République Française

Au nom du Peuple Français

COUR D’APPEL DE DOUAI

CHAMBRE 2 SECTION 1

ARRÊT DU 08/12/2022

****

N° de MINUTE :

N° RG 21/01153 – N° Portalis DBVT-V-B7F-TPDX

Jugement n° 2020001314 rendu le 09 février 2021par le tribunal de commerce de Lille Métropole

APPELANTE

SAS D2L Informatique, représentée par sa présidente, Madame [N] [B]

ayant son siège social [Adresse 1]

représentée par Me Martine Vandenbussche, avocat au barreau de Lille, avocat constitué

assistée de Me Ségolène Roulle-Mirza, avocat au barreau de Tours, avocat plaidant

INTIMÉE

SAS Pictime Groupe, prise en la personne de son représentant légal

ayant son siège social [Adresse 2]

[Adresse 2]

représentée par Me Kenza Gaillard-Benkhalef, avocat au barreau de Lille, avocat constitué

assistée de Me Anne-Sophie Poggi, avocat au barreau de Paris, avocat plaidant

DÉBATS à l’audience publique du 05 octobre 2022 tenue par Clotilde Vanhove magistrat chargé d’instruire le dossier qui, après rapport oral de l’affaire, a entendu seule les plaidoiries, les conseils des parties ne s’y étant pas opposés et qui en a rendu compte à la cour dans son délibéré (article 805 du code de procédure civile).

Les parties ont été avisées à l’issue des débats que l’arrêt serait prononcé par sa mise à disposition au greffe.

GREFFIER LORS DES DÉBATS :Valérie Roelofs

COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ

Dominique Gilles, président de chambre

Pauline Mimiague, conseiller

Clotilde Vanhove, conseiller

ARRÊT CONTRADICTOIRE prononcé publiquement par mise à disposition au greffe le 08 décembre 2022 (date indiquée à l’issue des débats) et signé par Dominique Gilles, président et Valérie Roelofs, greffier, auquel la minute a été remise par le magistrat signataire.

ORDONNANCE DE CLÔTURE DU : 14 septembre 2022

****

EXPOSE DU LITIGE

La SAS D2L informatique édite et commercialise le logiciel Sil’age, accessible par internet, permettant notamment aux établissements ‘uvrant dans le cadre de la protection de l’enfance d’assurer le suivi des dossiers des enfants.

Les données relatives à la santé des usagers étant hébergées en ligne, la SAS D2L informatique a dû recourir, pour être en conformité avec les dispositions de l’article L.1111-8 du code de la santé publique, à un prestataire agréé pour l’hébergement des données de santé.

La SAS Pictime groupe est une société spécialiste du conseil, du marketing, de solutions applicatives et de l’hébergement de plateformes de commerce électronique. Elle bénéficie de l’agrément d’hébergeur de données de santé.

Le 26 juillet 2016, la SAS D2L informatique et la SAS Pictime groupe ont signé un contrat « Coreye-Silver Santé », contrat de service d’hébergement et d’infogérance. La durée du contrat était de 36 mois, se terminant le 10 octobre 2019.

En parallèle, le 16 juin 2016, la SAS D2L informatique a conclu un contrat avec la société Cyrès, portant sur la fourniture d’une infrastructure d’hébergement.

Invoquant des dysfonctionnements dans l’exécution du contrat, la SAS D2L informatique a résilié le contrat conclu avec la SAS Pictime groupe le 25 mai 2018, avec effet au 30 juin 2018 pour les motifs suivants :

absence de mise à jour des serveurs (logiciel Apache et logiciels systèmes) depuis leur configuration,

récurrence des manquements de la SAS Pictime groupe à ses obligations, en ce qui concerne l’application des mises à jour et correctifs de sécurité,

inefficacité évidente de la protection antivirale,

nonchalance du support quant à la prise en compte des tickets d’incident adressés par elle.

En parallèle, la SAS D2L informatique a sollicité de la SAS Pictime groupe le remboursement de la somme de 17 370 euros TTC, correspondant à 75% des sommes facturées par la SAS Pictime groupe au titre de l’infogérance et de l’antivirus depuis le début du contrat. Ayant migré en urgence ses serveurs vers un autre prestataire, elle a également sollicité la prise en charge par la SAS Pictime groupe du surcoût, soit la somme de 7 528,32 euros.

