Affaire Thomson Reuters v. Ross Intelligence : la notion de "fair use" écartée en matière d’entraînement de l’IA

Ce qu’il faut retenir

Le 11 février 2025, un tribunal fédéral américain a jugé que l’utilisation par une société de résumés de jurisprudence d’un concurrent pour entraîner sa propre IA générative sans l’accord de ce dernier constituait une contrefaçon.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-affaire-thomson-reuters-v-ross-intelligence-la-notion-de-fair-use-ecartee-en-matiere-d-entrainement-de-l-ia

Le Pass PI : une aide de l’INPI pour financer les prestations juridiques en propriété intellectuelle

 

Ce qu'il faut retenir

Le développement d’une stratégie axée sur la protection de la propriété intellectuelle est essentielle pour l’entreprise, a fortiori dans le domaine des technologies innovantes, afin de protéger au mieux ses produits et services.

Le Pass PI permet aux TPE et PME d’être accompagnées juridiquement en propriété intellectuelle en bénéficiant d’une aide financière de l’INPI.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-le-pass-pi-une-aide-de-l-inpi-pour-financer-les-prestations-juridiques-en-propriete-intellectuelle 

 

Deepfakes : Opportunités technologiques et risques juridiques

Ce qu’il faut retenir

Il existe une multitude d’applications licites des deepfakes, sous réserve de respecter les droits des personnes. Malheureusement, les utilisations malveillantes restent trop nombreuses. La loi est cependant en train de s’étoffer. La lutte contre les deepfakes illicites devrait s’intensifier et les poursuites contre les fraudeurs se multiplier dans les mois qui viennent.

 

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-deepfakes-opportunites-technologiques-et-risques-juridiques

La Poste condamnée pour contrefaçon de logiciel

 

Ce qu’il faut retenir

Dans un arrêt du 8 décembre 2023, la cour d’appel de Paris a confirmé la condamnation de La Poste pour contrefaçon de logiciel.

Après avoir déduit que l’éditeur d’un logiciel utilisé dans une solution développée avec La Poste est fondé à agir sur le fondement de la contrefaçon, et reconnu le caractère original du logiciel, la cour a décidé que la mise à disposition au public par La Poste sur Google Play de la solution intégrant le logiciel litigieux, alors que le contrat n’autorisait qu’une utilisation dans un environnement de test, était constitutive de contrefaçon. 

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-poste-condamnee-pour-contrefacon-de-logiciel

La création d'une société concurrente par un ancien salarié n'est pas nécessairement déloyale

 

Ce qu'il faut retenir

La création d’une société concurrente par d’anciens salariés soulève régulièrement plusieurs questions, liées notamment à la concurrence déloyale, particulièrement lorsque ces personnes étaient à des postes de direction commerciale, marketing ou développement. En effet, le départ de salariés pour créer une société concurrente de celle de l’ancien employeur, peut faire planer une suspicion de concurrence déloyale, a fortiori lorsque plusieurs salariés de l’ancien employeur quittent cette société pour rejoindre la nouvelle entreprise.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-creation-d-une-societe-concurrente-par-un-ancien-salarie-n-est-pas-necessairement-deloyale

Contrefaçon ou liberté de création : Ce que la décision MetaBirkins signifie pour les créateurs numériques

 

 

Ce qu’il faut retenir

Dans l’une des premières affaires relatives au droit des marques dans le métavers, le jury du tribunal du District Sud de New York vient de rendre une décision selon laquelle un artiste utilisant une marque associée à des NFTs, sans l’accord de ses ayants droit est coupable de contrefaçon.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-contrefacon-ou-liberte-de-creation-ce-que-la-decision-metabirkins-signifie-pour-les-createurs-numeriques 

Protection juridique du logiciel : condamnation pour contrefaçon des codes sources

 

Le logiciel est considéré comme une oeuvre de l’esprit, et à ce titre est protégé par le droit de la propriété intellectuelle. (1)

Une société, son fondateur et des salariés, reconnus coupables de contrefaçon des codes sources d’un logiciel appartenant à un concurrent, viennent d’être condamnés au versement de près de trois millions d’euros de dommages et intérêts au titulaire des droits. (2)

L’intérêt de ce jugement repose d’une part sur les éléments permettant de qualifier le caractère original du logiciel, pour déterminer s’il pouvait bénéficier de la protection par le droit d’auteur, auquel cas, la copie non autorisée des codes sources relève de la contrefaçon ; d’autre part, sur les éléments retenus pour l’évaluation du préjudice subi et la détermination par les juges de l’indemnisation du titulaire.

1. Les faits

La société Generix, est titulaire des droits sur le logiciel applicatif GCS WMS, utilisé pour la gestion des entrepôts, notamment pour la grande distribution. Ce logiciel avait été développé par Infolog Solutions, société absorbée par Generix en 2010. Le logiciel GCS WMS a été développé à partir d’un programme générateur de codes sources dénommé APX, mis au point par Generix et non commercialisé.

En 2011, le responsable support de la société Infolog Solutions a quitté cette société pour créer la société ACSEP, ayant pour activité la fourniture de prestations similaires à celles de Generix. D’anciens salariés d’Infolog Solutions et de Generix ont par ailleurs rejoint la société ACSEP.

Entre 2014 et 2016, plusieurs clients de la société Generix ont résilié leurs contrats pour les transférer chez ACSEP. En outre, Generix a appris que la société ACSEP était en possession des codes source du logiciel GCS WMS. Par deux ordonnances sur requête du 5 février et du 24 mars 2015, à la demande de la société Generix, le président du tribunal de grande instance d’Aix-en-Provence a autorisé un huissier à se rendre dans les locaux d’ACSEP, afin de constater notamment qu’ACSEP détenait les codes source du logiciel GCS WMS.

Le 2 mars 2016, la société Generix a fait assigner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions. Generix demandait au tribunal de condamner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions à lui payer 4.000.000€ au titre du préjudice matériel lié à la détention et l’utilisation non autorisées des codes sources du logiciel, 300.000€ au titre de la réparation du préjudice moral subi suite à la contrefaçon du logiciel, 50.000€ au titre du préjudice économique résultant des actes de concurrence déloyale et parasitaire du fait de l’utilisation de sa marque Infolog, de sa dénomination sociale et de sa marque Generix et de ses supports et plans de formations.

Le tribunal judiciaire de Marseille a rendu sa décision le 23 septembre 2021 et a condamné la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions au paiement de près de 3.000.000€ pour contrefaçon de codes sources du logiciel GCS WMS.


