MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

Des dommages causés par une cyberattaque. Quelle est la responsabilité de l'indemnisation des dommages du fournisseur de système ? Explication avec des exemples de clauses contractuelles

IT

Des dommages causés par une cyberattaque. Quelle est la responsabilité de l'indemnisation des dommages du fournisseur de système ? Explication avec des exemples de clauses contractuelles

Ces dernières années, les cyberattaques contre les entreprises sont en constante augmentation.

Selon une enquête menée par l’Association Japonaise de Sécurité du Réseau (JNSA), une organisation à but non lucratif spécifique, la proportion d’accès non autorisés dans les incidents de fuite d’informations personnelles était de 4,7% en 2013, mais a augmenté à 20,3% en 2018 (Rapport d’enquête sur les incidents de sécurité de l’information en 2018[ja]).

Dans cet article, nous expliquerons la portée de la responsabilité que les fournisseurs de systèmes doivent assumer en cas de cyberattaque, en nous basant sur des exemples de jugements passés. De plus, nous expliquerons également les rôles et les domaines de responsabilité que les fournisseurs et les utilisateurs devraient convenir dans leurs contrats afin de collaborer sur les mesures contre les cyberattaques, en nous basant sur un modèle de contrat.

Les fournisseurs de systèmes sont-ils responsables des dommages causés par les cyberattaques ?

Les fournisseurs de systèmes sont-ils responsables des dommages causés par les cyberattaques ?

En cas de dommages causés par une cyberattaque sur une entreprise côté utilisateur, la première responsabilité incombe à l’auteur de l’attaque. Cependant, si l’attaque a été facilitée par une négligence dans le développement ou l’exploitation du système, il est possible que des demandes de dommages et intérêts soient reconnues envers le fournisseur du système de la part de l’utilisateur.

Les bases pour une demande de dommages et intérêts contre le fournisseur du système peuvent inclure :

  • Responsabilité pour non-conformité du contrat
  • Violation du devoir de diligence

Cependant, il est également possible que les dommages soient aggravés par la négligence de l’utilisateur. Dans ce cas, la responsabilité de l’utilisateur peut également être reconnue. Dans les procès réels, cela a été pris en compte comme une compensation pour la négligence, et il y a eu des cas où les dommages et intérêts contre le fournisseur du système ont été limités.

Article connexe : Quels sont les trois types de cybercriminalité ? Un avocat explique comment prévenir les dommages dans chaque scénario[ja]

Responsabilité en matière de dommages et intérêts du fournisseur de systèmes et exemples de clauses contractuelles

Il existe trois exemples principaux de contrats de systèmes informatiques entre le fournisseur de systèmes et l’entreprise utilisatrice, comme suit :

  1. Contrat de développement de logiciels
  2. Contrat de maintenance et d’exploitation du système
  3. Contrat d’utilisation de services cloud

La responsabilité en matière de dommages et intérêts est déterminée par le contrat initial, nous allons donc expliquer ci-dessous pour chaque type de contrat.

Contrat de développement de logiciel

Un contrat de développement de logiciel est un accord conclu lorsque l’entreprise côté utilisateur confie le développement de son système à un fournisseur de logiciels.

Si une vulnérabilité logicielle est à l’origine de l’aggravation des dommages lorsqu’une entreprise côté utilisateur est victime d’une cyberattaque, il est possible de tenir le fournisseur responsable.

Les responsabilités assumées par le fournisseur de système dépendent du type de contrat de développement de logiciel et peuvent être classées en deux catégories :

  • Contrat d’entreprise : Responsabilité pour non-conformité du contrat
  • Contrat de quasi-mandat : Violation de l’obligation de diligence

Contrat d’entreprise

Un contrat d’entreprise est un accord qui promet l’achèvement du système et qui rémunère pour le produit fini.

Si le produit livré “ne correspond pas à l’objectif du contrat”, une responsabilité pour non-conformité du contrat (Articles 559 et 562 du Code civil japonais[ja]) s’applique à l’entrepreneur pour une certaine période après la livraison.

