Le 19 juillet 2024, CrowdStrike – considérée comme un fournisseur mondial de premier plan dans le secteur de la cybersécurité – a déployé une mise à jour pour l’un de ses produits de sécurité. Cette mise à jour défectueuse a causé une panne informatique qui a été décrite comme la plus importante de l’histoire.[1] En réponse à cet événement sans précédent, l’équipe des Technologies de l’information de Fasken publie une série de bulletins expliquant comment les organisations peuvent gérer les risques juridiques liés aux pannes informatiques.
Introduction
Le risque de panne des systèmes essentiels pose de sérieux problèmes tant aux fournisseurs de services qu’aux clients dans le cadre d’ententes d’impartition et d’autres ententes relatives à des services technologiques. La pandémie de COVID-19, les perturbations des chaînes d’approvisionnement et les nombreuses pannes très médiatisées ont eu pour effet de ramener les clauses de force majeure au cœur des négociations contractuelles et de la gestion des risques, en raison du risque de perturbations. Dans ce bulletin, nous examinons l’incidence des pannes informatiques sur les clauses de force majeure et les aspects que les fournisseurs de services et les clients doivent considérer lors de la rédaction ou de la négociation de telles clauses.
Aperçu des aspects à considérer à l’égard des clauses de force majeure
Selon Ken Adams, commentateur en matière de rédaction de contrats, une clause de force majeure est une clause qui prévoit « qu’en cas d’événement suffisamment grave et indépendant de la volonté d’une partie, il serait opportun de suspendre l’exécution.»[2] De tels événements comprennent généralement les catastrophes naturelles, les guerres, les grèves et d’autres perturbations échappant au contrôle d’une partie. Compte tenu de l’utilisation croissante de la technologie, les pannes informatiques peuvent donner lieu à des perturbations aussi graves que celles causées par n’importe quelle catastrophe naturelle[3], et une défaillance de l’infrastructure ou des services informatiques peut entraîner des perturbations des activités et des pertes importantes. Dans ce contexte, les clauses de force majeure permettent de maintenir un équilibre entre le risque de rupture de contrat par le fournisseur de services et les risques encourus par le client du fait de son recours au fournisseur de services.
L’analyse juridique des clauses de force majeure repose souvent sur (i) le libellé de la clause de force majeure et son applicabilité et (ii) la possibilité d’invoquer la doctrine de l’impossibilité d’exécution en common law et d’autres doctrines similaires[4]. Pour qu’une clause de force majeure s’applique, les deux conditions suivantes doivent être réunies : a) il existe un lien de causalité entre l’événement et l’entrave à l’exécution du contrat; et b) l’entrave à l’exécution du contrat par une partie est suffisante pour déclencher l’application de la clause. Par exemple, une panne totale du système permettrait de justifier un défaut de paiement dans le cadre d’un contrat (bien que les fournisseurs de services cherchent souvent à exclure de la clause de force majeure le défaut de paiement par le client), alors qu’une panne partielle ne le permettrait pas nécessairement. La jurisprudence n’est pas uniforme sur ce qui constitue un degré d’entrave suffisant.[5]
Une clause de force majeure bien rédigée dans un contrat de technologie offrira une protection contre des circonstances à la fois spécifiques et générales. Par exemple[6]:
« Une partie ne saurait être tenue responsable de l’inexécution de ses obligations dans la mesure où une telle inexécution est attribuable à des circonstances ou à un événement qu’elle n’a pas causés et qui étaient hors de son contrôle raisonnable [(autre que [*]) /, y compris [*]] (un « cas de force majeure ») si : a) la partie déploie des efforts raisonnables pour exécuter et reprendre l’exécution de ses obligations et pour limiter les dommages subis par l’autre partie; et b) l’inexécution n’est pas causée par le défaut de la partie de : (i) prendre des mesures raisonnables pour se protéger contre des circonstances identiques ou similaires à celles du cas de force majeure; ou (ii) maintenir un plan d’urgence raisonnable pour faire face à des circonstances identiques ou similaires à celles du cas de force majeure. »
S’il est important de définir correctement les circonstances dans lesquelles une clause de force majeure est censée s’appliquer, il est tout aussi important de prendre en considération et de mentionner celles dans lesquelles elle ne devrait pas s’appliquer. À cet égard, dans la mesure où aucune des parties n’a commis de faute, le tribunal peut libérer une partie de son obligation d’exécuter le contrat si une telle exécution devient quelque chose de radicalement différent des engagements pris au contrat[7]. Toutefois, les recours en equity en vertu de la common law sont beaucoup moins prévisibles qu’une clause de force majeure bien rédigée.
Point de vue des fournisseurs de services et des clients
Les pannes informatiques peuvent entraver la capacité des fournisseurs de services de fournir leurs services, ce qui peut donner lieu à des manquements contractuels et à des recours de la part de clients dans le cadre des ententes de niveau de service. Au moment de négocier les clauses de force majeure avec leurs clients, les fournisseurs de services veulent généralement définir les cas de force majeure comme étant toutes les circonstances qui échappent à leur contrôle raisonnable, et ainsi s’assurer que tous les événements causés par des facteurs externes soient pris en compte dans la définition. Les fournisseurs de services devraient également tenir compte des stratégies d’atténuation, comme les plans de reprise après sinistre et les redondances, qui peuvent réduire la probabilité de pannes ainsi que leurs conséquences. Il est tout aussi important de prévoir les procédures de notification, les dispenses d’exécution et les allègements des pénalités pouvant s’appliquer en cas de force majeure.