2. La protection du logiciel par le droit d’auteur

    2.1 Protection du logiciel et droit d’exploitation 

Dans cette affaire, le tribunal rappelle que le logiciel, comprenant le code source et le code objet, ainsi que le matériel de conception préparatoire, est protégé par le droit d’auteur en application de l’article L.112-2 13° du code de la propriété intellectuelle (CPI). A ce titre, “le droit d’exploitation appartenant à l’auteur d’un logiciel comprend le droit d’effectuer et d’autoriser 1° la reproduction permanente ou provisoire d’un logiciel en tout ou partie par tout moyen et sous toute forme. (…) ces actes ne sont possibles qu’avec l’autorisation de l’auteur.” (art. L.122-6 CPI)

La société Generix, devenue titulaire des droits sur le logiciel après avoir absorbé la société Infolog Solutions, avait déposé deux versions du logiciel auprès de l’Agence pour la protection des programmes (APP) en 2006 et 2010.

    2.2 L’originalité du logiciel, condition de sa protection par le droit d’auteur

Toutefois, comme pour toute oeuvre de l’esprit, cette protection du logiciel par le droit d’auteur n’est accordée que pour autant que celui-ci soit reconnu original.

A cette fin, le tribunal rappelle les principales caractéristiques du logiciel GCS WMS qui avaient été mises en avant par Generix pour démontrer son originalité, à savoir : 1) des choix personnels quant à la structure du “scénario radio”, 2) un choix propre quant aux réservations de stocks, 3) le choix d’une forte interopérabilité du logiciel par l’utilisation d’un format d’échanges de données unique et original, 4) l’utilisation du langage de développement Cobol afin de permettre la portabilité du logiciel sur un grand nombre de machines, 5) le développement d’un atelier de génie logiciel en interne, 6) un choix technique personnel quant aux interfaces homme/machine, et 7) le choix d’une mise en oeuvre simplifiée du logiciel, ne nécessitant pas de compétences techniques ou informatiques et pouvant être réalisées par un consultant.

Sur la base de tous ces éléments, le tribunal a pu reconnaître l’originalité du logiciel alors même que celui-ci avait été développé grâce à un programme générateur de codes sources. La société Generix était donc bien fondée pour défendre ses droits sur le logiciel.


3. Les faits de contrefaçon et l’évaluation du préjudice

    3.1 L’établissement des faits de contrefaçon

Dans cette affaire, la contrefaçon a été démontrée sur la base de deux éléments : a) la production d’emails échangés entre les salariés de la société ACSEP, relatifs à la demande et à la communication des codes sources de programmes constitutifs du logiciel GCS WMS. On notera sur ce point que le tribunal n’a pas remis en cause l’intégrité de ces emails, obtenus par voie d’huissier ; et b) un rapport d’analyse technique démontrant que les logiciels détenus par la société ACSEP étaient identiques, à 2% près, aux programmes déposés par Generix à l’APP.

Or, il n’existait aucun accord entre les sociétés Generix et ACSEP, autorisant cette dernière à reproduire ou à utiliser tout ou partie du logiciel.

Le tribunal en conclut que ces simples faits de reproduction non autorisée des codes sources de programmes constitutifs du logiciel GCS WMS constituent des actes de contrefaçon de la part de la société ACSEP, son dirigeant et les salariés poursuivis.

    3.2 L’évaluation du préjudice et les mesures de réparation

Les règles permettant de déterminer le montant des dommages et intérêts sont définies aux articles L.331-1-3 et s. du CPI. Pour ce faire, les juges prennent en compte :
“1° Les conséquences économiques négatives de l’atteinte aux droits, dont le manque à gagner et la perte subis par la partie lésée ;
2° Le préjudice moral causé à cette dernière ;
3° Et les bénéfices réalisés par l’auteur de l’atteinte aux droits, y compris les économies d’investissements intellectuels, matériels et promotionnels que celui-ci a retirées de l’atteinte aux droits.”

En l’espèce, le tribunal a évalué le préjudice subi par la société Generix en retenant i) une perte de chiffre d’affaires à la suite de la résiliation de plusieurs contrats commerciaux, évaluée à 2 millions d’euros, ii) le remboursement du montant représentant la valorisation de la recherche et développement du logiciel pour 814.000€, la contrefaçon ayant permis d’économiser les coûts de création et de développement d’un logiciel équivalent, et iii) le préjudice moral, constitué par la dévalorisation du savoir-faire de Generix, pour un montant de 50.000€.

La société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions ont été condamnés en sus à cesser l’utilisation et à la désinstallation du logiciel, et à indemniser Generix pour concurrence déloyale à hauteur de 30.000€ pour débauchage de plusieurs salariés de Generix.


       Cette affaire démontre que la contrefaçon de logiciel, notamment par d’anciens salariés, accompagnée d’actions de concurrence déloyale par détournement de clientèle et débauchage de salariés peut coûter cher à leurs auteurs. Le titulaire des droits doit cependant être en mesure de démontrer le caractère original de l’oeuvre contrefaite et de rapporter la preuve du détournement, ainsi que du préjudice subi (perte de clientèle, vol de savoir-faire, débauchage massif, etc.). Toutefois, la réparation du préjudice est un processus long et coûteux, le dossier contentieux ayant débuté en 2015…

* * * * * * * * * * *

(1) Art. L.112-2 CPI

(2) TJ Marseille, 23 septembre 2021, Generix c. Acsep et autres

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2021

La fusion entre le CSA et la Hadopi donne naissance à l’Arcom

Selon la Hadopi, la hausse de la consommation de biens culturels dématérialisés s’est accélérée en 2020. Cette accélération a été favorisée par la crise sanitaire et la période de confinement qui ont entraîné la fermeture des lieux culturels (cinémas, théâtres, salles de spectacles). Constat positif mais également négatif puisqu’un quart des internautes français visiterait chaque mois des sites illicites de biens culturels. (1) Face à ce constat, le bilan de la Hadopi relatif à la lutte contre le piratage en ligne des oeuvres audiovisuelles est plus que mitigé, mais reflète cependant les limites de son champ d’action.

Une réforme était donc nécessaire pour tenter de lutter plus efficacement, et plus rapidement, contre les usages illicites sur internet. Celle-ci passe par la réforme, plus large, de l’audiovisuel qui se met enfin en place avec l’adoption, le 25 octobre 2021, de la loi relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique. (2) Cette réforme, annoncée depuis deux ans, consacre la création de l’Autorité de régulation de la communication audiovisuelle et numérique - Arcom, une nouvelle autorité administrative, née de la fusion du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des oeuvres et la protection des droits sur internet (Hadopi). L’Arcom entrera en activité au 1er janvier 2022.

