Se ha ordenado a OVHcloud que pague 250.000 euros a dos clientes que perdieron datos cuando su centro de datos SBG2 en Estrasburgo se incendió en 2021.
Las dos empresas, Bati Courtage y Bluepad, pagaron a OVHcloud más para hacer una copia de seguridad de sus datos, pero cuando el centro de datos se quemó, se supo que las copias de seguridad se habían guardado en el mismo centro de datos que los servidores activos, y ambos se perdieron. En el último mes, el Tribunal de Comercio de Lille Métropole ha dictaminado en los dos casos que OVHcloud debe pagar, respectivamente, 100.000€ y 150.000€, por no haber entregado el servicio de backup que había prometido.
OVHcloud está apelando contra ambas decisiones y hay otros casos legales pendientes.
Respuesta al fuego
OVHcloud cuenta con cuatro centros de datos en el parque empresarial de Estrasburgo, junto al río Rin. SBG2 se incendió en la mañana del 10 de marzo de 2021 y otras instalaciones en el sitio, incluida SBG1, también resultaron dañadas. Se cree que la causa del incendio fue una falla eléctrica, que provocó un incendio en una sala de baterías , que luego se propagó sin control por todo el edificio.
OVHcloud inicialmente prometió publicar un informe rápidamente y financiar la investigación sobre la prevención de incendios, pero desde el verano de 2021 se ha negado a discutir la causa. Inicialmente, dijo que publicaría su propia investigación en 2022 , luego de la publicación de informes oficiales de otras agencias.
El año transcurrió sin noticias de OVHcloud, mientras que el servicio de bomberos de Bhas-Rin y la agencia francesa de investigación de accidentes BEA-RI han publicado informes oficiales.
Estos informes critican a OVHcloud por no tener un sistema de prevención de incendios ni un corte de energía en el sitio, por usar pisos de madera y por un diseño de enfriamiento gratuito que creó flujos de aire que propagaron el fuego. Los informes también dicen que se detectó agua cerca de los sistemas eléctricos antes de que estallara el incendio.
Más de 130 clientes se han unido a una demanda colectiva , encabezada por el bufete de abogados Ziegler & Associates, que alega que OVHcloud no cumplió con su responsabilidad de cuidar los datos de sus clientes y no ha compensado lo suficiente a las empresas que sufrieron pérdidas. Aunque esta acción presentó su denuncia ante OVHcloud durante 2022, el caso aún no ha llegado a los tribunales y es posible que aún se resuelva fuera de los tribunales.
Los casos presentados por Bati Courtage y Bluepad son los primeros que se escuchan en los tribunales, hasta donde DCD puede establecer.
Cortejo de Bati
La empresa de propiedades comerciales Bati Courtage perdió una gran cantidad de datos en el desastre, que eliminó el sitio web de Bati Courtage y los enlaces a una red de clientes, franquiciados y contratistas independientes. La empresa había pagado por un servidor privado virtual (VPS) y también una tarifa adicional por la opción de copia de seguridad automatizada para preservar los datos en caso de desastre.
Después del incendio, Bati Courtage tuvo que reconstruir los sitios a partir de datos más antiguos que la empresa había conservado. Bati Courtage pidió repetidamente a OVHcloud que le entregara sus copias de seguridad, pero casi un mes después, el 3 de abril, OVHcloud finalmente admitió que los datos se habían perdido porque "las copias de seguridad estaban almacenadas en el mismo edificio donde el servidor principal fue completamente destruido por el fuego", según Le Monde Informatique.
Bati Courtage demandó a OVH en el Tribunal de Comercio de Lille en julio de 2021, reclamando más de 6,5 millones de euros por daños y perjuicios. El sitio de noticias Clubic describe esto como una "suma bastante colosal" (todas las citas traducidas por Google), y señala que la facturación total de la empresa fue de solo 2 millones de euros en 2018, el último año del que hay cifras disponibles.
Durante 2022, el caso de Bati Courtage rebotó dentro y fuera de los tribunales, en una serie de ocho desestimaciones, antes de ser finalmente escuchado en noviembre. El tribunal dictaminó en febrero que Bati Courtage tenía derecho a una compensación porque se había suscrito a una copia de seguridad automática que no se entregó.
