La conduite et les conclusions des audits de licences de logiciel contestées en justice

Les audits de licence menés par les éditeurs de logiciels ont pour objet de lutter contre la contrefaçon de logiciel, en s’assurant que les utilisateurs sont dûment autorisés à utiliser leurs logiciels, au risque de se voir réclamer des surplus de redevances ou d’être poursuivis en justice. Même lorsque l’utilisateur est titulaire d’une licence, celle-ci lui accorde généralement des droits limités. Dans ce cas, les audits de licence auront pour objet de s’assurer de la conformité entre l’utilisation effective des logiciels et les droits accordés par le contrat.

Les audits de licence donnent cependant lieu de plus en plus souvent à contestation de la part des sociétés utilisatrices. Celles-ci opposent plusieurs raisons à leurs contestations : complexité des licences, difficulté à comptabiliser les droits utilisés, ou encore mauvaise foi de certains éditeurs qui utiliseraient l’arme de l’audit de licence à des fins d’intimidation au moment du renouvellement du contrat.

Les enjeux financiers sont importants, tant pour les éditeurs que pour les utilisateurs ; les sommes réclamées à l’issue de ces audits pouvant atteindre des montants très élevés.

Deux affaires récentes, impliquant la société Oracle, viennent illustrer les tensions entre éditeurs et utilisateurs particulièrement au moment de renouveler - ou non - les licences en place. (1) Ces décisions nous donnent l’occasion d’étudier la question relative à l’objet et aux limites d’un audit de licence, et les fondements d’une action judiciaire en cas de constatation de non-conformité entre l’utilisation des logiciels et les droits concédés.


1. Objet et limites des audits de licences

Le logiciel est une oeuvre de l’esprit protégée par le droit d’auteur. (2) L’auteur ou l’éditeur du logiciel dispose des droits exclusifs sur l’oeuvre et décide donc de sa commercialisation et des conditions applicables, notamment en termes de droits accordés et de calcul des redevances.

Les droits d’utilisation accordés aux utilisateurs sont décrits dans le contrat de licence. L’étendue des droits accordés diffère suivant les éditeurs et les logiciels concernés. Les droits d’utilisation peuvent ainsi être limités selon un type ou un nombre de postes déterminé, un nombre d’utilisateurs nommés ou de CPU, un volume d’utilisation, etc. Les limitations peuvent également être géographiques, par site ou établissement (société disposant de plusieurs établissements), par pays ou encore par région.

Enfin, chaque éditeur définit son système de calcul des redevances d’utilisation : versement d’une redevance unique et forfaitaire, abonnement périodique calculé en fonction du nombre de postes ou du volume d’utilisation, redevances évolutives suivant les montées de version du logiciel, etc.

Pour s’assurer de la conformité de l’utilisation du logiciel aux droits accordés, les éditeurs prévoient des clauses d’audit de licences dans leurs contrats.

Cependant, conformément à l’article 1134 du code civil qui dispose que le contrat doit être exécuté de bonne foi, l’audit de logiciel ne doit pas être détourné de son objet, et être utilisé comme arme de dissuasion au moment du renouvellement des contrats (“vous (utilisateur), renouvelez les licences avec nous, sinon nous déclenchons un audit et réclamerons des indemnités”), ou comme un moyen d’accéder à des données de l’entreprise utilisatrice non nécessaires dans le cadre d’un audit.

Ces deux cas de figure ont été soulevés dans les deux affaires en référence.

- L’ordonnance de référé du 12 juin 2014
Dans l’affaire opposant les sociétés Oracle à Carrefour, cette dernière refusait d’exécuter les scripts de collecte de données que la société Oracle lui demandait de mettre en oeuvre dans le cadre d’un audit de licences.

Carrefour SA, puis la société Carrefour Organisation et Systèmes Groupe avaient conclu un accord-cadre pour l’utilisation des logiciels de gestion de base de données de la gamme Oracle Database. Le 27 janvier 2012, après l’expiration du contrat, Oracle France a notifié à la société Carrefour sa décision de réaliser un audit afin de vérifier la conformité de l’utilisation des logiciels aux droits acquis via les contrats de licence. Oracle demandait notamment d’exécuter des scripts lui permettant de comptabiliser les licences et de vérifier les documents fournis par Carrefour sur l’utilisation des logiciels.

Carrefour s’est opposée, non pas à l’audit, mais à la procédure utilisée par Oracle, qui voulait imposer ses outils d’audit. Carrefour considérait en effet que les scripts utilisés par Oracle permettaient d’avoir accès à des informations confidentielles de Carrefour, non nécessaires dans le cadre de l’audit, et faisaient peser un risque de sécurité sur ses systèmes informatiques.

Dans une ordonnance de référé, rendue le 12 juin 2014, le Tribunal de grande instance de Nanterre relève qu’Oracle ne peut contraindre Carrefour à exécuter ses scripts pour la collecte des informations dans le cadre de cet audit, cette procédure n’étant imposée ni dans le contrat, ni dans la loi.

Les juges estiment néanmoins que la société Oracle justifie “d’un motif légitime d’obtenir une mesure d’expertise en vue d’établir la preuve d’éventuels manquements par les sociétés défenderesses à leurs obligations contractuelles et d’atteintes aux droits d’auteur dont la société Oracle International Corporation est titulaire.”

Ainsi, Carrefour n’aura pas l’obligation d’exécuter les scripts de collecte d’informations d’Oracle, mais l’éditeur pourra néanmoins obtenir les informations nécessaires à l’issue du rapport d’expertise, pour contrôler la conformité de l’utilisation de ses logiciels aux licences accordées.

- Le jugement du TGI de Paris du 6 novembre 2014
Dans une seconde affaire opposant Oracle à l’AFPA (Association de la Formation Professionnelle des Adultes), l’AFPA prétendait qu’Oracle avait abusivement mis en oeuvre les audits contractuels, en les détournant de leur objectif pour faire pression sur l’AFPA au moment du renouvellement des contrats, d’une part avec pour effet de restreindre la concurrence, et d’autre part en abusant de son droit d’ester en justice en cas de non renouvellement des contrats.

Ainsi, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Les juges n’ont pas suivi l’AFPA sur le terrain de l’abus de position dominante, estimant notamment qu’en l’espèce, la position dominante d’Oracle sur le marché des SGBDR n’était pas établie.

Concernant l’abus d’ester en justice, après avoir rappelé que l’exercice d’une action en justice constitue par principe un droit, les juges poursuivent en précisant que l’abus de droit doit être démontré sur le fondement de l’article 1382 du code civil (faute, dommage ou préjudice, lien de causalité entre la faute et le préjudice).

Or, quand bien même Oracle utiliserait l’arme de l’audit de licence au moment de l’envoi des appels d’offres pour le renouvellement des contrats, en l’espèce l’AFPA ne démontre pas avoir subi un préjudice spécifique, “autre que celui résultant des frais exposés pour se défendre dans la présente instance”. En outre, l’AFPA avait formulé une demande d’indemnisation globale en réparation du préjudice subi du fait de l’abus de position dominante et de l’abus d’ester en justice. La demande a donc été jugée irrecevable en l’espèce.


2. Conclusions de l’audit et non-conformités constatées : contrefaçon ou manquement contractuel ?

L’affaire opposant les sociétés Oracle à l’AFPA soulève une seconde question relative à la contestation des conclusions de l’audit, aux conséquences juridiques intéressantes.

- Les faits
En résumé, Oracle commercialise une solution de PGI (ou ERP) dénommée Oracle E-Business Suite, comprenant plus de 70 logiciels applicatifs dédiés à la gestion de l’entreprise et regroupés par “familles” (famille Finances (Financial) pour les logiciels comptables et financiers, et famille Achat (Procurement) pour les logiciels de gestion des achats et des fournisseurs).

Le système de licence E-Business Suite ne fonctionne pas avec des clés permettant de gérer les licences (blocage, déblocage du logiciel, gestion de la durée d’utilisation…), mais est livré sur CD avec l’intégralité des logiciels qui le composent, le client ou son prestataire étant chargé d’installer les logiciels dont il a acquis les licences.