En d’autres termes, si un produit est susceptible de causer facilement une défaillance du système en cas de cyberattaque, il peut être considéré comme “ne correspondant pas à l’objectif du contrat”, et l’utilisateur peut demander une indemnisation pour non-conformité du contrat.

La question de savoir si cette demande sera acceptée dépend du niveau de sécurité du logiciel convenu entre les parties à l’avance.

【Exemple de clause de responsabilité pour non-conformité du contrat】

Article X : Après l’achèvement de l’inspection mentionnée à l’article précédent, si une incohérence (y compris les bugs, ci-après dénommée “non-conformité du contrat”) est découverte dans le produit livré par rapport au cahier des charges du système, la partie A peut demander à la partie B de compléter l’exécution (ci-après dénommée “complétion”) de la correction de cette non-conformité du contrat, et la partie B doit effectuer cette complétion. Toutefois, si cela n’impose pas une charge déraisonnable à la partie A, la partie B peut effectuer la complétion par une méthode différente de celle demandée par la partie A.

2. Nonobstant le paragraphe précédent, si l’objectif du contrat individuel peut être atteint malgré la non-conformité du contrat, et si la complétion nécessite des coûts excessifs, la partie B n’est pas tenue de remplir l’obligation de complétion prévue au paragraphe précédent.

3. Si la partie A subit un dommage en raison de la non-conformité du contrat (limitée à celle causée par une cause imputable à la partie B), elle peut demander une indemnisation à la partie B.

Source : Modèle de contrat de transaction de système d’information (2ème édition)[ja]

Contrat de quasi-mandat

Un contrat de quasi-mandat n’implique pas l’application de la responsabilité pour non-conformité du contrat, car il n’y a pas d’obligation de compléter le produit. Au lieu de cela, il comporte l’obligation de “traiter les affaires du mandat avec le soin d’un bon gestionnaire” (obligation de diligence).

Si une défaillance du système se produit en raison d’une cyberattaque, même si le niveau de sécurité n’a pas été défini lors de la conclusion du contrat, le fait d’avoir développé un système de ce niveau peut être considéré comme une “violation de l’obligation de diligence” (Articles 656 et 644 du Code civil japonais[ja]), et il est possible de faire l’objet d’une demande d’indemnisation pour dommages.

【Exemple de clause d’obligation de diligence】

Article X : La partie B conclura un contrat individuel conformément à l’article X, et fournira un service (ci-après dénommé “service de soutien à la création de spécifications de besoins”) pour soutenir le travail de création de spécifications de besoins par la partie A, sur la base du concept de système d’information créé par la partie A, du plan de systématisation, etc., dans le cadre de ce projet.

2. La partie B, sur la base de ses connaissances et de son expérience spécialisées en matière de technologie de l’information, effectuera des travaux de soutien tels que la recherche, l’analyse, l’organisation, la proposition et le conseil avec le soin d’un bon gestionnaire, afin de faciliter et d’assurer le bon déroulement du travail de la partie A.

Source : Modèle de contrat de transaction de système d’information (2ème édition)[ja]

Contrat de Maintenance et d’Exploitation de Système

Un contrat de maintenance et d’exploitation de système est un accord par lequel une entreprise délègue à un fournisseur de logiciels la tâche de maintenir et d’exploiter un logiciel existant. Lors de la conclusion d’un contrat de maintenance et d’exploitation, il est courant d’inclure dans le contrat, par le biais d’un cahier des charges ou d’un document similaire, le niveau de sécurité à atteindre.

En cas de dommages causés par une cyberattaque, si le niveau de sécurité du système est inférieur à celui convenu lors de la signature du contrat, la responsabilité pour non-exécution du contrat peut être engagée sur la base d’une clause de non-conformité.

Cependant, si le niveau de sécurité n’a pas été défini à l’avance, le fait de maintenir et d’exploiter un système vulnérable aux cyberattaques pourrait être considéré comme une violation du devoir de diligence, ce qui pourrait entraîner une responsabilité.

