Skip to main content

LA DOUILLE #45 – LE BUG ETAIT DANS LE CODE ET DANS LA CLAUSE

7 juillet 20255 min read

1. Exclusion des préjudices indirects et condamnation directe

« La responsabilité du Prestataire ne pourra en aucun cas être engagée en cas de préjudice indirect, tel que notamment les pertes de données, les pertes de chiffre d’affaires liées à des erreurs de commande, ou les atteintes à l’image. »

Raoul avait mis un point d’honneur à inclure cette clause dans ses conditions générales de service quand il a créé QualiData il y a 5 ans.

Cette clause, il l’avait trouvée dans un contrat à l’époque où il était encore salarié.

Aujourd’hui, Qualidata — son SaaS de gestion des stocks et commandes pour réseaux de boutiques franchisées — compte plus d’une cinquantaine de clients.

Mais en 2025, une faille de sécurité frappe.

Tout commence par une faille de sécurité

 

Invisible. Silencieuse.

Mais bien réelle dans l’architecture de la plateforme QualiData.

Un acteur malveillant s’introduit dans les systèmes.

L’attaquant injecte un malware conçu pour altérer les flux de données internes.

Pas de plantage. Pas d’alerte. Mais les transactions stockées en base sont modifiées : les montants des ventes, les niveaux de stock et les historiques de commandes sont altérés de manière subtile et progressive.

L’attaque est lancée juste avant les soldes et passe inaperçue.

Pendant plusieurs jours, personne ne remarque rien.

Jusqu’à ce qu’un franchisé se rende compte que les niveaux de stock affichés sur le tableau de bord sont totalement incohérents avec les volumes réellement disponibles.

Plusieurs boutiques se retrouvent à court de produits en pleine période de soldes. Grosse perte de chiffre d’affaires.

Dès le signalement, le service client remonte le problème au CTO de QualiData pour que les investigations soient lancées par un SOC externalisé (SOC = Securiy Operation Center, ce sont des professionnels de la sécurité informatique dont la mission est de détecter, analyser et répondre aux incidents de sécurité en temps réel).

En analysant les logs, ils comprennent que les données issues des ventes ont été corrompues de sorte que les calculs automatiques de réapprovisionnement ne déclenchaient pas les commandes qui auraient dû être passées.

Un des clients de QualiData à la tête d’un réseau de franchisé déclare un sinistre auprès de son assureur pour plus de 500.000€ de perte sèche pour cette période de solde.

L’assurance fonctionne et indemnise immédiatement le client.

QualiData remédie à la faille de sécurité et renforce son niveau de sécurité.

La relation avec le client reste préservée.

Raoul pense que le pire est passé.

Mais l’histoire ne s’arrête pas là.

 

Quelques semaines plus tard, Raoul reçoit une assignation.

L’assureur engage une action judiciaire contre QualiData pour obtenir le remboursement des sommes versées à son assuré en raison de la perte de chiffre d’affaires.

C’est ce qu’on appelle le droit de subrogation de l’assureur : l’assureur agit à la place de son client pour récupérer les fonds auprès du responsable.

Raoul est confiant. Son contrat prévoit justement que la perte de chiffre d’affaires fait partie des cas d’exclusion de sa responsabilité.

Pour lui, l’assureur ne peut donc rien lui réclamer.

Mais l’assureur conteste la validité même de cette clause. Son avocat soutient que la formulation utilisée dans les CGV revient à vider le contrat de toute substance :

: garantir un fonctionnement fiable et sécurisé du système de commandes.

Cette phrase résonne encore dans la tête de Raoul :

“Vous vendez une solution censée garantir un fonctionnement fiable du système… mais vous vous déchargez de toute conséquence si le système tombe.”

Il considère que la clause revenait à exonérer le prestataire de toute responsabilité, y compris en cas de défaillance grave dans la fourniture du service attendu.

Autrement dit : la clause annule l’obligation essentielle du prestataire.

Les juges le suivent.

La clause est jugée nulle.

QualiData est condamné à rembourser la somme exposée par l’assureur (sans compter les frais d’avocats).

2. Le Temps technique : Exclure les dommages indirects, oui… mais pas à n’importe quel prix.

 

En droit, une clause d’exclusion de responsabilité peut être déclarée nulle si elle prive de toute portée l’obligation essentielle du contrat.

Dans un contrat de prestation de service – en particulier, en SaaS –, l’obligation essentielle, c’est de garantir que l’outil fonctionne conformément à ce qui a été vendu.

Ainsi, une clause qui exclut toute responsabilité en cas de pertes de chiffre d’affaires, pertes de données ou de dysfonctionnements majeurs peut être considérée excessive et donc comme neutralisant cette obligation, selon le contexte.

En d’autres termes, quand la clause revient à dire que le prestataire ne répond de rien, même en cas de défaillance grave, elle peut devenir inopérante.

Notre recommandation :

  • Identifier les obligations essentielles dans chaque contrat (par exemple : disponibilité de la solution, intégrité des données, exécution conforme des traitements).
  • Éviter les clauses d’exclusion globales type « tous les dommages indirects sont exclus », surtout si elles visent précisément les conséquences attendues d’un manquement du prestataire.
  • Privilégier des limitations ciblées, sans jamais toucher au cœur de la prestation.

Une clause mal calibrée peut tomber et fragiliser toute votre architecture contractuelle.

Beaucoup pensent se protéger avec une clause large… et finissent par la rendre juridiquement nulle.

Ne vous tirez pas une balle dans le pied.

Abonnez-vous à "la douille"