Rançongiciel : pas de réparation du préjudice d’anxiété pour une personne morale
L’auteur d’un rançongiciel qui avait été condamné à 10 000 € d’amende et à six mois d’emprisonnement avec sursis a vu infirmée sa condamnation à verser plus de 325 000 € de dommages-intérêts à la société victime. Dans son arrêt du 30 juin 2021, la cour d’appel de Versailles a d’abord rejeté les demandes de réparation du préjudice moral de la société victime. Elle ne conteste pas le principe de la réparation du préjudice moral d’une personne morale. Cependant, elle rejette le principe de la réparation d’un préjudice d’affectation, notamment la réparation de l’anxiété provoquée par la demande de rançon, en rappelant qu’elle ne bénéficie qu’aux personnes physiques et non aux personnes morales. Sa demande aurait été acceptée si elle avait porté sur la dégradation concrète de sa réputation ou de son image auprès de ses clients, caractérisée par une quelconque diffusion dans les médias des faits dont elle avait été victime, portant atteinte à son activité et à son image ou par un détournement de clientèle. Quant au préjudice financier, la cour rejette les demandes de la société victime faute de preuves de la prise en charge financière des frais par la société.
Le 31 décembre 2018, la société Enablon recevait un courriel anonyme en anglais lui demandant le paiement d’une rançon d’un million d’euros sur différents comptes bitcoins, en apportait la preuve de la possession de données confidentielles de la société : comptes bancaires, liste de contacts, documents et extraits du code source de l’application principale de la société. Le paiement de la rançon devait être effectué avant le 15 janvier 2019, à défaut de quoi le pirate adresserait des spams aux partenaires, aux employés, aux concurrents avec toutes les données confidentielles en sa possession. Enablon a tout de suite réagi en notifiant l’atteinte aux données personnelles auprès de la Cnil, et a présenté des requêtes au tribunal afin d’identifier l’auteur de cette action. Cette mesure a permis d’identifier un ancien directeur technique de l’entreprise, de 2005 à 2015, dont les fonctions avaient pris fin suite à une rupture conventionnelle. Par ailleurs, une analyse du disque dur que cet employé utilisait lorsqu’il travaillait pour la société, avait démontré qu’un appareil nommé « Ianstarsolo » avait déjà été connecté à ce poste de travail, ce qui permettait de faire un lien entre cet ex-directeur technique et le rançonneur. Enablon a déposé plainte et le prévenu placé en garde à vue a reconnu l’ensemble des faits qui lui étaient reprochés.
Le décembre 2019, le tribunal correctionnel de Nanterre l’a condamné à six mois d’emprisonnement avec sursis et une amende de délictuelle de 10 000 € pour avoir accédé et s’être maintenu dans le système de traitement de données de son ancien employeur, pour avoir frauduleusement extrait des données et pour avoir tenté de commettre une extorsion de fonds. Par un jugement du 17 janvier 2020, le tribunal correctionnel statuant sur les intérêts civils l’a condamné à verser 10 000 € au titre du préjudice moral et 315 930 € au titre du préjudice matériel subi. Cette dernière somme comprenait 30 096 € de remboursement des frais et honoraires au titre des diligences liées à la procédure auprès de la Cnil, 27 300 € en remboursement de frais et honoraires au titre de la communication de crise, 53 393 € au titre des honoraires et frais liés à la recherche de preuves techniques et 205 139 € au titre des honoraires et des frais juridiques et de management. L’auteur du ransomware a fait appel de cette dernière décision portant sur les intérêts civils. Après avoir rejeté les demandes relatives au préjudice moral, la cour d’appel a remis en cause le jugement quant au préjudice financier. Le préjudice invoqué portait sur les frais engendrés par la demande de rançon et notamment les frais d’avocat. Mais la cour a considéré qu’Enablon n’avait pas apporté la preuve qu’elle avait supporté elle-même ces frais. Par ailleurs, les éléments justificatifs produits sont, selon la cour, insuffisants à établir la réalité du paiement allégué en l’absence d’éléments extrinsèques probants tel que le journal des achats portant des enregistrements des factures, les éléments de la banque portant le paiement des factures, etc.
L’arrêt a fait l’objet d’un pourvoi en cassation.