A l’issue d’un appel d’offres lancé en septembre 2001, l’AFPA avait contracté avec la société Sopra Group (distributeur Oracle) pour la fourniture de la solution Oracle E-Business Suite - Finance, pour un premier groupe de 475 utilisateurs.

En juillet 2008, Oracle France notifiait à l’AFPA son intention d’organiser un audit du niveau d’utilisation des produits Oracle. L’audit n’a été réalisé qu’en mai/juin 2009, au moment où l’AFPA passait un nouvel appel d’offres pour déployer la solution Achat. Or, selon les résultats de l’audit, l’AFPA utilisait 885 licences du logiciel “Purchasing”, faisant partie de la famille Achat (Procurement), alors qu’elle ne détenait pas les droits d’utilisation sur cette famille de logiciels.

Après l’échec de la régularisation amiable de la situation, Oracle a décidé d’assigner l’AFPA en contrefaçon pour utilisation non autorisée du logiciel Purchasing. A ce titre, Oracle réclamait à l’AFPA (et Sopra Group, appelée en garantie par l’AFPA), le versement de la somme de 3.920.550 euros HT à titre d’indemnité forfaitaire pour la reproduction non autorisée du logiciel Purchasing pour 885 utilisateurs nommés, augmentée de 9.487.731 euros HT à titre d’indemnité forfaitaire pour l’utilisation non autorisée des services de support technique et des mises à jour du logiciel Purchasing, soit un total de 13.408.281 euros.

Les défendeurs opposaient notamment le fait que les sociétés Oracle savaient que le logiciel Purchasing faisait partie de la solution proposée par Sopra à l’AFPA dans le cadre du marché, la solution ayant été validée dans le bon de commande établi par Oracle. Ainsi, Sopra avait facturé à l’AFPA l’installation, l’utilisation et la maintenance de ce logiciel. L’AFPA soutenait par ailleurs qu’elle utilisait le logiciel Purchasing de bonne foi depuis l’origine du marché et qu’elle n’avait commis aucun acte de contrefaçon.

- Le désaccord sur la qualification juridique des conclusions de l’audit
Dans cette affaire, les parties formaient leurs demandes sur des qualifications différentes aux conséquences juridiques distinctes.

Oracle soutenait que l’AFPA n’étant pas autorisée à utiliser le logiciel litigieux, celle-ci avait commis des actes de contrefaçon. Or, d’une part la contrefaçon est un délit continu, non soumis à prescription, d’autre part, le contrefacteur ne peut opposer la bonne foi.

L’AFPA se positionnait sur le terrain de l’exécution contractuelle. Selon elle, le logiciel Purchasing était inclus dans les logiciels objets du contrat. Dans le cas contraire, l’AFPA soutenait avoir exécuté le contrat de bonne foi puisque les logiciels avaient été installés par Sopra. Or, les actions contractuelles se prescrivent par 5 ans (art. 2224 du Code civil) et la réparation relève de la responsabilité contractuelle, dans le cadre des règles du code civil sur l’exécution des contrats.

- La qualification retenue par les juges
Afin de qualifier le litige en droit, les juges relèvent que le seul différend existant entre les parties est de savoir si le contrat incluait ou non le logiciel Purchasing. A aucun moment Oracle n’a soutenu que l’AFPA aurait utilisé un logiciel contrefait ou déployé un logiciel non fourni par Sopra, ou que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, les juges retiennent que le litige porte uniquement sur le périmètre du contrat, et sur son exécution, et non sur une question de contrefaçon. Ainsi, les règles de prescription et de réparation du préjudice prévues au Code civil s’appliquent.

Concernant l’exécution du contrat, Oracle avait effectivement livré quatre CD, dont un contenant la solution Oracle Applications/E Business Suite II i, incluant les familles Financial et Purchasing. Oracle soutenait cependant que le logiciel Purchasing n’était pas inclus dans le périmètre du contrat.

Les juges, sur la base des documents versés aux débats, estiment que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.”

En conséquence de cette qualification, la contrefaçon n’étant pas applicable à l’espèce, et le logiciel étant, selon toute vraisemblance, inclus dans le périmètre contractuel, les juges ont notamment déclaré prescrites les demandes d’Oracle à l’encontre de l’AFPA et Oracle irrecevable en ses demandes de paiement de la somme de 13.408.281 euros. Oracle a par ailleurs été condamnée aux dépens ainsi qu’à verser 100.000 euros à l’AFPA et à Sopra respectivement au titre de l’article 700 du code de procédure civile (frais de procédure). Le jugement est frappé d’appel.


    En conclusion, il convient de rappeler que les audits de licence, bien qu’étant une pratique légitime par les éditeurs, ne doivent pas être détournés de leur objet. La mauvaise foi ou l’abus de la part des éditeurs (fondements qui restent néanmoins à démontrer juridiquement), mais également, la complexité des licences peuvent remettre en cause l’organisation, voire même les conclusions d’un audit. Comme on le constate, les utilisateurs n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu.


                                                              * * * * * * * * * * *

(1) Tribunal de grande instance de Nanterre, ordonnance de référé du 12 juin 2014, Oracle Corp., Oracle International Corp., Oracle France c/ Carrefour, Carrefour Organisation et Systèmes Groupe ; Tribunal de grande instance de Paris, 3é ch., 1ère sect., 6 novembre 2014, Oracle Corp., Oracle International Corp., Oracle France c/ Association Nationale pour la Formation Professionnelle des Adultes (AFPA) et Sopra Group

(2) Article L.112-2 du Code de la propriété intellectuelle




Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2015

Cybersurveillance des salariés : les SMS échangés depuis un téléphone mobile professionnel sont présumés professionnels

La Cour de cassation vient de rendre une décision précisant les conditions dans lesquelles l’employeur peut consulter les SMS de ses salariés. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de cybersurveillance des salariés.


1. Rappel des règles applicables en matière de cybersurveillance des salariés

Il appartient à l’employeur, dans le cadre de son pouvoir directionnel et disciplinaire, de s’assurer de la bonne exécution du travail de ses salariés. Le droit pour l’employeur de contrôler l’activité de son personnel durant le temps de travail découle du lien de subordination existant entre l’employeur et le salarié. La surveillance et le contrôle de l’activité des salariés paraît donc légitime.

Avec le développement des technologies de l’information, les dispositifs techniques de surveillance sont venus compléter le contrôle humain des salariés, exercé par l’employeur. Les moyens utilisés sont variés : vidéosurveillance, biométrie et badges électroniques d’accès aux locaux, géolocalisation, dispositifs de contrôle de la messagerie électronique, systèmes de filtrage de sites internet, etc. Le contrôle peut avoir pour objectif d’assurer la sécurité des réseaux contre les attaques informatiques ou de limiter les risques d’abus liés à l’utilisation d’internet ou de la messagerie à des fins personnelles.

Toutefois, le contrôle de l’activité des salariés doit respecter quelques principes et conditions posés par la réglementation (Code du travail et loi informatique et libertés) et la jurisprudence.

Ainsi, l’employeur ne peut apporter de restrictions aux libertés individuelles et collectives si elles ne sont pas “justifiées par la nature de la tâche à accomplir ni proportionnées ou au but recherché” (art. L.1121-1 du code du travail). La jurisprudence a notamment affirmé que le salarié a droit au respect de sa vie privée sur son lieu de travail et pendant son temps de travail.

Par ailleurs, en cas de contrôle, l’employeur doit respecter les principes de transparence, de loyauté et de proportionnalité. Ces principes impliquent notamment pour l’employeur l’obligation d’informer les salariés sur la possibilité et l’étendue du contrôle, mais également d’informer ou de consulter les instances représentatives du personnel. A ce titre, il est vivement recommandé de mettre en place une charte informatique au sein de l’entreprise. (1)

Enfin, si le moyen de contrôle utilisé implique la collecte et le traitement de données à caractère personnel, il incombera à l’employeur d’effectuer des démarches déclaratives auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Plusieurs décisions ont été rendues dans ce domaine depuis le début des années 2000, venant préciser les droits et limites de l’employeur en matière de cybersurveillance de ses salariés. Ainsi, les fichiers et emails, envoyés et reçus par un salarié, à l’aide des équipements informatiques mis à disposition par l’employeur, sont présumés avoir un caractère professionnel et peuvent être consultés par ce dernier. Ce principe connaît cependant une exception si le salarié a clairement identifié les fichiers ou emails comme étant personnels.

