Cour d'AppelChambre-1 civile et com.
Cour d'Appel · Chambre-1 civile et com. — 28 avril 2026

ECLI: 69f19629cdc6046d47ed94d3
Date: 28 avril 2026
Condamnation: 2 902 309 €
Source : DILA / Judilibre · open data
Mes notes

privées · visibles par vous seul
Analyse IA non disponible
Générez un résumé intelligent de cette décision
Texte intégral

R.G. : N° RG 24/01502 - N° Portalis DBVQ-V-B7I-FRRV

ARRÊT N°

du : 28 avril 2026





APDB











 





Formule exécutoire le :

à :



la SCP THEMIS TROYES



la SCP X.COLOMES S.COLOMES-MATHIEU-ZANCHI-THIBAULT





COUR D'APPEL DE REIMS

CHAMBRE CIVILE ET COMMERCIALE



ARRÊT DU 28 AVRIL 2026





APPELANTE :

d'un jugement rendu le 10 septembre 2024 par le tribunal de commerce de Troyes (RG 2024000006)



S.A.R.L. MISA

[Adresse 1]

[Localité 1]



Représentée par Me Raphaël YERNAUX de la SCP THEMIS TROYES, avocat au barreau de l'AUBE



INTIMÉE :



S.A.R.L. 3 SERVICES INFORMATIQUES

[Adresse 2]

[Localité 2]



Représentée par Me Stanislas COLOMES de la SCP X.COLOMES S.COLOMES-MATHIEU-ZANCHI-THIBAULT, avocat au barreau de l'AUBE



DÉBATS :



A l'audience publique du 2 décembre 2025, où l'affaire a été renvoyée au 2 mars 2026. A l'audience publique du 2 mars 2026, où l'affaire a été mise en délibéré au 28 avril 2026, sans opposition de la part des conseils des parties et en application de l'article 914-5 du code de procédure civile, Mme Anne POZZO DI BORGO, conseiller, a entendu les conseils des parties en leurs conclusions et explications, puis ce magistrat en a rendu compte à la cour dans son délibéré



COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ :



Mme Christina DIAS DA SILVA, présidente de chambre

Mme Sandrine PILON, conseiller

Mme Anne POZZO DI BORGO, , conseiller





GREFFIER D'AUDIENCE :



Mme Lucie NICLOT, greffier





ARRÊT : 



Contradictoire, prononcé par mise à disposition de l'arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile, signé par Mme DIAS DA SILVA, présidente de chambre, et par Mme NICLOT, greffier, auquel la minute de la décision a été remise par le magistrat signataire.



* * * * *







EXPOSE DU LITIGE



La SARL MISA a pour objet social l'installation de machines et d'équipements mécaniques.



Suivant devis du 5 février 2020, accepté le 20 février 2020, la société 3 services informatiques a proposé à la société MISA la refonte de son système informatique dans la perspective d'intégrer un logiciel de gestion assistée par ordinateur ainsi qu'un interface de services distanciels dans l'objectif de permettre aux salariés de cette société de travailler en réseau. 



L'installation du serveur et les prestations afférentes, débutées le 6 mars 2020, ont été interrompues du fait du confinement lié à l'épidémie de COVID 19 imposant la fermeture de la société à compter du 17 mars 2020.



Le 10 mars 2020 une première facture a été adressée à la société MISA.



Le 16 avril 2020, la SARL MISA ayant constaté que la sauvegarde du système informatique n'était pas parachevée et que le système présentait des lenteurs, la société 3 services informatiques est intervenue pour ajouter de la mémoire et finaliser la sauvegarde. Cette dernière a présenté une facture à la première de 288 euros.



Le 18 avril 2020, la société MISA a subi une attaque informatique de type «ransomware » (rançon logiciel) qui a crypté ses fichiers l'obligeant à régler la somme de 2 755,18 euros.



La société 3 services informatiques est intervenue les 20, 21, 24 et 30 avril 2020 pour mettre en place une sauvegarde de sécurité et remettre le serveur en état. Elle a édité une facture de 972 euros TTC.



La société MISA a fait appel aux sociétés Esprit Digital et A2SI pour un audit informatique.



Par courrier recommandé réceptionné le 31 août 2021, la société MISA a dénoncé les manquements contractuels de la société 3 services informatiques. 



Par courriel du 21 septembre 2021, cette dernière, par l'intermédiaire de son conseil, a contesté sa responsabilité. 



