103 entreprises ont rejoint le recours collectif réclamant des dommages et intérêts pour les pertes causées par l'incendie qui a détruit le centre de données SBG2 d'OVHcloud à Strasbourg en mars 2021. Le cabinet d'avocats dit avoir été contacté par cinquante autres clients d'OVHcloud, tandis que quatre grands acteurs agissent individuellement. Le cabinet d'avocats parisien Ziegler & Associés affirme qu'OVHcloud a proposé une indemnisation forfaitaire de 900 € chacun, tandis que ses clients ont subi un total de plus de 9,2 millions d'euros de dommages et de données perdus à cause de l'incendie dans les locaux du fournisseur de cloud français.
Dans la nuit du 9 au 10 mars 2021, un incendie s’est déclaré dans l’un des datacenters de la société OVH cloud. Plusieurs entreprises ont été victimes de cet incendie et de nombreux sites internet ont à déplorer une perte irréversible de leurs données. Que les pertes de données n’aient été que temporaires ou définitives, cet incendie a porté, dans tous les cas, un préjudice économique à plusieurs milliers de sociétés.
La CNIL a procédé à la publication d’une note sur son site qui rappelle les règles du RGPD aux propriétaires des sites web affectés par les incidents OVH. S'ils ont perdu des données personnelles, il faut le signaler à l'autorité :
« Suite à l’incendie du 10 mars 2021 ayant eu lieu dans un centre de données d’OVH à Strasbourg, la CNIL rappelle les obligations en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles. La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD. À ce titre, les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne. Les sous-traitants doivent informer leurs clients de l'incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux. »
Le cabinet d'avocats parisien Ziegler & Associés a pour sa part amorcé un recours collectif contre OVHcloud. Pour le cabinet, si un accord à l'amiable n'est pas trouvé en termes de préjudice et d'indemnisation, l'affaire prendrait le chemin du tribunal de commerce.
Il faut dire que le 16 mars 2021, le PDG d’OVH avait annoncé que les clients bénéficieraient de trois mois gratuits en cas de coupure de service et d'une gratuité de six mois en cas de perte de données.
À cette même date, le fondateur de la société a également reconnu que beaucoup de clients n’avaient pas compris l’offre d’OVH en matière d’hébergement des données et de la nécessité de souscrire à une offre de sauvegarde complémentaire. Octave Klaba a alors annoncé une modification de la politique d’OVH afin d’accroître la sécurité des données et permettre une option de sauvegarde de données à tous les clients, sans aucun surcoût.
Cette annonce est cruciale car, certains clients n’avaient pas souscrit à l’offre de sauvegarde supplémentaire avant la survenance de l’incendie. Et cela peut avoir un impact sur l’indemnisation future de leurs pertes.
Ainsi, comment les clients dont le préjudice économique est lourd pourront-ils engager la responsabilité d’OVH s’ils sont contraints de ne jamais retrouver leurs données ? Autrement dit, pourront-il obtenir une indemnisation pour les pertes subies ?
La nature juridique des relations établies entre OVH, prestataire de service, et ses clients est contractuelle. Par conséquent, les stipulations contractuelles présentes au sein des conditions générales du fournisseur règlent la question de la responsabilité.
D’autre part, il existe deux grandes catégories de contrat chez ce type d’hébergeurs. On peut donc retrouver un contrat d’hébergement simple qui ne sera pas assorti de services associés ; on peut également retrouver un contrat d’hébergement avec des services ajoutés comme la possibilité de sauvegarde, de mise en place de plan de continuité ou de reprise d’activité etc.
C’est-à-dire que d’un contrat à l’autre, en fonction des options choisies par le client et des clauses rédigées entre les parties, le régime de responsabilité n’est pas le même pour OVH. À titre d’exemple, suivant la disponibilité choisie, OVHCloud dispose entre 9h (99,9%) et jusqu’à 36 jours (90%) pour rétablir les services.
Par conséquent, pour espérer intenter une action en indemnisation, la première question à se poser est de savoir quel type de contrat votre entreprise a conclu avec OVH ?
Ce contrat stipule-t-il l’obligation pour OVH de sauvegarder les données partagées ? À défaut, le client ne pourra engager la responsabilité de l’hébergeur au titre de la perte de données.