Contrat d’utilisation des services cloud

Un contrat d’utilisation des services cloud est un accord conclu lors de l’utilisation des services fournis par un fournisseur sur le cloud. Étant donné que le fournisseur est censé fournir le même service à de nombreux utilisateurs, il est courant de conclure un contrat conformément aux conditions d’utilisation établies par le fournisseur.

Généralement, ce contrat précise à l’avance la responsabilité en cas d’impossibilité de fournir le service en raison d’une cyberattaque.

Dans un contrat d’utilisation des services cloud, les éléments suivants sont généralement stipulés lors de la conclusion du contrat :

  • SLA (Service Level Agreement) : garantie de qualité et règles d’exploitation
  • Clauses limitatives de responsabilité : portée de la responsabilité pour inexécution du fournisseur en cas de dommages

Un SLA est un document qui formalise le niveau de demande de l’utilisateur et les règles d’exploitation du fournisseur. Si le service stipulé ici n’est pas fourni, vous pouvez demander une indemnisation pour inexécution partielle. De plus, il est possible que le contrat contienne une “clause limitative de responsabilité” qui limite à l’avance les conditions sous lesquelles le fournisseur peut être tenu responsable pour inexécution, et qui limite le montant des dommages même si la responsabilité est reconnue.

Cependant, comme les clauses limitatives de responsabilité sont souvent favorables au fournisseur, elles peuvent être limitées en partie par la jurisprudence japonaise en cas de litige.

【Exemple de clause limitative de responsabilité】

Article X : Si A et B subissent des dommages en raison de causes imputables à l’autre partie dans l’exécution de ce contrat et du contrat individuel, ils peuvent demander une indemnisation à l’autre partie (limitée aux dommages de XXX). Cependant, cette demande ne peut être faite qu’après l’expiration d’un délai de X mois à compter de la date d’achèvement de l’inspection des livrables stipulés dans le contrat individuel concerné ou de la date de confirmation de la fin du travail.

2. Le montant total cumulé des dommages-intérêts relatifs à l’exécution de ce contrat et du contrat individuel est limité à XXX, quel que soit le motif de la demande, y compris l’inexécution (y compris la responsabilité pour non-conformité du contrat), l’enrichissement sans cause, le comportement illégal, etc., en raison de la cause de la responsabilité dans le contrat individuel concerné.

3. Le paragraphe précédent ne s’applique pas en cas de faute intentionnelle ou de négligence grave de la part du débiteur de l’indemnisation.

Source : Système d’information – Modèle de transaction – Contrat (deuxième édition)[ja]

Critères de jugement de la portée de la responsabilité en matière de dommages et intérêts du côté du fournisseur de systèmes

Critères de jugement de la portée de la responsabilité en matière de dommages et intérêts du côté du fournisseur de systèmes

En cas de dommages causés à une entreprise utilisatrice par une cyberattaque, dans quels cas précis la responsabilité du fournisseur qui a développé le système peut-elle être mise en cause ?

Nous expliquerons ci-dessous, en nous basant sur des exemples de jugements où la responsabilité du côté du fournisseur de systèmes a été mise en cause.

Des mesures ont-elles été prises conformément au niveau de technologie au moment du développement ?

Dans les cas réels où la responsabilité est contestée en justice, il est important de savoir si le fournisseur de systèmes a mis en œuvre des mesures de sécurité conformes aux normes établies par les agences gouvernementales et les associations industrielles au moment du développement.

Il existe des exemples de jugements qui ont ordonné au fournisseur de systèmes de payer des dommages et intérêts pour les dommages causés par une cyberattaque, comme suit :

【Exemple de jugement】Tribunal de district de Tokyo, 23 janvier 2014 (Heisei 26)
Utilisateur : Société X, qui vend des matériaux d’intérieur au détail et par correspondance
Fournisseur : Société Y, qui a été chargée de la conception et de la maintenance du système de commande en ligne

Incident où les informations de carte de crédit de 7 000 clients ont été divulguées à la suite d’une cyberattaque

■Verdict
Ordre de payer environ 20 millions de yens de dommages et intérêts au fournisseur de systèmes
Un montant supérieur à environ 2 millions de yens du prix de développement a été reconnu
La société X a également été reconnue coupable de négligence, avec une compensation de 30% pour négligence

■Raison
・Le fournisseur de systèmes a négligé de mettre en œuvre des mesures de sécurité conformes au niveau de technologie de l’époque.
・Malgré avoir reçu une explication des risques de la part du fournisseur de systèmes, la société utilisatrice qui a négligé de prendre des mesures a également été reconnue coupable de négligence, et une compensation de 30% pour négligence a été accordée.

