Marché

[Tribune] Cyberattaque Harvest : quelles responsabilités pour les éditeurs et les CGP ?

Derrière l’exfiltration massive de données et la publication sur le dark web de fichiers sensibles se dessinent des responsabilités contractuelles et réglementaires enchevêtrées, où aucun acteur - éditeur comme CGP - ne saurait se dédouaner valablement. Analyse des enjeux juridiques de cette affaire : portée des clauses limitatives de responsabilité, obligations essentielles des prestataires, devoirs des responsables de traitement, et pistes d'amélioration. 

La société Harvest a été victime début 2025 d'une cyberattaque de type ransomware, ayant entraîné l'exfiltration et la publication de fichiers internes et de données clients sur le dark web. Cette attaque a particulièrement ébranlé le secteur patrimonial, car elle a mis en lumière les failles de sécurité d'un outil centralisé, largement utilisé par les CGP.

L’attaque a débuté le 26–27 février 2025, avec une intrusion initiale dans les systèmes internes et le site web www.harvest.eu, avant que Harvest ne confirme le « cyber incident » le 27 février, que le groupe Run Some Wares a revendiqué publiquement le 10 avril 2025.

Quelques jours après la violation, le groupe Run Some Wares a publié le nom de Harvest sur son site de divulgation, accompagné d’un échantillon de fichiers volés. Ceux-ci comprenaient des documents internes ainsi que des données liées à des clients. Aujourd’hui, le groupe a rendu publique l’intégralité des données exfiltrées.

Détail des données exfiltrées

La structure du répertoire divulgué indique une compromission des éléments suivants :

• opérations commerciales centrales : des dossiers tels que 0. HARVEST/, Projets en cours/, Agile/ et SCRUM/ suggèrent l’exposition de plans de projets, de documents stratégiques, de comptes rendus de réunions et d’organigrammes.

• données financières et comptables : des répertoires comme Comptabilité & Paye/, Compta & DEV & QA & Conception/ et Back Office & Qualité/ contiendraient probablement des enregistrements comptables, des données de paie et des documents de contrôle qualité.

• fichiers RH et dossiers du personnel : des dossiers nommés DSI & RH/, RH/, Personnel et confidentiel/, ainsi que des répertoires portant le nom d’adresses email d’employés, révèlent l’exposition possible de contrats de travail, d’évaluations, d’informations de paie et d’autres documents RH sensibles.

• identifiants et clés de chiffrement : des répertoires tels que Clés de chiffrement BDD/, Clés de chiffrement Veeam/, KeyPass/, keepass/ et mdp/ indiquent la compromission de coffres de mots de passe, de clés de chiffrement et d’identifiants internes, ce qui constitue un risque majeur pour l’ensemble de l’infrastructure.

• documentation juridique et réglementaire : des dossiers comme Juridique & Comptabilité/, Finance & Juridique/ et CONFIDENTIEL - VALUANCE/ laissent supposer l’accès à des documents juridiques, contrats, audits internes et fichiers relatifs à la conformité ou à des opérations d’entreprise.

• ressources techniques et de développement : la présence de répertoires tels que Machine - Deep Learning/, IA Generative/, SQL Server Management Studio/ et oracle.sqldeveloper.* indique une possible exposition de code source propriétaire, de modèles d’intelligence artificielle, de scripts et de configurations d’infrastructure.

• données de tiers et de clients : de nombreux dossiers font référence à des partenaires externes et à des clients, ce qui augmente le risque de conséquences en chaîne.

• communications internes : des archives de courriels et des fichiers de communication interne ont également été divulgués, ce qui accroît le risque de phishing ciblé et d’ingénierie sociale.

Responsabilité d’Harvest : éditeur et sous-traitant de données

En qualité d'éditeur de logiciel SaaS, Harvest assume la fourniture d'une solution intégrée avec des obligations contractuelles de disponibilité, de confidentialité et de sécurité. Dans le cadre du Règlement général sur la protection des données (RGPD), elle agit comme sous-traitant des CGP, responsables de traitement.

Selon l'article 28 du RGPD, le sous-traitant doit garantir la sécurité des données et notifier toute violation dans les délais prévus (art. 33). Même si les conditions générales d’utilisation (CGU) ou contrat de licence de Harvest ne sont pas publiquement accessibles, tout contrat entre Harvest et ses clients inclut en principe une obligation de sécurité implicite (ex : obligation de moyens renforcée).

