Alan WALTER 
Avocat au Barreau de Paris 
 
Tél : 01 45 01 45 01 – Fax : 01 45 01 45 00 – E-mail : alan.walter@runbox.com 
51, rue Dumont d’Urvil e – 75116 Paris – Palais P 449 
 
 

: 
Stéphane Lubiarz / Jean-Paul Smets 
 
 
 
OBJET  : 
Cloud et sécurité des données 
DATE  : 
13 septembre 2013 
 
Bien  avant  les  révélations  d’Edward  Snowden  et  le  scandale  « Prism »,  le  souci  de  la 
confidentialité des données a toujours constitué une question de premier plan les utilisateurs 
de l’internet. 
Après  les  premiers  virus  informatiques  de  grande  envergure1  et  depuis  le  début  des  années 
2000,  point  de  départ  de  la  généralisation  massive  de  l’internet  auprès  du  grand  public,  ont 
émergé  les  préoccupations  liées  à  la  sécurité  informatique,  la  cybercriminalité,  la 
cryptographie… 
Revenant  aux  principes  mêmes  de  l’internet  en  allant  jusqu’à  appliquer  la  logique  de  réseau 
décentralisé  aux  infrastructures  elles-mêmes,  le  Cloud  se  targue  de  pouvoir  répondre  aux 
exigences de sécurisation de ses clients. 
Néanmoins,  le  passage  d’une  informatique  aux  serveurs  physiques  et  identifiés  à  une 
informatique  dans  les  nuages  n’a  fait  qu’opacifier  les  mesures  et  processus  mis  en  œuvre, 
complexifier les questions et, in fine, aggraver la situation. 
Et pour cause ! L’informatique « centralisée » reposait sur une architecture simple : les données 
étaient  détenues  par  une  entité  unique,  implantée  dans  un  seul  pays  et  soumise  à  un  droit 
homogène et identifiable. La sécurité des données était alors assurée, celles-ci n’étant mises en 
risques que lorsqu’elles transitaient sur les réseaux. 
A l’inverse, dans le Cloud, en dépit d’une concentration indéniable du marché des prestataires, 
les  données  sont  morcelées  sur  plusieurs  infrastructures  techniques,  potentiellement  opérées 
par  des  prestataires  distincts,  dans  plusieurs  pays,  sous  l’empire  de  corpus  législatifs 
divergents. 
Au surplus, ces infrastructures lourdes et complexes n’étant mise en œuvres et commercialisées 
que par des géants de l’industrie, ces derniers ont toute latitude pour imposer leurs conditions 
aux utilisateurs. 
Ainsi, indépendamment des aspects techniques, le Cloud ne semble pas aujourd’hui en mesure 
d’offrir  à  ses  utilisateurs  les  garanties  satisfaisantes  au  regard  de  la  sécurité  et  de  la 
confidentialité de leurs données. 
Les développements ci-après ont pour objet l’analyse des principaux obstacles réglementaires 
et  contractuels  qui  contredisent  l’impression  de  sécurité  que  confère  les  offres  de  Cloud 
aujourd’hui disponibles. 
                                                        