Si la sauvegarde de données était comprise dans le contrat, alors il est possible de rechercher la responsabilité d’OVH, car cette dernière aurait dès lors commis une faute contractuelle.
Début novembre, les sept entreprises que le cabinet a fédéré ont été rejoint par 13 entreprises supplémentaires. Cette fois-ci, elles sont désormais 103.
Dans le recours collectif, il est reproché à OVH d'avoir proposé à ses clients impactés la même indemnisation, représentant environ 900 euros, sans prendre en compte le chiffrage du préjudice individuel consécutif à la perte de leurs données. Jocelyn Ziegler, fondateur de Ziegler & Associés, a indiqué que « Sur 102 organisations engagées (la 103e n'ayant pas encore été évaluée, ndlr), l'estimation du préjudice total que nous avons réalisée s'élève à 9,2 millions d'euros ».
En parallèle du recours collectif suite à l'incendie d'OVH à Strasbourg, un groupe du Cac 40 et trois sociétés de plus de 10 000 salariés ont décidé de porter une action de façon individuelle.
Ceux qui souhaitent rejoindre le recours collectif ont jusqu'à fin février, date à laquelle Ziegler enverra une lettre à OVHcloud exposant leurs plaintes. OVHcloud a précédemment refusé de commenter la plainte jusqu'à ce que cette lettre soit reçue.
Le recours collectif permet aux petites entreprises de mener une action collective et ne comprend jusqu'à présent que six entreprises de plus de 500 employés, bien que Ziegler s'attende à ce que la taille moyenne des plaignants (et leurs réclamations) augmente, expliquant que les organismes publics ont besoin d'approbations pour rejoindre le processus, et les grandes entreprises de plus de 1000 employés doivent consulter leur conseil d'administration.
Chaque client figurant sur la liste finale verra ses pertes évaluées individuellement, y compris les coûts financiers directs et les dommages causés à leurs marques, avant que Ziegler n'envoie sa lettre. Le cabinet laissera un mois à OVHcloud pour trouver un accord à l'amiable, sous peine de saisir le tribunal de commerce.
« L'objectif est de démontrer que la situation d'OVH n'est plus tenable, et qu'elle devra passer par une discussion amiable si elle ne veut pas un procès perdant », a indiqué Jocelyn Ziegler.
Ziegler dispose déjà de la première version de la défense d'OVH, qui lui a été remise par un client qui a contacté directement le fournisseur de cloud. OVHcloud affirme que l'événement était imprévisible, qu'il a pris des précautions raisonnables et que, dans tous les cas, les services cloud comportent un risque inhérent que le client aurait dû comprendre. Ziegler soutient que cela ne correspond pas aux promesses d'OVHcloud et suggère que ses systèmes de prévention des incendies étaient insuffisants.
« Les organismes qui ont rejoint le recours collectif en ont assez de la réaction d'OVH. La plupart ont reçu des courriers dans lesquels le groupe indique qu'il se dégage de sa responsabilité ou se limite à une clause de limitation de responsabilité. Ils demandent à OVH de reconnaître le préjudice et les indemniser », a déclaré Ziegler.
Dans un communiqué, OVHcloud a déclaré avoir agi rapidement pour aider les clients, et a offert un support commercial, avec seulement relativement peu de clients prenant la voie légale.
Les entreprises qui participent au recours collectif contre OVHcloud sont de divers secteurs : comptabilité, marketing, santé et tourisme. Un accord de confidentialité les lie au cabinet Ziegler & Associés. En vertu de ce dernier, leurs noms sont tenus secrets. L’autre dénominateur commun entre ces personnes morales est qu’elles rapportent des pertes de leurs bases de données suite à l’incendie du mois de mars. Le tableau de l’après incendie c’est un acteur du secteur de la santé qui se retrouve sans aucune information associée aux patients ou une entreprise touristique qui ne sait plus retrouver les détails de réservations de ses clients.
Source : Ziegler & Associés
Incendie OVH : 103 sociétés rejoignent un recours collectif et réclament plus de 9 millions d'euros
En parallèle un groupe du Cac 40 et trois sociétés ont décidé de porter des actions individuelles
Incendie OVH : 103 sociétés rejoignent un recours collectif et réclament plus de 9 millions d'euros
En parallèle un groupe du Cac 40 et trois sociétés ont décidé de porter des actions individuelles
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !