IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Incendie OVHcloud : vers un accord amiable à 12 M€, le recours collectif contre OVHcloud accentue la pression
Et souhaite privilégier la négociation

Le , par Bruno
238 commentaires

1.2KPARTAGES

11  0 
Dans la nuit du 9 au 10 mars 2021, un incendie s’est déclaré dans l’un des datacenters de la société OVH cloud. Plusieurs entreprises ont été victimes de cet incendie et de nombreux sites internet ont déploré une perte irréversible de leurs données. Que les pertes de données n’aient été que temporaires ou définitives, cet incendie a porté, dans tous les cas, un préjudice économique à plusieurs milliers de sociétés. Le cabinet d’avocats qui porte le recours collectif contre OVHcloud accentue la pression et souhaite privilégier la négociation. Aujourd’hui, les parties se dirigeraient vers un accord amiable à 12 M€.

La CNIL a procédé à la publication d’une note sur son site qui rappelle les règles du RGPD aux propriétaires des sites web affectés par les incidents OVH. S'ils ont perdu des données personnelles, il faut le signaler à l'autorité :

« Suite à l’incendie du 10 mars 2021 ayant eu lieu dans un centre de données d’OVH à Strasbourg, la CNIL rappelle les obligations en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles. La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD. À ce titre, les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne. Les sous-traitants doivent informer leurs clients de l'incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux. »


En mi-mars, une action collective des entreprises qui ont souffert de l'incendie qui a détruit le centre de données SBG2 d'OVHcloud en 2021 a été retardée pour permettre à davantage de clients de se joindre. Ziegler & Associés avait prévu d'envoyer une lettre fin février, énonçant des demandes d'indemnisation aux clients d'OVHcloud dont les entreprises ont été affectées par l'incendie, mais maintient l'action ouverte jusqu'à la mi-avril, car davantage de clients se sont joints. Parallèlement, OVHcloud a enrichi son offre en lançant un service de cloud privé basé sur Nutanix et de stockage objet basé sur NetApp.

Plus d'un an après, OVHcloud n'a toujours pas formellement expliqué la cause de l'incendie. Un rapport des pompiers publié ce mois-ci souligne les défaillances dans le système de sécurité du bâtiment. Le bâtiment n’était notamment pas équipé d’un dispositif de coupure de l’électricité selon ce rapport : « la pérennité de l'alimentation électrique est un enjeu fort pour ce type d'exploitation. La conception intrinsèque de l'activité est faite pour éviter les coupures d'électricité. Deux niveaux de groupes électrogènes sont prévus pour palier une défaillance du réseau. Aucun organe de coupure d'urgence n'existe (choix de stratégie économique de l'entreprise) ».

La procédure de recours collectif que le cabinet porte contre OVHcloud s’accélère. Selon des sources, les lettres d’avocat vont être envoyées aux alentours du 15 avril. Au dernier pointage, « plus de 140 entreprises » s’y sont jointes. Préjudice global estimé : 12 millions d’euros… à condition de négocier à l’amiable.

« Si on part en justice, ce chiffre [quadruple] », étant donné les dommages-intérêts et les frais de justice, prétend-on chez Ziegler & Associés. Si, en l’espèce, OVHcloud a plus à gagner à accepter la conciliation, c’est aussi, nous assure-t-on, eu égard à sa cotation en Bourse. Et de nous rappeler, sur ce point, l’effet qu’avait eu la médiatisation d’un rapport du SDIS 67 (Service départemental d’incendie et de secours du Bas-Rhin). Ce rapport avait été rendu public le 22 février sur le portail national de l’Ensosp (École nationale supérieure des officiers sapeurs-pompiers). Voici, ci-dessous, quelques elements importants du rapport :