Dans le cadre d’une fintech, cette obligation est d’autant plus stricte car Harvest traite des données financières et patrimoniales qui, sans être des données « sensibles » ou particulières au sens de l’article 9 du RGPD, sont des données à « caractère fortement personnel » d’après la jurisprudence, nécessitant une protection renforcée.

Absence de MFA

L’absence d’authentification multifacteur (MFA) pour certains modules, combinée à un temps de réaction initial jugé tardif, constitue un élément de responsabilité contractuelle et extra-contractuelle potentielle pour Harvest.

A ce titre, la CNIL, dans ses recommandations relatives à la MFA (1) rappelle que « pour les traitements de données sensibles, au sens de l’article 9 du RGPD (par exemple le traitement de données de santé), et les traitements ou les opérations à risque pour les personnes concernées (sans qu’il ne soit nécessaire d’atteindre la criticité du risque élevé au sens de l’article 35 du RGPD tels que précisés dans les lignes directrices du CEPD), la CNIL recommande le recours à l’authentification multifacteur. »

Ainsi, ne pas implémenter la MFA pourrait être assimilé à un défaut de mise en œuvre de moyens appropriés, en contradiction avec les engagements implicites ou explicites du fournisseur.

Mise en échec de la clause limitative

La question demeure de savoir si une clause limitative de responsabilité peut valablement exonérer un prestataire – ou limiter sa responsabilité dans son étendue ou son quantum - en cas de manquement à son obligation de sécurité.

La jurisprudence tend à répondre par la négative, notamment lorsque le manquement en cause concerne une obligation essentielle du contrat, telle que le devoir de conseil.

À titre d’illustration, l’arrêt rendu par la cour d’appel de Paris le 10 janvier 2025 (Pôle 5, chambre 11, n° 22/11677) rappelle avec force que la clause limitative de responsabilité ne saurait faire obstacle à la mise en cause de la responsabilité du prestataire lorsque celle-ci est fondée non sur une défaillance technique, mais sur un conseil inadapté. En l’espèce, la société Payplug avait recommandé à son client un niveau de sécurisation réduit (Smart 3D-Secure), augmentant mécaniquement son exposition à la fraude.

La cour a opéré une distinction claire entre la bonne exécution du service et la qualité du conseil fourni, et a jugé que les clauses contractuelles limitant la réparation ou exonérant en cas de fraude ne pouvaient s’appliquer, dès lors que la faute reprochée portait sur un manquement autonome au devoir de conseil, lequel constitue une obligation cardinale. Cette décision s’inscrit dans une jurisprudence constante selon laquelle une clause limitative ne peut avoir pour effet de neutraliser une faute grave ou de priver le contrat de sa substance.

Transposée au cas d’un éditeur de logiciels tel que Harvest, cette analyse conduit à considérer que l’absence d’authentification multifacteur (MFA) sur des modules critiques, combinée à un défaut de mise en garde sur les risques encourus, est susceptible de constituer un manquement distinct, engageant la responsabilité du prestataire indépendamment de toute clause limitative de responsabilité figurant dans ses contrats de licence ou d’abonnement. Une telle clause ne saurait dès lors produire effet, sauf à vider de toute portée l’obligation de sécurité et de conseil attendue d’un prestataire informatique.

Obligation de conseil

Par ailleurs, s’agissant de l’obligation de conseil, la cour d’appel de Rennes a pu juger qu’il appartenait à une société proposant des services informatiques (en l’espèce, renouvellement des infrastructures) d’informer sa société cliente de la nécessité d’adapter, et le cas échéant de modifier le système de sauvegarde, de manière à ce que ses données puissent toujours être sauvegardées et restaurées en cas de cyber-attaque.

La société cliente avait été victime d’une cyberattaque par rançongiciel, avec un chiffrement complet de son système d’information, dont les systèmes de sauvegarde, comprenant des données administratives, industrielles et économiques ainsi que des données personnelles (numéro de sécurité sociale des salariés, RIB des salariés, des clients et fournisseurs, etc.).

En n’informant pas sa cliente de ce risque cyber, la société a manqué à son obligation d’information et de conseil. Les juges considèrent que le défaut d’information et de conseil sur les rincidences d’une sauvegarde déconnectée a fait perdre à la société cliente la chance d’éviter un sinistre. Le montant de l’indemnisation est donc calculé en fonction de la chance perdue d’éviter la cyber-attaque, et non du dommage résultant de ce sinistre (3ème chambre commerciale, 19 nov. 2014, n° 23/04627).