1 Notamment l’apparition de « Jérusalem » en 1987. 


LA « SECURITE » N’EST PAS NECESSAIREMENT SYNONYME DE « SECURITE DES DONNEES » 
« La  sécurité  est  un  droit  fondamental »,  proclamait  l’article  1er  de  la  loi  relative  à  la  sécurité 
quotidienne jusqu’à son abrogation2. 
Mais quelle sécurité ? 
Probablement celle des personnes mais certainement pas celle des données. 
Depuis la signature de la Convention sur la cybercriminalité à Budapest le 23 novembre 2001, 
les pays membres du G8 ont décidé de se doter d’un arsenal juridique leur permettant de lutter 
contre la criminalité informatisée et la criminalité informatique, toutes deux désignées comme 
la « cybercriminalité »3. 
A  la  suite  des  évènements  du  11  septembre  2001,  les  pays  membres  du  G8  ont  formulé  un 
certain nombre de recommandations visant à renforcer leur présence sur le réseau et à étendre 
leurs facultés d’intervention. 
S’en  suivirent,  en  France,  un  certain  nombre  de  textes  législatifs  visant  à  assurer  à  l’Etat  un 
accès  rapide  et  permanent  aux  données  informatiques  des  personnes  privées  (1.1),  imposant 
aux prestataires techniques une obligation de conservation (1.2). 
1.1 
Le régime d’accès aux données par les administration françaises 
Devant la généralisation de la cybercriminalité, le pouvoir judiciaire s’est doté de la possibilité 
d’intervenir sur les outils informatiques dans le cadre de toute enquête. 
1 -  A cette fin, l’article 56 du code de procédure pénale dispose que : 
« Si  la  nature  du  crime  est  telle  que  la  preuve  en  puisse  être  acquise  par  la  saisie  des  papiers, 
documents,  données  informatiques  ou  autres  objets  en  la  possession  des  personnes  qui 
paraissent avoir participé au crime ou détenir des pièces, informations ou objets relatifs aux faits 
incriminés,  l'officier  de  police  judiciaire  se  transporte  sans  désemparer  au  domicile  de  ces 

derniers pour y procéder à une perquisition dont il dresse procès-verbal ». 
De la même façon, dans le cadre des perquisitions et saisies, l’article 97 du code de procédure 
pénale dispose qu’il est possible de procéder à : 
« la  saisie  des  données  informatiques  nécessaires  à  la  manifestation  de  la  vérité  en 
plaçant sous main de justice soit le support physique de ces données, soit une copie réalisée en 

présence des personnes qui assistent à la perquisition ». 
Néanmoins, sous couvert d’extension de la lutte contre la cybercriminalité, cette faculté a été 
étendue, par le biais de l’article 62 de la loi de finances rectificative pour 2001, aux agents du 
trésor public, des douanes et de l’AMF.4 
Depuis  lors,  chaque  agent  de  ces  administrations  dispose  de  la  faculté  d’exiger  la 
communication  de  toute  information  et  documents  auprès  des  « opérateurs  de 
télécommunication
 »5. 
                                                        
2 Article 1er de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité introduit par la loi n° 2001-
1062 du 15 novembre 2001 relative à la sécurité quotidienne et abrogé par l’ordonnance n° 2012-351 du 12 mars 2012 - art. 19 (V). 
3 Convention consultable à l’adresse <http://conventions.coe.int/treaty/fr/Treaties/Html/185.htm>. 
4 Article 62 de la loi n° 2001-1276 du 28 décembre 2001 de Finances rectificative pour 2001 qui a modifié l’article 65 du Code des 
douanes, l’article L 621-10 du Code monétaire et financier et l’article L 83 du Livre des procédures fiscales. 
Alan WALTER 
2 / 10 
  13 septembre 2013 
 
 

Il  convient  alors  de  s’interroger  sur  la  définition,  très  large,  de  l’« opérateur  de 
télécommunication
 »,  à  savoir  « une  entreprise  qui  fournit  ou  est  autorisée  à  fournir  un  réseau  de 
communications public ou une ressource associée »6. 
Face à la rédaction de cette définition et en particulier de la référence à une « ressource associée », 
force est de constater que tout acteur de l’internet, qu’il soit fournisseur d’accès, hébergeur ou 
même fournisseur de caching se verra soumis à ces dispositions qui permettent un accès par 
diverses administrations. 
2 -  Toutefois,  les  administrations  ne  sont  pas  seules  à  pouvoir  accéder  légalement  aux 
données stockées par un tiers. 
En  effet,  en  matière  d’atteinte  aux  droits  de  propriété  intellectuelle,  par  le  biais  de  la  saisie-
contrefaçon7, ou bien, dans toutes les autres matières, par le biais de la procédure in futurum8, 
toute personne peut requérir du juge que soient mises en œuvre des mesures d’instruction. 
En  matière  de  propriété  intellectuelle  et/ou  industrielle,  ces  dispositions  légales  permettent 
donc, à celui qui pourra démontrer avoir un intérêt et la qualité pour agir, de voir ordonnées 
« toute  mesure  urgente  destinée  à  prévenir  une  atteinte  aux  droits  […]  ou  à  empêcher  la  poursuite 
d'actes portant prétendument atteinte à ceux-ci »9. 
De la même façon, dans toute autre matière, notamment dans le cadre d’un contentieux civil ou 
commercial, « S'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits 
dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent 