Après échec de la conciliation amiable prévue par le contrat et par acte d’huissier de justice du 26 décembre 2018, la SAS D2L informatique a fait assigner la SAS Pictime groupe devant le tribunal de commerce de Lille Métropole afin notamment d’obtenir sa condamnation au paiement des sommes précédemment évoquées.

Par jugement contradictoire du 9 février 2021, le tribunal de commerce de Lille Métropole a :

dit et jugé qu’en bonne administration de la justice, il n’est pas nécessaire de désigner un expert judiciaire,

débouté la SAS D2L informatique de sa demande de se voir verser par la SAS Pictime groupe la somme de 17 370 euros en réparation de l’inexécution et de la mauvaise exécution de ses obligations de supervision et de maintenance des serveurs ainsi que de protection antivirus et de coopération avec la SAS D2L informatique,

dit et jugé le maintien possible du contrat d’hébergement de données de santé suite à l’entrée en vigueur de la réforme de l’hébergement de données de santé le 1er avril 2018,

débouté la SAS D2L informatique de sa demande de se voir verser par la SAS Pictime groupe la somme de 20 100,01 euros correspondant aux frais engagés pour une migration en urgence vers un nouvel hébergeur agréé,

condamné la SAS D2L informatique à payer à la SAS Pictime groupe la facture n°FA18060199 du 22 juin 2018 d’un montant de 37 343,63 euros TTC, assorti des intérêts légaux à compter de sa date d’échéance au 2 juillet 2018,

condamné la SAS D2L informatique à payer à la SAS Pictime groupe la somme de 5 000 euros au titre de l’article 700 du code de procédure civile,

condamné la « SARL Lehoux » (ce qui constitue une erreur matérielle, la motivation du jugement condamnant la SAS D2L informatique) aux frais et dépens, taxés et liquidés à la somme de 73,24 euros en ce qui concerne le frais de greffe.

Par déclaration reçue au greffe de la cour le 19 février 2021, la SAS D2L informatique a relevé appel du jugement en toutes ses dispositions.

Par conclusions remises au greffe et notifiées par la voie électronique le 13 mai 2021, la SAS D2L informatique demande à la cour de :

infirmer le jugement du tribunal de commerce en toutes ses dispositions,

statuant à nouveau :

avant dire droit si bon semble à la cour, désigner tel expert qu’il lui plaira afin de se faire remettre tout document utile, d’analyser l’encadrement contractuel l’ayant liée aux sociétés Pictime et Cyres, et d’éclairer la cour sur le respect par la SAS Pictime groupe de ses obligations de sécurité des serveurs ayant hébergé son application Sil’age et des données de santé y afférent,

à titre principal :

juger que la SAS Pictime groupe a expressément reconnu ne pas mettre à jour les serveurs (logiciel Apache et logiciels systèmes) depuis début janvier 2017,

juger que la SAS Pictime groupe a manqué à ses obligations de supervision et de maintenance des serveurs ainsi qu’à son obligation de protection antivirus et de coopération avec elle,

juger que la SAS Pictime groupe a manqué aux obligations de sécurité mises à sa charge par son agrément pour l’hébergement de données de santé et par les dispositions du code de la santé publique et la loi Informatique et libertés,

juger que ces manquements sont des violations graves de ses obligations de sécurité par la SAS Pictime groupe,

juger que la quote-part des redevances versées par elle à la SAS Pictime groupe affectée à l’exécution de ses prestations d’infogérance et de maintenance est de 75%,

juger que les obligations inexécutées ou mal exécutées ne sont pas en lien avec la disponibilité de l’infrastructure et de la plateforme, non critiquée par elle,

juger que c’est à bon droit qu’elle a résilié unilatéralement le contrat,

juger que la SAS Pictime groupe a manqué à ses obligations de coordination avec ses sous-traitants, alors que l’externalisation de tout ou partie de la mission d’hébergement n’est permise ‘ légalement et contractuellement ‘ à l’hébergeur de données qu’à la condition d’une parfaite coordination et continuité des services,

juger inapplicable la clause de pénalité au présent litige,

en conséquence,

condamner la SAS Pictime groupe à lui verser la somme de 17 370 euros, en réparation de l’inexécution et de la mauvaise exécution de ses obligations de surpervision et de maintenance des serveurs ainsi que des protections antivirus et de coopération avec elle,

condamner la SAS Pictime groupe à lui verser la somme de 20 100,01 euros, correspondant aux frais engagés par elle pour une migration en urgence vers un nouvel hébergeur agréé,

juger non avenue la facture FA18060199 d’un montant de 37 343,63 euros TTC emise par la SAS Pictime groupe et censée couvrir les mensualités restant à courir avant la date du fin théorique du contrat, soit le 11 octobre 2019,

ordonner à la SAS Pictime groupe de lui adresser un avoir correspondant à ladite facture,

