Transfert d'hébergement : 100 000 € de dommages-intérêts pour violation de l'obligation de confidentialité

Une jugement du Tribunal de grande instance de Paris du 15 février dernier vient montrer une fois de plus combien les entreprises françaises, notamment dans le monde du web, méconnaissent le cadre juridique dans lequel elles travaillent.

Les faits

Une entreprise a souhaité refondre son site web et pour ce faire a contracté avec une agence web pour le développement d'un nouveau site, son hébergement et sa maintenance. Un accord de confidentialité étendue fut conclu entre les parties pour garantir au client la discrétion la plus large sur les informations le concernant.
Le prestataire décida de transférer l'hébergement du site, avec toutes ses données, chez un autre hébergeur, sans l'accord du client. Ce dernier a considéré que cette opération, "en transférant les données protégées à une société tierce inconnue" constituait une violation du contrat de confidentialité.

Le TGI de Paris constate qu'il y a eu effectivement violation de la confidentialité puisque les données protégées se sont retrouvées sous le contrôle d'un autre hébergeur que le client n'a jamais agréé. Il fait donc droit à la demande du plaignant et condamne le développeur à 100 000 € de dommages-intérêts, auxquels il convient d'ajouter 2500 € pour frais de justice du plaignant.

L'amateurisme juridique

Cette décision illustre de manière emblématique le regrettable amateurisme juridique dans lequel nombre d'entreprises françaises fonctionnent. Nous sommes fréquemment confrontés à des dirigeants qui ignorent (aux deux sens du terme) superbement les contraintes juridiques dans lesquelles il convient de travailler, et avec lesquels nous refusons tout partenariat.
L'adage "Nul n'est censé ignorer la loi" n'est pas là pour le simple plaisir d'empêcher les gens de faire ce qu'il veulent, mais pour respecter un cadre sécurisé de "règles du jeu en société", ce qu'est finalement le droit.
C'est d'autant plus flagrant en droit des affaires que dans ce domaine plus qu'en bien d'autres, la liberté est de principe et qu'il suffit de créer ses propres lois personnelles, c'est-à-dire des contrats librement négociés entre les parties : l'article 1134 du Code civil rappelle en effet que les contrats constituent la loi des parties. Réserve faite d'un cadre réglementaire assez ouvert et des droits des tiers à respecter (données personnelles, informations confidentielles, propriété intellectuelle…), il est donc possible de prévoir contractuellement des règles de fonctionnement qui définissent une relation de travail selon des règles que chacun accepte librement. Il suffit ensuite de s'y tenir.

Des situations de vide juridique dangereuses pour le client

Nous avons souvent rencontré des situations étonnantes de sociétés de développement qui par exemple déposaient le nom de domaine du client en leur nom propre, s'érigeant comme le propriétaire de celui-ci, et/ou qui omettaient tout simplement ce céder contractuellement au client les droits d'exploitation relevant du droit d'auteur et du droit des bases de données — ce qui fait que le client n'avait rien "acheté", même en payant la prestation au prix fort —, sans parler de l'oubli presque général de la mise en place des informations légales obligatoires sur le site — que nous appelons cyber-ours — : obligation d'identifier l'éditeur du site, son hébergeur, etc. obligation qui, si elle n 'est pas satisfaite, peut coûter jusqu'à un an de prison et 75 000 € d'amende… (article 6-III, 1 et VI, 2, loi n°2004-575 du 24 juin 2004 dite LCEN — voir notre article du 17 décembre 2005 : "Développement de sites web : les bonnes pratiques juridiques et professionnelles").

En savoir plus

Voir la décision du TGI de Paris du 15 février 2016 sur l'excellent site Légalis.net :
www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4922
Et la courte présentation qui en est proposée :
www.legalis.net/spip.php?page=breves-article&id_article=4923

Didier FROCHOT