Cette nouvelle autorité interviendra sur un champ de compétences élargi, avec des agents disposant de pouvoirs d’investigation pour des actions de lutte, on l’espère, plus efficaces contre les sites illicites. 

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-la-fusion-entre-le-csa-et-la-hadopi-donne-naissance-a-l-arcom

Gérer et protéger ses données à l’ère du numérique : un impératif de bonne gouvernance pour l’entreprise

Le constat n’est plus neuf : nous vivons désormais dans une économie de la donnée (ou de l’information). Ainsi, un article récemment publié dans l’hebdomadaire The Economist était intitulé “The world’s most valuable resource is no longer oil, but data” (la ressource la plus précieuse dans le monde n’est plus le pétrole, mais la donnée). (1)

Nous vivons également dans une société du partage, où internet, les réseaux sociaux et les sites de “peer-to-peer” remettent en cause la notion de propriété, qu’il s’agisse de la propriété des données, ou la propriété intellectuelle.

 

Une grande partie des données produites ou collectées par les entreprises (données de savoir-faire, données économiques, données personnelles) reste protégée, et leur divulgation non-autorisée est sanctionnée. Toutefois, l’entreprise doit mettre en oeuvre les moyens adéquats pour que cette protection soit effective, sous peine de voir son image de marque dégradée, de perdre des marchés, ou même de voir sa responsabilité engagée en cas d’atteinte à la sécurité des données personnelles de ses salariés et clients. Or, de grands volumes de données confidentielles se retrouvent en accès libre ou à la vente sur internet. La fuite de données peut engager la responsabilité de la personne à l’origine de cette fuite (ou vol de données), mais aussi celle du responsable du traitement en cas de fuite de données personnelles.

Dans le présent article, nous identifions les différentes catégories de données protégées et les règlementations qui leur sont applicables, puis compte tenu des risques juridiques, économiques et technologiques engendrés par les fuites de données, nous rappelons la nécessité de définir et déployer une politique de gouvernance des données et de l’information au sein de l’entreprise. (2)

1. Différentes catégories de données soumises à des règlementations distinctes

Les données produites et collectées par les entreprises sont de natures diverses. Celles-ci comprennent notamment les données industrielles (informations et données relatives aux produits et services développés et commercialisés par l’entreprise, à ses procédés de production, à son savoir-faire spécifique, les brevets, les dessins et modèles), les données économiques (données financières, les marques), les données commerciales (listes de clients, contrats), enfin, les données personnelles des salariées et des clients et prospects.

Même si toutes ces données ne sont pas nécessairement protégées, l’ensemble des données de l’entreprise relèvent de son identité ou de sa spécificité et permettent de la distinguer de ses concurrentes. Plus particulièrement, dans une économie de marché, son savoir-faire lui permet de créer un avantage concurrentiel, économique et industriel, qui peut être sévèrement altéré en cas de violation de ces données.

            1.1 L’évolution de la protection juridique des secrets d’affaires

Une première catégorie de données concerne les secrets d’affaires.

La valeur, et donc la protection des secrets d’affaires, repose en grande partie sur la confidentialité.

Les secrets d’affaires sont protégés en droit français, notamment sur le fondement de la concurrence déloyale, lorsqu’il peut être démontré qu’une personne (concurrent, salarié) a utilisé des données ou informations d’une entreprise A au bénéfice d’une entreprise B, et au détriment de la première. L’entreprise A, (victime du “vol” de données) doit toutefois prouver le détournement de ses données (par exemple, son fichier clients) et pouvoir démontrer un préjudice commercial (baisse de chiffre d’affaires, atteinte à son image de marque), en lien avec le détournement de données.

Suivant le type d’atteinte en cause, des poursuites pénales peuvent également être engagées sur les fondements suivants :

            - la violation du secret professionnel (art. 226-13 du code pénal : “La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende.”),

            - la violation du secret des correspondances (art. 226-15 : “Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions.”),

            - l’abus de confiance (art. 314-1 : “(…) le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé.

L'abus de confiance est puni de trois ans d'emprisonnement et de 375 000 euros d’amende.”),

            - l’atteinte ou le maintien frauduleux dans un système de traitement automatisé de données (STAD), (art. 323-1 : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d’amende.”) (3),

            - l’usurpation d’identité numérique, par des actions de phishing par exemple, (art. 226-4-1 : “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15.000 € d’amende.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.”) (4).

Des poursuites peuvent aussi être engagées sur le fondement du vol, de l’escroquerie, de la contrefaçon (voir ci-dessous).

Cependant, la protection des secrets d’affaires est aujourd’hui imparfaite, tant en droit français, qu’à l’international. En effet, chaque pays tend à avoir sa propre définition de la notion de “secrets d’affaires” et ne leur accorde pas le même niveau de protection. Des améliorations étaient donc nécessaires.

Plusieurs propositions de lois relatives à la protection des secrets d’affaires ont été déposées en France, entre 2009 et 2015. La dernière tentative remonte au projet de loi pour la croissance (loi “Macron" (5), dans lequel un chapitre sur la protection du secret des affaires avait été proposé, sans suite.

Finalement, au niveau européen, la directive sur la protection des savoir-faire et des secrets d’affaires a été adoptée le 8 juin 2016. (6) L’objet de cette directive est d’établir une définition “homogène” du secret d’affaires, élaborée de façon à couvrir non seulement le savoir-faire, mais aussi les informations commerciales et technologiques, sous réserve de leur valeur commerciale et de l’intérêt à les garder confidentiels.

Le secret d’affaires est défini comme comprenant : “des informations qui répondent à toutes les conditions suivantes :

a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles,

b) elles ont une valeur commerciale parce qu'elles sont secrètes,

c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes." (7)

La directive sur les secrets d’affaires doit être transposée dans les droits des Etats membres au plus tard le 9 juin 2018.

            1.2 Les développements et inventions protégés par le droit de la propriété intellectuelle et industrielle

Les données et informations de l’entreprise comprennent également des documents, produits et services qui font partie intégrante de son savoir-faire, et sont protégés par le droit de la propriété intellectuelle. Il peut s’agir de documents produits par la société, de logiciels, de bases de données, de produits pouvant être protégés par le droit des dessins et modèles et/ou par le droit des brevets, sous réserve évidemment de remplir les conditions requises pour bénéficier de cette protection.