Par arrêt du 13 septembre 2022, cette cour, infirmant l'ordonnance du 12 avril 2022 du président du tribunal de commerce de Troyes, statuant en référé, a ordonné une expertise judiciaire, confiée à M. [P] [Y].



L'expert a déposé son rapport le 27 février 2023.



Par exploit du 27 décembre 2023, la société MISA a fait assigner la société 3 services informatiques aux fins d'indemnisation de ses préjudices.



Par jugement du 10 septembre 2024, le tribunal de commerce de Troyes a :

- reçu la société MISA en ses demandes mais l'a déclarée mal fondée et l'a déboutée de l'intégralité de ses demandes,

- reçu la société 3 services informatiques en ses demandes mais l'a déclarée mal fondée et l'a déboutée de l'intégralité de ses demandes,

- condamné la société MISA à supporter les entiers dépens de l'instance en ce compris les frais de greffe liquidés,

- liquidé les dépens à recouvrer par le greffe à la somme de 60,22 euros dont 10,04 euros de TVA.



Par déclaration du 1er octobre 2024, la SARL MISA a interjeté appel de cette décision.



Aux termes de ses dernières conclusions transmises par la voie électronique le 23 avril 2025, elle demande à la cour de :

- la juger recevable et bien fondée en son appel,

- infirmer le jugement sauf en ce qu'il a reçu la société 3 services informatiques en ses demandes mais l'a déclarée mal fondée et l'a déboutée de l'intégralité de ses demandes,

statuant à nouveau,

- condamner la société 3 services informatiques à lui verser une somme de 5 000 euros de dommages et intérêts pour atteinte à l'honneur et à la sa considération et celles de ses représentants,

- ordonner la suppression des conclusions d'intimée notifiées par RPVA le 10 mars 2025 de la société 3 services informatiques et de toutes autres écritures des écrits suivants : « menaces, intimidations, chantage, séquestration de la part de Mr [C], gérant de la société MISA INTERNALTIONAL, à l'égard de Mr [U] [J], technicien informatique de la société 3 SERVICES INFORMATIQUES. Celui-ci se réserve d'ailleurs le droit de déposer plainte à l'encontre de Mr [C] »

- juger que la société 3 services informatiques a commis des fautes dans le cadre de la réalisation de prestations informatiques qui engagent sa responsabilité contractuelle vis-à-vis d'elle,

par conséquent,

- la condamner à lui verser la somme de 29 023,09 euros se décomposant comme suit :

' perte d'exploitation : 15 724,94 euros de dommages et intérêts,

' préjudice issu du temps à remettre en service le système informatique : 2 701,15 euros (selon coût horaire moyen du gérant et de la secrétaire de la société MISA),

' audit informatique : 2 126,75 euros HT,

' coût de la remise en état du système informatique : 5 347,56 euros HT,

' coût du paramétrage des connexions à distance : 262,50 euros HT,

' coût de la réinstallation du logiciel Gestmag : 105 euros HT, 

' coût de la rançon : 2 755,18 euros.

- la condamner à lui verser la somme de 4 000 euros de dommages et intérêts en réparation de son préjudice moral,

- la condamner à lui verser la somme de 10 162,53 euros sur le fondement de l'article 700 du code de procédure civile,

- la juger irrecevable en sa demande de 4 000 euros de dommages et intérêts pour procédure abusive et injustifiée faute pour elle d'avoir régularisé un appel incident et l'irrecevabilité n'étant pas retenue, l'en débouter,

- la débouter de toutes ses demandes,

- la condamner aux entiers dépens de première instance et d'appel en ce compris les frais d'expertise taxés à la somme de 2 552 euros.



Elle fait valoir que l'intimée, en invoquant dans ses conclusions des faits non démontrés constitutifs d'accusations graves et sans fondement, étrangères à la cause et dépassant le cadre d'une défense légitime, a commis une faute portant atteinte à son honneur et sa considération justifiant sa condamnation à l'indemniser et la suppression des écrits litigieux.



Elle expose que l'intimée, qui n'a pas établi de cahier des charges ni évalué à leur juste mesure ses besoins alors qu'elle était profane en matière informatique, a manqué à son devoir d'information pré-contractuel.



