Développement ou refonte d’un site web : un projet à gérer avec rigueur pour éviter les contentieux

Un projet de développement ou de refonte d’un site web n’est jamais anodin, a fortiori s’il s’agit d’un site marchand. Cependant, nombre de projets de développement de sites web “dérapent” et font naître des frustrations entre client et prestataire, pouvant aller jusqu’au contentieux. La jurisprudence dans ce domaine est abondante. Une nouvelle affaire est venue l’enrichir avec l’arrêt rendu par la Cour d’appel d’Aix en Provence le 8 décembre 2016, opposant une société du secteur de l’événementiel à un prestataire de développement web. (1)

Insatisfaite du site livré, la société cliente a engagé une action devant le tribunal de commerce de Marseille, en résolution du contrat de création de site internet pour manquement, par le prestataire, à ses obligations contractuelles. Le tribunal de commerce, puis la cour d’appel l’ont déboutée de son action en résolution, faute de démonstration d’une inexécution de son engagement par le prestataire. Il ressort de cette affaire que la société cliente n’avait pas clairement défini ses besoins et qu’elle n’a pas apporté les éléments de preuve à l’appui de ses allégations.


1. La définition des besoins, préalable indispensable à l’exécution du projet

    - Le contrat et son exécution

En octobre 2012, la société Open Up a accepté deux devis de la société Simpliciweb pour réaliser la refonte de son site web en format adaptable aux appareils mobiles (responsive design), et fournir une prestation de maintenance.

La livraison du site était prévue pour le 14 décembre 2012, sous réserve que le prestataire dispose de tous les éléments nécessaires à la réalisation du projet (maquettes, contenus) avant le 5 novembre. Dans le cas contraire, le délai de livraison du site était fixé trois mois après la réception de tous ces éléments.

Entre décembre 2012 et mars 2013, les parties ont échangé de nombreux emails concernant la fourniture des visuels par le client, les demandes de modifications et la validation des prestations réalisées.

Le 29 mars 2013, le prestataire envoyait un procès-verbal de réception du site. Celui-ci n’ayant pas été contesté par le client dans un délai de 15 jours, Simpliciweb a estimé que le site était livré.

Toutefois, considérant que Simpliciweb avait manqué à ses obligations contractuelles, la société Open Up lui a adressé un courrier de résiliation unilatérale des contrats le 30 avril 2013. Le 2 mai, Simpliciweb a mis le client en demeure de lui régler le solde des sommes dues pour la création du site. Open Up a refusé de régler et a assigné Simpliciweb devant le tribunal de commerce de Marseille en résolution du contrat de création de site web et caducité du contrat de maintenance. Par jugement du 25 avril 2014, le tribunal a débouté la société Open Up de toutes ses demandes. Cette dernière a ensuite fait appel de ce jugement.

Les arguments de la société Open Up, pour justifier sa demande en résolution du contrat, étaient les suivants : livraison tardive du site, dysfonctionnements du site, manquement aux devoirs de mise en garde et de conseil du prestataire, et défaut de livraison de la version mobile du site.

    - Une définition des besoins défaillante

Il ressort de l’analyse des faits (exécution du contrat) par les juges, que le client n’avait pas clairement défini ses besoins en amont du lancement du projet. Ce manque de préparation a conduit à des retards dans la remise au prestataire des éléments nécessaires pour la réalisation du site, à une redéfinition de la gestion du projet pour tenir compte de ces retards et de nouvelles demandes du client, et à un sentiment de frustration générale, ayant abouti au contentieux.

Ainsi, concernant la livraison tardive du site, le contrat stipulait que la date de livraison indiquée n’était valable que si le prestataire disposait de tous les éléments nécessaires à la livraison du projet avant une date butoire ; à défaut, le délai de livraison serait de trois mois après réception de ces éléments.

D’après les échanges entre les parties pendant la période d’exécution contractuelle, le client a repoussé la livraison des visuels (nécessaires à la refonte du site) à plusieurs reprises et a adressé plusieurs nouvelles demandes de fonctionnalités.

La Cour en conclut que “l’appelante (la société Open Up) ne peut sérieusement reprocher à l’intimée (la société Simpliciweb) de ne pas avoir respecté la date du 14/12/2012”, sachant a fortiori que la communication des éléments nécessaires au développement du site et les demandes de modifications et de nouvelles fonctionnalités se sont poursuivies jusqu’en mars 2013.