La jurisprudence évolue et se précise avec l’apparition de “nouveaux” outils et pratiques. Ainsi, la Cour de cassation a jugé en 2013 que la clé USB personnelle d’un salarié connectée à l’ordinateur mis à la disposition de ce dernier par son employeur était présumée être utilisée à des fins professionnelles. L’employeur pouvait donc avoir accès aux fichiers non identifiés comme personnels contenus sur la clé, et ce même hors de la présence du salarié. (2)


2. Le cas des SMS : la décision GFI Securities Ltd c/ Newedge Group

Cette affaire opposait deux sociétés de courtage d’instruments financiers, la société Newedge Group (Newedge) et la société GFI Securities (GFI). La société Newedge reprochait à GFI d’avoir procédé au débauchage massif de ses salariés avec pour conséquence la désorganisation interne de Newedge.

La société Newedge a donc décidé de faire constater les agissements de la société GFI et obtenu, pour ce faire, une ordonnance sur requête autorisant un huissier à procéder au constat des informations issues des outils de communication mis à la disposition de ses salariés. Suite à ce constat, la société Newedge a utilisé les SMS “compromettants” extraits des smartphones de ses salariés pour poursuivre GFI en justice.

La société GFI a demandé la rétractation de cette ordonnance, estimant que l'utilisation de tels messages par l'employeur, effectuée à l'insu de l'auteur des propos invoqués, constituait un procédé déloyal rendant irrecevable en justice la preuve ainsi obtenue. Déboutée en appel, la société GFI s’est alors pourvue en cassation.

La société GFI invoquait notamment le fait que :

- le règlement intérieur et la charte informatique de la société Newedge ne prévoyaient pas que les SMS envoyés ou reçus par les salariés sur le téléphone mobile mis à leur disposition par l’entreprise étaient présumés avoir un caractère professionnel, de sorte que l'employeur pouvait y avoir accès hors de la présence du salarié, dès lors qu'ils n'étaient pas marqués comme “personnels”. Ces documents ne faisaient mention que des emails et des conversations téléphoniques ;

- il est impossible d'identifier comme “personnel” un SMS envoyé par un téléphone mobile, de tels messages ne comportant pas de champ “objet”.

Dans un arrêt du 10 février 2015, la Cour de cassation a confirmé la décision de la Cour d’appel et a débouté la société GFI de ses demandes. La Cour a jugé que : “les SMS envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l'employeur est en droit de les consulter en dehors de la présence de l'intéressé, sauf s'ils sont identifiés comme étant personnels”. Or, en l’espèce, ces messages n’avaient pas été identifiés comme personnels par les salariés. Dès lors, selon la Cour, la recherche de ces messages et leur consultation “pour des motifs légitimes” par l’employeur, puis leur utilisation en justice constituent un procédé loyal. (3)


Il ressort donc de cette décision que l’employeur a la possibilité de consulter les SMS de ses salariés aux conditions suivantes : les SMS sont envoyés et reçus au moyen du téléphone portable mis à leur disposition par l’employeur ; les messages ne doivent pas être identifiés comme “personnel” ou “privé” ; et la consultation doit être justifiée par un “motif légitime” (soupçons de fraude, violation d’une clause de confidentialité, etc.).

Cette décision rejoint la jurisprudence visant à préciser les conditions dans lesquelles l’employeur peut contrôler l’utilisation par ses salariés des équipements informatiques de l’entreprise. Il appartient donc aux salariés d’être vigilants quant à l’utilisation de leurs smartphones professionnels fournis par l’employeur. En revanche, pour le moment, la question du contrôle reste posée pour les équipements informatiques du salarié (ordinateur, tablette, smartphone) utilisés dans l’entreprise à des fins professionnelles (BYOD). A ce titre, la charte informatique sera le document de référence pour définir les droits et les devoirs de chacun, salarié et employeur, en matière du bon usage des ressources informatiques.

                                                         * * * * * * * * * * *


(1) Voir notamment notre article intitulé “La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu"

(2) Cass., ch. soc., 12 février 2013, n°11-28.649.

(3) Cass, ch. comm., 10 février 2015, n°13-14779

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015

Propriété d’un logiciel : l’entreprise n’est pas systématiquement propriétaire de “son” logiciel

A qui appartient le logiciel développé au sein d’une entreprise ? C’est à cette question que la Cour de cassation a récemment répondu, dans un arrêt du 15 janvier 2015. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de droit d’auteur sur le logiciel.


1. Les règles relatives au droit d’auteur et ses titulaires en matière de logiciel

Le logiciel est une œuvre de l’esprit protégée par le droit d’auteur (article L.112-2 du Code de la propriété intellectuelle).

Cependant, cette protection n’est pas acquise automatiquement, le caractère original du logiciel étant un préalable nécessaire à la protection. L'originalité d’une oeuvre peut être définie comme étant ce qui distingue cette oeuvre des autres. Appliquée au logiciel, l’originalité ressort de l’effort personnalisé de son auteur, au-delà de la simple mise en oeuvre d'une logique automatique et contraignante. La matérialisation de cet effort réside dans une structure individualisée. (1)

Selon le principe posé par l’article L.113-1 du Code de la propriété intellectuelle (CPI), “La qualité d’auteur appartient, sauf preuve contraire, à celui ou à ceux sous le nom de qui l’oeuvre est divulguée.”

Le titulaire des droits d’auteur sur un logiciel peut être une personne physique, le développeur du programme ou une personne morale, l’entreprise au sein de laquelle le logiciel a été développé. Plus précisément, une entreprise peut être considérée comme titulaire des droits d’auteur sur un logiciel dans trois cas de figure :

    1 - le logiciel est qualifié d’œuvre collective : dans cette hypothèse, la contribution de chacune des personnes ayant participé au développement du logiciel se fond dans un ensemble ne permettant pas de distinguer le travail de chacun. Ce logiciel peut être la propriété de l’entreprise qui est à l’initiative du développement, l’édite et sous le nom de laquelle il est distribué. L’entreprise sera donc investie des droits d’auteur ;

    2 - le logiciel est développé par un salarié de l’entreprise : l’article L.113-9 du CPI dispose que “les droits patrimoniaux sur les logiciels et leur documentation créés par un ou plusieurs employés dans l’exercice de leurs fonctions ou d’après les instructions de leurs employeurs sont dévolus à l’employeur qui est seul habilité à les exercer”, sauf dispositions statutaires ou stipulations contraires (prévues dans le contrat de travail). Toutefois, cette disposition ne concerne pas tous les salariés et exclut les tiers à l’entreprise, même intervenant pour son compte, tels que les stagiaires, intérimaires, consultants détachés par un prestataire informatique, consultants indépendants, etc. ;

    3 - le logiciel est cédé dans le cadre d’un accord de cession de droits d’auteur : dans cette hypothèse le logiciel a été développé par une ou plusieurs personnes qui cèdent les droits patrimoniaux à l’entreprise. Pour être valable, la cession doit remplir les conditions de fond et de forme spécifiques, prévues par la loi (article L.131-3 al.1 du CPI).

Enfin, l’auteur du logiciel détient sur celui-ci les droits de propriété intellectuelle comprenant les droits patrimoniaux (notamment le droit d’exploiter et de distribuer le logiciel, et d’en tirer des revenus) et le droit moral (droit à la citation et au respect de l’intégrité l’oeuvre). Le logiciel ne pourra donc être exploité ou utilisé par des tiers qu’avec l’accord de l'auteur. Toute utilisation non autorisée du logiciel (reproduction ou distribution sans l’autorisation de l'auteur) pourra être qualifiée de contrefaçon, en vertu des articles L.335-2 et suivants du CPI.


2. La décision Sociétés Orqual c/ Tridim et autres de la Cour de cassation

Dans cette affaire, un professeur en médecine et un informaticien s’étaient associés pour créer une structure en commun, la société Tridim. Cette société avait pour objet social la conception, la création, la réalisation, ainsi que la distribution de logiciels d’analyse médicale. Leur collaboration a ainsi permis le développement de deux logiciels, dénommés Tridim-Delaire 2008 et Céphalométrie Architecturale 2010.