Elle soutient qu'elle a également violé son obligation de conseil et d'information relevant que :

- elle ne lui a pas soumis les conditions générales de vente et celles qu'elle produit, qu'elle n'a pas signées, ne lui sont pas opposables,

- elle ne lui a communiqué aucune information sur la sécurité de son équipement, la mise à jour des logiciels, les évolutions techniques de l'installation et la nécessité de changer ses mots de passe,

- sa qualité de professionnel averti n'est pas démontrée et aucune information spécifique ne lui a été demandée avant la réalisation de sa prestation.



Elle ajoute qu'elle a également commis des fautes engageant sa responsabilité contractuelle observant que la mauvaise qualité des prestations réalisées est directement en lien avec l'attaque informatique dont elle a été victime. Elle précise que l'intimée ne peut se dégager de sa responsabilité en invoquant le fait que la prestation n'a pas été assez onéreuse.

Elle observe en outre que le seul constat de l'inexécution contractuelle sans considération de sa propre faute permet en tout état de cause d'engager la responsabilité de l'intimée qui a agi avec une négligence fautive.



Elle conteste le partage de responsabilité opérée par l'expert concernant l'absence de sauvegarde rappelant l'obligation de conseil à laquelle est tenue l'intimée et le fait qu'il engage sa responsabilité en cas d'absence d'information à son cocontractant sur la sécurité d'un équipement. Elle ajoute qu'il appartenait à l'intimée de l'alerter et de lui conseiller de mettre en place une solution de sauvegarde, ce qu'elle n'a pas fait, le devis produit ne permettant pas de l'établir.



Elle argue que les deux audits réalisés ont révélé de graves dysfonctionnements de sécurité et les manquements contractuels de l'intimée venant renforcer sa responsabilité.



Elle conclut à l'irrecevabilité de la demande de dommages et intérêts de l'intimée pour procédure abusive affirmant qu'elle n'a pas régularisé d'appel incident de ce chef dans le délai de 3 mois à compter de la notification des conclusions de l'appelante. Subsidiairement, elle soutient qu'elle n'est pas fondée relevant que la procédure initiée a permis de retenir la responsabilité contractuelle de l'intimée au moins partielle.



Elle se prévaut d'un préjudice matériel lié à la perte d'exploitation, au temps consacré à remettre le système en état et aux dépenses qu'elle a engagées.



Elle allègue également subir un préjudice moral, son activité ayant été mise en péril du fait de la défectuosité de son système informatique, la société ayant en outre perdu un contrat important et subi une violation de ses données personnelles obligeant ses représentants à réaliser des démarches. 



Aux termes de ses dernières conclusions communiquées par voie électronique le 10 mars 2025, la SARL 3 services informatiques demande à la cour de :

- confirmer le jugement sauf en ce qu'il a :

' reçu la société MISA en ses demandes,

' l'a déclarée, pour sa part, mal fondée en ses demandes et l'a déboutée de l'intégralité de ses demandes,

statuant à nouveau,

- déclarer la société MISA irrecevable, et, à tout le moins, mal fondée en l'ensemble de ses prétentions,

- la déclarer, pour sa part, recevable et bien fondée en l'intégralité de ses prétentions,

- condamner la société MISA à lui verser la somme de 4 000 euros de dommages et intérêts pour procédure abusive et injustifiée, et celle de 8 800 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens,



Pour s'opposer à la demande d'indemnisation de l'appelante pour atteinte à l'honneur et à la considération de la société ainsi qu'à celles de ses représentants, elle affirme que les faits prétendument calomnieux ou diffamatoires sont démontrés par les attestations qu'elle produit. Elle ajoute que les écrits contenus dans ses conclusions, qui ne sont aucunement étrangers à l'instance judiciaire, sont couverts par l'immunité prévue par l'article 41 de la loi du 29 juillet 1881. Subsidiairement, elle indique que les termes employés, qui retracent le contexte de son intervention, n'excèdent aucunement les limites d'une défense légitime et affirme qu'elle rapporte la vérité du fait prétendument diffamatoire dans les attestations produites.



Elle conteste tout manquement de sa part à son devoir d'information pré-contractuel relevant que :

- elle s'est renseignée préalablement à l'établissement de son devis sur les besoins de l'appelante,

- elle l'a informée des contraintes techniques de l'installation proposée sans qu'il soit nécessaire d'établir un cahier des charges,

- la société appelante n'était pas dépourvue de compétences en matière informatique et elle était tenue de collaborer avec elle en faisant connaître ses besoins en lui adressant un cahier des charges, 

- aucun dysfonctionnement ne peut lui être imputé.