Pour gérer la communication tardive des éléments nécessaires au développement, et les nombreuses demandes de modifications et de nouvelles fonctionnalités, le prestataire a proposé de poursuivre le projet selon une méthode itérative (validation de l’avancement du développement du site page par page).

Les juges relèvent que “contrairement à ses assertions, ce n’est pas le choix du mode de développement “page par page” mais les innombrables demandes d’ajouts, de suppressions et de modifications formulées par la SARL Open Up qui ont retardé l’exécution par l’intimée de ses engagements.”

Enfin, les juges constatent que les éléments nécessaires au développement ayant été fournis au prestataire début janvier 2013, le délai de livraison de trois mois prévu dans le contrat a été respecté (site livré le 29 mars 2013).

Il ressort de cette analyse que les retards allégués peuvent être imputés à une défaillance du client dans la définition de ses besoins, préalablement au lancement du projet de refonte du site.


2. L’établissement de la preuve des manquements contractuels

Dans le cadre d’une action contentieuse, il ne suffit pas au demandeur de procéder par affirmations. Ses demandes doivent être étayées par des éléments de preuve. (art. 1353 al.1 nouv. c civ). L’administration de la preuve commence par la production du contrat, puis le cas échéant, par la communication d’éléments venant étayer les assertions relatives aux manquements aux obligations contractées.

    - L’absence de preuve entraîne le rejet des demandes

En l’espèce, la société Open Up soutenait que le site comportait des défauts, le rendant inutilisable pour commercialiser ses prestations. Or, les juges ont relevé que la société Open Up ne procédait que par affirmations, sans fournir la moindre preuve à l’appui de ses allégations pour démontrer l’existence de dysfonctionnements.

Par ailleurs, selon la société Open Up, Simpliciweb aurait manqué à son devoir de mise en garde et de conseil concernant les lenteurs et inconvénients du développement du site en mode “page par page”. Cependant, les juges relèvent qu’Open Up ne fait qu’affirmer l’existence d’inconvénients, sans les lister, ni les prouver. L’existence éventuelle de ces lenteurs et inconvénients aurait pu être démontrée grâce à un constat d’huissier par exemple.

Enfin, le client prétendait que le prestataire n’avait pas livré la version mobile du site. Or, là encore, la société Open Up n’a versé aucun document au dossier à l’appui de ses allégations. En revanche, la société Simpliciweb a produit des photos de téléphone mobile et tablette, montrant que le site était visible sous ces formats mobiles.

Le juge a donc rejeté les allégations de l’appelante au motif que celle-ci n’a pas démontré une inexécution de son engagement par le prestataire. Le jugement de première instance, qui avait débouté la société Open Up de son action en résolution du contrat, a donc été confirmé en appel. Celle-ci est condamnée à régler le solde de la prestation, l’indemnité de résiliation prévue au contrat et le manque à gagner concernant le contrat de maintenance, signé mais non exécuté.

    - La preuve entre commerçants est libre

Pour rappel, sauf exceptions, la preuve entre commerçants est libre (art. L.110-3 c com.). La preuve de faits et la démonstration d’argumentaires juridiques peuvent donc se faire par la production de documents, papiers ou électroniques, signés ou non (contrats, courriers, emails, factures), des rapports d’expert ou constats d’huissier, mais également par des attestations, témoignages, aveux, etc. (2) La valeur probante de ces différents éléments est laissée à l’appréciation du juge. Ainsi, en l’espèce, le juge a admis la valeur probante des photos de téléphone mobile et tablette montrant le site sous format mobile.

Néanmoins, en règle générale, les documents produits par soi-même pour établir la preuve ne sont pas admis (art. 1363 nouv. c civ.). Il est donc recommandé de produire des documents échangés entre les parties (courriers ou emails) et si nécessaire, de faire constater les éléments de preuve - résultats d’un développement web, dysfonctionnements, frais engagés, par un tiers (expert, huissier, commissaire aux comptes) pour s’assurer que ces éléments seront admis par le juge.


