Dans son jugement du 18 décembre 2024, la Cour d'appel du Schleswig-Holstein (OLG) a rendu une décision d'une grande portée concernant la Responsabilité civile du responsable au sens du règlement général sur la protection des données (RGPD) a été prise. La décision portait sur la question de savoir dans quelle mesure une entreprise qui envoie une facture par e-mail est responsable de l'utilisation abusive de cette facture par Troisième est responsable s'il n'a pas pris de mesures de sécurité suffisantes pour protéger les données à caractère personnel.
Un courriel contenant une facture est intercepté et manipulé
Le demandeur, un entrepreneur, a exécuté des travaux pour la défenderesse, une cliente privée, conformément à ce qui avait été convenu, et lui a adressé, à l'issue des travaux, une facture finale pour le montant des travaux encore dus. Cette facture a été transmise à la défenderesse par courrier électronique.
A l'insu des parties, le courriel a été envoyé par Troisième interceptée et manipulée. Ce faisant, les auteurs ont modifié les coordonnées bancaires figurant sur la facture et ont transmis la version falsifiée à la défenderesse. En toute bonne foi, la défenderesse a viré le montant de la facture, soit 15 385,78 euros, sur le compte indiqué sur la facture, qui appartenait toutefois à un inconnu. Ce n'est que plus tard que la fraude a été découverte, lorsque le demandeur a remarqué l'absence de paiement et en a informé la défenderesse.
Le demandeur a alors demandé à la défenderesse de payer à nouveau le prix de l'ouvrage, au motif que le paiement initial n'était pas parvenu sur son compte et qu'il n'y avait donc pas eu d'effet d'exécution au sens de l'article 362, paragraphe 1, du BGB. La défenderesse, en revanche, a estimé qu'elle avait rempli ses obligations de paiement puisqu'elle avait réglé la facture telle qu'elle l'avait reçue. Elle a en outre fait valoir que le demandeur avait omis de prendre des mesures de sécurité appropriées pour protéger les données personnelles transmises, en particulier ses propres coordonnées bancaires. C'est ce qui aurait permis à la fraude de se produire. Elle a invoqué un droit à réparation en vertu de l'article 82 CE. RGPD et a fait valoir que le demandeur avait fait preuve de négligence en envoyant la facture par courrier électronique sans protection suffisante. En particulier, le cryptage de transport utilisé n'était pas suffisant pour empêcher la manipulation de l'e-mail.
Deux questions juridiques centrales s'opposaient donc : D'une part, la question de savoir si le paiement sur le mauvais compte avait éteint la dette de la défenderesse et, d'autre part, la question de savoir si la demanderesse devait être tenue responsable du préjudice subi en raison de l'insuffisance des mesures de sécurité.
Le tribunal approuve les dommages et intérêts en vertu de l'article 82 du RGPD
Certes, l'OLG a confirmé l'opinion juridique selon laquelle le paiement sur un compte manipulé n'entraîne pas l'exécution au sens de l'article 362, paragraphe 2, du BGB. Ce qui est déterminant, c'est que le montant dû doit être définitivement à la disposition du créancier. Le requérant pouvait donc en principe exiger à nouveau le paiement du prix de l'ouvrage.
Dans le même temps, le tribunal a toutefois déclaré que la cliente pouvait prétendre à des dommages-intérêts à hauteur du virement effectué sur le compte tiers, qu'elle pouvait opposer à la demande en justice de l'entrepreneur sous l'angle de l'objection doloagit, conformément à l'article 242 du BGB.
Une telle demande de dommages et intérêts peut notamment résulter RGPD ont été effectuées. Le tribunal a précisé que les données à caractère personnel de la partie défenderesse (nom, adresse, créance impayée) étaient protégées au sens de l'article 4, point 1, de la loi sur la protection des données. RGPD ont été traitées et les Transmission de la facture par e-mail une Traitement au sens de l'article 4, point 2 RGPD de l'article 5 de la directive. En conséquence, la partie défenderesse pouvait prétendre à des dommages et intérêts en vertu de l'article 82 du traité CE. RGPD contre le requérant.
La manipulation de la facture par Troisième ne justifie pas en soi une Responsabilité civile du plaignant. Il convient plutôt d'examiner si les mesures techniques et organisationnelles prises par l'entreprise pour sécuriser la communication par courrier électronique étaient suffisantes.
Exigences en matière de sécurité des transferts de données conformément à l'article 32 du RGPD
L'OLG a ajouté que, conformément à l'article 32 RGPD sont tenus de prendre des mesures de sécurité appropriées pour données à caractère personnel d'un accès non autorisé.
Selon l'OLG, un simple cryptage de transport au moyen de TLS (Transport Layer Security) ne satisfait pas aux exigences de l'art. 32 RGPD. Au contraire, un cryptage de bout en bout est nécessaire pour garantir un niveau de protection adéquat. Le tribunal s'est référé à cet égard à l'orientation de la Conférence sur la protection des données ainsi que sur des arrêts de la Cour de justice des Communautés européennes (CJCE) qui soulignent la grande responsabilité du responsable de la sécurité des données (CJCE, C-687/21 et C-340/21).