être ordonnées à la demande de tout intéressé »10. 
Ainsi,  dès  lors  que  la  compétence  des  juridictions  françaises  sera  reconnue,  toute  donnée 
hébergée pourra être extraite et copiée en application d’une ordonnance rendue au visa de l’un 
de ces textes. 
Il  convient  de  préciser  que,  sous  réserve  de  justifier  de  sa  demande  auprès  du  magistrat 
compétent,  le  demandeur  pourra  agir  sur  requête,  c’est-à-dire  en  dérogeant  au  principe  du 
contradictoire. 
Dans une telle hypothèse, ni le propriétaire ni le détenteur des données ne seront informés de 
la mise en œuvre d’une telle procédure. 
Si  le  détenteur  des  données  (le  plus  souvent  l’hébergeur)  sera  informé  de  la  mesure 
d’instruction lors de sa mise en œuvre, celui qui en est le propriétaire, quant à lui, pourra ne 
jamais être informé d’un tel accès à ses données. 
3 -  Tel  qu’exposé  précédemment,  les  données  stockées  par  les  prestataires  techniques  de 
l’économie numérique peuvent donc être l’objet d’intrusions légales par les autorités judiciaires 
et/ou administratives. 
                                                                                                                                                                                 
5 On notera l’absence de mise à jour de cette disposition qui fait encore référence non seulement au terme « télécommunications » 
alors que celui-ci a depuis plusieurs années été remplacé par l’expression « communications électronique » mais aussi à des articles 
abrogés. 
6 Directive 2002/19/CE du Parlement Européen et du Conseil du 7 mars 2002 relative à l'accès aux réseaux de communications 
électroniques et aux ressources associées, ainsi qu'à leur interconnexion (directive « accès »). 
7 Selon que l’affaire concerne de la contrefaçon de droit d’auteur, de marque, de brevet, de logiciel et/ou de base de données, les 
textes applicables diffèrent mais restent similaires. 
8 Cf. Article 145 et suivants du code de procédure civile. 
9 Extrait de l’article L 343-2 du code de la propriété intellectuelle. 
10 Article 145 du code de procédure civile. 
Alan WALTER 
3 / 10 
  13 septembre 2013 
 
 

S’agissant des ordonnances rendues sur requête, il s’agit bien entendu d’un point ayant trait à 
la force exécutoire des décisions de justice et au respect des droits de la défense. En effet, dans 
une  telle  hypothèse,  celui  dont  les  données  sont  saisies  dispose  bien  entendu  de  voies  de 
recours, sous réserve qu’il ait été informé de l’identité du saisissant, ce qui peut ne pas toujours 
être le cas. 
En tout état de cause, s’agissant de ces procédures engagées devant les juridictions civiles, le 
saisi bénéficie d’une forme de protection du fait du contrôle exercé par le juge : la requête aux 
fins de saisie doit être examinée et validée par un juge, ce dernier étant tenu de s’assurer, lors 
dudit  examen,  que  la  dérogation  au  principe  du  contradictoire  est  justifiée  et  que  la  mesure 
d’instruction  sollicitée  ne  pourra  être  « un  moyen  détourné  pour  obtenir  des  informations 
confidentielles de son concurrent sur son activité, sa clientèle ou son savoir faire »11. 
Dans de telles conditions, aucune donnée stockée sur un cloud auprès d’un prestataire soumis 
à  la  législation  française  n’est  réellement  sécurisée :  le  prestataire  ne  pourra  refuser  de 
communiquer les informations requises sous peine d’engager sa responsabilité pénale. 
1.2 
L’obligation de conservation des données imposée aux prestataires techniques 
L’universalité de la faculté d’accès constatée, il est nécessaire de s’interroger sur la nature des 
données ainsi accessibles. 
1 -  L’article  6  II  de  la  loi  pour  la  confiance  dans  l’économie  numérique  (« LCEN »)12  prévoit 
que « les [fournisseurs d’accès à internet13] et [hébergeurs14] détiennent et conservent les données de 
nature  à  permettre  l'identification  de  quiconque  a  contribué  à  la  création  du  contenu  ou  de  l'un  des 

