I. Une faille de sécurité du logiciel Harvest à l’origine d’une fuite d’ampleur touchant les données des clients de nombreux conseillers en gestion de patrimoine.
Dans ce qui pourrait bien devenir l’une des plus graves atteintes à la sécurité des données personnelles dans le secteur de la gestion patrimoniale, la faille du logiciel Harvest a récemment provoqué une onde de choc parmi les professionnels comme parmi les investisseurs.
Débutée en toute discrétion dans la nuit des 26 et 27 février 2025, l’affaire a éclaté au grand jour lorsque plusieurs cabinets de conseil en gestion de patrimoine ont été privés d’accès au service et ce pendant plusieurs semaines.
C’est par un courrier électronique laconique que nombre d’entre eux ont appris que leurs fichiers, comprenant parfois des informations sensibles telles que les identités, coordonnées bancaires, portefeuilles d’investissement ou encore situations fiscales de milliers de particuliers, avaient été exposés à des tiers, potentiellement malveillants, sans que personne ne sache précisément depuis quand, ni dans quelles proportions.
Ce qui interpelle peut-être le plus dans cette affaire, c’est l’opacité qui a marqué les premières phases de l’incident. La société n’a pas su développer une communication réactive, privant ainsi les professionnels de la possibilité d’alerter leurs clients en temps utile ou de mettre en œuvre sans délai les mesures de protection qui s’imposaient.
Pour les clients concernés, l’onde de choc se propage. Nombreux sont ceux qui ont appris fortuitement que leurs données avaient potentiellement circulé sans protection, alimentant l’inquiétude quant à un usage frauduleux (usurpation d’identité, sollicitations abusives, voire accès indésirable à des informations fiscales confidentielles).
Derrière cette défaillance technologique se dessinent les traits d’un contentieux judiciaire : quelle est la responsabilité des conseillers en gestion de patrimoine qui ont recours à Harvest ? Harvest pouvait-elle éviter les risques de la faille ? A-t-elle manqué à son devoir de vigilance et de sécurisation des données qu’elle stocke et exploite ? Et surtout, quels sont les recours des clients finaux aujourd’hui exposés à des risques réels, voire à des fuites de données irréversibles ?
C’est à ces interrogations que la machine judiciaire devra répondre dans les temps à venir.
II. Le cadre juridique du règlement général sur la protection des données
Dans le cadre de la réglementation applicable à la protection des données personnelles, le Règlement général sur la protection des données (RGPD) s’impose comme le texte de référence. Il s’applique à toute situation dans laquelle des données personnelles sont traitées.
Le RGPD définit les données personnelles comme une information se rapportant à une personne physique identifiée ou identifiable (ex : nom, prénom, numéro de sécurité sociale, adresse, numéro de téléphone, adresse mail, photo, empreinte, donnée de géolocalisation, adresse IP ou identifiant en ligne).
Dès lors qu’une information permet, directement ou indirectement, d’identifier une personne, elle entre dans le champ de cette réglementation. Parallèlement, le règlement qualifie de « traitement de données personnelles » toute opération portant sur ces données, quel que soit le procédé utilisé (ex : la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de données).
Il suffit donc que des données soient manipulées d’une quelconque manière pour qu’un traitement soit caractérisé, peu importe la nature des personnes concernées (client, fournisseur, prestataire, salarié, candidat à l’embauche, etc.).
La responsabilité de ces traitements incombe au responsable du traitement qui est la personne à l’initiative du traitement de données, il en détermine ses finalités et ses moyens. Toutefois, dans la majorité des cas, ce dernier délègue certaines opérations à un sous-traitant, lequel intervient pour son compte, notamment pour l’hébergement des données, la maintenance informatique ou encore l’envoi de messages de prospection commerciale.
Cette répartition des rôles n’exonère pas les parties de leurs responsabilités : tant le responsable du traitement que le sous-traitant sont soumis à de nombreuses obligations en matière de protection des données personnelles, que le RGPD encadre strictement.
Dans l’affaire affaire Harvest, tant les conseillers en gestion de patrimoine (CGP) que la société Harvest sont obligés au regard du règlement. Dès lors, toute atteinte à l’intégrité, à la confidentialité ou à la sécurité des données, telle qu’une fuite, pourrait fonder le terreau d’un manquement aux obligations légales qui leur incombent.
III. Les procédures judiciaires envisageables
A. Les actions offertes aux CGP, assureurs et banquiers contre Harvest
Quant aux intermédiaires (assureurs, CGP et banquiers) ils pourraient être fondés à agir à l’encontre d’Harvest sur le terrain des manquements de ces derniers à leur obligation de résultat et de sécurité dans la protection des données personnelles qui sont traitées et stockées sur leurs serveurs.
En outre, Harvest est tenue à une obligation de réaction à l’égard de ses clients en raison du contrat de mise à disposition du logiciel qu’ils ont conclu avec ceux-ci. Il importe peu que cette obligation ait été inscrite dans le contrat, car elle découle implicitement du devoir général de bonne foi dans les relations contractuelles que la loi consacre à l’article 1102 du Code civil.
La société pourrait ainsi voir sa responsabilité engagée pour avoir manqué à la bonne foi dans l’exécution de sa prestation si elle n’a pas pris les mesures adéquates afin de prévenir la diffusion de ces données personnelles, ou du moins si elle n’a pas employé les moyens suffisants afin de faire cesser cette fuite de données.