Les deux associés ont ensuite décidé de se séparer, le professeur en médecine devenant gérant majoritaire de la société Tridim et l’informaticien créant deux nouvelles sociétés (Orqual et Orthalis), pour commercialiser des logiciels.

Un désaccord portant sur la titularité des droits d’auteur sur les deux logiciels développés pendant leur collaboration dans la société Tridim a conduit le gérant des sociétés Orqual et Orthalis à bloquer les codes d’accès à ces logiciels à la société Tridim. En réponse, la société Tridim a assigné ces deux sociétés afin de faire reconnaître qu’elle était le seul titulaire des droits d’auteur.

Déboutée en première instance, la société Tridim a interjeté appel du jugement. La Cour d’appel de Rennes, dans un arrêt du 28 mai 2013, a fait droit à ses demandes, considérant que les logiciels devaient être qualifiés d’œuvre collective, en ce que “leur développement est le fruit du travail de ses associés”. En conséquence, la société Tridim serait titulaire des droits d’auteur sur ces deux logiciels.

Contestant cette décision, les sociétés Orqual et Orthalis se sont pourvues en cassation. (2)

Dans un arrêt du 15 janvier 2015, la Cour de cassation a cassé l’arrêt d’appel, sur le fondement de l’article L.113-1 du CPI, rejetant l’analyse selon laquelle le développement des logiciels étant le fruit du travail des deux associés, la société Tridim en détenait les droits d’auteur. En effet, selon les juges, “une personne morale ne peut avoir la qualité d’auteur” et ce notamment au motif qu’en l’espèce les contributions des auteurs au développement des logiciels étaient de natures différentes (d’une part, développement de code pour l’informaticien, d’autre part, apport d’éléments “métier” pour le professeur en médecine) et ne se fondaient pas dans un ensemble permettant de qualifier ces œuvres de “collectives”.

Par ailleurs, bien que ceci n’ait pas été précisé par la Cour, il convient de souligner que la société Tridim ne pouvait ni se réclamer titulaire des droits d’auteur au motif que les logiciels avaient été développés par des salariés, puisque ce sont les deux gérants qui avaient élaboré ces logiciels, ni se prévaloir d’aucun accord de cession de droits sur les logiciels.

Enfin, les logiciels litigieux auraient pu être qualifiés d’oeuvre de collaboration, définie à l’article L.113-3 du CPI comme la propriété commune des co-auteurs (personnes physiques). Or, les co-auteurs doivent exercer leurs droits d’un commun accord, ce qui n’était pas le cas en l’espèce.

En conséquence, le gérant de la société Tridim, qui avait pourtant contribué à l’élaboration des deux logiciels litigieux, se voit interdire leur exploitation, faute d’accord contractuel avec son co-auteur.


     Cette décision illustre la nécessité pour les entreprises de réfléchir, pour chaque projet informatique, à la titularité des droits d’auteur et dès que nécessaire, de gérer les droits de propriété intellectuelle sur les développements, par la voie contractuelle.

 
                                                   * * * * * * * * * * *

(1) Voir Cass. civ., 17 octobre 2012, Codix c. Alix, et notre article “Les critères de l’originalité comme condition de la protection du logiciel par le droit d’auteur, rappelés par la Cour de cassation"

(2) Cass., 1e ch. civ., 15 janvier 2015, Sociétés Orqual c/ Tridim et autres

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015

Délit d’usurpation d’identité numérique, un nouveau fondement juridique pour lutter contre la cybercriminalité

L’usurpation d’identité numérique n’est pas un phénomène nouveau. Ce type d’escroquerie sur internet, visant à se faire passer pour un autre (entreprise, administration) pour accéder à des données ou des comptes bancaires et détourner des fonds, ou porter atteinte à la réputation d’une entreprise ou d’une personne physique s’est développé parallèlement à l’essor de l’internet. En ces périodes troublées, le détournement de comptes bancaires pour en soutirer les fonds, ou de comptes personnels sur les réseaux sociaux à des fins de propagande par exemple, est plus que jamais un phénomène d’actualité.

Avant l’entrée en vigueur de la loi LOPPSI II, adoptée le 14 mars 2011, la victime d’une usurpation d’identité sur internet ne pouvait poursuivre l’auteur de l’infraction que sur des fondements généraux du droit pénal, tels l’escroquerie, la prise du nom d’un tiers aux fins de commission d’une infraction pénale (ex. diffamation, escroquerie), l’atteinte à un traitement automatisé de données, l’atteinte à la vie privée et l’atteinte au droit à l’image.

La LOPPSI II de 2011, qui comprend un chapitre dédié à la lutte contre la cybercriminalité, a créé une nouvelle infraction spécifique : l’usurpation d’identité numérique. (1)

La première condamnation sur le fondement de l’usurpation d’identité numérique a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014, dans une affaire concernant la création d’un faux site web. (2)

Toutefois, la collecte des preuves, et surtout, l’identification de l’auteur du délit reste un obstacle difficile à surmonter pour la victime souhaitant engager des poursuites.

Nous analysons ci-dessous les aspects spécifiques de la notion d’usurpation d’identité numérique puis les moyens de défense dont disposent les victimes.


1. La notion d’usurpation d’identité numérique

    1.1 La définition légale

L’usurpation d’identité est constituée quand elle porte sur l’identité même de la victime (nom, prénom, surnom, pseudonyme, identifiants électroniques) ou sur toute autre donnée de nature à l’identifier. Cette dernière expression permet de s’affranchir de la notion de données à caractère personnel, au sens de la loi Informatique et Libertés, et de rechercher tous autres éléments permettant une identification. Il est donc possible d’y inclure les adresses IP, les URL, les mots de passe, ainsi que des logos, images, voire même un avatar, tous ces éléments permettant de pointer vers une personne physique. Les juges seront amenés à interpréter et affiner cette notion et son périmètre.

L’usurpation d’identité “numérique”, telle que prévue à l’article 226-4-1 al. 2 du code pénal, est commise sur un réseau de communication au public en ligne, ce qui comprend notamment les courriers électroniques, les sites web, les messages publiés en ligne et les profils en ligne sur les réseaux sociaux (Facebook, Twitter). (3)

Le préjudice effectif ou éventuel s’analyse en un trouble de la tranquillité de la personne dont l’identité est usurpée ou celle d’un tiers, ou en une atteinte à son honneur ou à sa réputation.

L’auteur de l’infraction, personne physique, encourt un an d’emprisonnement et 15.000€ d’amende. La condamnation peut atteindre 75.000€ lorsque l’auteur de l’infraction est une personne morale.

    1.2 Usurpation d’identité numérique : phishing, faux sites web et faux profils

L’usurpation d’identité numérique peut porter préjudice à deux catégories de victimes :

    - la personne dont l’identité a été usurpée : l’auteur de l’infraction nuit à son image, à sa réputation, à sa marque ou trouble sa tranquillité ;
    - le tiers trompé : l’auteur de l’infraction induit l’internaute en erreur et lui soutire des informations et/ou de l’argent.

L’usurpation d’identité numérique est généralement commise de deux manières : par la technique du phishing (ou hameçonnage), ou par la création d’un faux site web ou d’un faux profil sur un service de réseau social.

Le phishing ou hameçonnage
Le cyber-escroc usurpe l’identité d’un tiers, généralement une entreprise (banque, opérateur téléphonique) ou une administration, en communiquant via un faux courrier électronique et/ou via un site web contrefait. L’escroc reproduit alors les identifiants visuels et graphiques de la marque, en vue d’obtenir de la part d’internautes trompés, des informations personnelles (identifiants, mots de passe ou coordonnées bancaires). Ces informations sont ensuite utilisées pour accéder à leurs comptes et effectuer des opérations sous l’identité de l’internaute (virement, souscription d’un crédit, abonnement). (4)

Par exemple, dans un jugement rendu le 21 septembre 2005, le Tribunal de grande instance de Paris a condamné un internaute pour contrefaçon de marque et contrefaçon d’un site web. Ce dernier avait imité la page d’enregistrement du service Microsoft MSN Messenger, et sa marque figurative (le papillon MSN), pour obtenir des données personnelles des personnes au moment de leur enregistrement sur le service. (5)

La création d’un faux site web ou d’un faux profil sous l’identité d’une tierce personne
L’usurpation d’identité numérique est également réalisée via la création d’un faux site web, reprenant à l’identique les composants d’un site “légitime” (charte graphique, reproduction de tout ou partie du contenu, etc.). Cette technique est souvent liée à une “campagne” de phishing.