contenus des services dont elles sont prestataires ». 
Dans  le  même  esprit  que  la  définition  des  opérateurs  de  communications  électroniques,  la 
définition des hébergeurs est suffisamment large pour englober non seulement les hébergeurs 
de sites web mais également tous les hébergeurs de solutions en ligne, cloud compris. 
Cette obligation de conservation assure bien entendu l’efficacité des dispositions précitées (cf. 
Erreur ! Source du renvoi introuvable.). 
2 -  L’article 6 II de la LCEN est complété par les dispositions d’un décret ad hoc15, l’article 1 2° 
duquel précise que les hébergeurs doivent conserver : 
« a) L'identifiant de la connexion à l'origine de la communication ; 
b) L'identifiant attribué par le système d'information au contenu, objet de l'opération ; 
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ; 
d) La nature de l'opération ; 
                                                        
11  TC  Châteauroux,  24  jan.  2007,  RG :  2006/882,  à  rapprocher  de  Cour  d’appel  de  Paris  –  Pôle  1  Chambre  4  –  11  mars  2010 
n°0913381 s’agissant d’un huissier qui excède les limites de sa mission et ainsi aggrave le risque d’atteinte à la confidentialité des 
donnés informatiques copiées. 
12 Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. 
13 Définis comme « Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne » (Article 6 I 1° de 
la LCEN). 
14 Définis comme « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services 
de  communication  au  public  en  ligne,  le  stockage  de  signaux,  d'écrits,  d'images,  de  sons  ou  de  messages  de  toute  nature  fournis  par  des 
destinataires de ces services 
» (Article 6 I 2° de la LCEN). 
15 Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute 
personne ayant contribué à la création d'un contenu mis en ligne. 
Alan WALTER 
4 / 10 
  13 septembre 2013 
 
 

e) Les date et heure de l'opération ; 
f) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ». 
Au surplus, l’article 1 3° de ce décret, afin de s’assurer de la capacité à identifier le propriétaire 
des  informations  détenues,  impose  également  aux  hébergeurs,  lors  de  la  souscription  du 
contrat, de recueillir : 
« a) Au moment de la création du compte, l'identifiant de cette connexion ; 
b) Les nom et prénom ou la raison sociale ; 
c) Les adresses postales associées ; 
d) Les pseudonymes utilisés ; 
e) Les adresses de courrier électronique ou de compte associées ; 
f) Les numéros de téléphone ; 
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur 
dernière version mise à jour
 ». 
On  remarquera  bien  entendu  en  particulier  les  stipulations  de  l’alinéa  g)  qui  imposent  que 
soient conservés le mot de passe ainsi que les moyens de le modifier et/ou de la vérifier. 
Sur ce point, la conservation de la « question secrète » ne pose pas question. Toutefois, il n’en 
va pas de même pour la conservation du mot de passe en lui-même. Cette conservation pose en 
effet un double problème : d’abord de capacité technique mais aussi et surtout de respect de la 
vie privée. 
Sur  le  plan  de  la  vie  privée,  il  apparaît  parfaitement  choquant  qu’un  prestataire  technique 
conserve,  en  clair,  le  mot  de  passe  de  ses  utilisateurs  et,  pis  encore,  soit  contraint  de  le 
communiquer si la demande lui en était faite. 
La  pertinence  de  cette  disposition  peut  être  discutée  dans  la  mesure  où,  sur  réquisition,  tout 
prestataire  est  tenu  de  fournir  les  données  qu’il  détient.  Ainsi,  quelle  peut  être  l’utilité  de  la 
conservation  des  mots  de  passe,  si  ce  n’est  leur  éventuelle  utilisation  pour  accéder  à  des 
services qui seraient hors du champ d’action des dispositions légales permettant un accès aux 
données fondé ? 
3 -  En  tout  état  de  cause,  il  est  par  ailleurs  précisé  par  l’article  3  de  ce  même  décret  que  les 
données sont conservées pendant une durée d’un an. 
4 -  Par ces dispositions, fortement critiquées lors de leur adoption, les pouvoirs public se sont 
assurés, tant pour les personnes privées que pour les administrations d’Etat, de la possibilité de 
saisir tout contenu accessible en ligne et de pouvoir en identifier l’auteur. 
Cette obligation qui pèse sur les hébergeurs, couplée aux facultés d’accès aux données qui sont 
ouvertes  tant  aux  personnes  publiques  qu’aux  personnes  privées  permettent  de  douter  avec 
force  de  la  sécurité  réellement  possible  s’agissant  de  l’accès  par  des  tiers  aux  données 
hébergées dans un cloud. 
Alan WALTER 
5 / 10 
  13 septembre 2013 
 