  • voie engin étroite et par endroits très proche de SBG2 ;
  • risque toxique lié au plomb contenu dans les onduleurs ;
  • sécurité incendie du site : absence de système d’extinction automatique ;
  • Les deux cours intérieures de SBG2 prévues pour le refroidissement des serveurs ont fait office de « cheminées d’incendie. » ;
  • Le datacenter SBG2, que les flammes ont détruit, avec des planchers en bois, accentuant le risque de propagation aux étages ;
  • DECI (défense extérieure contre l’incendie) : réseau en antenne, avec capacité limitée à un hydrant délivrant 70 m3/h à 1 bar ; aspiration dans la darse rendue impossible dans un premier temps par la présence d’un grillage ;
  • alimentation du site difficile à couper, précisément car conçue pour (deux niveaux de groupes électrogènes pour pallier une défaillance)… et aussi du fait d’un « choix économique » : aucun organe de coupure d’urgence. Il avait fallu, à compter du premier appel au CTA, (Centre de Traitement de l’Alerte) près de trois heures pour couper l’alimentation externe du site. Il restait alors encore du courant dans les onduleurs.

Le rapport souligne les défaillances dans le système de sécurité du bâtiment. Le bâtiment n’était notamment pas équipé d’un dispositif de coupure de l’électricité selon ce rapport : « la pérennité de l'alimentation électrique est un enjeu fort pour ce type d'exploitation. La conception intrinsèque de l'activité est faite pour éviter les coupures d'électricité. Deux niveaux de groupes électrogènes sont prévus pour palier une défaillance du réseau. Aucun organe de coupure d'urgence n'existe (choix de stratégie économique de l'entreprise) ».

Et vous ?

Que pensez-vous de ce possible accord amiable à 12 M€ ?

Voir aussi :

Près de 60 entreprises, dont un groupe du CAC 40, demandent réparation après l'incendie d'OVH Cloud. Les procédures sont désormais entamées

Incendie OVH : l'action du recours collectif est retardée jusqu'à mi-avril pour permettre à davantage d'entreprises d'en faire partie
Tandis qu'OVHcloud lance des services avec Nutanix et NetApp

Incendie OVH : absence de système d'extinction incendie automatique et de dispositif de coupure électrique général, le rapport des pompiers souligne des défaillances

Une erreur dans cette actualité ? Signalez-nous-la !

238 commentaires
Commenter Signaler un problème
Jules34
Avatar de Jules34
Membre expérimenté https://www.developpez.com
Le 28/03/2022 à 10:52
Citation Envoyé par Bruno Voir le message
« Si on part en justice, ce chiffre [quadruple] », étant donné les dommages-intérêts et les frais de justice, prétend-on chez Ziegler & Associés. Si, en l’espèce, OVHcloud a plus à gagner à accepter la conciliation, c’est aussi, nous assure-t-on, eu égard à sa cotation en Bourse.
Franchement c'est pas de chance pour OVH et son introduction en bourse. Moi je les aimes bien et ça pourrait être un fleuron français dans l'industrie mais j'ai l'impression qu'on s'évertue à leur mettre la tête sous l'eau.

Bon l'incendie c'est sûr que c'était pas malin et que c'était à OVH et personne d'autre de prévenir ce risque.

Mais dans l'actu il y a aussi le recul de sa notation, dégradé par Morgan Stanley, 8 jours après que la firme ait annoncé former un recours collectifs contre Windows....

Déposée l'été dernier, la plainte porte sur la manière dont Microsoft commercialise des produits comme la suite logicielle Office, qui rendrait plus coûteuse l'utilisation des services concurrents de la plateforme Azure, ont indiqué des personnes proches du dossier au Wall Street Journal. La plainte affirme également que les logiciels de Microsoft ne fonctionnent pas aussi bien sur les plateformes cloud concurrentes d'Azure, selon ces sources.
Courage OVH !!!