Elle précise qu'en sa qualité de prestataire informatique, elle n'était tenue qu'à une obligation de moyens renforcée.



Elle expose que l'installation informatique mise en place est parfaitement conforme aux termes du devis liant les parties, la société appelante ayant refusé une offre plus performante en raison de son coût. Elle en déduit qu'elle a respecté son obligation de conseil et que la société appelante a contractuellement accepté d'être tenue seule responsable de la bonne exécution des sauvegardes en refusant la prestation proposée ce que rappellent les conditions générales de vente figurant au verso des documents commerciaux que l'appelante a acceptées, au moins tacitement, en les signant.



Elle relève qu'aucune preuve n'a été apportée de nature à démontrer un lien de causalité entre son intervention et l'attaque subie par la société appelante. 



Elle indique en outre que les audits informatiques, non contradictoires, réalisés par des sociétés concurrentes lui sont inopposables.



Elle conclut enfin au rejet des demandes indemnitaires présentées faisant valoir que l'appelante ne justifie d'aucune faute qui lui serait imputable, du principe et du montant des préjudices qu'elle aurait subis.



L'ordonnance de clôture est intervenue le 10 novembre 2025 où l'affaire a été renvoyée pour être plaidée à l'audience du 2 décembre 2025, puis renvoyée à l'audience de plaidoirie du 2 mars 2026.



MOTIFS DE LA DÉCISION



- Sur la demande d'indemnisation pour atteinte à l'honneur et à la considération de la société MISA et de ses représentants et la demande de suppression des écrits figurant dans les conclusions de l'intimée :



Selon l'article 41 de la loi du 29 juillet 1881, ne donneront lieu à aucune action en diffamation, injure ou outrage, ni le compte rendu fidèle fait de bonne foi des débats judiciaires, ni les discours prononcés ou les écrits produits devant les tribunaux.

Pourront néanmoins les juges, saisis de la cause et statuant sur le fond, prononcer la suppression des discours injurieux, outrageants ou diffamatoires, et condamner qui il appartiendra à des dommages-intérêts.

Pourront toutefois les faits diffamatoires étrangers à la cause donner ouverture, soit à l'action publique, soit à l'action civile des parties, lorsque ces actions leur auront été réservées par les tribunaux, et, dans tous les cas, à l'action civile des tiers.



En l'espèce, la société intimée écrit (page 12 de ses conclusions) que « il convient de porter à la connaissance de la Cour le contexte dans lequel s'est déroulée cette relation commerciale :

-Menaces, intimidations, chantage et séquestration de la part de Mr [C], gérant de la société MISA INTERNATIONAL, à l'égard de Mr [U] [J], technicien informatique de la société 3 SERVICES INFORMATIQUES. Celui-ci se réserve d'ailleurs le droit de déposer plainte à l'encontre de Mr [C] ».



Elle verse par ailleurs aux débats deux attestations (ses pièces 15 et 17) émanant de M. [U] [J] et de son père, M. [T] [J], aux termes desquelles le premier relate avoir été victime le 21 avril 2020 d'une « tentative de séquestration et de menace » de la part de M. [C], détaillant les pressions et obstructions exercées pour empêcher son départ du site de la société, le second certifiant que son fils, contacté par message le jour des faits, lui a fait part des actes dont il était victime.



Les conclusions ne font que reprendre les termes des attestations produites. Elles décrivent le contexte de l'intervention d'un technicien de la société intimée postérieurement à l'incident informatique à l'origine de l'action en responsabilité intentée par l'appelante. Elles concernent en conséquence les faits en cause. C'est donc à tort que la société Misa soutient qu'elles dépassent le cadre d'une défense légitime et sont totalement étrangers au litige à trancher.



La société appelante échouant à établir la faute commise par l'intimée portant atteinte à son honneur ou sa considération, la demande d'indemnisation présentée de ce chef doit être rejetée. 



Il n'y a pas davantage lieu d'ordonner la suppression du paragraphe litigieux des conclusions en cause faute de démontrer le caractère diffamatoire et étranger à la cause de cet écrit.



- Sur la responsabilité de la société 3 services informatiques :



Selon les articles 1103 et 1104 du code civil, les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits. Ils doivent être négociés, formés et exécutés de bonne foi.



En application de l'article 1217 du code civil, la partie envers laquelle l'engagement n'a pas été exécuté, ou l'a été imparfaitement, peut demander réparation des conséquences de l'inexécution.