 


CLAUSE  CONTRACTUELLES  ET  SECURITE  DES  DONNEES  OU  « COMMENT  NE  RIEN 
PROMETTRE » 

Il est usuel dans le milieu de l’informatique de négocier ses différents contrats, étant entendu 
que tant le client que le prestataire tenteront chacun de protéger leurs intérêts au mieux, sans 
pour autant nuire à l’équilibre général de la relation contractuelle. 
Dans le domaine du cloud, nombre de contrats se révèlent être contrats d’adhésion sur lesquels 
le client n’a pas de prise16. 
Une  analyse  de  ces  contrats  permet  aisément  de  démontrer  que  le  prestataire  n’offre  aucune 
garantie,  en  particulier  au  regard  de  la  conservation  des  données  (2.1)  et  exclut  autant  que 
possible  sa  responsabilité  (2.2),  ce  que  les  tribunaux  français  ont  été  amenés  à  valider  dans 
certaines conditions (Erreur ! Source du renvoi introuvable.). 
2.1 
Exclusions de garantie 
Une analyse des conditions générales de services des principaux prestataires de Cloud permet 
de relever que les garanties fournies en standard sont quasi-inexistantes. 
2.1.1  Exclusion générale de toutes les garanties non prévues au contrat 
Il  convient  de  constater  que,  parmi  les  contrats  analysés,  la  totalité  exclu  les  garanties 
suivantes : 
1 -  merchantability”,  généralement  usitée  dans  les  seuls  contrats  de  droit  anglo-saxon,  cette 
garantie  vise  les  qualités  du  produit  et  leur  respect  des  standards  en  vigueur  permettant  sa 
mise sur le marché. 
L’exclusion de cette garantie pourra permettre au prestataire, dans l’hypothèse où son produit 
ne  serait  pas  jugé  conforme  aux  standards  du  marché,  d’exclure  tout  ou  partie  de  sa 
responsabilité vis-à-vis du client. 
2 -  fitness for [a particular] purpose” qui protégé le prestataire dans l’hypothèse où le service 
fourni ne serait pas en adéquation avec les besoins du client. 
De  manière  générale,  le  vendeur  professionnel17,  en  tant  que  « sachant »,  est  tenu  à  une 
obligation de conseil. En effet, la jurisprudence constante considère que : « tout vendeur doit, afin 
que  la  vente  soit  conclue  en  connaissance  de  cause,  s'informer  des  besoins  de  l'acheteur  et  informer 
ensuite  celui-ci  des  contraintes  techniques  de  la  chose  vendue  et  de  son  aptitude  à  atteindre  le  but 

recherché »18. 
En  excluant  cette  garantie,  le  prestataire  édulcore  son  obligation  d’information,  limitant  ainsi 
les possibilités de recours pour les clients. 
3 -  satisfactory  quality”,  probablement  l’exclusion  la  plus  surprenante,  par  laquelle  le 
prestataire  indique,  sans  ambiguïté,  que  son  service  pourrait  ne  pas  être  d’une  qualité  jugée 
« satisfaisante ». 
                                                        