    En conclusion, comme constaté dans la présente affaire, une définition des besoins insuffisante entraîne des risques de dérives sur les demandes de modifications et d’ajouts, sur les délais de livraison, et par conséquent sur le coût du projet. Or, tout projet informatique, y compris un développement web, requière une réelle implication du client, préalablement à son lancement, mais également pendant son exécution. L’alternative, pour un client ne souhaitant pas fixer ses demandes avant le début du projet, peut être d’opter pour un projet “agile”, pour autant que la taille et la complexité de ce projet le justifient, et sous réserve d’une grande rigueur dans son suivi.

Enfin, il convient de noter en l’espèce que la société Simpliciweb a demandé à titre reconventionnel la condamnation de la société Open Up à des dommages et intérêts pour rupture abusive et brutale des relations commerciales. Or, en vertu des articles L.442-6 III al. 5 et D.442-3 du code de commerce, l’examen de cette demande en appel relève de la compétence exclusive de la cour d’appel de Paris. (3)


                                                               * * * * * * * * * * * *

(1) CA Aix en Provence, 8é ch. A, 8 décembre 2016, Open Up c. Simpliciweb

(2) Les principes généraux de la preuve ont été remaniés avec la réforme du droit des obligations entrée en vigueur le 1er octobre 2016 (Ordonnance n°2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations), voir art. 1353 nouv. et s. c civ.

(3) CA Aix en Provence, 8é ch. A, 2 mars 2017, Open Up c. Simpliciweb


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2017

Géolocalisation et protection de la vie privée : la réglementation applicable aux données collectées

La géolocalisation, fonctionnalité présente sur la plupart des smartphones, offre des possibilités d’action de marketing ciblé intéressantes pour les entreprises (commerces, services, rencontres) et pour les utilisateurs. Toutefois, cette technologie rendant possible la surveillance des déplacements d'un individu, dans le temps et dans l’espace, peut donner lieu à certaines dérives et nuire à la vie privée des mobinautes. L'exploitation de services de géolocalisation est de ce fait, encadrée par la loi. Il appartient donc aux sociétés éditrices d'applications mobiles de géolocalisation et aux sociétés utilisant ces applications d'être vigilantes lors de la mise à disposition de ce service au public. Dès que l’exploitation d’un service de géolocalisation implique la collecte et le traitement de données à caractère personnel, ce service est soumis à la réglementation sur la protection de la vie privée.

Le présent article a pour objet de rappeler brièvement le cadre juridique applicable à l’utilisation de services de géolocalisation et le rôle de la CNIL dans ce domaine.


1. Le cadre juridique de la géolocalisation

La géolocalisation consiste notamment à communiquer des informations sur une personne en fonction de sa position géographique. Aussi, dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des mobinautes, le traitement de ces informations, considérées comme des données à caractère personnel, doit être conforme aux règles de respect de la vie privée. Les sociétés françaises éditrices et fournisseurs d'applications mobiles de géolocalisation et les sociétés souhaitant utiliser la géolocalisation relèvent de la loi Informatique et Libertés du 6 janvier 1978, en qualité de responsable de traitement. (1)

Un certain nombre d’obligations légales s’imposent aux sociétés exploitant ou utilisant un service de géolocalisation :

    1.1 Les obligations relatives aux traitements de données de géolocalisation
La géolocalisation a le plus souvent pour finalité la collecte de données à caractère personnel. Il s’agit donc d’un traitement de données devant être déclaré à la CNIL préalablement à la mise en exploitation du service. (2)

Concernant les traitements de données de géolocalisation, les sociétés exploitant ce type de service doivent :
    - respecter la finalité du traitement, qui doit être déterminée, explicite et légitime ;
    - obtenir l’autorisation préalable de l’utilisateur de l'application mobile pour : (i) la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation, et (ii) la conservation des informations liées à ses déplacements (historique des déplacements). En outre, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit et pouvoir supprimer les données de localisation qui le concernent ;
    - informer l'utilisateur du type de données collectées, de la durée de leur conservation, de la finalité du traitement, le cas échéant, des personnes à qui les données seront transmises (par exemples, commerçants ou gestionnaire de base cartographique) et de ses droits relatifs à ses données (droits d'accès, de rectification, de contestation et d'opposition (suppression/désinscription) au traitement des données).