Le marché européen de la tech à décidément l'air d'être une grande aire de copinage ou se mêle pèle-mêle les intérêts US et ceux des gouvernants €, attiré par l'odeur de l'argent, et aux entrepreneurs de se débrouiller dans ce maelstrom
7  0 
Jules34
Avatar de Jules34
Membre expérimenté https://www.developpez.com
Le 28/03/2022 à 16:14
Citation Envoyé par xavier.valentin Voir le message


S'ils veulent jouer avec les grands du cloud (AWS, GCP, ...) ils se doivent être au niveau, car sinon je ne vois pas comment ils pourront continuer à exister dans ce marché ultra concurrentiel.
100 % d'accord avec toi ! Mais justement c'est un peu le problème du secteur : le niveau d'investissement est tellement conséquent que pour ceux qui veulent atteindre une bonne place/rogner des parts aux plus gros, j'imagine qu'il doit être dur de bien se placer sans faire des économies de bout de chandelle qui peuvent remettre en cause comme en cas d'incendie la qualité du service mis en place.

C'est un peu comme les grosses boites du travaux publics qui peuvent candidater aux appels d'offres parce qu'ils ont le quota travailleurs handicapé ou que sais-je (et sans offense) genre BOUYGUE/EIFFAGE, mais Pedro et sa SARL ne le peuvent pas...

Le système...
2  0 
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 09/02/2023 à 20:16
Et ? ....
ça vous fais du bien ?
Non.

J'évoquais une co-responsabilité, d'OVH et des clients.

Techniquement, c'est une grosse connerie d'OVH d'avoir fait des backup au même endroit qu’où étaient les données sauvegardées.
Techniquement, certains utilisateurs n'étant pas informaticien utilisaient des solutions inadaptées à leur besoin (pas de sauvegarde automatique ou de réplication entre DC par défaut) que ce soit par manque de compétence, ou par manque d'investissement.

Juridiquement, ils n'ont pas respecté le contrat de fournir une sauvegarde pour les clients ayant pris cette option et pour lesquels les données n'ont pas pu être récupéré. Je trouve normal qu'ils aient été condamné pour ça sans juger du montant qui pour être juste doit dépendre objectivement du préjudice.

Après l'erreur est humaine, et en faire ça arrive à tout le monde. il faut l'assumer, et ils vont l'assumer ne serait-ce que financièrement.
2  0 
FMJ
Avatar de FMJ
Membre averti https://www.developpez.com
Le 16/02/2023 à 18:59
Pour autant indemnisation est vraiment ridicule en regard du préjudice, tellement ridicule que ça en est scandaleux !
En droit français, tu as la notion de responsabilité sans faute qui peut entraîner des indemnisations à hauteur de centaines de milliers voire de millions d'euros (cf. la jurisprudence de Vingrau). Et là pour une faute patente, voire une tromperie intentionnelle, ayant entraîné des préjudices de dizaines à centaines de millions d'euros, le coupable est condamné à des clopinettes !
Drôle de justice ......
2  0 
walfrat
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 13/02/2023 à 8:56
« La formulation "physiquement isolée" de l'infrastructure dans laquelle est mise en place le serveur VPS ne laisse aucune place au doute sur le fait que ces données seront stockées dans un espace physiquement différent du serveur où sont stockées les données principales. En stockant les trois réplications de sauvegardes au même endroit que le serveur principal, OVHcloud n'a pas respecté ses obligations contractuelles vis-à-vis de Bati Courtage. Ainsi, OVHcloud a commis un manquement contractuel à l'obligation la liant à Bati Courtage qui est ainsi fondée à demander réparation à OVHcloud des préjudices résultant de ce manquement ».
Tiens je me souvient pas avoir lu ça y'a deux ans que les sauvegardes étaient censés être "physiquement isolée", ou alors OVH considérait simplement que pas être dans la même baie ça passera devant un juge ?

Après j'ai pas trop compris, elle était où les sauvegarde ? Dans la même salle, celle d'a côté ? A l'autre bout du bâtiment ?