16 Il a été procédé à l’analyse des conditions générales des services suivants : « Cloud Terms of Service RackSpace US » ; « CloudSigma 
Terms of Service
 » et « Amazon Web Services Customer Agreement ». 
17 La notion de « vendeur » est ici entendue au sens large et pas seulement dans son acception stricte de « transfert de propriété ». 
Ainsi,  l’obligation  de  conseil  pourra  être  invoquée  dans  le  cadre  d’une  licence  de  logiciel  ou  bien  d’un  contrat  de  prestation  de 
services. 
18 Cass. com., 5 janv. 1999 ; pourvoi n° 96-16521. 
Alan WALTER 
6 / 10 
  13 septembre 2013 
 
 

Il convient ici de renvoyer à la notion d’obligations essentielles. En effet, si le prestataire venait, 
par le truchement de cette clause, à vider le contrat de se substance de sorte qu’il ne serait plus 
tenu à aucun engagement, le droit français tendrait à l’annulation de cette stipulation. 
Néanmoins, dans l’hypothèse de l’application d’un droit étranger, il ne peut être préjuge de la 
validité  ou  de  l’invalidité  d’une  telle  clause,  laquelle  pourrait  s’avérer  dévastatrice  pour  un 
client qui souhaiterait engager une action à l’encontre de son prestataire. 
4 -  quiet  enjoyment”  et  “non-infringement” :  il  s’agit  ici  de  la  garantie  d’éviction  et  de  son 
pendant en matière de propriété intellectuelle ; la garantie de contrefaçon. 
Ces garanties permettent au client d’avoir un recours dans l’hypothèse où les éléments qui lui 
sont  fournis  (i.e.  services,  logiciels,  documentation…)  en  application  du  contrat  porteraient 
atteinte  aux  droits  de  tiers  (e.g.  contrefaçon,  concurrence  déloyale…).  Même  si  elle  n’a  pas 
directement trait aux données des utilisateurs, elle permet d’assurer une continuité de service 
dans l’éventualité visée ci-avant. 
En l’absence d’une telle garantie, le client n’aura que très peu de recours à sa disposition dans 
l’hypothèse  d’une  action  dirigée  par  un  tiers  qui  considèrerait  que  le  produit  en  cause  porte 
atteinte à ses droits. 
5 -  De  la  même  façon,  il  est  généralement  indiqué  que  le  service  ne  sera  pas  ininterrompu 
et/ou exempt de bugs et erreurs. 
Lorsque  la  prestation  concerne  la  seule  délivrance  d’un  logiciel  (à  l’exclusion  de  toute  autre 
prestation  ou  fourniture  de  matériel  associés),  ce  qui  empêche  de  qualifier  le  contrat  de 
« vente », la jurisprudence admet que la présence de « bugs » est inhérente à la matière19. 
Ainsi,  sauf  à  démontrer  que  le  contrat  pouvait  être  qualifié  de  vente  ou  bien  à  invoquer  un 
engagement contractuel spécifique, une exclusion de garantie relative à la subsistance de bugs 
reste valables, laissant le client à la merci d’une action corrective du prestataire. 
2.1.2  Exclusion de toute garantie relative aux données 
De  manière  bien  plus  spécifique,  il  convient  de  relever  que  les  contrats  étudiés  excluent  de 
manière systématique toute obligation relative aux données. 
Quelques exemples de clause permettent d’appréhender l’étendue de ces exclusions : 
-  “to be solely and entirely responsible for maintaining at least one current backup copy 
outside  of  CloudSigma’s  network  of  all  data  (including  but  not  limited  to  operating 
systems, content and programs) stored on CloudSigma’s network to ensure that the potential for 