En 2014, les “attaques par injection SQL” étaient la principale méthode de cyberattaque, et le ministère de l’Économie, du Commerce et de l’Industrie avait publié un document intitulé “Appel à la mise en œuvre de mesures de sécurité pour les données personnelles en vertu de la loi japonaise sur la protection des informations personnelles[ja]“, soulignant le risque de cyberattaque et appelant à renforcer les systèmes.

Le jugement a reconnu la responsabilité du fournisseur de systèmes qui n’avait pas pris de mesures et a ordonné le paiement de dommages et intérêts, tout en reconnaissant que l’entreprise utilisatrice était également en faute et en accordant une compensation de 30% pour négligence.

Y a-t-il une faute de la part de l’entreprise utilisatrice ?

L’entreprise utilisatrice qui commande le développement du système a également des obligations à respecter, et si elle est en faute, elle peut être tenue entièrement responsable.

Voici un exemple de jugement qui a reconnu entièrement la responsabilité de l’entreprise utilisatrice et a ordonné le paiement de dommages et intérêts, bien qu’il ne s’agisse pas d’un cas de cyberattaque.

【Exemple de jugement】Tribunal de district d’Asahikawa, 31 août 2017 (Heisei 29)

Utilisateur : Hôpital universitaire
Fournisseur : Société de systèmes qui a été chargée par l’hôpital universitaire de développer un système de dossiers médicaux électroniques

Peu après le début du projet, des demandes supplémentaires ont été faites les unes après les autres par les médecins sur le terrain.
Les demandes n’ont pas cessé et le développement a été retardé, et l’hôpital universitaire a notifié la résiliation du contrat en raison du retard.

■Verdict (appel)
Ordre de payer environ 1,4 milliard de yens de dommages et intérêts à l’hôpital universitaire
Le jugement de première instance, qui avait ordonné des dommages et intérêts à chacune des parties, a été annulé

■Raison
・Le fait que l’hôpital n’ait pas écouté l’avertissement du fournisseur selon lequel répondre aux demandes supplémentaires ne permettrait pas de respecter le délai a été considéré comme un problème.

Ce procès est une affaire où l’utilisateur et le fournisseur ont chacun demandé des dommages et intérêts à l’autre parce que l’utilisateur a notifié la résiliation du contrat en raison du retard dans le développement du système.

Dans le jugement, il a été reconnu que le retard dans le développement était dû au fait que l’utilisateur n’avait pas écouté l’avertissement du fournisseur de systèmes, et l’utilisateur a été reconnu comme étant entièrement responsable, et la demande de l’utilisateur a été rejetée. Le fournisseur de systèmes a l’obligation de “gérer le projet” pour qu’il soit terminé à temps. D’autre part, l’utilisateur a également une “obligation de coopération”, et s’il ne la respecte pas, il peut être entièrement responsable, et en réalité, la responsabilité de l’indemnisation est déterminée en fonction de cette proportion dans les procès.

Trois points clés pour un développement de système sécurisé

Trois points clés pour un développement de système sécurisé

Pour se préparer aux cyber-risques, il est essentiel que les utilisateurs et les fournisseurs travaillent ensemble pour mettre en place des mesures de sécurité.

Ci-dessous, nous expliquons les mesures que les fournisseurs et les utilisateurs peuvent prendre en fonction de leur position.