Quelle responsabilité pour les CGP ?

Dès lors que la responsabilité de l’éditeur de logiciel ne peut être neutralisée par des clauses contractuelles en cas de manquement à des obligations essentielles, se pose la question du rôle et de la responsabilité des CGP, utilisateurs finaux des solutions logicielles telles que celles proposées par Harvest. Car si ces derniers ne sont pas à l’origine directe de la faille de sécurité ou de son exploitation, ils n’en demeurent pas moins responsables du traitement des données de leurs clients et, à ce titre, tenus à une vigilance renforcée.

En leur qualité de responsables de traitement au sens du RGPD, les CGP sont directement soumis aux obligations prévues par les articles 5, 24 et 32 du règlement. Ils doivent notamment s’assurer que les traitements qu’ils mettent en œuvre respectent les principes de sécurité, de confidentialité, et de minimisation des données. L’utilisation d’un outil logiciel édité par un tiers ne les exonère nullement de leur propre responsabilité en matière de gouvernance des données.

À ce titre, les CGP sont tenus de :

• veiller à la sécurité et à la confidentialité des données traitées (article 32 RGPD), ce qui implique une évaluation préalable de la robustesse de la solution qu’ils choisissent et, le cas échéant, la mise en œuvre de mesures compensatoires (ex. double authentification locale, cloisonnement des accès, etc.) lorsque le prestataire ne les propose pas en standard 

• Tenir un registre des traitements (article 30), dans lequel doit figurer l’outil utilisé, les types de données traitées et les mesures de sécurité mises en œuvre 

• Notifier toute violation de données personnelles à la CNIL dans un délai de 72 heures à compter de la prise de connaissance de l’incident (article 33), même si la fuite trouve son origine chez un prestataire 

• Informer les personnes concernées si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (article 34), notamment en cas d’exposition de données patrimoniales, d’éléments d’identité ou de pièces justificatives.

En pratique, cela signifie que les CGP ne sauraient s’abriter derrière la seule responsabilité technique de l’éditeur. Leur responsabilité est engagée dès lors qu’ils ont choisi, déployé et exploité un outil sans évaluer les garanties suffisantes apportées en matière de sécurité, ou qu’ils ont manqué à leur obligation de réagir promptement en cas de violation.

Négligence fautive

Une telle posture pourrait être qualifiée de négligence fautive au sens de l’article 32 du RGPD, et exposer les CGP à des sanctions administratives, voire à des actions en responsabilité civile de la part de leurs clients.

Des clauses d’audit pourront être prévues afin de donner aux CGP la possibilité de vérifier, ponctuellement ou à échéance régulière, la robustesse des systèmes d’information du prestataire et sa capacité de résilience en cas de cyber-attaque.

Par ailleurs, notons qu’afin d’être indemnisable au titre du préjudice causé par une cyber-attaque, l’assuré doit déposer une plainte pénale dans un délai de 72h après la connaissance de la cyber-attaque par la victime (article L12-10-1 du code des assurances). Chaque entreprise doit veiller à être couverte par une police d’assurance adaptée à son activité, et se doter de politiques internes de cybersécurité, notamment en matière de gestion des incidents, permettant une réaction rapide et efficace.

Cas d'école

L’affaire Harvest incarne un cas d’école : elle souligne la porosité des responsabilités contractuelles et réglementaires entre sous-traitant et responsable de traitement, et la fragilité de l’équilibre contractuel dans les relations CGP/éditeur.

La directive NIS2 qui est en cours de transposition en droit français, imposera à certaines entreprises dans certains secteurs d’activités spécifiques considérés comme critiques ou hautement critiques, comme l’infrastructure numérique ou la gestion des services des technologies de l’information et de la communication, de mettre en œuvre des mesures appropriées d’identification, de prévention et de gestion des risques de cybersécurité.

Si les clauses limitatives ne constituent pas des boucliers absolus, elles imposent une vigilance redoublée dans leur négociation et leur rédaction. Plus que jamais, la gouvernance des données et la maîtrise contractuelle sont au cœur de la relation de confiance avec le client.

Un seul mot d’ordre pour les CGP : anticiper, documenter, notifier. 

(1) Recommandation relative à l’authentification multifacteur, CNIL, Version adoptée le 20 mars 2025