Contrairement aux secrets d’affaires, les données et informations protégées par le droit de la propriété intellectuelle ne sont pas confidentielles et ont vocation à être diffusées et/ou commercialisées. Toutefois, leur diffusion ne doit pas pour autant porter atteinte à leur protection juridique.

Pour rappel, l’utilisation des logiciels et des bases de données est soumise à des conditions de licence (même pour les logiciels open source) ; la reproduction et la réutilisation de documents est généralement soumise à l’autorisation préalable de leur auteur (ou de l’entreprise au sein de laquelle ces documents ont été développés) ; et la fabrication de produits brevetés par un tiers est également soumise à des accords contractuels.

L’utilisation, la reproduction, la diffusion non autorisée d’oeuvres protégées par le droit de la propriété intellectuelle relève de la contrefaçon. (8) En droit français, le délit de contrefaçon est sanctionné par une amende maximale de 300.000 euros et puni de trois ans d’emprisonnement.

            1.3 Les données à caractère personnel

Enfin, les données à caractère personnel ont leur propre régime de protection, avec la loi Informatique et Libertés en France, bientôt remplacée par le Règlement général européen sur la protection des données (RGPD), devant entrer en application le 26 mai 2018. (9)

Les données à caractère personnel sont définies comme toutes données pouvant identifier une personne physique, directement ou indirectement. Ces données comprennent les nom, prénoms, adresse, date de naissance, numéros de téléphone, de sécurité sociale, de compte bancaire, les données de biométrie (empreintes digitales, voix), etc.

Les données à caractère personnel sont la “propriété” de leurs titulaires. Les entreprises collectent toutes des données personnelles, qu’il s’agisse des données de leurs employés ou des données de leurs clients et prospects, ou dans le domaine de la santé, des données de patients. Or, en qualité de responsables de traitement de ces données, les entreprises sont soumises à des obligations de protection des données, qui recouvrent notamment l’obligation d’intégrité des données, de confidentialité et de sécurité.

Ainsi, l’entreprise, responsable de traitement est tenue de protéger les données personnelles contre la perte, la destruction ou les dégâts d’origine accidentelle pouvant intervenir.

Le RGPD comprend une série de règles strictes, incombant au responsable du traitement, concernant la sécurité des données, sous réserve “de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques.”

Cette obligation de sécurité couvre les données elles-mêmes, les moyens techniques pour assurer leur conservation et leur accessibilité, et les règles d’accès.

Ainsi, l’article 32 du RGPD dispose que “1. (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

            a) la pseudonymisation et le chiffrement des données à caractère personnel ;

            b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

             c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

            d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, (…).”

En cas de violation de données à caractère personnel, et dès lors que cette violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, le responsable du traitement est tenu de notifier la violation à l'autorité de contrôle compétente (en France, la CNIL) dans les meilleurs délais. (art 33 du RGPD)

Toute violation des dispositions relatives à la sécurité des données (articles 32 et suivants du RGDP) est passible d’une amende administrative d’un montant maximum de 10.000.000 d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise. (art 83 du RGPD)

Compte tenu des risque commerciaux et industriels, ainsi que des risques de mise en cause de la responsabilité de l’entreprise, il est donc impératif de définir et déployer des mesures de protection des données et des secrets d’affaires de l’entreprise.

2. Comment protéger l’entreprise : la mise en oeuvre d’une politique de gouvernance des données

L’entreprise se doit de protéger ses données contre leur divulgation non autorisée et/ou non maîtrisée.

La divulgation non autorisée des données peut non seulement avoir pour conséquence des pertes de marché dues à la perte des avantages industriels et commerciaux de l’entreprise ; mais comme nous l’avons vu ci-dessus, celle-ci peut également voir sa responsabilité engagée en sa qualité de responsable de traitement, en cas de divulgation non autorisée de données à caractère personnel.

Les cas de fuites de données peuvent être dus à des actes malveillants. Ils sont aussi trop souvent dus à des négligences au sein de l’entreprise, telles que l’absence de politique de gestion des informations, des systèmes d’information (SI) défaillants (pare-feux non à jour, mauvaise gestion des droits d’accès aux équipements et des mots de passe).

            2.1 Définir la politique de protection des données de l’entreprise

A l’ère de l’open space, de l’aplanissement de la pyramide hiérarchique et de la fin du management en silos, la définition d’une politique rigoureuse de gouvernance des données reste indispensable, et ce quelle que soit la taille de l’entreprise. En effet, tous les collaborateurs et intervenants de l’entreprise n’ont pas vocation à avoir accès à toutes les données de l’entreprise.

Les risques de divulgation d’informations sont multiples et comprennent par exemple :

            - la communication non autorisée par des employés, ex-employés, consultants, intérimaires, stagiaires, ou prestataires, à des tiers (clients, concurrents, …), que cette communication soit malveillante ou négligente,

            - les discussions ou réunions d’affaires entre collègues, et les entretiens téléphoniques, dans des espaces publics (restaurant, train, avion),

mais aussi, tous détournements de nature informatique, tels que :

            - les fuites de données sur internet (serveurs non ou mal protégés), et les cyberattaques informatiques (hacking), ou

            - le détournement frauduleux de données suite à des campagnes de phishing. (10)

Les différentes parties prenantes de l’entreprise doivent contribuer à la définition de la politique de gouvernance des données : la direction des systèmes d’information (DSI), mais également les directions juridique, financières, RH, marketing, ventes, le cas échéant R&D.

La sensibilisation doit comprendre des règles relatives à la destruction (suppression) de documents, et des règles absolues relatives à l’interdiction de mettre des données et informations en ligne, sur des systèmes ouverts.

Enfin, il convient d’être particulièrement attentif à la gestion des départs de l’entreprise et des fins de contrats, afin de minimiser les fuites de données (secrets d’affaires, listes de clients, listes de contrats, etc.).

Cette politique pourra comporter une charte de gouvernance des données qui, telle que la charte informatique, devrait être distribuée et signée par chaque collaborateur et intervenant dans l’entreprise. L’objet de ce document est de sensibiliser chaque collaborateur à la valeur des données et du savoir-faire de l’entreprise. L’entreprise peut même compléter cette action de sensibilisation avec un tutoriel consacré à la bonne gestion des données.

