[INFO Clubic] Un hôpital privé d'Ardèche, victime d'un ransomware en 2018, a découvert que ses sauvegardes informatiques n'ont jamais fonctionné. Son prestataire de maintenance vient d'être condamné en justice, des années après.
En septembre 2018, l'hôpital privé de Saint-Agrève, dans le département de l'Ardèche, découvrait que ses fichiers de comptabilité et de paie avaient été chiffrés par une cyberattaque de type ransomware (rançongiciel), comme tant d'autres. En cherchant à récupérer les données à l'aide des sauvegardes, l'établissement apprend que celles-ci n'ont jamais fonctionné, sans que personne ne l'ait jamais signalé. Sept ans de procédure plus tard, le tribunal de Privas vient de condamner, dans une décision rendue le 3 mars 2026, le prestataire informatique à verser une grosse indemnité pour couvrir les frais engagés pour tout reconstruire. Revenons sur cette affaire.
Une cyberattaque, un serveur chiffré et des sauvegardes qui n'ont jamais existé
Pour comprendre le dossier, il faut revenir en 2016, année où une association hospitalière ardéchoise réorganise son infrastructure numérique. Elle externalise ses données médicales vers le cloud du prestataire Adista, tout en conservant ses logiciels de gestion (comptabilité, paie, facturation) sur un vieux serveur physique interne. En janvier 2017, elle confie la maintenance de ce parc à la société Erenet. En avril 2018, une autre entreprise, spécialisée dans les services IT pour PME, reprend le patrimoine d'Erenet et se substitue à elle dans l'exécution du contrat.
Le 1er septembre 2018, une cyberattaque frappe l'hôpital. Les données du serveur HP sont chiffrées. Vient alors le moment critique, à savoir la récupération les sauvegardes. Mais voilà qu'arrive la réponse du prestataire, dans un courrier daté du 2 octobre 2018 : le système de sauvegarde de ce serveur n'a jamais fonctionné. Il n'y a pas une seule archive exploitable. Les données sont donc perdues.
L'hôpital recrute cinq salariés en CDD avec pour mission unique de ressaisir manuellement des mois de données détruites. Une salariée permanente accumule les heures supplémentaires. Des prestataires extérieurs, un cabinet comptable et un éditeur de logiciels, sont mobilisés en urgence. Le préjudice total dépasse 42 000 euros.
Sur le contrat de maintenance informatique, à qui incombait vraiment la surveillance des sauvegardes ?
Le litige repose sur une vraie contradiction dans le contrat. L'annexe 1 oblige le prestataire à surveiller régulièrement les sauvegardes, c'est écrit noir sur blanc dessus. Mais l'article 5.2.3 du même contrat dit l'inverse, précisant que c'est au client de s'assurer que ses sauvegardes fonctionnent, et il lui est même interdit de tenir le prestataire responsable en cas de perte de données. Deux clauses, deux logiques opposées, dans un seul et même document.
Le prestataire tente également de se défendre en affirmant qu'il ignorait l'existence du vieux serveur physique, resté en service après la migration vers le cloud. Problème, l'annexe 2 du contrat, signée justement après cette migration, mentionne explicitement trois serveurs à maintenir au sein de l'hôpital. Difficile, dans ces conditions, de plaider la méconnaissance.
Alors pour trancher cette contradiction, le tribunal a convoqué le bon sens. Le client reste responsable de vérifier ses sauvegardes au quotidien, mais le prestataire a l'obligation de contrôler ponctuellement que tout fonctionne bien. Or, pendant treize mois, il ne l'a jamais fait, ni même signalé le moindre problème. Pour étayer cette conclusion, le tribunal avait d'ailleurs ordonné dès 2021 une expertise technique indépendante, dont le rapport rendu en mars 2024 a confirmé la défaillance.
La justice n'a pas fait que des cadeaux à l'hôpital
Le tribunal a passé en revue chaque dépense engagée par l'hôpital pour reconstruire ses données perdues, et en a validé l'intégralité. Dans le détail, il y a les salaires des cinq employés en CDD recrutés pour ressaisir les données (24 387 euros), les honoraires du cabinet comptable mobilisé en urgence (13 440 euros), la réinstallation des logiciels détruits (2 784 euros), les heures supplémentaires d'une salariée (321 euros), et le personnel prêté par un établissement voisin (2 188 euros). Le juge a condamné le prestataire à indemniser l'hôpital à hauteur de 42 453,06 euros.
Mais il y a aussi eu un petit rebondissement. On notera qu'en mai 2019, l'établissement hospitalier avait résilié le contrat en invoquant plusieurs violations du prestataire, comme le non-respect du planning, ou des ressources insuffisantes. Mais il n'a pas pu prouver ces manquements, ni établir qu'une mise en demeure conforme avait bien été adressée avec accusé de réception. La résiliation est donc requalifiée en rupture pour convenance personnelle.
Le coût de cette requalification a été fixé à 7 462,50 euros, montant que l'hôpital doit verser au prestataire, et qui correspond à trois mois de préavis et une année de redevance.