“En ninguna parte se menciona el término copia de seguridad local”, dice el fallo del tribunal. “En ninguna parte se establece explícita o implícitamente que las copias de seguridad se almacenarán en la misma ubicación o en el mismo centro de datos que los datos del servidor principal. Por el contrario, el contrato de OVH relativo a la copia de seguridad automática estipula que una copia de seguridad del servidor VPS se programa diariamente, se exporta y luego se replica tres veces antes de estar disponible en el espacio del cliente, y que el espacio de almacenamiento asignado a la 'copia de seguridad está aislada físicamente de la infraestructura en la que está configurado el servidor VPS.'"
Esta declaración "no deja lugar a dudas" de que OVHcloud colocaría los datos en un centro de datos diferente, pero no lo hizo.
El abogado Etienne Wery de Ulys , un bufete de abogados que no interviene directamente en ninguno de los dos casos, señala que el fallo del juez fue "severo". OVHcloud intentó argumentar que su servicio de copia de seguridad solo requería que mantuviera "copias de seguridad locales" en la misma habitación, pero el juez señaló que OVHcloud tiene muchos centros de datos y podría haber guardado los datos en otro lugar fácilmente, pero incumplió su contrato al no hacerlo. hacerlo: "mantener todas las copias de seguridad en el mismo lugar no permite proteger los datos, no respeta el estado de la técnica de las copias de seguridad y no permite alcanzar el objetivo fijado por el contrato".
Sin embargo, el tribunal desestimó los reclamos de negligencia sobre la seguridad contra incendios. La multa incluye 38.530 € en compensación por la pérdida financiera de Bati Courtage para el año 2021, 26.472 € por pérdida de activos intangibles, 20.000 € por daños a la marca y 9.100 € por trabajos de restauración de datos y sitios.
Bluepad
La empresa de software Bluepad ejecutó un servicio SaaS basado en la nube desde el centro de datos SBG2 de OVHcloud que entregó software de gestión de proyectos a tabletas y teléfonos inteligentes. La empresa pagó a OVHcloud por un servidor de producción en el edificio SBG1 y un servidor de respaldo en SBG2 para una restauración rápida. Después del incendio, OVHcloud le dijo a Bluepad que ambos servidores estaban realmente en SBG2 y que todos sus datos se habían perdido.
Bluepad demandó en el mismo tribunal de Lille que Bati Courtage, reclamando 330.000 € por daños y perjuicios.
Este caso es diferente al de Bati Courtage, señala Wery , porque Bluepad no se suscribió a la copia de seguridad automática de OVHcloud. Gestionaba su propia copia de seguridad, pero OVHcloud no decía la verdad sobre la ubicación de los servidores.
El caso es diferente, dice Wery, "en el sentido de que la copia de seguridad no fue realizada por OVH sino que quedó en manos del cliente, acusando este último a OVH de haberle proporcionado información errónea sobre la ubicación de los servidores, lo que lo llevó a construir sobre esta creencia una política de salvaguardia que resultó ser ineficaz".
Blupad respaldó su caso contra OVHcloud con la letra pequeña de sus acuerdos y capturas de pantalla de la consola de administración, que especificaban que el servidor principal estaba en SBG1 y el servidor de respaldo estaba en SBG2.
En su defensa, OVH intentó alegar que estos datos eran una "simple referencia interna" y no una promesa vinculante, informa Le Monde Informatique. El juez lo descartó y le dijo a OVHcloud que la ubicación de los servidores era contractual: el contrato de OVHcloud le prohibía "modificar, sin el acuerdo del cliente, la ubicación o el área geográfica prevista en la orden".
La sentencia dice que Bluepad "nunca imaginó que la empresa OVH, que se presenta como líder europeo en la nube, especialista en alojamiento y que cuenta con la certificación ISO 27001, podría haber extraviado el servidor de un cliente o haber cometido un error en su ubicación".
Para empeorar las cosas, OVHcloud se sumó a los problemas de Blupad más tarde. El 1 de abril de 2021, la empresa afirmó que sus equipos técnicos habían logrado recuperar los datos del servidor de respaldo de Bluepad. De hecho, lo estropearon aún más. Los datos seguían en el disco duro, pero sin decírselo al cliente, OVHcloud encendió el servidor antes de devolverlo. En este punto, se ejecutó un script de sistema automatizado, purgando y borrando lo que parecían ser datos "antiguos". Bluepad recibió un servidor vacío en lugar de sus datos de respaldo.
