Pour obtenir l’indemnisation de son préjudice moral, une société victime d’un rançongiciel – ransomware – faisait valoir qu’elle avait été particulièrement affectée par la violation de ses données et la menace de divulgation de ces dernières. Or, seules les personnes physiques peuvent se prévaloir d’un préjudice de stress, d’anxiété, de déception ou d’affection. En conséquence, à défaut de démontrer l’atteinte concrète à sa réputation ou à son image, la preuve du préjudice moral de la société n’était pas rapportée.
Cette même société ne pouvait pas prétendre à la réparation du préjudice matériel qu’elle invoquait sans démontrer qu’elle avait supporté les frais dont elle demandait le remboursement.
Tels sont les principaux enseignements à tirer d’un arrêt rendu cet été par la Cour d’appel de Versailles (CA Versailles, 9ème ch., 30 juin 2021).
Quels sont les faits ?
Le directeur technique d’une société avait mis en place, avant son licenciement, un programme lui permettant de se synchroniser avec les serveurs de messagerie de son employeur. Il avait ainsi pu avoir connaissance du contenu desdits serveurs et procéder à l’extraction des données confidentielles de la société, y compris des données à caractère personnel des autres salariés.
En outre, le collaborateur licencié a été identifié comme l’auteur d’un courriel anonyme reçu par la présidente de la société, lui demandant le paiement d’une rançon d’un million d’euros sur différents comptes bitcoins dans un délai de 15 jours. A défaut de paiement, le collaborateur menaçait de divulguer les données extraites (liste de contacts, comptes bancaires, documents et extraits du code source de l’application principale de la société) aux clients, partenaires, collaborateurs, ainsi qu’aux concurrents de la société.
A la suite du dépôt de plainte de la société, de la reconnaissance de l’intégralité des faits par le collaborateur licencié, le tribunal correctionnel de Nanterre l’avait condamné, dans le cadre d’une comparution sur reconnaissance préalable de culpabilité, à la peine de six mois d’emprisonnement avec sursis et à une amende délictuelle de 10 000 euros pour les infractions suivantes :
- Accès et maintien dans le système de traitement de données de la société,
- Extraction frauduleuse de données,
- Tentative d’extorsion de fonds.
Le 17 janvier 2020, le tribunal correctionnel de Nanterre statuant sur les intérêts civils avait condamné le prévenu à verser une somme de plus de 325 000 euros à la société, dont 10 000 euros au titre du préjudice moral et 315 000 euros au titre du préjudice matériel (frais relatifs aux diligences liées à la procédure de déclaration de la violation de données auprès de la CNIL, à la communication de crise, à la recherche de preuves techniques, honoraires et frais juridiques). L’ancien collaborateur avait alors interjeté appel de l’intégralité du jugement statuant sur intérêts civils.
Comment justifier un préjudice matériel en cas de rançongiciel ?
La Cour d’appel infirme le jugement du Tribunal correctionnel de Nanterre en ce qu’il avait condamné l’appelant au paiement de dommages et intérêts en réparation du préjudice matériel de la société du fait du rançongiciel.
A cette fin, la Cour relève que les factures produites par la société sont libellées au nom d’entités « juridiquement et comptablement indépendantes d’elle » et qu’elles ne sont pas corroborées par des éléments justificatifs suffisants permettant d’établir la réalité des paiements allégués, tels que le journal d’achats portant enregistrement des factures ou encore le journal de banque portant paiement des factures.
La Cour souligne ainsi que la production d’une attestation d’un dirigeant de la société affirmant que les différentes factures émises au nom d’entités différentes étaient supportées, in fine, par la société partie civile est insuffisante pour établir le préjudice matériel.
Rançongiciel et préjudice moral : quelle articulation ?
La Cour d’appel de Versailles ne remet pas en cause le principe de l’indemnisation du préjudice moral subi par une personne morale, lequel est reconnu par la jurisprudence (Cass. com., 6 nov. 1979, n°78-12.212, Cass. crim., 27 nov. 1996, n°96-80.223, Cass. com., 15 mai 2012, n°11-10.278).
En revanche, elle rappelle que « le préjudice moral est le dommage atteignant les intérêts extra-patrimoniaux et non économiques de la personne, en lésant les droits de la personnalité, et qu’il en est ainsi pour une personne morale en cas d’atteinte à sa réputation et/ou son image ».
A l’instar des préjudices résultant d’une atteinte à la vie privée (Cass., civ. 1ère, 17 mars 2016, n°15-14.072), la Cour d’appel estime que « le préjudice de stress, d’anxiété, de déception ou d’affection, ne sont réparables que du seul chef de la personne physique et non du chef de la personne morale ».
Dès lors, la société, attaquée par un rançongiciel et menacée de voir divulguer des informations confidentielles, ne peut se prévaloir d’un préjudice d’affection même si son objet social porte sur la gestion et la protection des informations personnelles de ses clients.
Par ailleurs, la société ne rapporte pas la preuve de ce que son image et sa réputation ont été dégradées par les faits dont elle a été victime.
Ainsi, son préjudice moral n’est pas caractérisé selon la Cour d’appel. En conséquence, le jugement du Tribunal correctionnel est infirmé s’agissant de la condamnation de l’ancien collaborateur à verser la somme de 10 000 euros à la société.
Que retenir ?
D’abord, l’arrêt rendu par la Cour d’appel de Versailles rappelle que tout préjudice allégué en vue d’obtenir l’allocation de dommages et intérêts doit être scrupuleusement démontré par des pièces justificatives, minutieusement sélectionnées pour leur valeur probante.
Il convient également de démontrer, s’agissant du préjudice matériel, que la partie qui demande réparation a directement et définitivement supporté les frais dont elle demande le remboursement.
Enfin, les juges rappellent que le préjudice moral d’une personne morale réside dans l’atteinte à son image et à sa réputation que l’infraction dont elle a été victime a pu générer auprès de ses clients, de ses collaborateurs voire de ses partenaires.