La création d’un faux site web ou d’un faux profil a pour objet ou pour effet de porter atteinte à l’honneur ou à la réputation du titulaire du site ou du profil, personne physique ou morale.

    1.3 Le jugement du 18 décembre 2014

Le Tribunal de grande instance de Paris a rendu un premier jugement le 18 décembre 2014 condamnant l’auteur d’une usurpation d’identité numérique sur le fondement de l’article 226-4-1 du Code pénal.

Dans cette affaire, un informaticien avait créé un faux "site officiel" de la députée-maire Rachida Dati. Le faux site reprenait la photo de Rachida Dati ainsi que la charte graphique du site officiel et permettait aux internautes de publier des commentaires sous la forme de communiqués de presse, soi-disant rédigés par Rachida Dati, mais au contenu trompeur. L’internaute se trouvait en réalité sur le site officiel, très similaire au faux site. L’auteur de cette usurpation avait utilisé une faille de sécurité du site de la députée-maire, permettant d'y injecter du code indirect (opération dite "XSS" ou cross-site scripting).

Le directeur du Cabinet de Madame Dati a déposé plainte contre X pour usurpation d’identité sur support numérique et atteinte aux systèmes de traitement automatisé de données. L’enquête, menée par la BEFTI (Brigade d’enquête sur les fraudes aux technologies de l’information), a permis d’identifier l’auteur des agissements.

Dans un jugement du 18 décembre 2014, le TGI de Paris a retenu les deux chefs d’accusation à l’encontre du prévenu. Le Tribunal considère en effet, que l’identité de Madame Rachida Dati avait été numériquement usurpée, dans la mesure où “ces mentions [“je vous offre un communiqué…" ou “merci pour ce geste citoyen “], aux côtés du nom de Madame Rachida Dati et sur un site reprenant la photographie officielle de la député-maire, sa mise en page et sa charte graphique, ne peut que conduire l’internaute à opérer une confusion avec le site officiel de celle-ci“.

Par ailleurs, le Tribunal a retenu que l’auteur du faux site avait mis en place un dispositif permettant la mise en ligne par les internautes de faux communiqués au contenu sexiste et dégradant. Or, en sa qualité de modérateur du site, il avait la possibilité de fermer son site ou de désapprouver les termes des commentaires mis en ligne par les internautes.

Le prévenu a également été considéré coupable d’introduction frauduleuse de données dans un système de traitement de données, du fait d'avoir exploité la faille de sécurité du site officiel pour y introduire des instructions dans le but d’en modifier son comportement. L’ensemble de ces éléments entraînant la confusion avec le site officiel de la femme politique, l’internaute a été reconnu coupable d’usurpation d’identité numérique. Condamné à une amende de 3.000€, l’auteur du faux site a fait appel de la décision.

Le fournisseur d’hébergement a quant à lui été reconnu complice de cette infraction.


2. Les moyens de défense à la disposition des victimes

    2.1 Pour la personne usurpée

Face à ce type d’agissement, il est possible de prendre des mesures proactives, ou en cas de constatation d’une infraction, de prendre des mesures en réaction.

Les institutions fournissent des recommandations, proactives - concernant la sécurité des comptes personnels, et réactives - concernant les mesures de retrait de contenu ou de dépôt de plainte.

L’Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet) fournit une série de recommandations aux fins d’éviter l’usurpation d’identité numérique. Ces recommandations, qui relèvent souvent du bon sens, consistent notamment, à utiliser des mots de passe complexes et de ne pas les communiquer à des tiers, activer les protections anti-phishing existant dans certains navigateurs web, éviter de se connecter sur des sites sensibles (sites de banques ou de vente en ligne) dans les lieux publics ou chez des tiers, ne pas répondre à des emails provenant de prétendus organismes de confiance et demandant de communiquer mots de passe ou autres coordonnées personnelles confidentielles, ne jamais cliquer sur les liens ni ouvrir les documents contenus dans ces messages, etc. (6)

Si des informations d’identification ont été publiées sans autorisation et/ou détournées, le responsable du site sur lequel ces informations ou données sont publiées doit être contacté pour en demander leur suppression. A cet effet, la CNIL (Commission nationale de l’informatique et des libertés) propose sur son site des modèles de courriers pour formuler cette demande. (7) A défaut de réponse, il conviendra alors de porter plainte en ligne via le site de la CNIL. La Commission aide ainsi à la suppression des informations détournées et à la récupération de l’accès à sa messagerie électronique. (8)

    2.2 Les moyens de preuve à l’appui d’une action en usurpation d’identité numérique

La difficulté à identifier l’auteur de l’infraction
Il existe encore peu de décisions judiciaires condamnant ces pratiques. La victime se heurte en effet à deux difficultés majeures : l’identification des auteurs de l’escroquerie, rendue difficile notamment à cause des procédés d’anonymisation ; et la localisation de l’auteur. Lorsqu’il est possible de remonter jusqu’à l’auteur, celui-ci est souvent situé à l’étranger, rendant les poursuites difficiles et la procédure coûteuse.

Comme mentionné ci-dessus, la victime d’une usurpation d’identité numérique peut adresser une plainte à la CNIL. Elle peut également porter plainte soit auprès des forces de l’ordre (police ou gendarmerie), soit directement auprès du procureur de la République.

Afin que l’affaire ne soit pas classée sans suite, il est fortement recommandé de fournir des éléments de preuve remontant jusqu’à l’auteur de l’infraction. A cette fin, la victime peut contacter le fournisseur d’accès à internet ou le fournisseur d’hébergement afin d’obtenir la communication des données permettant d’identifier l’auteur de l’infraction.

Les moyens de preuve
Afin de faciliter l’identification des auteurs d’une infraction, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), impose aux prestataires techniques, fournisseurs d’accès à internet et hébergeurs, la conservation des données “de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles (ces personnes) sont prestataires” (article 6 II). (9)

Ainsi, à la demande de l’autorité judiciaire, FAI et hébergeurs doivent transmettre toute information en leur possession, nécessaire à la constitution du dossier, dans le respect des délais de prescription. Il est à noter cependant que, suivant les catégories de données concernées, différents délais de prescription s’appliquent. Ainsi, les données de connexion ne seront conservées que pendant un an.

Par ailleurs, il peut être utile de faire établir un constat d’huissier afin de conserver la preuve des écrans, pages web et autres éléments à l’appui des poursuites.

Une infraction “autonome”
Depuis la LOPPSI II, le délit d’usurpation d’identité numérique est une infraction autonome. Ainsi, le seul fait de commettre un acte de phishing, même sans accès effectif aux comptes dont les données ont été récupérées, est suffisant pour être qualifié d’acte d’usurpation d’identité numérique. Il n’est donc pas obligatoire de rapporter la preuve selon laquelle l’usurpation a été commise en vue de la réalisation d’une infraction (telle que le détournement de fonds ou l’apologie du terrorisme par exemple).

Le législateur exige cependant un dol spécial : l’accusation doit rapporter la preuve que l’usurpateur a agi en vue de troubler la tranquillité de la personne dont l’identité est usurpée ou de celle d’un tiers, ou afin de porter atteinte à son honneur ou à sa considération.

Toutefois, le législateur n’impose pas de prouver une répétition des agissements fautifs, alors que la rédaction initiale de l’article 226-4-1 al. 2 dans le projet de loi LOPPSI II avait prévu une condition de réitération.

Une infraction “instantanée”
L’usurpation d’identité numérique étant un délit, la victime dispose d’un délai de prescription de trois ans pour agir. Le délit d’usurpation d’identité numérique est une infraction instantanée : le point de départ du délai de prescription se situe au jour où l’identité a été usurpée.

Cependant, comme mentionné plus haut, il convient d’agir sans attendre. En effet, selon les catégories de données concernées, différents délais de prescription peuvent avoir pour conséquence que certaines d’entre elles ne seront plus disponibles au moment de la constitution du dossier.