Sinon on peut voir que OVH n'a été condamnée que très légèrement, la promesse des "ça va couter 100M à OVH" s'envole.
1  0 
sevyc64
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 13/02/2023 à 21:18
Citation Envoyé par walfrat Voir le message
Tiens je me souvient pas avoir lu ça y'a deux ans que les sauvegardes étaient censés être "physiquement isolée",
C'était bien marqué dans les contrats qui incluaient aussi la gestion intégrée des sauvegardes.
Et techniquement, c'est un terme qui ne veut absolument rien dire de concret, si on ne définie pas précisément ce qu'il veut dire contractuellement.

Citation Envoyé par walfrat Voir le message
ou alors OVH considérait simplement que pas être dans la même baie ça passera devant un juge ?
Techniquement, même stockées sur une lame différente de la même baie de serveurs, les sauvegardes auraient pu être considérées comme "physiquement isolées" car pas sur le même serveur physique.
Oui, l'argument aurait pu tenir !
Mais la justice a (pour une fois ?) visiblement été bien conseillée, et a considérée que dans le contexte de ces sauvegardes, même dans une pièce différente du même bâtiment ce n'était pas suffisamment "physiquement isolé".

Ceci dit, je pense qu'il y a possibilité d'appel de la part d'OVH, donc cette définition n'est pas forcément définitive

Citation Envoyé par walfrat Voir le message
Après j'ai pas trop compris, elle était où les sauvegarde ? Dans la même salle, celle d'a côté ? A l'autre bout du bâtiment ?
A priori, dans une autre salle du même bâtiment, sans plus de précision. Ceci dit comme la totalité du bâtiment a été détruit que ce soit une salle juste à coté, ou à l'autre bout du bâtiment ne change pas grand chose.
Et même si ça avait été dans un des 2 bâtiments voisins, ça n'aurait sans doute pas changé grand chose non plus, vu qu'ils ont aussi été sévèrement touchés.

Citation Envoyé par walfrat Voir le message
Sinon on peut voir que OVH n'a été condamnée que très légèrement, la promesse des "ça va couter 100M à OVH" s'envole.
Ce n'est que la première. Multipliée par le nombre de victimes, ça peut vite chiffrer.
1  0 
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 17/02/2023 à 13:24
"je me souvient pas avoir lu ça y'a deux ans que les sauvegardes étaient censés être "physiquement isoléeS",
Puis :
"Et techniquement, c'est un terme qui ne veut absolument rien dire de concret, si on ne définie pas précisément ce qu'il veut dire contractuellement."
Le tribunal a motivé sa décision sur ce point :

Une analyse des documents commerciaux de la SAS OVH qui présentent l’offre de sauvegarde automatique souscrite par la SAS FRANCE BATI COURTAGE et du contrat associé à cette offre mettent en évidence que :
⦁ Nulle part le terme de « sauvegarde locale » n’est mentionné,
⦁ Nulle part il est indiqué explicitement ou implicitement que les sauvegardes seront stockées au même endroit ou dans le même datacenter que les données du serveur principal.
Bien au contraire le contrat OVH relatif à la sauvegarde automatique stipule qu’ « une sauvegarde de votre VPS (hors disques additionnels) est planifiée quotidiennement, exportée puis répliquée trois fois avant d'être disponible dans votre espace-client ».
« L'espace de stockage alloué à l'option Backup est physiquement isolé de l'infrastructure dans laquelle est mis en place le Serveur Privé Virtuel du Client »
Le terme « exportée » désigne le fait de mettre les données « en dehors de ».
La formulation « physiquement isolé de l'infrastructure dans laquelle est mise en place le Serveur Privé Virtuel du Client » ne laisse aucune place au doute sur le fait que les données de la sauvegarde seront stockées dans un espace physiquement différent du serveur où sont stockées les données principales.
Au regard de la volonté des parties lors de la signature du contrat :
⦁ la volonté de la SAS FRANCE BATI COURTAGE était de faire des sauvegardes pour mettre à l’abri les données de son serveur,
⦁ l’engagement de la SAS OVH était de « dupliquer et à mettre en sécurité les données », les «exporter, puis répliquer trois fois », dans un espace de stockage « physiquement isolé ».