Certes, la RGPD ne prévoit pas explicitement l'obligation de Cryptage de courriers électroniques, mais il ressort de l'ensemble des réglementations que les entreprises sont tenues de réduire le risque d'accès non autorisé à des données à caractère personnel par des mesures appropriées. Le tribunal a estimé qu'un cryptage de transport ne suffisait pas, car il n'offrait pas une protection suffisante contre les attaques dites "man-in-the-middle".
Charge de la preuve et présomption de faute en cas de facture manipulée
Art. 82, al. 3 RGPD prévoit une présomption de faute en faveur de la personne concernée. Le Responsable doit prouver qu'il n'a commis aucune faute. Le plaignant n'a pas pu apporter cette preuve, car il n'avait pas pris de mesures de protection plus poussées. Le tribunal a précisé que les entreprises ne devaient pas seulement respecter les normes légales minimales, mais aussi tenir compte des évolutions techniques actuelles. Compte tenu des risques connus liés à la Transmission de données sensibles par e-mail, une entreprise responsable doit prendre les meilleures mesures de protection possibles.
Le tribunal a nié une faute concomitante de la défenderesse conformément à l'article 254 du BGB. Certes, la défenderesse n'avait pas remarqué des coordonnées bancaires différentes des factures précédentes. Cependant, il n'est pas raisonnable pour une cliente privée de vérifier chaque facture reçue pour voir si elle a été manipulée. La fraude n'ayant été rendue possible que par l'insuffisance des mesures de sécurité prises par le demandeur, ce dernier est seul responsable du préjudice subi.
Conseil de lecture : La CJCE renforce la transparence - les agences d'évaluation du crédit doivent divulguer leurs processus décisionnels
Conséquences de l'arrêt pour les transactions commerciales quotidiennes
L'arrêt a des conséquences importantes sur la pratique du courrier électronique professionnel et sur les exigences en matière de Sécurité informatique des entreprises. Les entreprises qui envoient des factures ou d'autres documents sensibles par courrier électronique doivent revoir en profondeur leurs normes de sécurité.
L'une des principales conclusions de l'arrêt est qu'un simple cryptage de transport n'est pas reconnu comme une mesure de sécurité suffisante. Le tribunal recommande plutôt l'utilisation d'un cryptage de bout en bout pour éviter les manipulations par des tiers. Troisième d'empêcher la fraude. Les entreprises sont donc encouragées à examiner leur infrastructure informatique et, le cas échéant, à passer à des modes de communication sécurisés, par exemple en utilisant des portails clients numériques sur lesquels les factures sont mises à disposition dans un environnement sécurisé.
En outre, le jugement montre que les entreprises doivent investir de manière proactive dans des mesures de cybersécurité. Il s'agit notamment de former les employés pour les sensibiliser aux attaques de phishing et autres tentatives de manipulation, et d'utiliser l'authentification à facteurs multiples et les e-mails signés pour sécuriser les échanges commerciaux. Les entreprises qui ne prennent pas ces mesures s'exposent non seulement à des violations de la protection des données, mais aussi à des conséquences financières et de responsabilité importantes.
Enfin, l'arrêt met en évidence que l'obligation de rendre des comptes en vertu de l'article 5, paragraphe 2 RGPD doit être prise au sérieux. Les entreprises devraient donc évaluer et documenter régulièrement leurs concepts de protection et de sécurité des données afin de pouvoir prouver, en cas de litige, qu'elles ont pris des mesures adéquates pour protéger les données à caractère personnel. L'arrêt envoie donc un signal clair aux entreprises, à savoir que Protection des données et Sécurité informatique doivent être des éléments centraux d'une activité commerciale juridiquement sûre.
Conclusion
Par ce jugement, la Cour d'appel du Schleswig-Holstein a considérablement relevé les critères de protection des données à caractère personnel dans les échanges commerciaux par e-mail. Les entreprises sont tenues de garantir un niveau de sécurité maximal afin d'éviter toute violation de la protection des données. Cette décision souligne que non seulement la protection des données à caractère personnel, mais aussi la protection contre les dommages économiques pour les clients, jouent un rôle central dans la RGPD joue. Les entreprises devraient donc examiner d'un œil critique leurs mesures de protection des données et, le cas échéant, les mettre à niveau afin d'éviter des cas de responsabilité comparables.
Source : Arrêt du tribunal régional supérieur du Schleswig-Holstein 12 U 9/24 du 18.12.2024
Vous voulez éviter les complications et préparer votre entreprise à la protection des données et à la sécurité. Conformité faire ? Nous nous y attelons ensemble ! Nos experts se feront un plaisir de vous conseiller. Appelez-nous ou écrivez-nous :
Tél: +33 1 856 59880
Courrier électronique :paris@2b-advice.com
German 
English 
Italian 
French