Les clients, quant à eux, chercheront généralement à s’assurer que les fournisseurs de services disposent de systèmes solides pour gérer les pannes informatiques et reprendre leurs activités à la suite de celles-ci, et qu’ils prendront des précautions raisonnables pour éviter les pannes causées par des événements extérieurs. Les clients peuvent chercher à négocier des clauses de force majeure plus restrictives qui prévoient un ensemble bien défini de circonstances donnant lieu à des cas de force majeure et qui excluent expressément certains problèmes informatiques prévisibles et évitables, ce qui impose aux fournisseurs de services des normes rigoureuses en ce qui concerne la maintenance des systèmes, la reprise après sinistre et l’atténuation des pannes. Les clients doivent également veiller à ce que les contrats prévoient l’obligation pour les fournisseurs de services d’atténuer l’incidence des pannes et de reprendre l’exécution de leurs obligations le plus rapidement possible. D’autres recours peuvent également être envisagés. Si un client n’est pas en mesure de négocier des exclusions de l’application d’une clause de force majeure, il doit envisager d’autres mesures pour atténuer les risques liés à la survenance de tels événements. Le libellé définitif de la clause dépendra des négociations menées par les parties et sera souvent influencé par la nature et le niveau du service fourni.
Exigences à respecter pour être libéré d’une obligation et mesures d’atténuation
En cas de panne informatique, la partie qui cherche à être libérée de l’exécution d’une obligation en invoquant la clause de force majeure devrait être tenue de respecter des exigences établies, comme celles de fournir un avis de son inexécution en temps opportun et une preuve des efforts qu’elle a déployés pour atténuer l’incidence de son inexécution. Les fournisseurs de services et les clients doivent être prêts à documenter la cause de la panne ou de l’inexécution, ses effets sur l’exécution du contrat et les mesures prises pour reprendre les activités normales et l’exécution du contrat.
Tant les clients que les fournisseurs de services devraient veiller à ce que les clauses de force majeure soient rédigées en même temps que les plans de continuité des activités. Les contrats doivent prévoir des scénarios dans lesquels des systèmes de secours ou des solutions de rechange peuvent être utilisés pour poursuivre les activités. Une clause de force majeure rigoureuse prévoit différents niveaux de pannes et s’aligne sur les stratégies en cas d’urgence des parties.
Conclusion
Comme les technologies de l’information sont intégrées dans toutes les facettes des activités commerciales, il est plus important que jamais de prendre en compte les pannes dans les clauses de force majeure. Les fournisseurs de services et les clients doivent reconnaître leurs risques respectifs et négocier des clauses de force majeure claires, équitables et résilientes. À mesure que la technologie progresse et que les risques évoluent, les contrats doivent pouvoir être adaptés, anticiper les nouveaux défis et garantir que les deux parties prennent bien en considération les risques liés à des événements indépendants de leur volonté.
[1] Une série : Gérer les risques juridiques liés aux pannes informatiques grâce aux meilleures pratiques – Lignes directrices réglementaires et normes internationales
[2] Force Majeure in the Time of Coronavirus: The Underlying Concepts and How to Express Them Clearly (en anglais seulement).
[3] La panne informatique de CrowdStrike survenue le 19 juillet 2024 a entraîné la suspension de vols, le report d’opérations dans les hôpitaux, l’arrêt des systèmes gouvernementaux ainsi que d’autres répercussions pour les entreprises et les consommateurs.
[4] Selon votre territoire de common law, la doctrine sur l’impossibilité d’exécution peut également être connue sous le nom de doctrine de l’impossibilité, de l’impossibilité pratique ou de l’inexécutabilité finalitaire.
[5] Certaines décisions judiciaires suggèrent que la norme est celle de l’impossibilité d’exécution, tandis que d’autres ont fixé un seuil moins exigeant, comme la présence de [TRADUCTION] « problèmes réels et importants » rendant l’exécution impossible d’un point de vue commercial (voir Braebury Development Corporation v. Gap (Canada) Inc., 2021 ONSC 6210 (en anglais seulement) au par 8; Services Ricova inc. c. Ville de Chambly, 2022 QCCA 1599 au par 6; Atcor Ltd. v. Continental Energy Marketing Ltd., 1996 ABCA 40 (en anglais seulement) au par 11; Liddell v. Mousavi, 2024 ONSC 6431 (en anglais seulement) aux par 40. En règle générale, le fait que l’exécution soit simplement plus difficile ou plus coûteuse ne suffit pas à déclencher l’application de la clause de force majeure.
[6] Voir également Revisiting My “Force Majeure” Language (With Yet More Changes) (en anglais seulement).
[7] Naylor Group Inc. c. Ellis-Don Construction Ltd., 2001 CSC 58 (en anglais seulement) aux par 53 à 55; Interfor Corporation v. Mackenzie Sawmill Ltd., 2022 BCCA 228 (en anglais seulement) aux par 65 et 66; Liddell v. Mousavi, 2024 ONSC 6431 (en anglais seulement) aux par.40 et 42. L’interprétation et l’application des clauses de force majeure peuvent varier en fonction des lois applicables au contrat. Les parties doivent connaître les normes juridiques propres au territoire qui peuvent influencer l’applicabilité et la portée des clauses de force majeure. Par exemple, bien que des principes similaires à la doctrine de l’impossibilité d’exécution soient reconnus dans certains territoires de droit civil, les critères juridiques permettant l’extinction ou la suspension des obligations peuvent y être différents.
