu fondamental dans le monde où nous vivons, les données sont devenues indispensables à l’activité professionnelle. »

« Il y a parfois des données qui sont hébergées très loin du lieu où l’entreprise exerce. Cela ne doit pas empêcher d’envoyer un salarié ou de mandater un tiers de confiance pour faire l’audit du data center où seront stockées vos données. »

« Cela peut paraître évident, mais il est bon de sauvegarder en interne, sur un disque dur ou un autre dispositif, les éléments numériques et les données essentielles de l’entreprise, comme les fichiers médicaux ou les fichiers clients. En cas de problème, cela permettra de reconstruire rapidement un site web et l’architecture des données. »

Article extrait du n° 583 de Face au Risque : « OVH, Quelles leçons ? » (juin 2022).

Bernard Jaguenaud, rédacteur en chef

Bernard Jaguenaud – Rédacteur en chef

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.

Je m’inscris

À lire également