à titre subsidiaire,

lui donner acte de ce que la réforme des dispositions relatives à l’hébergement de données de santé rendait impossible le maintien du contrat avec la SAS Pictime groupe, de l’aveu même de cette dernière,

juger qu’aucun élément ne lui permet de valoriser précisément la quote-part des redevances versées à la SAS Pictime groupe qui aurait dû être affectée à l’exécution des prestations litigieuses,

en conséquence,

juger impossible le maintien du contrat d’hébergement de données de santé suite à l’entrée en vigueur de la réforme de l’hébergement de données de santé, le 1er avril 2018,

juger non avenue la facture FA19060199 d’un montant de 37 343,63 euros TTC émise par la SAS Pictime groupe et censée couvrir les mensualités restant à courir avant la date de fin théorique du contrat, soit le 11 octobre 2019,

ordonner toute mesure qu’il jugera utile à déterminer la quote-part des redevances mensuelles affectées par la SAS Pictime groupe aux prestations inexécutées ou mal exécutées afin de déterminer avec précision cette quote-part,

prendre acte de la possibilité qu’elle se réserve de rechercher la responsabilité de la SAS Pictime groupe si à l’avenir, elle devait apprendre que des données hébergées sur les serveurs loués à la SAS Pictime groupe ont fait l’objet d’une divulgation non autorisée, quelle qu’elle soit,

en tout état de cause :

condamner la SAS Pictime groupe à lui payer la somme de 10 000 euros au titre de l’article 700 du code de procédure civile,

condamner la SAS Pictime groupe aux entiers dépens de première instance et d’appel.

Par conclusions remises au greffe et notifiées par la voie électronique le 9 août 2021, la SAS Pictime groupe demande à la cour de :

constater que la SAS D2L informatique ne l’a pas mise en demeure comme le prévoit l’article 13.1 du contrat avant de résilier pour faute le contrat,

constater qu’elle n’a pas manqué à une obligation substantielle du contrat, ni n’a commis de manquement grave justifiant la résiliation pour faute prononcée abusivement le 25 mai 2018 par la SAS D2L informatique,

constater qu’elle a été détenteur de l’agrément de l’ASIP d’hébergeur de données de santé jusqu’au 31 janvier 2020 et qu’en conséquence la SAS D2L informatique ne peut justifier sa résiliation du 25 mai 2018 sur cette perte d’agrément,

en conséquence,

débouter la SAS D2L informatique de l’ensemble de ses demandes, fins et prétentions,

confirmer le jugement du tribunal de commerce en toutes ses dispositions,

condamner la SAS D2L informatique au paiement de la somme de 7 000 euros au titre de l’article 700 du code de procédure civile ainsi qu’au paiement des entiers frais et dépens,

condamner la SAS D2L informatique aux entiers dépens.

En application de l’article 455 du code de procédure civile, il est renvoyé aux écritures des parties pour un plus ample exposé de leurs moyens.

L’ordonnance de clôture est intervenue le 14 septembre 2022. Plaidé à l’audience du 5 octobre 2022, le dossier a été mis en délibéré au 8 décembre 2022.

MOTIVATION 

Au préalable, il convient de souligner qu’il n’y a pas lieu de reprendre ni d’écarter dans le dispositif du présent arrêt les demandes tendant à « constater que… » ou « dire que… » ou « prendre acte que… », telles que figurant dans le dispositif des conclusions des parties, lorsqu’elles portent sur des moyens ou des éléments de fait relevant des motifs et non des chefs de la décision devant figurer dans la partie exécutoire de l’arrêt.

1) Sur la résiliation du contrat par la SAS D2L informatique pour inexécution par la SAS Pictime groupe de ses obligations contractuelles

L’article 13.1 des conditions générales du contrat de prestation de services conclu entre les parties prévoit le cas de résiliation du contrat pour manquement et précise qu’ « en cas de manquement par l’une des parties à l’exécution de toute obligation substantielle née du présent contrat, non réparé dans un délai de 30 jours à compter de la réception d’une mise en demeure adressée par l’autre partie par lettre recommandée avec avis de réception notifiant le(s) manquements en cause, la partie victime du manquement pourra résilier de plein droit le présent contrat par lettre recommandée avec avis de réception ».