En matière de contrats informatiques, les deux parties ont des obligations complémentaires.



Le prestataire de services informatique chargé de la création et de l'élaboration de logiciels, sites web ou applications mobiles, prestations intellectuelles complexes par nature soumises à des aléas résultant de l'obligation de collaboration du client et de l'évolution rapide du secteur informatique, est tenu d'une obligation de moyens renforcée quant à la délivrance de l'ouvrage commandé. Il lui appartient ainsi de rapporter la preuve qu'il a accompli toute diligence en vue de l'obtention du résultat escompté, mais également qu'il n'a pas commis de faute dans l'exécution de ses obligations.



Il incombe par ailleurs au vendeur professionnel de prouver qu'il s'est acquitté de l'obligation de conseil lui imposant de se renseigner sur les besoins de l'acheteur afin d'être en mesure de l'informer quant à l'adéquation de la chose proposée à l'utilisation qui en est prévue. L'obligation de conseil inhérente à tout contrat de fourniture informatique impose au vendeur de se renseigner sur les besoins de l'acheteur et d'informer ce dernier de l'aptitude du produit proposé à l'utilisation qui en est prévue. Il s'en déduit que ce devoir de conseil consiste à rechercher une solution qui soit adaptée aux besoins du client et à le mettre en garde contre les difficultés que présente l'implantation et l'exploitation d'un équipement présentant une certaine complexité.



L'obligation de conseil de la société informatique (analyse des besoins, orientation vers la solution adaptée, alerte sur les risques) est une obligation de moyens renforcée. Si le client soutient qu'il n'a pas été correctement informé des limites du logiciel ou des risques du projet, il lui suffit d'alléguer qu'une information était due ; c'est alors au prestataire de prouver qu'il a effectivement délivré les explications et mises en garde nécessaires.



Le client a, pour sa part, un devoir de collaboration. Il doit exposer correctement ses besoins, souvent via un cahier des charges, surtout si le projet est complexe. Si le client a sérieusement manqué à son obligation de coopération, le juge peut réduire la responsabilité du prestataire.



En l'espèce, il ressort des devis établis par la société 3 services informatiques le 5 février 2020 (pièce 1 de l'intimée) et du rapport d'expertise (page 8) qu'ils répondent à une demande de la société MISA de refonte de son système informatique dans la perspective d'intégrer un logiciel de gestion intégrée par ordinateur ainsi qu'une interface de services distanciels.



Il résulte de la facture datée du 10 mars 2020 que la société appelante a choisi le premier devis, moins onéreux (le premier chiffrant le coût des prestations à la somme de 3 764,89 euros HT contre 4 250,89 euros HT pour le second) prévoyant un seul onduleur (contre 3 dans le second devis) et une prestation informatique à hauteur de 8 heures (contre 9 dans le second).



Il n'est pas contesté que le 20 mars 2020, la société MISA a fait l'objet d'une cyberattaque par « ransomware » bloquant l'accès à ses données et qu'elle a été contrainte de régler la somme réclamée par ses auteurs pour obtenir le déverrouillage des données chiffrées.



L'expert judiciaire relève (page 20) que cette attaque est survenue en distanciel. Il indique que l'analyse des causes ayant rendu possible cette attaque mettent en lumière un déploiement candide du système d'exploitation Windows server 2019 en totale inadéquation avec les prescriptions sécuritaires du moment.



Il rappelle (page 9) que la norme de référence dans le déploiement d'un parc informatique au sein d'une entreprise est la norme internationale ISO/CEI 27000-2018 et qu'une agence nationale de la sécurité des systèmes d'information a été mise en place avec un sous-service (le CERT-FR) ayant pour mission de piloter la réponse nationale aux attaques informatiques visant les actifs essentiels de la nation. Il ajoute que l'accès à ces services est connu de tous les acteurs du monde de l'informatique et que des sites assurent une veille technologique et une mission d'alerte quant aux nouveaux vecteurs de cyberattaques. Selon l'expert, ils assurent périodiquement la délivrance d'outils et de recommandations pour la mise en place et le déploiement d'un système numérique.



Or, l'expert note que l'ajout de logiciels dit « sécuritaires » n'a eu aucune incidence sur le niveau de sécurité de l'installation puisque ces derniers ne sont que des outils complémentaires totalement dépendants de l'environnement dans lequel ils sont mis en 'uvre. Il conclut que cette configuration primaire est le vecteur de la compromission du système d'information de la société MISA. Il en déduit que les conséquences financières doivent être considérées pour partie par la société intimée dans la mesure où en professionnel du domaine, elle se doit de livrer une installation présentant un fonctionnement optimal et sécurisé.



