Une société avait souscrit un contrat de location de serveur privé auprès du prestataire d’hébergement OVH comprenant une option de sauvegarde automatisée (backup). Le prestataire s’était engagé à ce que l’espace de stockage alloué au backup soit « physiquement isolé » de l’infrastructure dans laquelle était mis en place le serveur privé virtuel du client.

A la suite de l’incendie de mars 2021, les données du client étaient inaccessibles, sans que l’option « backup » lui permette de les récupérer, ledit backup étant stocké dans le bâtiment détruit par l’incendie. Le client a assigné le prestataire en responsabilité contractuelle devant le tribunal de commerce de Lille.

Plusieurs enseignements sont à relever du jugement de première instance du 26 janvier 2023 :

● Le tribunal considère qu’en application de l’article 1170 du code civil, la clause de force majeure est réputée non-écrite dans la mesure où, stipulée en des termes dégageant la responsabilité du prestataire en cas de survenance de tout sinistre, elle contredit l’essence même de l’obligation du prestataire qui est, justement, de pouvoir se reposer sur les sauvegardes des données en cas de sinistre.

● Concernant la localisation des sauvegardes, l’engagement portait sur un espace de stockage « physiquement isolé de l’infrastructure dans laquelle est mis en place le Serveur Privé Virtuel ». Pour le tribunal, « stocker les données au même endroit que le serveur principal, et a fortiori, (…)conserver toutes les copies de sauvegarde au même endroit ne permet pas de mettre à l’abri les données, ne respecte par l’état de l’art de la sauvegarde et ne permet pas d’atteindre l’objectif fixé par le contrat ».

● La clause limitative de responsabilité est réputée non écrite au fondement de l’article 1171 du code civil. Celle-ci prévoyait une indemnisation plafonnée au montant payé par le client au cours des 6 mois précédant la demande d’indemnisation. Le tribunal considère que cette clause « octroie un avantage injustifié (au prestataire) en absence de contrepartie pour le client. Cette clause crée une véritable asymétrie entre les obligations de chacune des parties. En définitive, cette clause transfère le risque sur l’autre partie de manière injustifiée et sans contrepartie pour cette dernière ».

Le prestataire est donc condamné à une indemnisation totale de 94 000 euros alors que la clause limitait sa responsabilité à 1 800 euros. C’est finalement faire porter au prestataire le risque pris par le client d’héberger des données sensibles pour un prix limité à 300 euros par mois.