La SAS D2L informatique a résilié le contrat en reprochant à la SAS Pictime groupe les manquements suivants :

– absence de mise à jour des serveurs (logiciel Apache et logiciels systèmes) depuis leur configuration,

– récurrence des manquements de la SAS Pictime groupe à ses obligations, en ce qui concerne l’application des mises à jour et correctifs de sécurité,

– inefficacité évidente de la protection antivirale,

– nonchalance du support quant à la prise en compte des tickets d’incident adressés par elle.

a) Sur les manquements concernant la mise à jour des serveurs et l’application des correctifs de sécurité

La SAS D2L informatique reproche à la SAS Pictime groupe d’avoir manqué à son obligation d’assurer la sécurité des serveurs d’hébergement de données de santé mis à sa disposition, en ne procédant aux mises à jour régulières automatiques des serveurs (Delbian et Apache), dont des mises à jour de sécurité.

Le contrat prévoit une prestation d’infogérance, qui consiste pour la SAS Pictime groupe à assurer la supervision et la maintenance de la plateforme de la SAS D2L informatique. S’imposait également, eu égard à la nature des données contenues dans la plateforme de la SAS D2L informatique, le respect de la réglementation applicable en matière de données de santé, et notamment la SAS D2L informatique était tenue d’assurer la sécurité des données de santé se trouvant sur la plateforme, ce qui constitue une obligation substantielle du contrat.

La SAS Pictime groupe ne conteste pas que, suite au signalement effectué par la SAS D2L informatique, il a été constaté un défaut dans l’application automatique des mises à jour des serveurs, et notamment du logiciel Apache. Cependant, elle affirme que cela n’a eu aucune conséquence sur le respect de son obligation contractuelle d’assurer la sécurité des serveurs contenant des données de santé.

La SAS D2L informatique a consulté M. [P], consultant informatique, expert près la cour d’appel de Toulouse, pour connaître son avis sur la sécurité des systèmes d’informations sensibles utilisés dans le cadre du contrat. Celui-ci a conclu le 10 juin 2019 qu’en raison de la non-application des correctifs de sécurité, la SAS Pictime groupe a été défaillante dans sa mission de maintien du niveau de sécurité des serveurs de la SAS D2L informatique et que cette défaillance, pour l’un au moins des correctifs, si elle n’avait pas été détectée par la SAS D2L informatique, aurait pu mettre l’entreprise en difficulté vis-à-vis des obligations légales associées au RGPD.

Le 20 novembre 2019, la SAS D2L informatique a, à nouveau, consulté M. [P], suite à l’avis d’un autre expert produit par la SAS Pictime groupe. M. [P] a maintenu son avis selon lequel la SAS D2L informatique a été défaillante dans ses obligations de maintien du niveau de sécurité des serveurs utilisés par la SAS Pictime groupe, précisant que les analyses et justifications avancées par la SAS Pictime groupe ont été faites a posteriori pour essayer d’expliquer pourquoi les procédures de maintien en sécurité des systèmes hébergés n’ont pas été respectées.

La SAS Pictime groupe a pour sa part consulté M. [W], expert en informatique près la cour d’appel de Versailles, qui a une analyse totalement différente de la situation, et retient qu’au vu du contexte d’exploitation que l’ANSSI (agence nationale de la sécurité des systèmes d’information) recommande de prendre en considération, la SAS Pictime groupe n’a pas été défaillante dans ses obligations de maintien du niveau de sécurité des serveurs utilisés par la SAS D2L informatique. Il a fait valoir que l’analyse de M. [P] était théorique.

Le 5 mai 2020, M. [W] a émis un nouvel avis, après consultation du deuxième avis de M. [P], maintenant que l’avis de celui-ci est théorique et ne tient pas compte de l’infrastructure sécurisée mise en place par la SAS Pictime groupe pour la SAS D2L informatique. Il conclut pour sa part que la SAS Pictime groupe n’a jamais été défaillante dans ses prestations en terme d’administration des serveurs.

Ces analyses sont complètement contradictoires sur la question du respect ou non par la SAS Pictime groupe de son obligation essentielle aux termes du contrat, d’assurer la sécurité des données se trouvant dans le logiciel Sil’Age commercialisé par la SAS D2L informatique.

Il doit dès lors être constaté que la SAS D2L informatique, sur qui pèse la charge de la preuve du manquement à l’obligation d’assurer la sécurité des serveurs d’hébergement de données de santé qu’elle reproche à la SAS Pictime groupe, ne démontre pas ce manquement, les arguments de l’avis qu’elle produit étant totalement contredits par l’avis produit par la SAS Pictime groupe, sans que la Cour ne soit en mesure d’accorder davantage de crédit à l’un ou l’autre des avis, ceux-ci étant tous argumentés et détaillés.