La durée de conservation des données collectées doit être raisonnable, en fonction de l’objectif du traitement. Enfin l'entreprise devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et techniques adaptées à la nature des données et aux risques présentés. (3)

    1.2 Les obligations spécifiques à la réutilisation des données à des fins marketing, ou le “géo-marketing”
Les données de géolocalisation sont parfois utilisées pour envoyer de la publicité géo-ciblée sur le téléphone du mobinaute. Ainsi, grâce à cette technologie, des sociétés envoient aux mobinautes des publicités géo-ciblées, non seulement en fonction de qui ils sont (identité, goûts, habitudes), mais également en fonction de l'endroit où ils se trouvent. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages. (4)

    1.3 Les bonnes pratiques dans la mise en oeuvre d’un service de géolocalisation 
Le Groupe de travail de l'article 29 a édité un Avis en mai 2011 regroupant des bonnes pratiques pour les éditeurs d'applications mobiles de géolocalisation.

Le Groupe de l’article 29 recommande ainsi aux sociétés souhaitant déployer un service de géolocalisation (i) d’informer clairement les mobinautes des raisons (finalités) pour lesquelles elles souhaitent utiliser leurs données, et d’obtenir leur consentement pour chacune de ces raisons ; (ii) d’offrir la possibilité aux mobinautes de choisir le niveau de géolocalisation (par exemple à l’échelle d’un pays, d’une ville, d’un code postal, ou d’un quartier) ; (iii) une fois que le service de localisation est activé, de mettre en place une icône, visible en permanence sur chaque écran, indiquant que les services de localisation sont activés et (iv) d’offrir la possibilité aux mobinautes de revenir sur leur consentement à tout moment, sans avoir à quitter l’application et d'être en mesure de supprimer facilement et de manière définitive toute donnée de localisation stockée sur le dispositif. (5)


2. Les pouvoirs de la CNIL et les sanctions encourues en cas de non-conformité aux obligations légales

    2.1 La mission de la CNIL
La Commission est vigilante quant aux risques pouvant résulter d'un développement généralisé et banalisé de la géolocalisation. A ce titre, la CNIL a lancé plusieurs opérations de sensibilisation à l’attention de l’ensemble des citoyens et des dirigeants d’entreprises, notamment par l’intermédiaire de son site internet, afin de rappeler les règles applicables en matière de géolocalisation.

La CNIL s'est également prononcée contre de nouveaux dispositifs de géolocalisation qui lui paraissaient contrevenir aux droits des personnes car de nature trop intrusive. Par exemple, en 2009, la CNIL a demandé à la société Google de mettre son nouveau service de géolocalisation dénommé - Google Latitude - en conformité à la loi Informatique et Libertés. En 2010, la CNIL a mis en garde les membres Facebook contre le nouveau service Facebook Lieux, permettant d'indiquer sa position géographique à tout moment à un autre internaute. Le service permettait  notamment de dévoiler des informations de nature privée et protégeable, pouvant être interceptées et réutilisées par des tiers malintentionnés. (6)

    2.2 Les contrôles de la CNIL et les sanctions applicables en cas de non-conformité aux obligations légales 
La Commission a par ailleurs renforcé les contrôles dans les entreprises proposant des services basés sur cette technologie, afin de s’assurer du respect de la vie privée des mobinautes. En effet, la CNIL dispose de la possibilité d'effectuer des contrôles sur place (dans les locaux de l’entreprise), au cours desquels les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements mis en oeuvre à la loi Informatique et Libertés.

La mise en place d'un dispositif de géolocalisation en violation des règles précitées peut conduire la CNIL à prononcer, à l’égard du chef d’entreprise qui méconnaît ses obligations, un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. La CNIL peut également décider de dénoncer les infractions à la loi au procureur de la République. Les manquements à la loi Informatique et Libertés sont punis jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.


La géolocalisation offre ainsi de nouvelles opportunités pour les professionnels souhaitant développer leurs actions de marketing. Toutefois, dès que des données personnelles sont collectées, cette technologie présente des risques liés à la protection de la vie privée en raison de son caractère particulièrement intrusif. En effet, ce type de technologie peut conduire, à défaut de paramétrage du téléphone ou en cas de piratage, à la surveillance constante des mobinautes, ignorant qu’ils transmettent leur position géographique et à qui ils la transmettent. C'est à ce titre que la loi impose des obligations aux sociétés exploitant un service de géolocalisation. 

