Dans son jugement du 18 décembre 2024, la Cour d'appel du Schleswig-Holstein (OLG) a pris une décision de grande portée concernant la responsabilité du responsable du traitement au sens du règlement général sur la protection des données (RGPD). La décision était centrée sur la question de savoir dans quelle mesure une entreprise qui envoie une facture par e-mail est responsable de l'utilisation abusive de cette facture par des tiers si elle n'a pas pris de mesures de sécurité suffisantes pour protéger les données à caractère personnel.
Un courriel contenant une facture est intercepté et manipulé
Le demandeur, un entrepreneur, a exécuté des travaux pour la défenderesse, une cliente privée, conformément à ce qui avait été convenu, et lui a adressé, à l'issue des travaux, une facture finale pour le montant des travaux encore dus. Cette facture a été transmise à la défenderesse par courrier électronique.
A l'insu des parties, le courriel a été intercepté et manipulé par des tiers. Ce faisant, les auteurs ont modifié les coordonnées bancaires figurant sur la facture et ont transmis la version falsifiée à la défenderesse. En toute bonne foi, la défenderesse a viré le montant de la facture, soit 15 385,78 euros, sur le compte indiqué dans la facture, qui appartenait toutefois à un inconnu. Ce n'est que plus tard que la fraude a été découverte, lorsque le demandeur a remarqué l'absence de paiement et en a informé la défenderesse.
Le demandeur a alors demandé à la défenderesse de payer à nouveau le prix de l'ouvrage, au motif que le paiement initial n'était pas parvenu sur son compte et qu'il n'y avait donc pas eu d'effet d'exécution au sens de l'article 362, paragraphe 1, du BGB. La défenderesse, en revanche, a estimé qu'elle avait rempli ses obligations de paiement puisqu'elle avait réglé la facture telle qu'elle l'avait reçue. Elle a en outre fait valoir que le demandeur avait omis de prendre des mesures de sécurité appropriées pour protéger les données personnelles transmises, en particulier ses propres coordonnées bancaires. C'est ce qui aurait permis à la fraude de se produire. Elle a invoqué un droit à réparation en vertu de l'article 82 du RGPD et a fait valoir que le demandeur avait fait preuve de négligence en envoyant la facture par courrier électronique sans protection suffisante. En particulier, le cryptage de transport utilisé n'aurait pas été suffisant pour empêcher la manipulation de l'e-mail.
Deux questions juridiques centrales s'opposaient donc : D'une part, la question de savoir si le paiement sur le mauvais compte avait éteint la dette de la défenderesse et, d'autre part, la question de savoir si la demanderesse devait être tenue responsable du préjudice subi en raison de l'insuffisance des mesures de sécurité.
Le tribunal approuve les dommages et intérêts en vertu de l'article 82 du RGPD
Certes, l'OLG a confirmé l'opinion juridique selon laquelle le paiement sur un compte manipulé n'entraîne pas l'exécution au sens de l'article 362, paragraphe 2, du BGB. Ce qui est déterminant, c'est que le montant dû doit être définitivement à la disposition du créancier. Le requérant pouvait donc en principe exiger à nouveau le paiement du prix de l'ouvrage.
Dans le même temps, le tribunal a toutefois déclaré que la cliente pouvait prétendre à des dommages-intérêts à hauteur du virement effectué sur le compte tiers, qu'elle pouvait opposer à la demande en justice de l'entrepreneur sous l'angle de l'objection doloagit, conformément à l'article 242 du BGB.
Une telle demande de dommages et intérêts peut notamment résulter du RGPD. Le tribunal a expliqué que les données à caractère personnel de la partie défenderesse (nom, adresse, créance impayée) avaient été traitées au sens de l'article 4, point 1, du RGPD et que la transmission de la facture par courrier électronique constituait un traitement au sens de l'article 4, point 2, du RGPD. En conséquence, la défenderesse pouvait faire valoir une demande de dommages-intérêts à l'encontre du demandeur en vertu de l'article 82 du RGPD.
La manipulation de la facture par des tiers ne fonde pas en soi la responsabilité du plaignant. Il convient plutôt d'examiner si les mesures techniques et organisationnelles prises par l'entreprise pour sécuriser la communication par courrier électronique étaient suffisantes.
Exigences en matière de sécurité des transferts de données conformément à l'article 32 du RGPD
L'OLG a ajouté que, conformément à l'article 32 du RGPD, les entreprises sont tenues de prendre des mesures de sécurité appropriées pour protéger les données à caractère personnel contre tout accès non autorisé.
Selon l'OLG, un simple cryptage de transport au moyen de TLS (Transport Layer Security) ne suffit pas aux exigences de l'article 32 du RGPD. Un cryptage de bout en bout serait plutôt nécessaire pour garantir un niveau de protection adéquat. Le tribunal s'est appuyé à cet égard sur les orientations de la Conférence sur la protection des données ainsi que sur les arrêts de la Cour de justice des Communautés européennes (CJCE), qui soulignent la grande responsabilité du responsable de la sécurité des données (CJCE, C-687/21 et C-340/21).