Faute pour la SAS D2L informatique de rapporter la preuve du manquement allégué, il doit être considéré que la SAS Pictime groupe n’a pas manqué à son obligation substantielle du contrat d’assurer la sécurité des serveurs d’hébergement de données de santé utilisés par la SAS D2L informatique.

Si elle a effectivement manqué à ses obligations de mise à jour régulière des serveurs, ainsi qu’elle le reconnaît elle-même, ce manquement ne saurait être considéré comme un manquement grave dès lors qu’il n’est pas démontré que cela a eu pour conséquence de porter atteinte à la sécurité des serveurs d’hébergement des données. Le contrat ne prévoyant la résiliation du contrat que si elle est fondée sur le manquement à une obligation substantielle du contrat, la SAS D2L informatique ne pouvait donc fonder sa résiliation sur l’absence de mise à jour régulière des serveurs, la sécurité de ses données n’ayant pas été mise en péril.

b) Sur les manquements concernant la protection antivirale

La SAS D2L informatique reproche à la SAS Pictime groupe de ne pas avoir respecté son obligation d’assurer la protection antivirale des données hébergées.

La SAS Pictime groupe soutient avoir respecté cette obligation.

L’article 4.1 des conditions particulières du contrat conclu entre les parties prévoit effectivement que les services d’hébergement comprennent la protection antivirale.

La SAS D2L informatique, s’inquiétant du niveau de sécurité assuré par son hébergeur, a procédé le 9 avril 2018 à un test en déposant sur les serveurs un test EICAR (constituant un ensemble de fichiers bénins destinés à déclencher une alerte antivirale). Ne recevant pas de signalement de la part de la SAS Pictime groupe, elle a déposé à nouveau un test EICAR sur les serveurs le 10 avril, puis le 11 avril 2018. Elle soutient que ce n’est que le 12 avril 2018 que la SAS Pictime groupe a fini par l’aviser. Elle estime donc établi un manquement aux obligations de la SAS D2L informatique en matière de protection antivirale.

La SAS Pictime groupe soutient avoir constaté l’existence de ces attaques et s’être aperçue qu’il s’agissait de fichiers destinés à tester le système antiviral.

Elle produit trois documents qu’elle intitule des « tickets » :

le premier a été créé le 10 avril à 2 heures 01 et a pour objet « alert infected file found on » suivi d’une référence de serveur. Une technicien dénommé [U] [X] a indiqué le 10 avril à 5 heures 42 la mention suivante « un fichier COM (68 octets) est détecté comme « EICAR-Test-File ». Ce n’est pas un virus. Il montre tout simplement des messages texte et retourne le contrôle du système d’exploitation »,

le deuxième a été créé le 11 avril à 6 heures 56 et mentionne le même objet. Le même technicien a apposé la mention « faux positif »,

le troisième a été créé le 12 avril à 5 heures 45 et comporte un objet identique aux deux précédents. Il a été traité par un technicien dénommé [S] [A] qui a informé à 16 heures 30 la SAS D2L informatique de la suppression de plusieurs fichiers suite à une alerte anti-virus et de la transmission du ticket au niveau supérieur pour analyser la provenance des fichiers.

Le 13 avril 2018, suite à plusieurs échanges, il était indiqué à la SAS D2L informatique qu’elle avait été mise dans la boucle pour le dernier ticket uniquement car les deux autres avaient été vus comme des fichiers génériques de test et précisait que pour uniformiser les retours, les process internes avaient été mis à jour et rediffusés aux collaborateurs.

Il est ainsi établi, contrairement à ce qu’affirme la SAS D2L informatique, que les fichiers EICAR qu’elle a déposés ont bien été détectés par la SAS Pictime groupe et traités. Aucune inefficacité de la protection antivirale ne peut donc être reprochée à la SAS Pictime groupe.

Si la SAS D2L informatique soutient qu’elle aurait dû être informée à chaque fois de la détection d’un incident, elle ne rapporte pas la preuve de l’existence de cette obligation contractuellement prévue entre les parties et, en outre, quand bien même la SAS Pictime groupe aurait manqué à son obligation de l’informer de ces incidents, elle a en tout état de cause détecté et traité les incidents, ce qui lui incombe en vertu de son obligation substantielle dans le cadre du contrat d’assurer la protection antivirus de la plateforme de son client.