                                                        * * * * * * * * * * *

(1) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, et

(2) TGI Paris, 13e ch. corr., 18 décembre 2014, MP c/ X.

(3) art. 226-4-1 du code pénal : “Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende.
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.”

(4) Les auteurs de l’escroquerie utilisent régulièrement la technique du ”social engineering”, ou ingénierie sociale, méthode de manipulation abusant de la crédulité de personnes, afin qu’elles divulguent des données confidentielles.

(5) TGI Paris, 31e ch. corr., 21 septembre 2005, Microsoft Corporation c/ Robin B

(6) Fiche Hadopi relative aux moyens de sécurisation : Identité numérique//Usurpation d’identité publiée en décembre 2011, accessible à : http://www.hadopi.fr/sites/default/files/page/pdf/UsurpationIdentite.pdf

(7) Accessibles sur le site de la CNIL à : http://www.cnil.fr/vos-droits/les-courriers-pour-agir/

(8) Voir http://www.cnil.fr/vos-droits/plainte-en-ligne/ et http://www.cnil.fr/vos-droits/la-cnil-a-vos-cotes/

(9) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2015

Un référentiel de sécurité pour la qualification des prestataires de services en Cloud

L’un des avantages mis en avant pour la promotion des services en Cloud computing (ou informatique en nuage) est le fait que la mutualisation des ressources (au moins pour les clouds publics et hybrides) permet de réduire les coûts d’infrastructure. Cependant, le revers de la mutualisation est l’absence de flexibilité contractuelle, les contrats Cloud étant le plus souvent des contrats d’adhésion, non négociables par les clients.

Par ailleurs, la plupart des clients-utilisateurs ne procéderont jamais à un audit technique des services, ce qui peut aboutir à des situations très difficiles à surmonter en cas de défaillance technique (et/ou financière) d’un prestataire qui n’aurait pas sauvegardé les données clients par exemple.

Partant de ces constats, et du besoin d’assurer une plus grande confiance dans ces services, deux initiatives ont récemment été lancées autour de la sécurité du Cloud.

Ainsi, en juin 2014, dans le cadre du vaste projet « La Nouvelle France Industrielle », le gouvernement a validé le plan consacré au cloud computing. Parmi les 10 mesures proposées par Messieurs Klaba (OVH) et Breton (Atos), on retiendra ici la proposition de créer un label « Secure Cloud » pour les acteurs hébergeant leurs données sur le territoire européen. (1)

Dans la continuité de ce plan, l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), vient de publier un projet de référentiel général de sécurité auquel les prestataires Cloud devront se conformer s’ils souhaitent obtenir une « qualification ». (2) Ce futur référentiel, ayant vocation à converger avec le label « Secure Cloud » mentionné ci-dessus, servira en premier lieu pour les besoins de l’Etat. Il pourra néanmoins être réexploité par les entreprises utilisatrices.


1. La qualification des prestataires Cloud

Le document de l’Anssi, intitulé « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage », concerne les prestataires fournisseurs de services Cloud - en mode SaaS, PaaS ou IaaS, et ce quelque soit le profil de leurs clients (administrations, collectivités territoriales, OIV, entreprises, etc.).

Ce projet de référentiel général de sécurité (RGS) définit les exigences de sécurité ainsi que les recommandations (ou bonnes pratiques) que les prestataires Cloud devront respecter pour obtenir la qualification. Ces exigences seront vérifiées dans le cadre d’un audit des lieux liés à la prestation visée par la qualification.

Ce document vise à donner aux clients, utilisateurs de services Cloud, des garanties quant à la compétence du prestataire, à la qualité de ses services et à la sécurité du traitement des données qui lui sont confiées. Le référentiel a ainsi pour objectif de favoriser l’émergence et la promotion d’offres de services sécurisées qualifiées et ainsi, garantir un niveau de confiance envers les prestataires qualifiés - même si le RGS est avant tout destiné aux administrations.


2. Le contenu du projet de référentiel

Les exigences et recommandations contenues dans le référentiel de l’Anssi portent notamment sur l’organisation interne du prestataire Cloud et ses relations avec ses clients et les tiers. On retiendra notamment :

- Le périmètre de qualification : le prestataire doit établir le périmètre qu’il souhaite qualifier, la liste des exigences y afférentes, le niveau de sécurité visé pour la qualification (élémentaire ou standard) et une analyse de risques couvrant le périmètre de la qualification ;

- Une politique générale de sécurité : le prestataire doit définir une politique de sécurité détaillant les différentes mesures mises en oeuvre, a minima, dans les domaines suivants : organisation de la sécurité ; sécurité des ressources humaines ; gestion des biens ; sécurité physique et environnementale ; contrôle d’accès et gestion des identités ; cryptologie ; sécurité des opérations ; acquisition, développement et maintenance ; relation avec les sous-traitants ; gestion des incidents et de la continuité des activités et enfin la conformité ;

- Les relations contractuelles avec les clients et les tiers : un contrat doit détailler les tâches et les responsabilités incombant tant au prestataire qu’au client.

Par ailleurs, le prestataire doit identifier l’ensemble des tiers (sous-traitants hébergeurs, éditeurs des logiciels, etc.) et des prestations externalisées participant à la fourniture du service Cloud. Ces tiers doivent fournir des garanties en matière de sécurité, au moins équivalentes à celles mises en oeuvre dans sa propre politique de sécurité. Ces exigences de sécurité doivent impérativement être contractualisées avec le prestataire (par exemple, dans un cahier des charges ou à travers des clauses de sécurité dans contrats conclus avec ces tiers). En outre, le prestataire doit pouvoir régulièrement auditer et contrôler les mesures de sécurité mises en place par les tiers.

- La gestion interne : le prestataire Cloud doit mettre en place une procédure de vérification des candidats à l’embauche, faire signer à tout nouveau salarié un engagement de confidentialité et les sensibiliser notamment à la sécurité informatique.

En outre, le prestataire doit réaliser un inventaire des équipements informatiques ainsi que des licences utilisées dans le cadre de la prestation Cloud.

Enfin, il doit notamment établir une politique de contrôle d’accès et de gestion des identités, généraliser le chiffrement des données stockées et de flux, mettre en oeuvre des mesures de détection, de prévention et de restauration pour se protéger des codes malveillants et ainsi élaborer des politiques et procédures de gestion des incidents de sécurité.

- Les exigences contractuelles et législatives : le contrat de service entre le prestataire Cloud et le client doit être soumis au droit français et la juridiction compétente doit être localisée en France. Le prestataire doit par ailleurs, non seulement s’engager à respecter les exigences légales, règlementaires et contractuelles en vigueur, mais également et effectuer une veille active de l’évolution de ces exigences.

- Une fourniture de services localisée en France : on retiendra enfin que le projet de référentiel exige que la fourniture des services soit localisée sur le territoire français. Il est précisé, en effet, que le stockage et le traitement des données doivent être opérés en France, et que les produits participant à la prestation (logiciels) et visibles par le client soient accessibles en français. Enfin, le support de premier niveau doit être fourni en français et localisé en France.


3. L’appel public à contributions et candidatures lancé par l’Anssi

L’Anssi a lancé un appel public à participation sur ce projet début août et invite les prestataires Cloud à lui adresser des commentaires et remarques sur ce projet de référentiel avant le 3 novembre 2014.

Après l’analyse des contributions reçues, l’Anssi lancera une phase dite « expérimentale », visant à tester la mise en oeuvre pratique du référentiel. A ce titre, l’Agence invite les sociétés prestataires de services Cloud souhaitant participer à cette phase expérimentale à la contacter.

Enfin, l’Anssi propose aux entreprises du Cloud souhaitant obtenir la qualification, de déposer leur candidature.

Pour en savoir plus : http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-informatique-nuage.html


                                                       * * * * * * * * * * *

(1) Article « Redressement productif : le gouvernement valide les plans cybersécurité, cloud et souveraineté télécom », publié par zdnet.fr, le 5 juin 2014 (http://www.zdnet.fr/actualites/redressement-productif-le-gouvernement-valide-les-plans-cybersecurite-cloud-et-souverainete-telecom-39802045.htm)

(2) « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) - référentiel d’exigences », Anssi, version du 30.07.2014.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2014

Le CSA bientôt régulateur des plateformes internet de contenus vidéo et musicaux ?