En conséquence, il est recommandé aux sociétés exploitant ce type de service de s’assurer de la conformité de leurs traitements au droit de la protection des données à caractère personnel et à défaut, de prendre toutes mesures nécessaires de mise en conformité.

* * * * * * * * * *

(1) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(2) Toutefois, cette déclaration n’est pas nécessaire en cas de désignation, par l’entreprise mettant en oeuvre ce traitement, d’un Correspondant Informatique et Libertés (CIL). Le CIL veille à la conformité à la loi des traitements mis en oeuvre par l'organisme qui l'a désigné. Voir à ce sujet notre article Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi, publié en décembre 2011 (http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html)
(3) Voir notamment article L.34-1-V du Code des postes et des communications électroniques.
(4) Voir notamment article L.34-5 du Code des postes et des communications électroniques.
(5) Le groupe de travail, établi en vertu de l’article 29 de la directive 95/46/CE regroupe des représentant des commissions sur le respect de la vie privée de chaque Etat-membre. Concernant la géolocalisation, voir l’Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, adopté le 16 mai 2011.
(6) Communiqué CNIL, "Contrôler Latitude", du 11 juin 2009 et Avis CNIL, "Facebook Place en questions", du 15 octobre 2010, accessibles sur le site www.cnil.fr
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2012

Applications mobiles : du développement à la distribution, les droits et obligations du développeur

Le développement d’applications mobiles est soumis à des règles de droit, dont le droit de la propriété intellectuelle, et leur exploitation nécessite la mise en oeuvre de plusieurs contrats, suivant le type de distribution envisagé.

Le développement et l’exploitation d’applications recouvrent en effet des réalités variées et particulièrement complexes dans la mesure où l’on opère dans un environnement éminemment multi-national, et où plusieurs systèmes de droit peuvent être amenés à se superposer. En outre, il existe plusieurs cas de figure dans le mode de développement d’applications : le développeur peut réaliser une application pour son compte et mettre cette dernière à la disposition de l’utilisateur final (ou mobinaute), soit directement par le biais de son site web ou blog, soit via une plateforme de téléchargement. Le développeur peut également développer pour le compte d’un tiers, par exemple pour une société souhaitant distribuer une nouvelle application professionnelle. Enfin, le développeur peut réaliser une application pour le compte de son employeur dans le cadre de son contrat de travail.

Nous faisons le point ci-après, d’une part, sur les droits du développeur relatifs au développement d’applications mobiles, d’autre part sur les droits relatifs à la distribution des applications mobiles.

1. Développement d’applications mobiles et droit de la propriété intellectuelle

Une application mobile est une oeuvre complexe, constituée d’un logiciel, et de tout ou partie des éléments suivants : base de données, contenu éditorial, graphisme, photo, musique, vidéo. Il s’agit d’un programme téléchargeable, gratuit ou payant, et exécutable sur un terminal mobile (smartphone, tablette internet). Les applications mobiles peuvent être pré-installées ou téléchargées par l'utilisateur par le biais d'une plateforme de téléchargement (telle l’App Store d’Apple, l’Android Market de Google, parmi les nombreuses plateformes ou places de marché disponibles).

    1.1 Développeur indépendant, ou entreprise de développement d’applis mobiles, et droit d’auteur

Les applications, en tant qu’oeuvres de l’esprit, sont protégées par le droit de la propriété intellectuelle, ou droit d’auteur (et si elle intègrent une ou plusieurs bases de données, celles-ci sont protégées par le droit sui generis des bases de données), à la condition d’être “originales”. La notion d’originalité, définie par la jurisprudence, consiste en “l’empreinte de l’auteur”, ce qui distingue cette oeuvre des autres. La protection d’une oeuvre par le droit d’auteur naît avec sa création (art L.111-1 du Code de la propriété intellectuelle ou CPI) et ne nécessite aucune formalité de dépôt particulière.

Le développeur d’applications détient sur celles-ci les droits de propriété intellectuelle qui y sont afférentes (droits patrimoniaux et droit moral). Ces créations ne pourront donc être utilisées par des tiers (exploitant ou utilisateur) qu’avec l’accord du développeur, soit en vertu d’une licence d’utilisation, soit à la suite de la cession de tout ou partie des droits du développeur.