losses is mitigated” ; 
-  “We make no representations or warranties that the Services will be […] secure or that data 
stored using the Services will be secure or otherwise safe from loss or damage” ; 
-  “You  are  responsible  for  properly  configuring  and  using  the  Service  Offerings  and  taking 
your  own  steps  to  maintain  appropriate  security,  protection  and  backup  of  Your 
Content
,  which  may  include  the  use  of  encryption  technology  to  protect  Your  Content  from 

unauthorized access and routine archiving Your Content” ; 
                                                        
19 CA Paris 5e Ch. 7-2-1986, Caisse de retraite des notaires c/ MAP Informatique : Expertises 1986 n°87 p.235. 
Alan WALTER 
7 / 10 
  13 septembre 2013 
 
 

-  “Any unauthorized access to, alteration of, or the deletion, destruction, damage, loss or 
failure to store any of your content or other data” ; 
-  “You acknowledge that there are risks inherent in Internet connectivity that could result 
in the loss of your privacy, Customer Data, Confidential Information, and property”. 
Le client étant informé dès la conclusion du contrat qu’aucun garantie n’est prise et que toute 
responsabilité  est  exclue  relativement  à  ses  données,  il  ne  pourra  que  très  difficilement 
recherché la responsabilité du prestataire de ce fait. 
L’insertion  de  cette  clause  rend  nulle  ou  difficilement  applicable  tout  autre  engagement  pris 
par le prestataire en terme de qualité de services. 
2.2 
Limitation de responsabilité 
1 -  Les  prestataires  n’hésitent  pas  à  limiter  voire  exclure  totalement  leur  responsabilité  aux 
termes des différents contrats. 
Pour  ce  faire,  ils  peuvent  (i)  exclure  leur  responsabilité  en  cas  de  survenance  de  certains 
dommages  listés  au  contrat,  (ii)  prévoir  que  le  service  est  fourni  « en  l’état »,  excluant  ainsi 
totalement la mise en jeu de leur responsabilité ; ou bien (iii) en limitant par avance le montant 
des dommages et intérêts qu’ils sont susceptibles de verser en cas de condamnation. 
2 -  Quelques exemples parmi les plus parlants : 
-  « the immediately preceding month in which the event (or first in a series of connected events) 
occurred” ; 
-  “The service offerings are provided “as is”.” ; 
-  “we and our affiliates or licensors will not be liable to you for any direct, indirect, incidental, 
special,  consequential  or  exemplary  damages  (including  damages  for  loss  of  profits,  goodwill, 
use, or data)
” ; 
-  “our and our affiliates’ and licensors’ aggregate liability under this agreement will be limited to 
the amount you actually pay us under this agreement for the service that gave rise to the claim 
during the 12 months preceding the claim
”. 
En  choisissant  voir  cumulant  ce  type  de  formulations,  le  prestataire  se  met  donc  à  l’abri  de 
nombreuses difficultés. 
3 -  De  manière  indirecte,  en  prévoyant  généralement  des  définitions  extensives  de  la  “force 
majeure”, les prestataires se réservent par là la possibilité d’exclure leur responsabilité en cas 
de virus informatique. 
En  effet,  pour  être  qualifié  de  cas  de  force  majeure  et  ne  pas  engager  la  responsabilité  des 
parties  en  cas  d’inexécution,  l’évènement  en  cause  doit  remplir  trois  critères  cumulatifs,  à 
savoir être extérieure aux parties (même si ce dernier critère n’est plus retenu de manière aussi 
absolue), imprévisible et irrésistible20. 
                                                        
20 Article 1148 du Code civil et, pour la définition des trois critères, Cass. Soc. 16 mai 2013, pourvoir n° : 10-17.726. S’agissant d’un 
certain relâchement quant l’exigence du caractère d’extériorité, voir : Cass. Civ. , 30 oct. 2008 : Bull. Civ. I, n°243. 
Alan WALTER 
8 / 10 
  13 septembre 2013 
 