Dans son rapport annuel 2013, publié en avril dernier, le Conseil supérieur de l’audiovisuel a inscrit plusieurs propositions de modifications législatives et règlementaires. (1) Parmi ces propositions, il convient de souligner celles visant à prendre en compte l’évolution du secteur audiovisuel et à associer les acteurs de l’internet à la régulation audiovisuelle.

Selon le CSA, de nombreux opérateurs de services de communication électronique sont aujourd’hui de véritables médias de communication audiovisuelle. Il en va ainsi des plateformes d’échanges communautaires diffusant des contenus vidéo (tels YouTube, Dailymotion ou Netflix) et sonores (Spotify ou Deezer) ou des boutiques en ligne d’applications mobiles (iTunes ou AppStore par exemple). Or, il existe à l’heure actuelle un décalage certain entre les médias traditionnels (télévision et radio), soumis à la loi relative à la liberté de la communication de 1986, et ces nouveaux services accessibles en ligne.

Le CSA précise ainsi dans son rapport qu’il souhaite étendre le champ de ses compétences aux services en ligne diffusant des contenus audio et vidéo et propose, en conséquence, de modifier et compléter la loi de 1986 relative à la liberté de la communication. (2)

La notion de « services audiovisuels numériques » - Le Conseil propose d’intégrer à la définition légale des services audiovisuels, la notion de services audiovisuels numériques, à savoir « les services de communication au public par voie électronique mettant à disposition du public ou d’une catégorie de public des contenus audiovisuels ou sonores ».

Le contrôle du respect des règles et des principes moraux - Le CSA souhaite veiller au respect, par les services audiovisuels numériques, des principes moraux qu’il fait déjà appliquer aux services audiovisuels traditionnels (télévision et radio). Il s’agit de la protection de l’enfance et de l’adolescence, de la dignité de la personne humaine et de l’interdiction de l’incitation à la haine ou à la violence pour des raisons de race, de sexe, de moeurs, de religion ou de nationalité.

Pour ce faire, le Conseil envisage d’élaborer des règles auxquelles seront assujettis les éditeurs des services audiovisuels numériques ; règles dont le non-respect serait sanctionné par le CSA. En effet, ce dernier souhaite avoir la possibilité de prononcer à l’encontre des éditeurs fautifs, la suspension temporaire du service en cause ou une sanction pécuniaire, par exemple.

La prise d’engagements en échange de contreparties - Le Conseil propose de faire signer aux éditeurs de services audiovisuels numériques des conventions définissant des engagements, sur la base du volontariat. En contrepartie de ces engagements, les éditeurs de ces plateformes en ligne pourraient bénéficier d’un certain nombre d’avantages et d’un label. L’institution de ce nouveau régime de conventionnement volontaire serait inscrit dans la loi de 1986.

      - Les engagements : le CSA proposerait aux éditeurs des services audiovisuels numériques de faire leur choix parmi des engagements qu’il aura définis. Ces engagements pourraient concerner (i) « des obligations complémentaires aux règles fixées par le Conseil en matière de protection de l’enfance et de l’adolescence, de respect de la dignité de la personne humaine et de l’interdiction de l’incitation à la haine ou à la violence » ou (ii) « la déontologie des contenus, le pluralisme des courants sociaux culturels, la qualité et la variété des contenus, l’image de la femme, la diversité, l’exposition de la création européenne et d’expression originale française, la contribution au financement de la création, les tarifs sociaux, la gratuité ».

      - Les avantages commerciaux : dans son rapport, le CSA propose en contrepartie de la prise  d’engagements « l’accès du service aux offres des distributeurs dans des conditions raisonnables, équitables et non discriminatoires (ex: Orange, Free, etc.); la reprise obligatoire dans les outils de référencement de tout distributeur de services audiovisuels numériques ; la signalétique spécifique dans l’hypothèse où un mécanisme de signalisation serait mis en œuvre en accord avec les moteurs de recherche ; l’accès facilité aux œuvres audiovisuelles et cinématographiques ; la priorité d’accès aux soutiens publics alloués par les organismes sectoriels ou transverses dans des conditions définies par chacun des gestionnaires d’aides ».

    - Un label « site de confiance » : le Conseil envisage de délivrer un label aux éditeurs de sites ayant pris des engagements complémentaires en matière de protection de l’enfance. Ce label permettrait aux internautes d’identifier plus facilement ces éditeurs. En outre, le Conseil émet le souhait que les outils de contrôle parental, proposés aux abonnés par les FAI, soient en mesure de reconnaître ces labels pour filtrer les sites qui n'en possèdent pas.

Une procédure de règlement des différends - La loi de 1986 donne au Conseil une mission de règlement des différends qui s’applique aux litiges relatifs à la distribution de services de radio, de télévision ou de médias audiovisuels à la demande (SMAD). Le CSA souhaite soumettre les services audiovisuels numériques à cette procédure. Le Conseil pourrait ainsi être saisi par un éditeur, un distributeur de services, ou par un prestataire auquel ces personnes recourent, de « tout différend relatif à la reprise ou au référencement d’un service audiovisuel numérique (…), lorsque ce différend porte sur les conditions de la mise à disposition du public ou du référencement du service ou sur les relations contractuelles entre un éditeur et un distributeur de services audiovisuels numériques ».


   Ces propositions suscitent plusieurs remarques.

Les sites web, qu’il s’agisse de sites de commerce électronique, de services, d’information, de contenus participatifs, diffusant ou non des contenus audio et vidéo, sont actuellement soumis à la règlementation applicable au domaine du numérique (notamment la loi pour la confiance dans l’économie numérique, la règlementation applicable à l’édition, etc.). Ces sites n’opèrent donc pas dans une “zone de non-droit”.

Cependant, face à la convergence des médias (télévision/télévision connectée, radio/web radio etc.), on peut effectivement s’étonner du fait qu’une video ou un contenu audio restent soumis à des règlementations différentes suivant leur mode de diffusion : voie hertzienne ou réseau internet. Hormis des considérations d’ordre politique ou structurelle, il semble logique de traiter ces contenus, non plus par le biais du média diffuseur (TV-radio ou internet), mais par la catégorie même dont ces contenus relèvent (audio-video ou écrit).

   Le CSA souhaite profiter des travaux portant sur le projet de loi « Création » pour faire adopter ces différentes mesures. Pour mémoire, cette future loi doit transférer au CSA les missions et pouvoirs dévolus à la Hadopi. Initialement, ce projet de loi devait être présenté en Conseil des ministres avant l’été 2014. Toutefois, l’examen du projet de la loi vient d’être renvoyé à 2015. (3)

                                                                 * * * * * * * * * * *

(1) Rapport annuel 2013 du CSA, accessible à : http://www.csa.fr/Espace-Presse/Communiques-de-presse/Le-Conseil-superieur-de-l-audiovisuel-publie-son-rapport-annuel-2013

(2) Loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication.

(3) « L’examen de la loi création d’Aurélie Filippetti renvoyé à 2015 », publié sur lemonde.fr, le 4 juin 2014.


Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com

Juin 2014

E-commerce : les nouvelles obligations légales nécessitant une mise en conformité des sites web

La loi relative à la consommation (dite loi “Hamon”), adoptée le 17 mars 2014, transpose notamment la Directive européenne de 2011 relative aux droits des consommateurs. Cette nouvelle loi comprend des dispositions de natures très diverses, portant sur les actions de groupe, l’information et le renforcement des droits contractuels des consommateurs, le crédit à la consommation et l'assurance, les indications géographiques et la protection du nom des collectivités territoriales, la vente en ligne de lunettes et lentilles de vue, le renforcement des moyens de contrôle de la DGCCRF, et des dispositions diverses telles les règles applicables aux VTC. (1)

Parmi ces nombreuses dispositions, nous nous intéressons à celles modifiant les règles applicables aux contrats de vente en ligne B-to-C et aux dispositions renforçant les pouvoirs de la CNIL en matière de respect à la loi Informatique et Libertés.

Ces nouvelles dispositions impliquent, pour la plupart d’entre elles, que les exploitants de sites de e-commerce (vente de biens et de prestations de services) mettent à jour leurs conditions générales de vente ou d’utilisation (CGV/CGU), ainsi que certaines catégories d’informations mentionnées sur leurs sites internet, et adaptent, le cas échéant, leur logistique et organisation interne (conditions de livraison et de retour de marchandise).