Comprendre les cyber-risques soulignés par les agences gouvernementales

Les fournisseurs de systèmes devraient consulter les directives émises par des organismes spécialisés tels que le Ministère japonais de l’Économie, du Commerce et de l’Industrie et l’Institut japonais de Promotion du Traitement de l’Information (IPA), comprendre les cyber-risques actuels et leurs méthodes de prévention, et les appliquer dans le développement et l’exploitation de leurs systèmes.

De plus, non seulement les fournisseurs, mais aussi les entreprises utilisatrices devraient avoir une certaine compréhension du contenu des directives, demander un développement et une exploitation conformes à ces directives, et inclure une clause sur le niveau de sécurité dans le contrat.

Référence : Ministère japonais de l’Économie, du Commerce et de l’Industrie | Lignes directrices pour la gestion de la cybersécurité Ver 2.0

Référence : Institut japonais de Promotion du Traitement de l’Information | Comment créer un site web sécurisé[ja]

En particulier, dans des domaines tels que la finance, des normes de sécurité élevées peuvent être requises par la loi ou les directives. Nous expliquons en détail les mesures de sécurité relatives aux actifs cryptographiques ci-dessous.

Article connexe : Quelles sont les mesures de sécurité pour les actifs cryptographiques (cryptomonnaies) ? Explication avec trois cas de fuites[ja]

Les deux parties doivent comprendre la nécessité de la sécurité

Il est clairement indiqué dans les “Lignes directrices pour la gestion de la cybersécurité Ver 2.0” du Ministère japonais de l’Économie, du Commerce et de l’Industrie que “les mesures de cybersécurité sont une question de gestion”.

Plutôt que de laisser le fournisseur gérer la sécurité parce qu’ils ne la comprennent pas, l’entreprise devrait considérer la gestion des risques comme une partie de sa gestion et s’engager de manière responsable dans la mise en œuvre des mesures.

Les deux parties doivent travailler ensemble pour faire face aux cyberattaques

En cas de cyberattaque, le client et le fournisseur doivent travailler ensemble pour minimiser les dommages, plutôt que de se rejeter la responsabilité.

Cependant, dans le développement de systèmes, la position du client tend à être forte, et le développement du système est souvent axé sur le coût et le délai de livraison. Le fournisseur peut ne pas avoir suffisamment de temps ou d’argent, et ses propositions de sécurité peuvent ne pas être acceptées.

Cependant, les directives indiquent que les entreprises utilisatrices ne devraient pas considérer la mise en œuvre des mesures de sécurité comme un “coût”, mais plutôt comme un investissement essentiel pour les activités et la croissance futures de l’entreprise.

Dans le développement de systèmes, il est important que le fournisseur et l’utilisateur travaillent ensemble sur un pied d’égalité pour faire face aux cyberattaques.

Conclusion : Consultez un avocat pour la rédaction d’un contrat de développement de système

En cas de dommages causés par une cyberattaque, il peut arriver que le fournisseur impliqué dans le développement du système soit tenu responsable par l’entreprise utilisatrice pour avoir négligé les mesures de gestion des risques cybernétiques.

Cependant, l’entreprise utilisatrice qui a négligé son obligation de coopération envers le fournisseur a également sa part de responsabilité.

Pour minimiser les dommages causés par une cyberattaque, il est nécessaire de définir le niveau du système et les limites de responsabilité de chacun dans le contrat.

Pour la rédaction d’un contrat de développement de système, consultez un avocat possédant une expertise avancée pour comprendre le contenu des directives et les risques cybernétiques actuels.

Présentation des mesures prises par notre cabinet

Le cabinet d’avocats Monolith est un cabinet d’avocats spécialisé dans l’IT, et plus particulièrement dans l’Internet et le droit. Pour les contrats de développement de systèmes, il est nécessaire de rédiger un contrat. Notre cabinet s’occupe de la rédaction et de la révision des contrats pour diverses affaires, allant des entreprises cotées à la bourse de Tokyo aux startups. Si vous rencontrez des difficultés avec votre contrat, veuillez consulter l’article ci-dessous.

Domaines d’intervention du cabinet d’avocats Monolith : Affaires juridiques liées au développement de systèmes[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Retourner En Haut