            2.2 Définir les règles techniques de protection des données de l’entreprise

La politique de protection des données de l’entreprise doit également comprendre des règles techniques. Celles-ci se recoupent largement avec les règles devant figurer dans la charte informatique de l’entreprise.

Ces règles comprennent notamment :

            - la gestion des identifiants et des mots de passe,

            - la clôture des comptes utilisateur dès le départ d’un employé, consultant, etc.,

            - les règles applicables à l’utilisation, par les intervenants dans l’entreprise (employés, consultants), de leurs propres appareils - ou politique de BYOD (Bring your own device),

mais également les règles applicables aux collaborateurs de la DSI :

            - une obligation de confidentialité renforcée,

            - les règles de mise en oeuvre des nouvelles versions des logiciels utilisés, y compris des pare-feux,

            - les règles applicables à l’utilisation des services en cloud et des accès à ces services,

            - les conditions d’accès (physique et technique) aux serveurs, etc.

Des volumes massifs de données confidentielles, secrets d’affaires mais aussi données personnelles, dérobées, copiées, voire même fuitées, se retrouvent sur internet, en accès libre ou stockées dans le “dark web” et disponibles à la revente par des malfaiteurs. La mise en oeuvre, au sein de l’entreprise, d’une politique robuste de protection des données a une double finalité : sensibiliser les collaborateurs à la valeur du savoir-faire et des données de leur entreprise, et minimiser les fuites de données. La définition et la mise en oeuvre d’une politique de protection des données est enfin un moyen pour l’entreprise, et ses dirigeants, de limiter leur responsabilité en cas de violation de données personnelles. 

                                                                        * * * * * * * * * * * *  

(1) “The world’s most valuable resource is no longer oil, but data” in The Economist, 6 mai 2017

(2) Pour rappel, une “donnée” est généralement considérée comme un élément brut, non interprété ; alors qu’une “information” est une donnée interprétée, analysée. Les textes ne font pas nécessairement la distinction entre ces deux notions et nous utilisons ici le terme donnée pour couvrir indifféremment les notions de donnée et d’information.

(3) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n°2012-410 du 27 mars 2012 relative à la protection de l'identité

(4) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure

(5) Loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (Loi “Macron”)

(6) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites

(7) Directive du 8 juin 2016, art 2. Définitions

(8) La contrefaçon est définie à l’article L335-2 du code de la propriété intellectuelle

(9) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(10) Voir à ce sujet “Le facteur humain est de plus en plus au coeur des cyberattaques”, in L’Usine Digitale, 9 juin 2017

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2017
 

La simple commande d’un site web n’emporte pas la cession des codes sources au client

De très nombreuses prestations de développement de sites internet sont réalisées sur la base de devis ou bons de commande, non accompagnés d’un contrat de prestation ou ne comprenant pas de stipulation relative à la propriété intellectuelle du site. Or, en l’absence de stipulation claire en matière de cession de droits de propriété intellectuelle, le client est dépendant du prestataire. Il ne disposera que du droit d’utilisation de “son” site et ne pourra le faire évoluer sans l’accord du prestataire. D’autres contrats de prestation de développement stipulent que le prestataire conserve les droits de propriété intellectuelle, notamment sur les codes sources. Se posera alors la question de la pérennité du site au regard de son hébergement technique (possibilité de faire migrer le site vers un nouveau prestataire d’hébergement ou d’internaliser cette prestation) et surtout de son évolution fonctionnelle.

Un jugement du tribunal de commerce de Besançon de mars 2016 a rappelé ces principes, aux dépends du client. (1)


1. Les faits

Courant 2011, la société LDG Constructions avait commandé à la société Mediacom Studio le développement de sites internet pour les sociétés de son groupe, ainsi que la réservation des noms de domaine et l’hébergement des sites. Le contrat d’hébergement était renouvelable annuellement par tacite reconduction. A la fin de la première année, le contrat a été reconduit pour une nouvelle durée d’un an.

Dans un courrier du 8 mars 2013, la société LDG Constructions informait le prestataire de son souhait de reprendre l’hébergement de ses sites web en interne et lui demandait des précisions sur les modalités de transfert de l’hébergement des sites des sociétés du groupe afin de garantir leur bon fonctionnement et d’éviter toute coupure.

La société Mediacom Studio a considéré que LDG Constructions avait pris la décision de résilier son contrat d’hébergement à la date d’échéance annuelle, ce que LDG Constructions contestait. Mediacom Studio a informé la société LDG Constructions que la résiliation du contrat d’hébergement des sites mettrait un terme au droit d’utilisation des sites. Les sites web des sociétés du groupe ont donc été coupés le 12 mai 2013, à l’échéance du contrat d’hébergement.

La société LDG Constructions a assigné la société Mediacom Studio pour résiliation fautive du contrat d’hébergement.

Le litige portait notamment sur la question de déterminer si le courrier du client du 8 mars 2013 pouvait être analysé comme la résiliation du contrat d’hébergement à son échéance annuelle et la cessation du droit d’utilisation des sites web développés par Mediacom Studio.

En effet, les droits de propriété intellectuelle sur les sites n’avaient pas été cédés à la société LDG Constructions. La résiliation du contrat d’hébergement des sites a donc entraîné leur suspension.


2. La décision

Dans un jugement du 23 mars 2016, le tribunal de commerce de Besançon a suivi les arguments de la société prestataire en constatant que par son courrier du 8 mars 2013, la société LDG Constructions avait effectivement dénoncé le contrat d’hébergement.

Les juges rappellent par ailleurs le principe de protection des logiciels. Conformément à l’article L.112-2 13° du code de la propriété intellectuelle, les logiciels sont considérés comme oeuvre de l’esprit et à ce titre, protégés par le droit de la propriété intellectuelle.

En l’espèce, conformément au contrat conclu entre les parties, les droits de propriété intellectuelle sur les codes sources n’avaient pas été cédés au client. Le prestataire était donc fondé à refuser de communiquer le code source des sites internet à la société LDG Constructions. La cessation du contrat d’hébergement avec le prestataire entraînait ainsi automatiquement la coupure des sites internet.


    En conclusion, le développement d’un site web, a fortiori si celui-ci est utilisé à des fins commerciales, doit faire l’objet d’une analyse préalable concernant la propriété intellectuelle. Le site peut être développé sur une plateforme open source ou en mode propriétaire. Dans ce dernier cas, sous réserve du critère d’originalité, le site sera protégé par le droit d’auteur. Les développements appartiendront à leur auteur, à savoir en principe, au prestataire. Si la question de la propriété intellectuelle n’est pas visée dans les documents de commande ou dans le contrat, ou si les droits ne sont pas expressément cédés au client, celui-ci ne disposera que du droit d’utilisation du site, limité dans le temps.