En cas de développement pour le compte d’un tiers (le développeur étant un consultant indépendant ou une entreprise), un contrat de développement d’application devra être conclu, prévoyant outre les conditions de développement et de rémunération, les conditions de licence d’utilisation ou de cession des droits au client-donneur d’ordre et d’exploitation commerciale de l’application.

Il est rappelé que, dans le cas d’une commande de développement, le simple paiement de la prestation de développement par le client ayant commandé l’application, sans autre précision écrite sur la cession des droits, n’emporte pas la cession des droits de propriété intellectuelle au client. En effet, la cession des droits de propriété intellectuelle est strictement réglementée et n’est effective que si elle est constatée par écrit, dans les termes de l’article L.131-3 al.1 du CPI, étant précisé que les conditions de cession de droits de propriété intellectuelle sont interprétées de manière restrictive par les tribunaux.

Toute utilisation non autorisée d’une application mobile (reproduction ou distribution sans l’autorisation du développeur), comme de toute oeuvre protégée par le droit d’auteur, pourra être qualifiée de contrefaçon.

    1.2 Développeur salarié et droit d’auteur

Le développeur-salarié qui développe une application dans le cadre de son contrat de travail n’est pas, en principe, titulaire des droits patrimoniaux sur sa création. En effet, en cas de développement d’applications par un développeur salarié, les droits sur le développement de la partie logiciel de l’application seront dévolus automatiquement à l’employeur, en vertu des dispositions de l’article L.113-9 du CPI.

Par contre, il conviendra de prévoir des conditions de cession des droits de propriété intellectuelle à l’employeur pour les autres éléments, hors logiciel, de l’application (notamment contenu éditorial, éléments graphiques, musique, etc.) pour que celui-ci puisse ensuite légalement distribuer les applications développées.

Le cas des développements en mode open source
Le développeur utilisant un logiciel libre (ou open source) pour développer des applis mobiles devra se conformer à la licence open source régissant l’utilisation de ce logiciel, notamment, rendre les sources publiques en cas de modification du code ou en cas de développements supplémentaires.

Dans tous les cas de figure, il conviendra de s’assurer que les applications développées sont conformes au droit et aux règles d’ordre public. Ainsi, les applications ne devront pas inciter à la violence ou à la haine raciale, promouvoir l’utilisation ou la consommation de produits ou services illicites, etc. En cas de distribution d’une application dont l’objet serait illicite, la responsabilité du développeur, et éventuellement de la plateforme de téléchargement, pourrait être retenue.

2. Distribution d’applications mobiles, contrats et respect de la vie privée

    2.1 Application mobile et contractualisation des droits d’exploitation

Le développeur, personne physique ou morale, est libre d’exploiter son/ses application(s), soit  directement, soit en transférant ce droit d’exploitation à un tiers.

Plusieurs cas de figure peuvent se présenter. Le développeur peut développer une application : (i) pour son compte et la distribuer directement auprès des utilisateurs, par le biais de son site web ou de sa propre plateforme, (ii) pour son compte et distribuer cette application via une plateforme tierce de téléchargement, (iii) pour le compte d’un tiers (consultant développant pour une société, donneur d’ordre) qui se chargera de sa distribution auprès des utilisateurs et enfin (iv) si le développeur est salarié, pour le compte de son employeur dans le cadre de son contrat de travail.

Quel que soit le cas de figure, plusieurs types de contrats sont à envisager :

    - En cas de distribution par le développeur, directement auprès des utilisateurs, un contrat de licence d’utilisation devra figurer sur le site ou la plateforme de téléchargement. Ce contrat déterminera les droits d’utilisation accordés aux utilisateurs, et ce, que l’application soit distribuée à titre gratuit ou onéreux. Le contrat sera réputé conclu au moment de l’accord de l’utilisateur, suivi du téléchargement de l’application mobile.

