Force majeure

Dernière mise à jour : 09/03/2020

J’ai vu passer une question intéressante sur LinkedIn : un virus informatique (enfin, un programme malveillant) peut-il être considéré comme un cas de force majeure afin de s’exonérer de ses responsabilités ? Un tribunal français a dit : non.

Force majeure : définition

Première chose à se demander : qu’est-ce qui constitue un cas de force majeure. La chose est évidemment compliquée, et ne peut se résumer en quelques mots.

Voici toutefois les 3 caractéristiques généralement retenues pour l’événement causant la force majeure. Il doit être :

  • Imprévisible
  • Insurmontable
  • Incontrôlable

On voit aussi parfois :

  • Irresistible
  • Inévitable
  • Extérieur

Regardons ça en commençant par le plus facile.

Incontrôlable

Beaucoup d’événements peuvent rentrer dans cette catégorie. Un arbre qui tombe sur votre voiture, une averse de grêle… Vous avez beau invoquer Eole1 ou faire la danse de la pluie en sens inverse, vous ne contrôlerez pas la chute de l’arbre ou de grêle.

Un virus est souvent incontrôlable : il est créé et lancé dans la nature par son créateur, sur lequel vous n’avez aucun contrôle.

La cause d’un cas de force majeure est donc extérieur à l’entreprise ou l’organisme considéré : vous n’avez aucun contrôle sur sa survenue, ou sur la cause de l’événement.

Insurmontable

Ca n’est pas tout à fait la même chose : ici on veut dire qu’aucune action ne permet d’enrayer les effets.

Un virus (programme malveillant) peut aussi devenir incontrôlable : même en fermant les portes de votre réseau ou en utilisant des solutions de sécurité, son action ne sera pas enrayée. L’arrêt des machines empêchera la propagation des effets, mais ceux-ci repartiront dès le redémarrage des machines. Seule une réinstallation ou des lourdes actions à froid permettront une reprise, empêchant ainsi toute utilisation du système informatique sans reconstruction.

Imprévisible

Une tempête n’est pas forcément imprévisible. A savoir : une tempête de force ordinaire dans une période à risque, pour un lieu donné, n’est pas imprévisible. Par contre, si elle survient dans une zone où il n’y en a pas normalement, ou si sa force dépasse fortement ce qui est habituel, là on est dans l’imprévisible.

Il n’est pas évident de pouvoir faire le parallèle avec un virus : celui-ci n’a pas de force intrinsèque, et ses conséquences seront grandement liées à l’état du système informatique attaqué.

Hélas, on considère aujourd’hui que les attaques informatiques ne sont pas des événements imprévisibles, un peu comme les incendies de bâtiments, je pense : la gravité et la probabilité de survenue dépendront grandement de l’état de sécurité du système informatique tout comme l’état d’un immeuble ou de ses systèmes de sécurité pour l’incendie.

Le cas incriminé

Notre jurisprudence indique qu’un événement doit être imprévisible, insurmontable et incontrôlable pour être un cas de force majeure. La justice considère donc ici qu’un virus (sic) n’est ni imprévisible, ni incontrôlable.

Cependant, l’imprévisibilité est parfois sujette à interprétation ou contextualisation : une tempête qui a lieu dans une zone où elles surviennent, à une période habituelle, est prévisible. Mais on la considère comme imprévisible si elle dépasse en force ce qui est habituel ou ce contre quoi on peut se protéger.

Or, pour une attaque informatique, quid d’une attaque DDoS ou d’une faille zero day ? La faille Citrix récente est restée longtemps sans correctif ou palliatif… Dans certains SI, on me dira qu’on pourrait couper le service incriminé (si on a connaissance de la faille), mais dans d’autres cas on ne le pourra pas : imaginons un SI basé uniquement sur des clients légers Citrix.

Ce qui est intéressant ici, c’est que la justice donne probablement la bonne réponse mais avec une argumentation discutable. Je pense qu’ici l’attaque restait dans le domaine du prévisible, mais surtout du surmontable (un service censé faire des sauvegardes ne les faisait plus depuis plusieurs semaines ou mois) !

Sources