L'étendue de l'obligation de la société 3 services informatiques, et les manquements qui en résultent, doivent s'apprécier par rapport aux attentes de la société MISA.



Il ne fait pas débat que l'installation informatique en cause est conforme aux termes du devis.



Cependant aucun cahier des charges, ni aucune planification ponctuée de phases de réception, n'a été établi entre les parties préalablement.



Or, le cahier des charges est, en pratique, l'outil central des obligations des parties : il formalise les besoins spécifiques du client et sert de référence pour juger de l'adéquation de la solution livrée. Son établissement était normalement à la charge de la société MISA.



L'objet social de cette dernière consiste en l'installation de machines et d'équipements mécaniques et aucune pièce ne permet de démontrer qu'elle disposait de compétences approfondies en matière informatique permettant de la qualifier de client averti. La seule référence par l'expert au fait que la société MISA « a l'intime conviction que l'attaque dont elle a été victime résulte d'un manque de sécurisation du port [Etablissement 1] (protocole de connexion à distance) » est insuffisant, en l'absence de tout autre élément probant, à établir qu'elle est un professionnel averti en matière informatique comme disposant des moyens d'information lui permettant d'apprécier les risques encourus, la société MISA ayant pu simplement rapporter à l'expert les analyses des sociétés informatiques ayant réalisé un audit postérieurement à l'attaque.



Il était donc de la responsabilité de la société intimée, prestataire informatique, d'exiger la remise de ce cahier des charges. L'absence de cette expression de besoins formalisée ne peut être exploitée par la société 3 services informatiques, comme elle tente de le faire, pour échapper à son obligation, en sa qualité de professionnel, d'informer le client non averti en la matière, sur la nécessité de cerner les besoins ou fonctionnements spécifiques à l'entreprise, pour adapter le bien proposé, notamment au vu des risques de cyberattaque, afin de déterminer les caractéristiques du bien et de la prestation à fournir.



À tout le moins, il lui appartenait, si elle se jugeait insuffisamment informée, de refuser de s'engager, d'émettre des réserves ou d'inviter le client à préciser ses besoins, en termes de cybersécurité notamment, ou encore d'organiser les investigations nécessaires pour définir les besoins du client ce qu'elle n'a pas fait, manquant ainsi à son obligation de conseil et engageant sa responsabilité contractuelle.



L'expert a relevé (page 14) des manquements de la société 3 services informatiques aux règles de l'art et règlements en vigueur. Il précise ainsi que « la configuration du système Windows server a été déployée avec des paramètres par défaut. La sécurité de l'installation ayant été envisagée par le choix d'associer au système d'exploitation Windows server 2019 un antivirus (GETDATA Business) et le logiciel bloquer de connexion TSE RDS KNIGHT » . Il ajoute que « cette solution de complémentarité ne vaut que si la configuration des divers protocoles et outils inclus dans Windows server 2019 sont mis en cohérence avec la présence de solutions supplémentaires ». Il explique (page 15) que l'outil RDS-KNIGHT n'est opérationnel qu'en complément du Firewall de Windows Server.

Il ajoute (page 15) que « les recommandations formulées par l'ANSSI n'ont pas été appliquées lors du déploiement du système d'information de la société MISA. Les logiciels de sécurisations choisis lors de l'installation ne sont en aucun cas des solutions à une absence de paramétrage des services sécuritaires d'un système tel que Windows Server 2019. Au contraire, elles peuvent devenir source de conflit et faille supplémentaire lorsqu'elles ne sont pas en adéquation avec le niveau d'optimisation recherché ».



Il en déduit (page 15) que le déploiement du système d'exploitation Windows server 2019 est en totale inadéquation avec les prescriptions sécuritaires du moment.



Ces éléments sont confirmés par les rapports d'audit versés par la société appelante (ses pièces 6 et 7) qui relèvent des dysfonctionnements de sécurité dans son système informatique (notamment l'absence de Firewall notée par l'expert).



Il en résulte que la société 3 services informatiques n'a pas mis tout en oeuvre pour sécuriser le système informatique de sa cliente et a commis une faute dans l'exécution de sa prestation engageant également sa responsabilité contractuelle.