Le contrat relatif à la sauvegarde automatique de la SAS OVH stipule par ailleurs qu’« OVH s'engage à apporter tout le soin et toute la diligence nécessaire à la fourniture d'un service de qualité conformément aux usages de la profession et à l'état de l'art ».
La SAS OVH produit un document d’octobre 2017 intitulé « Politique de sauvegarde » qui expose l’état de l’art de la sauvegarde et qui recommande d’effectuer 3 copies de sauvegarde des données principales dont au moins une copie sur un site externe « afin de disposer d'une ressource ultime, même si un événement catastrophique touchait le premier site ».
En tant que professionnel du stockage de données et proposant une offre de sauvegarde destinée à des entreprises, la SAS OVH ne pouvait ignorer ces usages et l’état de l’art du domaine.
Pourtant la SAS OVH considère aujourd’hui que la sauvegarde automatique proposée était une sauvegarde locale.
La SAS OVH ne s’explique pas sur le lieu de stockage des « 3 réplications » que prévoyait le contrat souscrit par la SAS FRANCE BATI COURTAGE. Selon son raisonnement, les 3 réplications et les données du serveur principal seraient toutes stockées au même endroit, dans le même datacenter.
Selon la SAS OVH, l’engagement contractuel était de réaliser des « sauvegardes locales », c’est à dire des sauvegardes stockées au même endroit que le serveur principal, dans le même datacenter. Or, stocker les données au même endroit que le serveur principal, et a fortiori, de conserver toutes les copies de sauvegarde au même endroit ne permet pas de mettre à l’abri les données, ne respecte par l’état de l’art de la sauvegarde et ne permet pas d’atteindre l’objectif fixé par le contrat.
Par ailleurs, la SAS OVH se présente comme un « leader européen du cloud » qui dispose de « 32 datacenters répartis sur 13 sites. » La SAS OVH avait donc les moyens de stocker les sauvegardes sur un autre site mais ne l’a pas fait.
La SAS OVH considère que ses contrats relèvent de l’obligation de moyens. Or l'obligation de moyens est une obligation en vertu de laquelle le débiteur doit déployer ses meilleurs efforts pour atteindre l'objectif visé. Par l’obligation de moyens, le débiteur s’engage à mettre au service du créancier tous les moyens dont il dispose pour exécuter le contrat.
La SAS OVH avait donc les moyens de stocker les données de sauvegarde dans un autre datacenter pour réaliser sa mission conformément aux règles de l’art, et à l’objectif du contrat qui est de mettre les données en sécurité, en les répliquant et les exportant dans l’intérêt de son client.
La SAS OVH soutient que la SAS FRANCE BATI COURTAGE aurait mal compris ou mal interprété le contrat relatif à la sauvegarde automatique. La mauvaise foi et le manque de loyauté de la SAS OVH sont ici patents.
L’article 1190 du Code civil dispose que « Dans le doute, le contrat de gré à gré s'interprète contre le créancier et en faveur du débiteur, et le contrat d'adhésion contre celui qui l'a proposé. »
En l’espèce, les différents contrats souscrits par la SAS FRANCE BATI COURTAGE auprès de la SAS OVH étaient des contrats établis à l’avance par la SAS OVH. La SAS FRANCE BATI COURTAGE n’a pas eu la possibilité d’en modifier les termes. Les contrats souscrits par la SAS FRANCE BATI COURTAGE auprès de la SAS OVH sont donc des contrats d’adhésion. C’est le cas en particulier du contrat relatif à la sauvegarde automatique des données, qui doit être interprété contre la SAS OVH.
En conséquence, le Tribunal dit que le contrat OVH relatif à la sauvegarde doit s’interpréter comme suit « L'espace de stockage alloué à l'option Backup est physiquement isolé de l’infrastructure dans laquelle est mis en place le Serveur Privé Virtuel du Client », c’est-à-dire dans un lieu physiquement différent du lieu de stockage des données du serveur principal.
1  0 
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 20/02/2023 à 20:33
Ainsi la LOI trouve une différence entre les contrats proposés par le vendeur et les contrats proposés par l'acheteur !
Tu n'as pas bien lu ou pas bien compris.