Selon la SAS D2L informatique, les deux premiers incidents auraient dû faire l’objet d’une investigation pour qualifier leur situation, s’appuyant sur ce point sur l’avis de M. [P]. Celui-ci constate dans son avis que la SAS Pictime groupe a relevé l’existence du fichier à trois reprises, ce qui signifie que la détection a été correctement faite, mais que les deux premières détections ont été classifiées comme non-incident de sécurité alors que la simple présence du fichier sur le serveur, quelle que soit son innocuité, est anormale et justifie une investigation afin de qualifier la situation.

M. [W] dans ses avis ne partage pas l’analyse de M. [P], indiquant que les fichiers ont à chaque fois été détectés et que c’est devant la récurrence d’évènements que le sujet et a été remonté au niveau supérieur pour analyse.

L’obligation d’investigation sur chaque incident détecté dont se prévaut la SAS D2L informatique n’est établie par aucun document contractuel liant les parties produit dans le cadre du litige.

Sur ce point également, la SAS D2L informatique échoue donc à rapporter la preuve du manquement de la SAS Pictime groupe à son obligation d’assurer la protection antivirus de la plateforme de la SAS D2L informatique.

sur le manquement qualifié de « nonchalance dans la prise en compte des tickets d’incidents adressés par la SAS D2L informatique »

La SAS D2L informatique met en avant ce manquement, indiquant que le 12 avril 2018, le firewall de la SAS Pictime groupe a été affecté par un problème réseau empêchant l’accès de ses clients au logiciel de gestion de la patientèle pendant plus de 4 heures, en raison d’un défaut de coordination des équipes de la SAS Pictime groupe et de Cyrès, sous-traitant de la SAS Pictime groupe qui assure l’hébergement physique, la SAS Pictime groupe reprochant à la SAS D2L informatique de ne pas avoir eu le numéro de téléphone de l’intervenant à contacter chez Cyrès pour permettre la résolution rapide du problème.

Cependant, ainsi que le reconnaît elle-même la SAS D2L informatique, l’incident survenu le 12 avril 2018 a été traité par la SAS Pictime groupe et la société Cyrès dans le délai d’intervention contractuellement convenu, obligation à laquelle était tenue la SAS Pictime groupe dans le cadre du contrat. Aucun manquement aux obligations de coordination de la SAS Pictime groupe avec ses sous-traitants n’est en conséquence établi, quand bien même la SAS Pictime groupe a eu des difficultés à joindre son interlocuteur au sein de la société Cyrès.

La SAS D2L informatique ne précise pas à quelle obligation substantielle imposée à la SAS Pictime groupe aux termes du contrat de prestation de services conclu par les parties, la « nonchalance » reprochée constituerait un manquement, susceptible de justifier la résiliation du contrat. Le fait que les messages adressés par la SAS D2L informatique n’obtiennent pas toujours une réponse immédiate, mais parfois avec un délai de quelques jours, ne caractérise pas un manquement de la SAS Pictime groupe à ses obligations contractuelles, le contrat ne prévoyant qu’une collaboration active des parties, sans précision d’un délai de réponse impératif.

En conséquence, là encore, la SAS D2L informatique ne rapporte pas la preuve de ce que la SAS Pictime groupe aurait manqué à ses obligations contractuelles.

Dès lors que la charge de la preuve incombe à la SAS D2L informatique, qui indique clairement dans ses conclusions qu’une expertise judiciaire n’est pas nécessaire compte tenu des preuves qu’elle apporte et qui ne la sollicite que « si bon semble à la Cour », le jugement sera confirmé en ce qu’il a dit qu’il n’était pas nécessaire d’ordonner une expertise judiciaire, une telle mesure ne pouvant être ordonnée en vue de suppléer la carence d’une partie dans l’administration de la preuve.

Il résulte de l’ensemble de ces éléments que la SAS D2L informatique n’était donc pas fondée à résilier unilatéralement le contrat, en l’absence de manquement de la SAS Pictime groupe à une de ses obligations substantielles issues du contrat, étant en outre précisé, qu’elle n’a pas respecté l’obligation de mise en demeure préalable prévue par la clause de résiliation du bail précédemment mentionnée.