                                                                      * * * * * * * * * * * *

(1) T com. Besançon, jugement du 23 mars 2016, LDG Constructions c. Mediacom Studio


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

Audit de licences de logiciels - Oracle condamné en appel pour mauvaise foi et déloyauté

 

La cour d’appel de Paris, statuant sur l’appel du jugement du Tribunal de grande instance de Paris du 6 novembre 2014, a confirmé la condamnation de la société Oracle pour ses pratiques agressives en matière d’audit de licences de logiciels. (1)


1. Les faits : incertitude et désaccord sur le périmètre de la licence des logiciels

L’Association nationale pour la formation professionnelle des adultes (AFPA) a attribué en 2002 un marché de fourniture de services informatiques à l’intégrateur Sopra Group (devenu Sopra Steria), prestataire agréé de la société Oracle. Cette société avait remporté l’appel d’offres avec la solution Oracle E-Business Suite. Le marché a pris fin en 2005. Lors de la reprise des contrats par la société Oracle, celle-ci a décidé d’organiser deux audits de licences. Le second audit a été suspendu alors que l’AFPA lançait un nouvel appel d’offres, auquel la société Oracle a décidé de répondre. Le nouveau contrat ne lui ayant pas été attribué, la société Oracle a repris l’audit qu’elle avait suspendu. A l’issue de cet audit, Oracle a conclu que l’AFPA utilisait 885 licences du logiciel Purchasing sans en avoir acquis les droits car selon Oracle, ce logiciel faisait partie d’une autre suite logicielle.

Après deux ans de négociations infructueuses, les sociétés Oracle Corporation, Oracle International Corporation et Oracle France ont assigné l’AFPA pour contrefaçon du logiciel Purchasing pour lequel l’AFPA n’aurait pas acquis les droits d’exploitation. L’AFPA a alors appelé en garantie la société Sopra Group.


2. Le jugement du TGI : le litige n’est pas un litige de contrefaçon mais porte sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution

Devant le TGI, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Par ailleurs, l’AFPA explique que le logiciel Purchasing était intégré dans la suite logicielle Financials, objet du premier marché de fourniture accordé à Sopra Group. L’AFPA indiquait en outre que si le tribunal devait en juger autrement, le contrat a toutefois été exécuté de bonne foi car le logiciel Purchasing avait été installé sur son système informatique par Sopra, prestataire agréé d’Oracle.

Les juges ont estimé que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.”

Ainsi, selon les juges du fond, la question posée ne relevait pas du droit d'auteur, mais du droit des contrats. En effet, le tribunal a jugé qu’il "n’est à aucun moment soutenu que l’AFPA aurait utilisé un logiciel cracké ou implanté seule un logiciel non fourni par la société Sopra Group, ni même que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, le litige soumis au tribunal n’est pas un litige de contrefaçon mais bien un litige portant sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution."


3. La décision de la cour d’appel : la demande en contrefaçon est recevable, mais mal fondée ; Oracle a fait preuve de mauvaise foi et déloyauté
 

Dans un arrêt du 10 mai 2016, la cour d’appel de Paris va cependant infirmer le jugement sur le fondement de la demande, mais néanmoins retenir la responsabilité des société Oracle pour mauvaise foi et déloyauté.

Contrairement au TGI, la cour considère la demande en contrefaçon recevable, mais mal fondée et examine si l’AFPA et Sopra avaient manqué à leurs obligations contractuelles en installant et en utilisant le logiciel Purchasing. La cour a estimé "qu’en installant et en utilisant le module PO, se rattachant pour le moins au logiciel Purchasing et inclus dans le périmètre du marché Mosaïc, lequel a été dûment payé, la société Sopra Group et l’AFPA n’ont manqué à aucune de leurs obligations contractuelles ; qu’aucun acte de contrefaçon ne peut donc leur être reproché par la société Oracle International Corporation”.

La cour a en revanche retenu les demandes reconventionnelles en dommages-intérêts de l’AFPA et de Sopra pour avoir agi avec mauvaise foi et déloyauté envers ces deux organisations. Elle a estimé qu’Oracle avait profité à deux reprises de son droit contractuel de procéder à des audits, de manière à faire pression et obtenir la souscription de nouvelles licences incluses dans l’offre de 2001.

Les sociétés Oracle Corporation, Oracle International Corporation et Oracle France sont condamnées à verser 100.000 € à l’AFPA et la même somme à Sopra au titre des dommages-intérêts et 100.000 € à chacune au titre de l’article 700 (frais de procédure). L’arrêt fait l’objet d’un pourvoi en cassation.


    Comme rappelé dans notre précédent article sur cette affaire,(2) la complexité de certaines licences de logiciel, voire même de certains contrats SaaS, peut rendre la procédure d’audit de licence de logiciel très conflictuelle, entre un client-utilisateur de bonne foi et l’éditeur de logiciel, en désaccord sur le périmètre de la licence. Les utilisateurs font de plus en plus de résistance face aux audits ,qu’ils ressentent parfois comme abusifs, et n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu. Les audits de licence sont néanmoins une pratique légitime des éditeurs et l’abus ou la mauvaise foi de l’éditeur devra pouvoir être prouvée en cas de poursuites judiciaires.


(1) CA Paris, pôle 5, ch. 1, arrêt du 10 Mai 2016, Oracle France, Oracle Corporation, Oracle International Corporation / AFPA, Sopra Steria Group

(2) Voir notre précédent article sur le sujet “La conduite et les conclusions des audits de licences de logiciel contestées en justice”

La conduite et les conclusions des audits de licences de logiciel contestées en justice

Les audits de licence menés par les éditeurs de logiciels ont pour objet de lutter contre la contrefaçon de logiciel, en s’assurant que les utilisateurs sont dûment autorisés à utiliser leurs logiciels, au risque de se voir réclamer des surplus de redevances ou d’être poursuivis en justice. Même lorsque l’utilisateur est titulaire d’une licence, celle-ci lui accorde généralement des droits limités. Dans ce cas, les audits de licence auront pour objet de s’assurer de la conformité entre l’utilisation effective des logiciels et les droits accordés par le contrat.