Un contrat est soit de type gré à gré : càd un contrat négocié entre les deux parties, ou soit de type par adhésion : càd défini d'avance par une des deux parties, l'autre acceptant d'y adhérer ou non. Le tribunal rappelle par l'article que "Dans le doute, le contrat de gré à gré s'interprète contre le créancier et en faveur du débiteur, et le contrat d'adhésion contre celui qui l'a proposé. " et rappelle enfin que le contrat est par adhésion, car défini d'avance par OVH et non modifiable par le client.

Il me parait normal que le doute bénéficie à celui qui n"a pas écrit le contrat si il ne peut pas en modifier le contenu avant signature, comme la loi le prévoit du coup.
Concrètement OVH a prétendu devant le tribunal que les sauvegardes n'étaient que locales, or ce n'est pas précisé dans le contrat (ni que ce n'est pas local), comme c'est un contrat d'adhésion, le doute bénéficie donc au client. Et le tribunal rajoute qu'OVH avait les moyens de faire une sauvegarde réellement hors site et qu'ils n'ont donc pas respecté leur obligation de moyens.

pour moi, il y en a 3 fois trop, mais effectivement si nos juridictions en sont là pour décider nous manquons de magistrats
A la base le demandeur demandait plus de 6 millions d'euros, donc je trouve pas qu'il y en ai trop.
1  0 
xavier.valentin
Avatar de xavier.valentin
Membre à l'essai https://www.developpez.com
Le 28/03/2022 à 12:49
Citation Envoyé par Jules34 Voir le message
Franchement c'est pas de chance pour OVH et son introduction en bourse. Moi je les aimes bien et ça pourrait être un fleuron français dans l'industrie mais j'ai l'impression qu'on s'évertue à leur mettre la tête sous l'eau.

Bon l'incendie c'est sûr que c'était pas malin et que c'était à OVH et personne d'autre de prévenir ce risque.
je pense que tu as tout dit

Ils peuvent s'en prendre qu'à eux....à vouloir faire des économies sur les systèmes qui garantissent la sécurité des installations, on le paie quand il se passe un problème...

Le problème dans l'histoire, c'est que l'impact des choix d'OVH n'ont pas impacté exclusivement OVH, mais de nombreux de ses clients.

Les marchés sanctionnent OVH, car il y a une perte de confiance, car ce n'est pas la première fois qu'OVH fait preuve de négligences dans ces installations, comme en novembre 2017 et en mars 2020

S'ils veulent jouer avec les grands du cloud (AWS, GCP, ...) ils se doivent être au niveau, car sinon je ne vois pas comment ils pourront continuer à exister dans ce marché ultra concurrentiel.
1  1 
Dominik94
Avatar de Dominik94
Membre habitué https://www.developpez.com
Le 09/02/2023 à 18:01
OVHcloud vient d’être condamné pour la première fois à la suite de cet incendie. Le Tribunal de commerce de Lille a en effet donné (en partie) raison à Bati Courtage. Cette société de courtage en travaux, cliente de l’hébergeur roubaisien, avait perdu ses données dans l'incendie, quand bien même elle avait souscrit à un service de sauvegarde. Sans avoir connaissance du fait que les sauvegardes étaient stockées au même endroit.
https://web.developpez.com/actu/3414...s-le-sinistre/
0  0 
Commenter Signaler un problème