 

Même si la jurisprudence est rare sur cette question, certaines décisions nous renseignent sur la 
question de la responsabilité de celui qui transmettrait un virus. 
En l’état actuel de la jurisprudence, même si le virus informatique est « un risque connu dans le 
domaine informatique », rien n’empêche que son caractère imprévisible (par son ampleur ?) et 
irrésistible  (faute  de  moyen  pour  combattre  efficacement  un  nouveau  virus ?)  pourrait  être 
démontrés21. 
Dans une telle hypothèse, un prestataire pourrait ainsi exclure sa responsabilité. 
2.2.1  Le plafonnement voir l’exclusion de responsabilité, même rédigés de manière très large, peuvent 
être valables 
Laissé à la libre appréciation des parties en raison de la liberté contractuelle, l’aménagement de 
la responsabilité est de droit. 
Contrairement  à  la  responsabilité  délictuelle  (lorsque  la  faute  à  l’origine  du  dommage  est 
constitutive  d’une  infraction),  la  responsabilité  contractuelle  peut  donc  être  encadrée,  limitée 
ou  exclue,  d’un  commun  accord  entre  les  parties22,  sauf  dans  certaines  circonstances, 
limitativement énumérées par la loi et la jurisprudence : 
-  le  dol23.  Si  le  dol  est  prouvé,  la  convention  se  trouve  annulée,  faisant  perdre  toute 
efficacité  aux  clauses  qu’elle  contient.  Dès  lors,  toute  limitation  ou  exclusion  ne  peut 
plus trouver à s’appliquer ; 
-  la  faute  lourde,  qui  entraîne  l’inefficacité  de  la  clause  de  responsabilité,  car  elle  est  la 
faute grossière, quasi-inexcusable, la « négligence grossière que l’homme le moins averti ne 
commettrait pas dans la gestion de ses propres affaires »24 ; 
-  les dommages aux personnes, qui, de jurisprudence constante, rend nulle toute clause 
de limitation ou d’exclusion de la responsabilité25. 
Pendant  longtemps,  les  tribunaux  français  ont  hésité  sur  le  sort  à  réserver  aux  clauses  qui 
aménagent la responsabilité des parties en cas de manquement à une obligation essentielle. 
En  effet,  comment  ne  pas  considérer  qu’un  tel  manquement,  s’il  n’est  pas  (ou  peu)  réparé, 
reviendrait à vider de sa substance le contrat en permettant aux parties de ne pas se soumettre 
aux obligations qu’elles ont contracté26. 
Toutefois,  cette  position  des  juridictions  des  juridictions  françaises  s’est  depuis  lors  infléchi, 
considérant  qu’il  peut  ressortir  de  l’équilibre  général  du  contrat  une  limitation  des 
engagements  du  prestataire,  lequel  peut  valablement  aménager,  limiter  et/ou  exclure  sa 
responsabilité27. 
 
                                                        
21 Cass. Com. 25 novembre 1997, jursidata: 1997-004692. 
22 Cass. Crim. 12 décembre 1946, JCP 1947, II, 3621, note R. Rodière. 
23 Cf. article 1116 du code civil : « Le dol est une cause de nullité de la convention lorsque les manœuvres pratiquées par l'une des parties sont 
telles, qu'il est évident que, sans ces manœuvres, l'autre partie n'aurait pas contracté
 ». 
24 Cass. Civ. 1er mai 1983: D. 1983 IR p. 256. 
25 CA Toulouse, 23 octobre 1931 : D. 1935 II p.49 note L. Mazaud. 
26 Voir sur ce point les décisions « Chronopost », en particulier Cass. Com. 22 octobre 1996, Contrats conc. consom. 19987, p. 0 note 
anonyme. 
27 Cass. civ. 1e , 24 février 1993 
Alan WALTER 
9 / 10 
  13 septembre 2013 
 
 






Alan WALTER 
10 / 10 
  13 septembre 2013