Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Maître Henri Leben : Les modalités d’évaluation du préjudice en cas de perte de données

mars 2010 par Henri Leben, Avocat à la Cour, Of Counsel cabinet ARTEMIA

Entre l’inondation des serveurs, la faillite du prestataire d’hébergement, l’acte malhonnête ou la maladresse d’un salarié, les causes de perte des données en entreprise sont nombreuses. La responsabilité du professionnel est encadrée par un certain nombre de textes (loi Informatique et Libertés en France, textes équivalents dans le reste de la Communauté européenne ou, prochainement, le Red Flag Identity Theft Rule aux Etats-Unis) mais la réglementation ne s’intéresse pas à l’appréciation du préjudice résultant de la perte des données.

C’est pourtant une question centrale qui a déjà donné lieu à une jurisprudence fournie.

La présente chronique se propose de passer en revue les principaux postes de préjudice consécutifs à la perte de données.

La perte des données traitées par une société, qu’il s’agisse de données personnelles ou de données nécessaires à l’activité, peut entraîner un préjudice direct à l’égard d’au moins deux acteurs :

 l’entreprise qui a perdu les données ;
 le cocontractant de l’entreprise.

S’agissant de l’entreprise dont les données sont perdues, plusieurs postes de coûts peuvent être identifiés :

* les coûts liés à la prise en charge technique de la perte. Il s’agit d’identifier rapidement l’origine du dysfonctionnement pour pouvoir mettre fin à l’hémorragie.

* Viennent ensuite bien sûr les coûts de « réparation » correspondant aux dépenses engagées pour reconstituer (ou tenter de reconstituer) les données. Ces coûts peuvent s’apprécier en termes de jours-homme si la reconstitution a été traitée par des salariés, ou en fonction de la facture du prestataire.

* Doit également être intégré le coût de la désorganisation de l’entreprise, consécutive à la perte des données. L’appréciation de ce coût peut se faire sur la base de deux méthodes, qui peuvent d’ailleurs être cumulées :

 Comparaison du chiffre d’affaires moyen réalisé sur une période de référence, avec le chiffre d’affaires réalisé pendant la période où les données ont été inaccessibles. Ou,
 Evaluation des dossiers n’ayant pu être traités du fait de la perte des données.

* On ajoutera également au coût de la désorganisation, les conséquences commerciales de la perte des données, avec en premier lieu, l’atteinte à l’image de marque et à la réputation de la société. Ce dernier coût pourra être mis assez facilement en évidence si la perte de données est suivie de la perte de clients.

* Enfin si dans certains cas seule l’entreprise traitant les données a à déplorer un préjudice, dans de nombreux cas, la perte de données entraine également un préjudice à l’égard des tiers. Lors de l’évaluation du préjudice consécutif à la perte de données, il convient ainsi d’intégrer les éventuelles conséquences judiciaires. Parmi les conséquences possibles, on retiendra :

 L’engagement de la responsabilité contractuelle de l’entreprise lorsque la perte des données a retardé ou empêché l’exécution de ses obligations ;
 L’engagement de la responsabilité contractuelle de l’entreprise, lorsque les données perdues concernaient l’activité de son cocontractant ;
 L’engagement de la responsabilité délictuelle, lorsque la perte des données a entraîné un dommage vis-à-vis d’un tiers, non lié contractuellement à l’entreprise.

Ces différents postes de préjudice se retrouvent également chez le cocontractant.

A noter enfin que la perte de données peut engager la responsabilité du responsable du traitement,

(« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », article 34 de la loi Informatique et Libertés),

ainsi qu’avoir des conséquences sur les salariés de l’entreprise, dès lors que la perte des données résulte d’une faute susceptible de justifier un licenciement ou une mise à pied.

Dernier point, et non des moindres, la preuve du préjudice :

Dans tous les cas, l’identification des postes de préjudice ne suffit pas. Il convient également d’être en mesure de les chiffrer avec précision.

En cas de contentieux l’étendue du préjudice requiert en général le recours à un expert, chargé d’évaluer le dommage à partir des pièces fournies par les parties.

S’agissant de faits, le montant du préjudice peut être prouvé par tous moyens : données comptables, factures, attestations, projections, étude du marché, analyses statistiques, expertise privée, etc.

Pour mémoire, on rappellera également qu’il convient de distinguer le préjudice indemnisable de la simple perte de chance, pour laquelle les tribunaux n’accordent qu’une réparation limitée.

Dans tous les cas, on ne peut que conseiller de mettre en place des mécanismes de garantie efficaces, tant sur le plan technique que sur le plan juridique, afin de minorer au mieux les risques consécutifs à la perte de données.


Voir les articles précédents

    

Voir les articles suivants