Les audits de licence donnent cependant lieu de plus en plus souvent à contestation de la part des sociétés utilisatrices. Celles-ci opposent plusieurs raisons à leurs contestations : complexité des licences, difficulté à comptabiliser les droits utilisés, ou encore mauvaise foi de certains éditeurs qui utiliseraient l’arme de l’audit de licence à des fins d’intimidation au moment du renouvellement du contrat.

Les enjeux financiers sont importants, tant pour les éditeurs que pour les utilisateurs ; les sommes réclamées à l’issue de ces audits pouvant atteindre des montants très élevés.

Deux affaires récentes, impliquant la société Oracle, viennent illustrer les tensions entre éditeurs et utilisateurs particulièrement au moment de renouveler - ou non - les licences en place. (1) Ces décisions nous donnent l’occasion d’étudier la question relative à l’objet et aux limites d’un audit de licence, et les fondements d’une action judiciaire en cas de constatation de non-conformité entre l’utilisation des logiciels et les droits concédés.


1. Objet et limites des audits de licences

Le logiciel est une oeuvre de l’esprit protégée par le droit d’auteur. (2) L’auteur ou l’éditeur du logiciel dispose des droits exclusifs sur l’oeuvre et décide donc de sa commercialisation et des conditions applicables, notamment en termes de droits accordés et de calcul des redevances.

Les droits d’utilisation accordés aux utilisateurs sont décrits dans le contrat de licence. L’étendue des droits accordés diffère suivant les éditeurs et les logiciels concernés. Les droits d’utilisation peuvent ainsi être limités selon un type ou un nombre de postes déterminé, un nombre d’utilisateurs nommés ou de CPU, un volume d’utilisation, etc. Les limitations peuvent également être géographiques, par site ou établissement (société disposant de plusieurs établissements), par pays ou encore par région.

Enfin, chaque éditeur définit son système de calcul des redevances d’utilisation : versement d’une redevance unique et forfaitaire, abonnement périodique calculé en fonction du nombre de postes ou du volume d’utilisation, redevances évolutives suivant les montées de version du logiciel, etc.

Pour s’assurer de la conformité de l’utilisation du logiciel aux droits accordés, les éditeurs prévoient des clauses d’audit de licences dans leurs contrats.

Cependant, conformément à l’article 1134 du code civil qui dispose que le contrat doit être exécuté de bonne foi, l’audit de logiciel ne doit pas être détourné de son objet, et être utilisé comme arme de dissuasion au moment du renouvellement des contrats (“vous (utilisateur), renouvelez les licences avec nous, sinon nous déclenchons un audit et réclamerons des indemnités”), ou comme un moyen d’accéder à des données de l’entreprise utilisatrice non nécessaires dans le cadre d’un audit.

Ces deux cas de figure ont été soulevés dans les deux affaires en référence.

- L’ordonnance de référé du 12 juin 2014
Dans l’affaire opposant les sociétés Oracle à Carrefour, cette dernière refusait d’exécuter les scripts de collecte de données que la société Oracle lui demandait de mettre en oeuvre dans le cadre d’un audit de licences.

Carrefour SA, puis la société Carrefour Organisation et Systèmes Groupe avaient conclu un accord-cadre pour l’utilisation des logiciels de gestion de base de données de la gamme Oracle Database. Le 27 janvier 2012, après l’expiration du contrat, Oracle France a notifié à la société Carrefour sa décision de réaliser un audit afin de vérifier la conformité de l’utilisation des logiciels aux droits acquis via les contrats de licence. Oracle demandait notamment d’exécuter des scripts lui permettant de comptabiliser les licences et de vérifier les documents fournis par Carrefour sur l’utilisation des logiciels.

Carrefour s’est opposée, non pas à l’audit, mais à la procédure utilisée par Oracle, qui voulait imposer ses outils d’audit. Carrefour considérait en effet que les scripts utilisés par Oracle permettaient d’avoir accès à des informations confidentielles de Carrefour, non nécessaires dans le cadre de l’audit, et faisaient peser un risque de sécurité sur ses systèmes informatiques.

Dans une ordonnance de référé, rendue le 12 juin 2014, le Tribunal de grande instance de Nanterre relève qu’Oracle ne peut contraindre Carrefour à exécuter ses scripts pour la collecte des informations dans le cadre de cet audit, cette procédure n’étant imposée ni dans le contrat, ni dans la loi.

Les juges estiment néanmoins que la société Oracle justifie “d’un motif légitime d’obtenir une mesure d’expertise en vue d’établir la preuve d’éventuels manquements par les sociétés défenderesses à leurs obligations contractuelles et d’atteintes aux droits d’auteur dont la société Oracle International Corporation est titulaire.”

Ainsi, Carrefour n’aura pas l’obligation d’exécuter les scripts de collecte d’informations d’Oracle, mais l’éditeur pourra néanmoins obtenir les informations nécessaires à l’issue du rapport d’expertise, pour contrôler la conformité de l’utilisation de ses logiciels aux licences accordées.

- Le jugement du TGI de Paris du 6 novembre 2014
Dans une seconde affaire opposant Oracle à l’AFPA (Association de la Formation Professionnelle des Adultes), l’AFPA prétendait qu’Oracle avait abusivement mis en oeuvre les audits contractuels, en les détournant de leur objectif pour faire pression sur l’AFPA au moment du renouvellement des contrats, d’une part avec pour effet de restreindre la concurrence, et d’autre part en abusant de son droit d’ester en justice en cas de non renouvellement des contrats.

Ainsi, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Les juges n’ont pas suivi l’AFPA sur le terrain de l’abus de position dominante, estimant notamment qu’en l’espèce, la position dominante d’Oracle sur le marché des SGBDR n’était pas établie.

Concernant l’abus d’ester en justice, après avoir rappelé que l’exercice d’une action en justice constitue par principe un droit, les juges poursuivent en précisant que l’abus de droit doit être démontré sur le fondement de l’article 1382 du code civil (faute, dommage ou préjudice, lien de causalité entre la faute et le préjudice).

Or, quand bien même Oracle utiliserait l’arme de l’audit de licence au moment de l’envoi des appels d’offres pour le renouvellement des contrats, en l’espèce l’AFPA ne démontre pas avoir subi un préjudice spécifique, “autre que celui résultant des frais exposés pour se défendre dans la présente instance”. En outre, l’AFPA avait formulé une demande d’indemnisation globale en réparation du préjudice subi du fait de l’abus de position dominante et de l’abus d’ester en justice. La demande a donc été jugée irrecevable en l’espèce.


