La jurisprudence française a évolué concernant la qualification des cyberattaques en tant que cas de force majeure. Traditionnellement, la force majeure est définie par trois critères : un événement imprévisible, irrésistible et extérieur. Cependant, les récentes décisions judiciaires tendent à exclure les cyberattaques de cette qualification.
Par exemple, dans un arrêt du 5 juillet 2023, la Cour de cassation a estimé que l’absence d’informations précises sur le déroulement d’un événement pourtant prévisible rendait celui-ci potentiellement imprévisible et irrésistible, justifiant ainsi l’exonération de responsabilité du transporteur. (lexisveille.fr)
Cette tendance jurisprudentielle souligne l’importance pour les entreprises de mettre en place des mes de sécurité robustes et de bien définir les responsabilités contractuelles en matière de cybersécurité. En cas de cyberattaque, la responsabilité du prestataire informatique peut être engagée s’il est démontré un manquement à ses obligations contractuelles, notamment en matière de conseil et de sécurité. Ainsi, la qualification d’une cyberattaque en tant que force majeure est désormais remise en question, et les entreprises sont encouragées à renforcer leur vigilance et leurs protocoles de sécurité pour prévenir de tels incidents.