Il ressort par ailleurs du rapport d'expertise que le manquement de la société intimée à son devoir de conseil, laquelle n'a pas suffisamment interrogé puis évalué les besoins de sa cocontractante afin de lui livrer une installation présentant un fonctionnement optimal et sécurisé, associé au non-respect des prescriptions sécuritaires en vigueur à l'époque ont concouru à la réalisation de son dommage en fragilisant son système informatique et en permettant l'attaque dont elle a été victime.



La société intimée échoue à démontrer que son offre objet du second devis d'un montant de 4 250,89 euros HT était réellement plus performante et permettait d'éviter ces dysfonctionnements de sorte que l'appelante qui l'a refusé serait seule responsable de leur survenue, les différences entre les deux devis portant sur 2 onduleurs et 1 heure de prestation informatique et ne permettant pas de l'établir.



Vainement, la société intimée invoque par ailleurs, pour échapper à sa responsabilité, l'article 3 de l'extrait des conditions générales de vente (sa pièce 4) concernant la « limite de responsabilité » aux termes duquel 'le client reste seul responsable des données présentes sur ses équipement. En conséquence, le client prendra toutes les précautions d'usage afin d'assurer les sauvegardes de ses données personnes. La responsabilité de 3 services informatiques en cas de perte totale ou partielle de données de quelle que sorte que ce soit, ne peut être engagé(...)'. Il apparaît en effet, à l'examen des pièces produites, que le document en cause, contrairement à ses dires, n'est pas joint au devis accepté par la société MISA et qu'aucune signature de son représentant n'y est apposée attestant de son acceptation de celles-ci. Elles lui sont donc inopposables et la société 3 services informatiques ne peut s'en prévaloir.



En revanche, il appartenait incontestablement à la société MISA de mieux définir ses besoins et d'établir un cahier des charges préalablement à la conclusion du contrat de prestations informatiques en cause afin de couvrir complètement et efficacement ses besoins. L'expert retient ainsi que la mise en place d'une sauvegarde n'est pas clairement définie au sein des documents contractuels (devis et factures) ce qui le conduit à proposer un partage par moitié des responsabilités entre les deux sociétés.



L'absence de cahier des charges et la transmission d'informations insuffisantes à son cocontractant ont également concouru à la réalisation du dommage subi par la société MISA. 



Dans ce contexte, la société 3 services informatiques ne sera tenue des conséquences de ses dommages qu'à hauteur de 50 %. Le jugement est infirmé en ce sens.



- Sur l'indemnisation des préjudices :



La société appelante justifie par la production d'une attestation d'un expert comptable établie le 18 novembre 2021 (sa pièce 14) avoir subi une perte d'exploitation pour la période du 20 avril 2020 au 30 avril 2020 de 15 724,95 euros.



Elle produit également deux factures établies par la société CA2SI les 23 juin et 15 juillet 2020 chiffrant le coût de remise en état du système informatique et du paramétrage des connexions à distance à la somme respective de 5 347,56 euros et 262,50 euros ainsi qu'une facture de la société Quick informatique (sa pièce 18) du 24 avril 2020 qui évalue à 105 euros le montant de la réinstallation du logiciel Gestmag.



Il n'est enfin pas contesté que le montant de la rançon versée dans le cadre de la cyberattaque s'élève à la somme de 2 755,18 euros.



Ces dépenses ont dû être engagées consécutivement à l'attaque dont la société MISA a été victime du fait des manquements contractuels de la société intimée. Elles seront donc retenues.



Tenant compte du partage de responsabilité retenu, une somme de 12 097,59 euros (24 195,19 /2) sera allouée à la société MISA à titre d'indemnisation. 



En revanche, le préjudice né de la perte de temps du gérant et de la secrétaire de la société MISA à remettre en service le système informatique n'est pas démontré par la seule production d'un tableau créé par ses soins récapitulant les tâches accomplies, le coût de la remise en état du système informatique étant par ailleurs déjà indemnisé sur la base de la facture de la société CA2SI. La demande formée de ce chef est écartée.



La réalisation d'un audit informatique résulte par ailleurs du seul choix de la société MISA et n'a pas été rendu obligatoire du fait de l'attaque subie. Son coût ne peut donc être mis à la charge de l'intimée qui devra déjà supporter les frais d'expertise dans le cadre de sa condamnation aux dépens, d'autant que celle-ci aurait pu être sollicitée plus en amont par la société MISA sans nécessité de recourir à des audits. La demande présentée de ce chef est donc rejetée.