Quelle est la nature des préjudices subis par les CGP ?
Le premier des préjudices subis par les CGP est un préjudice réputationnel, dès lors que la divulgation non autorisée de données personnelles a affecté la perception de leur professionnalisme et de leur fiabilité auprès de leur clientèle. Une telle atteinte à l’image, même indirectement causée par un prestataire, peut avoir des répercussions durables dans un secteur où la relation de confiance est clé.
S’y ajoutent des pertes matérielles, résultant notamment de l’impossibilité d’exercer leur activité dans des conditions normales, en raison d’une interruption de service ou d’un accès restreint aux outils numériques nécessaires à la poursuite de leur mission. Ce dommage peut également inclure la perte d’une partie de leur clientèle, lorsque certains clients, ébranlés par la fuite de données, choisissent de se tourner vers d’autres professionnels jugés plus sûrs ou mieux organisés en matière de sécurité informatique.
Ces préjudices, qu’ils soient d’image ou économiques doivent être évalués au cas par cas et peuvent ouvrir droit à indemnisation.
B. Les actions offertes aux clients lésés contre leurs CGP, assureurs et banquiers
En ce qui concerne les conseillers en gestion de patrimoine, même s’ils ne sont pas à l’origine de la faille de sécurité, pourraient voir leur responsabilité engagée sur le fondement du RGPD s’ils manquent à leur obligation d’informer leurs propres clients de la fuite de leurs données.
Lorsqu’ils collectent, consultent, conservent ou transmettent des informations relatives à leurs clients (telles que des données d’identification, des coordonnées, ou encore des éléments relatifs à leur situation patrimoniale) ils effectuent, au sens du RGPD, un traitement de données personnelles.
En cette qualité, ils peuvent être regardés comme responsables de traitement, ou à tout le moins comme co-responsables lorsque ces opérations sont menées conjointement avec un prestataire, tel que la société éditrice du logiciel métier qu’ils utilisent. Dès lors, une atteinte à la sécurité ou à la confidentialité de ces données, par exemple sous la forme d’une divulgation non autorisée, est susceptible d’engager leur responsabilité.
En pareille hypothèse, les conseillers pourraient être tenus de réparer le préjudice subi par leur client du fait de cette fuite, et ce, solidairement avec la société exploitant le logiciel. Cette solidarité s’explique par l’imbrication des responsabilités dans l’opération de traitement.
La réglementation européenne en matière de gestion des données personnelles, et plus précisément le RGPD, impose en effet aux responsables de traitement une série d’obligations en matière de gestion. Ces obligations ne se limitent pas à un devoir abstrait de confidentialité, mais recouvrent des exigences concrètes : veiller à la licéité du traitement, informer les personnes concernées, garantir la sécurité des données, mettre en œuvre les principes de minimisation et de limitation des finalités, et assurer le respect des droits des personnes (accès, rectification, effacement, opposition, etc.).
Dans le contexte particulier des CGP, cela signifie qu’une négligence dans la sécurisation des données de leurs clients pourrait donner lieu à une condamnation sur le fondement du manquement à une obligation légale de sécurité dans le traitement des données personnelles de leurs clients.
Identiquement, les CGP devront, au titre du contrat qui les lie à leurs clients, et sur le fondement de la bonne foi contractuelle, les informer de ce que leurs données ont fait l’objet d’une fuite. À défaut d’une telle information, ils pourraient voir leur responsabilité engagée sur ce second terrain.
Enfin, ni le gestionnaire de patrimoine, ni Harvest ne pourront se réfugier derrière l’exception de force majeure au sens de l’article 1218 du Code civil, dès lors que la jurisprudence refuse d’assimiler un virus informatique à un cas de force majeure. En effet, la Cour d’appel de Paris, dans un arrêt du 7 février2020 (n° 18/03616), a jugé qu’« un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. »
C. L’action offerte aux clients lésés à l’encontre de Harvest
En outre, le client final dont les données ont fuité est un tiers au rapport qui lie le CGP à Harvest. Ceux-là sont en effet liés par un contrat qui porte sur la fourniture du logiciel d’exploitation aux CGP.
Le client final, en sa qualité de tiers pourrait se prévaloir d’un manquement à un contrat auquel il n’est pourtant pas partie, dès lors que ce manquement contractuel lui a causé un préjudice (Ass. Plén. 6 octobre 2006, 05-13.255, Publié au bulletin ; Ass. Plén. 13 janvier 2020, 17-19.963, Publié au bulletin).
En ce sens, il sera peut-être plus aisé pour le client final d’agir directement à l’encontre de Harvest en n’ayant qu’à démontrer que la société a manqué à son obligation contractuelle de résultat et de sécurité à l’égard de l’intermédiaire quant à la gestion des données stockées sur ses serveurs.
***
On le comprend, derrière le choc de l’affaire Harvest, c’est en réalité une question plus large qui se pose : celle de la réparation des préjudices résultant de l’exploitation inadéquate ou défaillante des données personnelles.
Les enjeux sont considérables, tant pour les professionnels qui s’appuient sur ces outils numériques que pour les clients dont la confiance a pu être entamée.
Notre cabinet suit avec attention les développements de cette affaire, conscient des résonances qu’elle peut avoir pour d’autres victimes ou utilisateurs du logiciel.