Le jugement doit donc être confirmé en ce qu’il a débouté la SAS D2L informatique de sa demande de condamnation de la SAS Pictime groupe à lui payer la somme de 17 370 euros en réparation de l’inexécution et de la mauvaise exécution de ses obligations de supervision et de maintenance des serveurs ainsi que de protection antivirus et de coopération avec elle et de sa demande de condamnation de la SAS Pictime groupe à payer la somme de 20 100,01 euros au titre des frais engagés pour une migration en urgence vers un nouvel hébergeur.

Y ajoutant, la SAS D2L informatique doit être déboutée de sa demande tendant à ce qu’il soit ordonné à la SAS Pictime groupe de lui adresser un avoir correspondant à la facture.

2) Sur la demande en paiement de la facture FA18060199

La SAS Pictime groupe formule reconventionnellement une demande en condamnation de la SAS D2L informatique à lui payer la somme de 37 343,63 euros TTC au titre de la facture qu’elle a émise le 22 juin 2018, qui correspond au solde du montant des prestations prévues dans le bon de commande.

La SAS D2L informatique soutient que, même si sa résiliation du contrat pour manquement de la SAS Pictime groupe à ses obligations n’est pas retenue, le paiement de cette facture n’est en tous les cas pas dû puisqu’il existait une impossibilité légale de maintenir le contrat dès le 1er avril 2018 en raison de la non-conformité de l’offre proposée en partenariat avec Cyrès à la nouvelle législation en matière d’hébergement de données de santé. Elle soutient que le problème n’est pas de savoir si la SAS Pictime groupe continuait à bénéficier de son agrément, mais qu’il réside dans le fait que le sous-traitant Cyrès, assurant l’hébergement, n’était ni agréé ni certifié alors que cela devenait obligatoire. Elle ajoute que le nouveau montage contractuel que lui proposait la SAS Pictime groupe était illégal.

L’article 13.1 des conditions générales du contrat prévoit qu’ « en cas de résiliation unilatérale du client pour toute autre cause que celles citées ci-dessus, ce dernier est tenu au paiement de l’intégralité des prestations telle que prévue au bon de commande ».

L’article 10 des conditions particulières du contrat prévoit qu’ « en cas de perte d’agrément d’hébergeur de santé, le présent contrat prendra automatiquement fin sans formalité préalable ».

Depuis le 1er avril 2018, l’article R.1111-9 du code de la santé publique impose l’obtention d’une certification à toute personne exerçant une activité en lien avec l’hébergement de données de santé à caractère personnel.

Dans un courriel du 12 mars 2018, la SAS Pictime groupe indiquait à la SAS D2L informatique que « l’agrément pour les hébergeurs de données de santé va être remplacé par une certification. Ce nouveau fonctionnement indique deux catégories de certification : Iass et Infogérance. Pour que le traitement soit conforme il faudra que le iass soit certifié même s’il est opéré par un infogéreur certifié. Ainsi, là où nous pouvions déclarer un sous-traitant qui était couvert par notre agrément, il faudra que ce dernier se certifie. Cyrès ne prévoit pas de se faire certifier aussi nous sommes d’accord, suite à notre entrevue du 14 février 2018 pour que Cyrès migre les clients sur nos plateformes. Cyrès garde un rôle majeur : il devient titulaire d’un contrat unique avec les clients. Coreye [la SAS Pictime groupe] passe un contrat de sous-traitant avec Cyrès. Cyrès gère la relation commerciale et comptable avec le client, nous assurons la production. Cyrès s’engage à tout mettre en ‘uvre pour les migrer en bonne intelligence sur nos plateformes ».

Il doit être relevé que le rôle joué par la société Cyrès et le lien contractuel entre elle et les parties au litige n’est pas clairement établi. En effet, la SAS Pictime groupe désigne dans ses conclusions, mais également dans le mail précité, la société Cyrès comme son sous-traitant, chargé de l’hébergement physique de la plateforme de la SAS D2L informatique. Cependant, en introduction de leurs conclusions, les parties indiquent toutes deux que la SAS D2L informatique a signé directement avec la société Cyrès le 16 juin 2016 un contrat portant sur la fourniture de l’infrastructure d’hébergement.

Cet élément étant relevé, il doit être constaté que de l’aveu même de la SAS Pictime groupe, la modification de la réglementation remplaçant l’agrément nécessaire pour les hébergeurs de données de santé, par une certification, allait poser une difficulté puisque tant la prestation intitulée IAAS (infrastructure as a service, désignant la mise à disposition et le maintien en condition opérationnelle de l’infastructure matérielle du système d’information utilisé pour le traitement des données de santé) que la prestation d’infogérance devait être réalisée par un intervenant certifié. Or, la SAS Pictime groupe admet dans le mail précité qu’elle sous-traite la prestation d’IAAS à la société Cyrès, non agréée et qui n’envisage pas de se faire certifier.