2. Conclusions de l’audit et non-conformités constatées : contrefaçon ou manquement contractuel ?

L’affaire opposant les sociétés Oracle à l’AFPA soulève une seconde question relative à la contestation des conclusions de l’audit, aux conséquences juridiques intéressantes.

- Les faits
En résumé, Oracle commercialise une solution de PGI (ou ERP) dénommée Oracle E-Business Suite, comprenant plus de 70 logiciels applicatifs dédiés à la gestion de l’entreprise et regroupés par “familles” (famille Finances (Financial) pour les logiciels comptables et financiers, et famille Achat (Procurement) pour les logiciels de gestion des achats et des fournisseurs).

Le système de licence E-Business Suite ne fonctionne pas avec des clés permettant de gérer les licences (blocage, déblocage du logiciel, gestion de la durée d’utilisation…), mais est livré sur CD avec l’intégralité des logiciels qui le composent, le client ou son prestataire étant chargé d’installer les logiciels dont il a acquis les licences.

A l’issue d’un appel d’offres lancé en septembre 2001, l’AFPA avait contracté avec la société Sopra Group (distributeur Oracle) pour la fourniture de la solution Oracle E-Business Suite - Finance, pour un premier groupe de 475 utilisateurs.

En juillet 2008, Oracle France notifiait à l’AFPA son intention d’organiser un audit du niveau d’utilisation des produits Oracle. L’audit n’a été réalisé qu’en mai/juin 2009, au moment où l’AFPA passait un nouvel appel d’offres pour déployer la solution Achat. Or, selon les résultats de l’audit, l’AFPA utilisait 885 licences du logiciel “Purchasing”, faisant partie de la famille Achat (Procurement), alors qu’elle ne détenait pas les droits d’utilisation sur cette famille de logiciels.

Après l’échec de la régularisation amiable de la situation, Oracle a décidé d’assigner l’AFPA en contrefaçon pour utilisation non autorisée du logiciel Purchasing. A ce titre, Oracle réclamait à l’AFPA (et Sopra Group, appelée en garantie par l’AFPA), le versement de la somme de 3.920.550 euros HT à titre d’indemnité forfaitaire pour la reproduction non autorisée du logiciel Purchasing pour 885 utilisateurs nommés, augmentée de 9.487.731 euros HT à titre d’indemnité forfaitaire pour l’utilisation non autorisée des services de support technique et des mises à jour du logiciel Purchasing, soit un total de 13.408.281 euros.

Les défendeurs opposaient notamment le fait que les sociétés Oracle savaient que le logiciel Purchasing faisait partie de la solution proposée par Sopra à l’AFPA dans le cadre du marché, la solution ayant été validée dans le bon de commande établi par Oracle. Ainsi, Sopra avait facturé à l’AFPA l’installation, l’utilisation et la maintenance de ce logiciel. L’AFPA soutenait par ailleurs qu’elle utilisait le logiciel Purchasing de bonne foi depuis l’origine du marché et qu’elle n’avait commis aucun acte de contrefaçon.

- Le désaccord sur la qualification juridique des conclusions de l’audit
Dans cette affaire, les parties formaient leurs demandes sur des qualifications différentes aux conséquences juridiques distinctes.

Oracle soutenait que l’AFPA n’étant pas autorisée à utiliser le logiciel litigieux, celle-ci avait commis des actes de contrefaçon. Or, d’une part la contrefaçon est un délit continu, non soumis à prescription, d’autre part, le contrefacteur ne peut opposer la bonne foi.

L’AFPA se positionnait sur le terrain de l’exécution contractuelle. Selon elle, le logiciel Purchasing était inclus dans les logiciels objets du contrat. Dans le cas contraire, l’AFPA soutenait avoir exécuté le contrat de bonne foi puisque les logiciels avaient été installés par Sopra. Or, les actions contractuelles se prescrivent par 5 ans (art. 2224 du Code civil) et la réparation relève de la responsabilité contractuelle, dans le cadre des règles du code civil sur l’exécution des contrats.

- La qualification retenue par les juges
Afin de qualifier le litige en droit, les juges relèvent que le seul différend existant entre les parties est de savoir si le contrat incluait ou non le logiciel Purchasing. A aucun moment Oracle n’a soutenu que l’AFPA aurait utilisé un logiciel contrefait ou déployé un logiciel non fourni par Sopra, ou que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, les juges retiennent que le litige porte uniquement sur le périmètre du contrat, et sur son exécution, et non sur une question de contrefaçon. Ainsi, les règles de prescription et de réparation du préjudice prévues au Code civil s’appliquent.

Concernant l’exécution du contrat, Oracle avait effectivement livré quatre CD, dont un contenant la solution Oracle Applications/E Business Suite II i, incluant les familles Financial et Purchasing. Oracle soutenait cependant que le logiciel Purchasing n’était pas inclus dans le périmètre du contrat.

Les juges, sur la base des documents versés aux débats, estiment que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.”

En conséquence de cette qualification, la contrefaçon n’étant pas applicable à l’espèce, et le logiciel étant, selon toute vraisemblance, inclus dans le périmètre contractuel, les juges ont notamment déclaré prescrites les demandes d’Oracle à l’encontre de l’AFPA et Oracle irrecevable en ses demandes de paiement de la somme de 13.408.281 euros. Oracle a par ailleurs été condamnée aux dépens ainsi qu’à verser 100.000 euros à l’AFPA et à Sopra respectivement au titre de l’article 700 du code de procédure civile (frais de procédure). Le jugement est frappé d’appel.


    En conclusion, il convient de rappeler que les audits de licence, bien qu’étant une pratique légitime par les éditeurs, ne doivent pas être détournés de leur objet. La mauvaise foi ou l’abus de la part des éditeurs (fondements qui restent néanmoins à démontrer juridiquement), mais également, la complexité des licences peuvent remettre en cause l’organisation, voire même les conclusions d’un audit. Comme on le constate, les utilisateurs n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu.


                                                              * * * * * * * * * * *

(1) Tribunal de grande instance de Nanterre, ordonnance de référé du 12 juin 2014, Oracle Corp., Oracle International Corp., Oracle France c/ Carrefour, Carrefour Organisation et Systèmes Groupe ; Tribunal de grande instance de Paris, 3é ch., 1ère sect., 6 novembre 2014, Oracle Corp., Oracle International Corp., Oracle France c/ Association Nationale pour la Formation Professionnelle des Adultes (AFPA) et Sopra Group

(2) Article L.112-2 du Code de la propriété intellectuelle




Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2015