    - En cas de distribution de l’application par le développeur via une plateforme tierce de téléchargement, la mise à disposition de l’application sur la plateforme sera généralement soumise à l’acceptation par le développeur des conditions d’utilisation et de distribution de cette plateforme. Certaines plateformes peuvent laisser la possibilité aux développeurs de distribuer leurs applications à partir de la plateforme, mais selon leurs propres conditions de licence ; d’autres plateformes imposent leur licence d’utilisation dans le cadre des conditions générales d’utilisation de la plateforme. Il conviendra de faire particulièrement attention aux conditions de distribution et de licence proposées par les plateformes, qui ne sont pas toujours rédigées de manière claire et/ou adaptée à la distribution d’applications mobiles, et aux conditions des plateformes étrangères, qui ne sont pas soumises au droit français.

    2.2 La collecte de données à caractère personnel par les applications mobiles

Certaines applications mobiles comprennent un traitement de données à caractère personnel des utilisateurs, des données étant collectées soit au moment du téléchargement de l’application, soit encore tout au long de son utilisation.

Le téléchargement d’une application peut nécessiter, pour les utilisateurs, de communiquer des données personnelles (nom, prénom, pseudo, identifiant, etc.). Dès lors que l’application mobile permet de traiter (collecter, enregistrer, conserver, diffuser, etc.) des données personnelles des utilisateurs, et pour autant que le développeur, personne physique ou morale, est localisé en France, les dispositions de la loi Informatique et Libertés du 6 janvier 1978 viennent à s’appliquer.

Le développeur d’applications mobiles devra déclarer le traitement à la CNIL préalablement à la mise en exploitation de la/des application(s) nécessitant une collecte de données à caractère personnel.(1)

En outre, le traitement des données devra être loyal et licite, la finalité du traitement devra être déterminée, explicite et légitime, les utilisateurs devront être informés et doivent pouvoir exercer leurs droits d’accès, de rectification des données les concernant et d’opposition au traitement de leurs données. La durée de conservation des informations devra être raisonnable, en fonction de l’objectif du traitement. Enfin, le développeur devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et logiques adaptées à la nature des données et aux risques présentés.

Pour rappel, le non-respect des obligations précitées est puni de sanctions pénales, prévues aux articles 226-16 et s. du Code pénal. Les infractions les plus graves peuvent être punies de 5 ans d’emprisonnement et de 300.000 euros d’amende. 

 
    2.3 Géolocalisation et respect de la vie privée

L’autorisation de collecte des données de localisation
La géolocalisation permet de localiser un objet ou une personne par le biais d'un système GPS ou d'un téléphone mobile (ex: assistance à la navigation, mise en relation des personnes, etc). Elle consiste donc à communiquer des informations sur une personne ou un objet en fonction de la position géographique.

Dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des utilisateurs, le traitement de ces informations doit être conforme aux règles de respect de la vie privée, et pour les applications “françaises”, soumis aux dispositions de la loi Informatique et Libertés. Il incombe donc au développeur d’effectuer une déclaration de traitement des données personnelles collectées à la CNIL.

En matière de géolocalisation, l’article L.34-1-V du Code des postes et des communications électroniques pose le principe de l’autorisation préalable de l’utilisateur à la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation.

En outre, l’accord exprès de l’utilisateur d’applications pour conserver les informations liées à ses déplacements (historique des déplacements) doit être recueilli. L’utilisateur doit également être informé des données collectées et de la durée et de la finalité du traitement. Il doit, en outre, être informé du fait que les données seront ou non transmises à des fournisseurs de services tiers (ex: gestionnaire de base cartographique). Ces informations seront indiquées dans la licence d’utilisation ou dans la politique “vie privée” applicable.

Enfin, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit ; il doit ainsi avoir la possibilité de supprimer les données de localisation qui le concernent.

Il conviendra donc de s’assurer, en cas de distribution de l’application via une plateforme tierce de téléchargement, que ses conditions d’utilisation soient conformes au droit français de la protection des données à caractère personnel.

La réutilisation des données de localisation à des fins marketing
Les données de géolocalisation peuvent parfois être utilisées pour envoyer de la publicité géo-ciblée sur le terminal de l’utilisateur. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs d’applications fournissant des services de géolocalisation doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages.

(1) Les plateformes de téléchargement collectent également des données à caractère personnel. Suivant la localisation du responsable du traitement exploitant la plateforme, ce traitement sera régi par le droit français ou par le droit de son pays d’établissement. Voir à ce sujet les dispositions de l’article 5 de la loi Informatique et Libertés.


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2011