Enfin, la société MISA qui se prévaut d'un préjudice moral échoue à démontrer qu'elle subit un dommage distinct des autres postes déjà indemnisés, notamment qu'elle a perdu un contrat ou n'a pu honorer ses engagements du fait de la défectuosité de son système informatique résultant de la faute de l'intimée. Sa demande est donc également rejetée.



Le jugement est donc infirmé. 



- Sur la demande d'indemnisation de la société 3 services informatiques pour procédure abusive :



Aux termes de l'article 909 du code de procédure civile, l'intimé dispose, à peine d'irrecevabilité relevée d'office, d'un délai de trois mois à compter de la notification qui lui est faite des conclusions de l'appelant prévues à l'article 908 pour remettre ses conclusions au greffe et former, le cas échéant, appel incident ou appel provoqué.



En l'espèce, la société intimée a sollicité dans le dispositif de ses conclusions notifiées par RPVA le 10 mars 2025, soit dans le délai de trois mois suivant la notification des premières conclusions de l'appelant du 13 décembre 2024, l'infirmation du jugement querellé en ce qu'il l'a déboutée de l'intégralité de ses demandes. Il s'en déduit qu'elle a régulièrement interjeté appel incident de cette disposition du jugement.



Compte tenu néanmoins de l'issue du litige, la responsabilité de la société intimée étant partiellement retenue, elle est mal fondée à réclamer une indemnisation de ce chef. Sa demande doit donc être rejetée. 



- Sur les frais de procédure et les dépens :



La société 3 services informatiques qui succombe est condamnée aux dépens de première instance et d'appel. Déboutée de ses demandes, elle ne peut prétendre à une indemnité pour les frais de procédure. Le jugement est infirmé en ce sens.



L'équité commande d'allouer à l'appelante une somme, telle que fixée dans le dispositif, sur le fondement des dispositions de l'article 700 du code de procédure civile pour les frais irrépétibles exposés en première instance et à hauteur d'appel. Le jugement est également réformé en ce sens.



PAR CES MOTIFS :



La cour, statuant par arrêt contradictoire,



Infirme la décision entreprise en toutes ses dispositions ; 



Statuant à nouveau, 



Rejette la demande de dommages et intérêts de la société MISA pour atteinte à l'honneur et à la considération de la société ou de ses représentants ; 



Rejette la demande de la société MISA tendant à la suppression des écrits figurant dans les conclusions de la société 3 services informatiques ; 



Dit que la société 3 services informatiques est responsable à hauteur de 50 % des dommages subis par la société MISA ;



Condamne la société 3 services informatiques à verser à la société MISA la somme de 12 097,59 euros en réparation de ses préjudices détaillée comme suit :

- 7 862,47 euros au titre de la perte d'exploitation,

- 2 673,78 euros au titre du coût de la remise en état du système informatique,

- 131,25 euros au titre du coût du paramétrage des connexions à distance,

- 52,50 euros au titre de la réinstallation du logiciel Gestmag,

- 1 377,59 euros au titre du coût de la rançon ;



Rejette les demandes de la société MISA formées au titre :

' du préjudice issu du temps à remettre en service le système informatique,

' de l'audit informatique,

' du préjudice moral ;



Rejette la demande d'indemnisation de la société 3 services informatiques pour procédure abusive ; 



Condamne la société 3 services informatiques aux dépens de première instance et d'appel ;



Condamne la société 3 services informatiques à payer à la société MISA la somme de 3 000 euros sur le fondement de l'article 700 du code de procédure civile ;



La déboute de sa demande formée à ce titre.







Le greffier La présidente
Articles de loi cités

article 700 du code de procédure civile ainsi quarticle 700 du code de procédure civile pour lesarticle 450 du code de procédure civilearticle 914-5 du code de procédure civilearticle 909 du code de procédure civilearticle 700 du code de procédure civilearticle 1217 du code civil
Avocats intervenants

Maître Raphaël YERNAUX Maître Stanislas COLOMES
Citations

Aucune citation répertoriée pour cette décision.
Décisions connexes

Aucune décision similaire identifiée pour le moment.
← Retour à la recherche
Synthèse

Juridiction: Cour d'Appel
Chambre: Chambre-1 civile et com.
Date: 28 avril 2026
Référence

69f19629cdc6046d47ed94d3
Données disponibles

Texte intégral
Résumé officiel
Analyse IA