Recours collectif contre OVH : "la piste du RGPD est privilégiée", A. Dakos
19.01.2022
Gestion d'entreprise
80 entreprises ont décidé de mener une action de groupe à l'encontre de la société OVH, à la suite de l'incendie qui a touché l'un de ses data centers en mars 2021. Elles souhaitent obtenir réparation du préjudice lié à la destruction irréversible de leurs données. L'affaire est portée par le cabinet Ziegler & Associés. Alexandre Dakos, associé du cabinet, nous explique les enjeux du dossier.
Vous avez initié un recours collectif contre OVH. Combien d'entreprises impactées par l'incendie ont rejoint cette initiative ?
Aujourd’hui, 80 entreprises ont rejoint l’action de groupe. Ce chiffre croît de semaine en semaine. Nos clients sont exclusivement des entités privées mais nous avons également été approchés par deux organismes publics. Il est probable que d’autres organismes publics rejoignent l’action dans les semaines à venir.
Ce recours ne concerne-t-il que des petites et moyennes structures ?
Il y a une très grande majorité de TPE-PME. Quelques grosses entreprises se sont jointes au recours : dont une entreprise du CAC 40 et des grands groupes basés à l’international.
Quel est leur objectif ?
L’incendie a occasionné un préjudice considérable : entre 10 000 et 16 000 entreprises ont été touchées. Beaucoup d’entre elles n’ont pas vu leurs préjudices réparés.
Des tentatives de résolution amiable du litige ont été entreprises, de manière individuelle par certaines entreprises mais OVH n’a pas souhaité y donner suite. Aujourd’hui, nos clients veulent que leurs préjudices soient indemnisés.
Sur quels motifs se fonde l'action de groupe ?
A ce stade, nous nous sommes concentrés sur les manquements contractuels d’OVH dans le cadre de l’incendie qui a ravagé le data center.
Le RGPD prévoit une obligation de sécurité des données de la part des sous-traitants. Cela pourrait être un fondement ?
Le dossier est en cours d’instruction et nous identifions encore régulièrement de nouvelles orientations stratégiques. La piste du RGPD est en effet une piste privilégiée en dehors des manquements contractuels d’OVH.
Quels types de contrats liaient OVH à vos clients ?
Les contrats qui liaient nos clients à OVH étaient des contrats classiques d’hébergement et de stockage des données. Les sociétés ont confié à OVH le soin de s’assurer de cette conservation ainsi que de prévoir des doublons de ces sauvegardes.
Certaines entreprises ont perdu des données de facturation, des données sensibles... Y a-t-il d’autres catégories de données concernées ? Sont-elles définitivement perdues ?
Plusieurs types de données étaient stockées sur le data center. Ces données sont de natures diverses car elles concernent des secteurs différents : médical (données de santé), commercial (données sur la clientèle), données numériques, etc.
Les données ont été perdues de manière irréversible par OVH. Ce que nous reprochons aujourd’hui à cette entreprise, c’est de ne pas avoir stocké dans des espaces différents des sauvegardes primaires et secondaires en back-up. Cette configuration aurait permis de récupérer des données après l’incendie.
Quels sont les principaux préjudices ?
Nous avons relevé plusieurs types de préjudices dont l’ampleur et la nature varient selon nos clients.
Un préjudice financier tout d’abord, lié à une perte de chiffre d’affaires ou des frais occasionnés pour tenter de compenser les pertes de données.
Un préjudice d’image également : aujourd’hui, certaines entreprises sont en effet décrédibilisées dans leur secteur d’activité, auprès de leurs fournisseurs, de leurs prestataires ou de leurs clients.
Un préjudice de perte de clientèle est également constaté : ce préjudice est bien sûr rattaché au préjudice de perte d’image.
Comment allez-vous chiffrer ces préjudices ?
Pour certains postes de préjudices (perte de chiffre d’affaires etc.), le chiffrage va être relativement aisé. Nous regroupons actuellement toutes les pièces adressées par nos clients, ce qui nous permettra d’évaluer très finement les sommes en jeu. Pour d’autres postes, qui relèvent des préjudices moraux, nous sommes en train de faire une analyse fine de la jurisprudence en la matière afin de chiffrer précisément les montants indemnitaires que nous pouvons raisonnablement demander à OVH.
OVH compte invoquer la force majeure. Selon vous, ce motif est-il valable ?
OVH a soulevé l’argument de la force majeure dans les réponses faites à certains de nos clients. Aujourd’hui, la force majeure est définie par l’article 1218 du code civil. Il y a 3 grandes caractéristiques : le caractère irrésistible, imprévisible, et un caractère extérieur. Le juge, saisi d’une affaire en ce sens, doit ainsi examiner si les trois conditions sont réunies pour exonérer de sa responsabilité un cocontractant défaillant.
Or, nous allons nous atteler à démontrer que ces trois conditions n’étaient pas réunies, en particulier le caractère imprévisible de l’incendie. En effet, lorsque OVH a conclu des contrats avec nos clients, la société devait raisonnablement anticiper la survenance d’un incendie dans le data center de Strasbourg et prendre toutes les mesures pour l’éviter.
Quelles mesures auraient pu être prises par OVH ?
OVH aurait pu prendre un certain nombre de mesures permettant de prévenir l’incendie : des dispositifs d’extinction automatique, de prévention ou encore des stockages différenciés selon le type de données. OVH n’est pas allé assez loin dans cette obligation de sécurité renforcée.
Quelles recommandations donneriez-vous à une entreprise qui souhaite héberger ses données auprès d’un prestataire ? Comment avoir des garanties en termes de sécurité ?
Sur le plan juridique, portez une attention très particulière au contrat que vous allez conclure. Il s’agit souvent de contrats d’adhésion, c’est-à-dire des contrats rédigés à l’avance par le prestataire (considéré comme la « partie forte ») et qui doit être signé par son cocontractant. Prenez bien connaissance des clauses du contrat et vérifiez s’il existe dans ce contrat des clauses limitatives voire exonératoires de responsabilité, ce qui peut être constitutif de clauses abusives, prohibées en droit français. C’est ce que nous allons démontrer avec les contrats d’OVH. Ces clauses devaient être réputées non écrites car elles portaient sur l’obligation essentielle d’OVH (à savoir, garantir la sécurité de la conservation des données) et vidaient de leur substance cette obligation.
Vérifiez enfin si les obligations de sécurité sont suffisamment définies puisqu’on attend en premier lieu d’un hébergeur de données que celles-ci soient conservées de manière sécurisée.
Quelles sont les prochaines étapes ?
Aujourd’hui, nous invitons toutes les entreprises concernées par l’incendie à rejoindre le recours que s’apprête à engager le cabinet Ziegler & Associés.
A la fin du mois de mars, nous allons préparer une mise en demeure à l’attention d’OVH, dans laquelle nous allons rappeler tous les manquements contractuels et demander une indemnisation pour chacun de nos clients en conséquence.
Un délai sera imparti à OVH et si, à l’expiration de ce délai, aucune réponse favorable n’est apportée par OVH, notre cabinet introduira une action en justice devant le tribunal de commerce compétent.
L’objectif, dans l’intérêt de nos clients, est que l’affaire s’arrête au stade précontentieux. Nous comptons donc sur la pleine coopération d’OVH.