Incendie de 2021 : OVHcloud essuie une deuxième condamnation
En l’espace d’un mois, l’hébergeur de cloud français a été condamné à indemniser deux sociétés qui ont perdu des données dans l’incendie de son datacenter malgré l’existence de sauvegardes.
Nouveau rebondissement dans l’affaire de l’incendie qui avait ravagé le datacenter SBG2 de l’hébergeur OVHcloud sur son site strasbourgeois en mars 2021. La justice vient de condamner le cloudiste français à verser une indemnité de 144 836 € à Bluepad, l’éditeur d’une application SaaS dédiée à la gestion de projet dans le secteur du bâtiment et dont toutes les données ont été détruites lors de l’accident.
OVHcloud s’est toujours défendu de ne pas être responsable de la perte définitive de données en cas d’absence de sauvegarde, dont l’initiative relève uniquement du propriétaire de ces données. Mais dans cette affaire, BluePad avait bel et bien mis en place un système de sauvegarde, qui plus est en prenant la précaution de stocker ses copies de secours dans un autre bâtiment. De fait, OVHcloud est ici jugé fautif d’avoir perdu ces données, non pas à cause de l’incendie, mais à cause de son incapacité à retrouver les sauvegardes que faisait BluePad.
La justice a déterminé les raisons de cette incapacité et elles accablent d’autant plus OVHcloud. D’une part, l’hébergeur a d’abord indiqué à son client que les machines virtuelles utilisées pour ses sauvegardes n’avaient pas été stockées dans un autre bâtiment, ce qui est contraire à l’engagement qu’il avait initialement pris auprès de Bluepad, au moins oralement.
D’autre part, nos confrères du Monde Informatique révèlent qu’OVHcloud aurait, un mois plus tard, fini par retrouver une sauvegarde intacte des machines de secours de BluePad. Et qu’il aurait, de sa propre initiative, sans même prévenir son client, restauré ces machines de secours. Bien mal lui en aurait pris, car les serveurs restaurés comportaient manifestement une routine de maintenance, qui efface automatiquement les données les plus anciennes au profit de celles mises à jour.
Problème, comme rien n’avait été mis à jour depuis l’incendie, les données originales ont été effacées sans que des versions plus récentes existent pour les remplacer. Ce comportement étant connu de BluePad, il aurait suffi de le prévenir pour qu’il désactive les scripts de maintenance, avant de réactiver ses serveurs. Cela n’ayant pas été fait, BluePad a bien récupéré ses serveurs de secours, mais vides.
D’autres plaintes, mais seulement deux condamnations
Il s’agit de la deuxième condamnation d’OVHcloud concernant la perte de données suite à l’incendie de son datacenter. En février dernier, l’hébergeur avait déjà été condamné à verser 101 172 € d’indemnités à son client France Bati Courtage, pour des faits presque similaires.
Dans ce cas, France Bati Courtage n’effectuait pas lui-même ses sauvegardes, mais avait souscrit à un service de backup auprès d’OVHcloud, avec la mention contractuelle que ce service soit exécuté « dans les règles de l’art ». En l’occurrence, la justice a considéré que les règles de l’art comprenaient évidemment le stockage des sauvegardes sur un site distant. OVHcloud a récemment fait appel de cette décision, au prétexte que son contrat n’indiquait pas explicitement que les sauvegardes seraient faites ailleurs.
OVHcloud vient également d’annoncer qu’il compte faire appel de sa condamnation dans l’affaire qui l’oppose à BluePad.
Courant 2022, les sociétés Adomos et Cinetic-IT, d’autres victimes de l’incendie de 2021, avaient déjà intenté une action en justice contre OVHcloud. Elles n’ont cependant pas pu obtenir gain de cause, car le tribunal les a renvoyées à leur responsabilité de n’avoir déployé aucun système de sauvegarde.
Dans tous les cas, le tribunal a systématiquement considéré qu’OVHcloud n’avait pas commis de faute concernant les moyens qu’il avait mis en place pour protéger son site contre le risque d’un incendie.
Pour mémoire, les arguments avancés à l’époque par les détracteurs d’OVHcloud – essentiellement des concurrents français pressés de lui ravir des parts de marché – pointaient des faux planchers en bois, des systèmes anti-incidents manifestement inefficaces, ou encore l’installation de batteries potentiellement inflammables à une distance trop proche d’onduleurs, susceptibles de provoquer des étincelles. Pour autant, aucune de ces caractéristiques ne constituait de faute au regard des standards établis au moment de la construction du dit datacenter.
Le secteur des loueurs de datacenters s’accorde plutôt à dire que l’incendie d’OVHcloud aura au moins servi à faire évoluer les standards en matière de lutte contre les risques naturels.