La SAS Pictime groupe, qui dans ce mail exprime clairement le fait qu’une modification contractuelle va être nécessaire pour que la mission puisse s’exercer en conformité avec la nouvelle réglementation, ne peut se borner à soutenir qu’il n’y a pas de difficultés puisque son agrément restait valable, le décret du 26 février 2018 ayant prévu que les agréments délivrés avant le 31 mars 2018 resteraient régis jusqu’à leur terme par les dispositions antérieures au décret. La difficulté résidait en effet non pas dans son agrément personnel, mais dans la situation de son sous-traitant, non agréé et ne souhaitant pas se faire certifier pour l’hébergement de données de santé, ce qui impliquait une modification des relations contractuelles entre les parties pour respecter la nouvelle réglementation.

Aucune clause du contrat n’envisage la question de la poursuite des relations contractuelles dans une telle hypothèse, étant relevé en outre que la clause 10 des conditions particulières dispose qu’en cas de perte d’agrément d’hébergeur de santé, le contrat prendra fin automatiquement sans formalité préalable, laissant entendre que l’agrément était une condition essentielle à la poursuite du contrat jusqu’à son terme.

En conséquence, si la SAS D2L informatique n’était pas fondée à résilier unilatéralement le contrat pour manquement de la SAS Pictime groupe à ses obligations, celle-ci a néanmoins admis elle-même que le contrat ne pouvait continuer à s’exercer en l’état en raison de la modification de la réglementation en matière d’hébergement de données de santé. Elle est donc mal fondée à solliciter de la SAS D2L informatique le paiement du solde du montant des prestations prévues dans le bon de commande.

Le jugement sera réformé en ce qu’il a condamné la SAS D2L informatique à payer à la SAS Pictime groupe la somme de 37 343,63 euros TTC au titre de la facture et la SAS Pictime groupe sera déboutée de sa demande de ce chef et en ce qu’il a dit le maintien possible du contrat d’hébergement de données de santé suite à l’entrée en vigueur de la réforme de l’hébergement de données de santé le 1er avril 2018.

S’agissant de la demande formulée à titre subsidiaire de la SAS D2L informatique tendant à ce que soit ordonnée toute mesure que la cour jugera utile à déterminer la quote-part des redevances mensuelles affectées par la SAS Pictime groupe aux prestations inexécutées ou mal exécutées afin de déterminer avec précision cette quote-part, elle ne pourra qu’en être déboutée dès lors qu’il a été jugé que la SAS Pictime groupe n’avait pas manqué à ses obligations substantielles issues du contrat.

3) Sur les prétentions annexes

Le jugement sera réformé en ce qu’il a statué sur les dépens et l’article 700 du code de procédure civile.

Les dépens seront mis à la charge de la SAS D2L informatique, succombant principalement. Et en équité, il n’y a pas lieu de faire application des dispositions de l’article 700 du code de procédure civile.

PAR CES MOTIFS  

La cour,

Réforme le jugement en ce qu’il a condamné la SAS D2L informatique à payer à la SAS Pictime groupe la somme de 37 343,63 euros TTC en paiement de la facture FA18060199, en ce qu’il a dit le maintien possible du contrat d’hébergement de données de santé suite à l’entrée en vigueur de la réforme de l’hébergement de données de santé le 1er avril 2018 et en ce qu’il a statué sur les dépens et l’article 700 du code de procédure civile ;

Confirme le jugement pour le surplus ;

Statuant à nouveau sur les chefs réformés et y ajoutant,

Déboute la SAS D2L Informatique de sa demande tendant à ce qu’il soit ordonné à la SAS Pictime groupe de lui adresser un avoir correspondant à ladite facture, formée à titre principal ;

Déboute la SAS Pictime groupe de sa demande de condamnation de la SAS D2L informatique à lui payer la somme de 37 343,63 euros TTC en paiement de la facture FA18060199 ;

Déboute la SAS D2L informatique de sa demande tendant à ce que soit ordonnée toute mesure que la Cour jugera utile à déterminer la quote-part des redevances mensuelles affectées par la SAS Pictime groupe aux prestations inexécutées ou mal exécutées afin de déterminer avec précision cette quote-part ;

Condamne la SAS D2L informatique aux dépens ;

Dit n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile ;

Le greffier Le président

Valérie Roelofs Dominique Gilles