Bien que le RGPD ne contienne pas de dispositions explicites sur l'obligation de crypter les courriels, il ressort de l'ensemble des règles que les entreprises sont tenues de minimiser le risque d'accès non autorisé aux données personnelles par des mesures appropriées. Selon le tribunal, un cryptage de transport ne suffit pas, car il n'offre pas une protection suffisante contre les attaques dites "man-in-the-middle".
Charge de la preuve et présomption de faute en cas de facture manipulée
L'article 82, paragraphe 3 du RGPD prévoit une présomption de faute en faveur de la personne concernée. Le responsable doit prouver qu'il n'a commis aucune faute. Le plaignant n'a pas pu apporter cette preuve, car il n'avait pas pris de mesures de protection plus poussées. Le tribunal a précisé que les entreprises ne devaient pas seulement respecter les normes légales minimales, mais aussi tenir compte des évolutions techniques actuelles. Compte tenu des risques connus liés à la transmission de données sensibles par courrier électronique, une entreprise consciente de ses responsabilités doit prendre les meilleures mesures de protection possibles.
Le tribunal a nié une faute concomitante de la défenderesse conformément à l'article 254 du BGB. Certes, la défenderesse n'avait pas remarqué des coordonnées bancaires différentes des factures précédentes. Cependant, il n'est pas raisonnable pour une cliente privée de vérifier chaque facture reçue pour voir si elle a été manipulée. La fraude n'ayant été rendue possible que par l'insuffisance des mesures de sécurité prises par le demandeur, ce dernier est seul responsable du préjudice subi.
Conseil de lecture : La CJCE renforce la transparence - les agences d'évaluation du crédit doivent divulguer leurs processus décisionnels
Conséquences de l'arrêt pour les transactions commerciales quotidiennes
L'arrêt a des conséquences importantes sur la pratique du courrier électronique professionnel et sur les exigences en matière de sécurité informatique des entreprises. Les entreprises qui envoient des factures ou d'autres documents sensibles par courrier électronique doivent revoir en profondeur leurs normes de sécurité.
L'une des principales conclusions de l'arrêt est qu'un simple cryptage de transport n'est pas reconnu comme une mesure de sécurité suffisante. Au lieu de cela, le tribunal recommande l'utilisation d'un cryptage de bout en bout pour empêcher toute manipulation par des tiers. Les entreprises sont donc invitées à vérifier leur infrastructure informatique et, le cas échéant, à passer à des moyens de communication sécurisés, par exemple en utilisant des portails clients numériques sur lesquels les factures sont mises à disposition dans un environnement sécurisé.
En outre, le jugement montre que les entreprises doivent investir de manière proactive dans des mesures de cybersécurité. Il s'agit notamment de former les employés pour les sensibiliser aux attaques de phishing et autres tentatives de manipulation, et d'utiliser l'authentification à facteurs multiples et les e-mails signés pour sécuriser les échanges commerciaux. Les entreprises qui ne prennent pas ces mesures s'exposent non seulement à des violations de la protection des données, mais aussi à des conséquences financières et de responsabilité importantes.
Enfin, l'arrêt met en évidence le fait que l'obligation de rendre des comptes prévue par l'article 5, paragraphe 2 du RGPD doit être prise au sérieux. Les entreprises devraient donc évaluer et documenter régulièrement leurs concepts de protection et de sécurité des données afin de pouvoir prouver, en cas de litige, qu'elles ont pris des mesures adéquates pour protéger les données à caractère personnel. L'arrêt envoie donc un signal clair aux entreprises : la protection des données et la sécurité informatique doivent être des éléments centraux d'une activité commerciale juridiquement sûre.
Conclusion
Par ce jugement, la Cour d'appel du Schleswig-Holstein a considérablement relevé les critères de protection des données à caractère personnel dans les échanges commerciaux par e-mail. Les entreprises sont tenues de garantir un niveau de sécurité maximal afin d'éviter toute violation de la protection des données. La décision souligne que non seulement la protection des données à caractère personnel, mais aussi la protection contre les dommages économiques pour les clients jouent un rôle central dans le RGPD. Les entreprises devraient donc examiner de manière critique leurs mesures de protection des données et, le cas échéant, les mettre à niveau afin d'éviter des cas de responsabilité comparables.
Source : Arrêt du tribunal régional supérieur du Schleswig-Holstein 12 U 9/24 du 18.12.2024
Vous voulez éviter les complications et préparer votre entreprise à la protection des données et à la conformité ? Nous nous y attelons ensemble ! Nos experts se feront un plaisir de vous conseiller. Appelez-nous ou écrivez-nous :
Tél: +33 1 856 59880
Courrier électronique : paris@2b-advice.com
French 
German 
English 
Italian