La multa de 150.000€ incluye 21.600€ por reconstitución de la base de datos de clientes, 36.900€ por pérdida de ventas, 30.000€ por recursos adicionales que Bluepad tuvo que pagar, 6.000€ por la reconstrucción de datos internos, 6.555€ por costes diversos, 2.000€ por costas judiciales, 12.000 € por pérdida de clientes y facturación, y 30.000 € por "daño moral".
Malas noticias para algunos clientes
En el caso Bluepad, el tribunal de Lille se negó a otorgar daños y perjuicios por cualquier reclamo relacionado con el nivel de precauciones contra incendios de OVHcloud, lo que implica que los clientes deberían esperar perder servidores en caso de desastres.
Wery dice que está "insatisfecho" con esta decisión "sorprendente", que permite a OVHcloud operar una cláusula de exclusión que dice que no se espera que su servicio de recuperación ante desastres se recupere de un desastre.
Sin embargo, en el caso Bati Courtage, el tribunal declaró inadmisible una cláusula de exclusión de OVHcloud, diciendo: “Con tal cláusula, en caso de reclamación, OVH nunca está obligada a llevar a cabo su misión cuando, sin embargo, es necesario. Las copias de seguridad no tienen interés en ausencia de siniestro y no se utilizan. Las copias de seguridad solo son útiles en caso de desastre". Por lo tanto, el intento de OVHcloud de eludir cualquier responsabilidad por un servicio de copia de seguridad que vendió fue descartado ("no escrito") sobre la base del artículo 1170 del Código Civil de Francia.
Para los clientes que no contrataron un servicio de respaldo automatizado o (como lo hizo Bluepad) operaron uno propio, las cosas no parecen tan esperanzadoras.
Durante 2022, dos empresas (Adomos y Cinetic-IT) demandaron a OVHcloud por daños y perjuicios por haber perdido datos y clientes debido al incendio, pero el tribunal desestimó estos casos porque no habían implementado un sistema de respaldo ni se habían suscrito a la oferta de respaldo de OVHcloud.
Es probable que la demanda colectiva de Ziegler incluya a otros clientes en esta posición, quienes argumentarán que OVHcloud no explicó suficientemente los riesgos y sobrevendió la confiabilidad de su servicio, o fue negligente al aplicar medidas para prevenir el eventual incendio.
Wery sugiere que los dos casos ahora resueltos muestran un nivel creciente de daños, y sugiere que las adjudicaciones futuras pueden estar limitadas por un punto en el que se agote la cobertura del seguro de OVHcloud y tenga que pagar los acuerdos futuros por sí mismo: "Imaginamos que la empresa dispone de medios para cubrir este riesgo. Lo cierto es que, como en todos los expedientes de siniestros mayores en los que el asegurador actúa en el marco de un sobre cerrado, los primeros atendidos siempre tienen ventaja sobre los demás."
OVHcloud no ha declarado públicamente cuánto espera que cueste el incendio, pero durante los últimos dos años ha tenido una salida a bolsa exitosa y recibió un préstamo de 200 millones de euros del Banco Europeo de Inversiones para desarrollar su negocio internacional. Está abriendo un gran número de nuevas instalaciones en países como EE.UU., Australia, Singapur e India.
Los documentos de salida a bolsa en 2021 revelaron que la compañía espera que el incendio le cueste a la empresa 105 millones de euros.
Desde DCD hemos pedido comentarios a OVHcloud quien nos ha ofrecido la siguiente información:
“Hemos sido informados de la decisión del Tribunal de Commerce de Lille Métropole en el contexto del litigio que nos opone a Bluepad. Esta decisión aún no nos ha sido notificada. Tan pronto como este sea el caso, tenemos la intención de apelar esta decisión para defender todas nuestras posiciones.
"Desde la primera hora, OVHcloud se ha movilizado para apoyar a sus clientes afectados con el fin de ayudarlos en las mejores condiciones posibles. De esta manera, se otorgaron gestos comerciales para todos los servicios afectados y seguimos intercambiando regularmente con los de nuestros clientes. que se encontraban en situaciones particularmente difíciles.
“Seguimos monitoreando cada caso cuidadosamente y seguimos comprometidos a asistir a todos nuestros clientes en las mejores condiciones posibles”.