Cette mise en conformité doit intervenir rapidement, puisque la plupart des nouvelles dispositions entrent en vigueur le 13 juin 2014. Elles s’appliquent donc à tous les contrats conclus à compter du 14 juin.


1. Une obligation d’information renforcée vis-à-vis des consommateurs

La nouvelle réglementation vient renforcer l’obligation d’information et de transparence de la part des vendeurs professionnels. Cette information, qui doit être claire et compréhensible pour le consommateur, doit être fournie dès la période pré-contractuelle.

    1.1 L’information pré-contractuelle
Avant la conclusion du contrat, la réglementation exige que l’internaute soit informé sur plusieurs points. Ces informations sont les mêmes pour les vendeurs de biens et les prestataires de services, à savoir notamment : l’identité du e-commerçant, les caractéristiques essentielles des biens ou des services proposés, le prix ou son mode de calcul, les conditions de livraison, l’existence de garanties et leurs conditions, l’existence ou non d’un droit de rétractation et ses modalités d’exercice, l’existence de codes de bonne conduite, etc.

L’absence de certaines de ces mentions peut être lourde de conséquences pour le vendeur (tel le rallongement du délai de rétractation à 12 mois).

    1.2 L’information pendant la passation de la commande en ligne
Le professionnel doit accompagner et informer l’internaute tout au long du processus de passation de commande.

A ce titre, et même si cela peut paraître évident, le professionnel doit indiquer de manière très claire que la commande entraîne une obligation de paiement et que la sélection d’options supplémentaires - par le biais d’une case à cocher, par exemple - occasionne des frais additionnels.

    1.3 L’information après la conclusion du contrat
Enfin, l’obligation d’information se poursuit après la conclusion du contrat. Le professionnel doit adresser à l’internaute une confirmation de sa commande et joindre à cette confirmation une copie des CGV ou CGU ainsi qu’un formulaire de rétractation. Ces documents doivent être communiqués sur un support durable, par exemple en pièces jointes à un email de confirmation de commande, sous format .pdf. (2)

En cas de litige, la charge de la preuve du respect de cette obligation d’information incombe au professionnel.


2. Les nouvelles conditions d’exécution des contrats B-to-C

La nouvelle réglementation modifie certaines conditions d’exécution des contrats conclus en ligne telles que les conditions de livraison, et les conditions relatives au droit de rétractation.

    2.1 La livraison, le transfert des risques et les garanties
Les délais d’exécution du contrat : le professionnel doit livrer le bien ou fournir le service à la date ou dans le délai indiqué au consommateur. A défaut de délai stipulé, la livraison ou l’exécution de la prestation doit intervenir au plus tard 30 jours après la conclusion du contrat.

Les risques supportés par le professionnel : lorsque le vendeur se chargera de l’acheminement du bien vendu, le risque de perte ou de détérioration de ce bien ne sera transféré au consommateur qu’au moment où ce dernier en prendra physiquement possession. Le transfert des risques ne s’opère donc plus, comme précédemment, au moment de la conclusion du contrat de vente.

Toutefois, si le consommateur confie le transport à un prestataire autre que le transporteur proposé par le professionnel, le consommateur supporte alors le risque de perte du bien dès le transport.

Les garanties dues en cas de vente : le consommateur qui achète un bien bénéficie de trois types de garanties : la garantie légale de conformité, la garantie légale des vices cachés et la garantie commerciale, cette dernière garantie n’étant pas obligatoire. L’objet de ces garanties est d’obtenir,  dans certaines conditions, la réparation ou le remplacement du bien défectueux.

La nouvelle règlementation oblige le professionnel à informer le consommateur quant à ces garanties et notamment à préciser dans les CGV l’existence, les conditions de mise en oeuvre et le contenu des garanties légales et, le cas échéant, d’une garantie commerciale et d’un service après-vente. En outre, le Code de la consommation modifié dispose que la garantie commerciale doit faire l’objet d’un écrit, comportant certaines mentions obligatoires.

    2.2 La responsabilité de plein droit
Le professionnel est responsable de plein droit à l'égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d'autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Le vendeur peut s'exonérer de tout ou partie de sa responsabilité vis-à-vis de l’acheteur en rapportant la preuve que l'inexécution ou la mauvaise exécution du contrat est imputable soit au consommateur, soit au fait, imprévisible et insurmontable, d'un tiers au contrat, soit à un cas de force majeure.

Ce régime de responsabilité n’est pas nouveau puisqu’il existe depuis l’entrée en vigueur de la loi pour la confiance dans l’économie numérique de 2004. Il est confirmé dans la loi de mars 2014.

    2.3 Le droit de rétractation
Le délai de rétractation : le professionnel a désormais l’obligation d’accorder au consommateur un délai 14 jours, et non plus 7 jours, pour faire jouer son droit de rétractation. Ce délai commence à courir, soit à compter de la conclusion du contrat - pour les prestations de services, soit à compter de la réception du bien par le consommateur ou un tiers désigné (hors transporteur) - pour la vente.

Ce droit doit pouvoir être exercé au moyen d’un formulaire de rétractation mis à disposition du consommateur par le commerçant, ou toute autre déclaration, dénuée d’ambiguïté, exprimant la volonté de se rétracter.

Le droit de rétractation ne s’applique pas à tous les achats sur internet. Certains contrats, par leur objet, n’ouvrent pas droit à la faculté de rétractation ; les cas d’exclusion du droit de rétractation étant plus nombreux qu’auparavant.

La restitution du bien : le consommateur doit restituer le bien au plus tard, dans les 14 jours suivant la communication de sa décision de se rétracter. La réglementation antérieure ne fixait pas de délai de restitution. 

Le délai de remboursement : en outre, le délai de remboursement par le professionnel au consommateur est réduit de 30 à 14 jours à compter de la date de rétractation, soit potentiellement avant même d'avoir reçu les biens en retour. Le vendeur risque donc d’être dans des situations où il aura remboursé le bien alors que celui-ci n’a pas été renvoyé, ou que le bien a été renvoyé mais dans un état ne permettant pas de le remettre en vente.


3. Le renforcement des contrôles de conformité à la loi Informatique et Libertés

Les sites de commerce électronique collectent des informations relatives à leurs clients (nom, prénom, adresse email, etc.) au moment de l’inscription sur le site ou de la passation de la commande. La loi Informatique et Libertés de 1978 encadre le traitement de ces données à caractère personnel. (3) Elle détaille en outre les missions et pouvoirs dévolus à la CNIL. La loi Hamon vient d’étendre ses pouvoirs de contrôle.

    3.1 Rappel des obligations issues de la loi Informatique et Libertés
Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles. La collecte et le traitement des données personnelles doivent respecter les principes de loyauté et de proportionnalité définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de ce traitement, telles que : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) respecter la finalité du traitement, (iii) conserver les données pendant une durée raisonnable, (iv) assurer l’intégrité des données en adoptant des mesures de sécurité et (v) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

    3.2 Les pouvoirs de contrôle de conformité étendus de la CNIL
Depuis 2004, les agents de la CNIL sont habilités à effectuer des contrôles de conformité sur place, c’est-à-dire dans les locaux des entreprises à partir desquels des traitements de données personnelles sont mis en oeuvre. Ces contrôles sont généralement réalisés à la suite de plaintes d’utilisateurs et de manière inopinée. Les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi ou encore se faire assister par des experts.

La loi Hamon modifie la loi Informatique et Libertés en prévoyant désormais la possibilité pour la CNIL d’effectuer des contrôles de conformité à distance. Les agents de la CNIL seront habilités à : (i) procéder à toute constatation utile à partir d’un service de communication au public en ligne, (ii) consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données, le temps nécessaire aux constatations, et (iii) retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

A la suite des investigations, un procès-verbal de contrôle sera dressé de façon unilatérale et notifié a posteriori à l’entreprise concernée, simplement pour observation. (4)


4. Les sanctions encourues en cas de manquement à la loi Hamon

Les manquements aux dispositions de la loi du 17 mars 2014 relatives notamment à l’obligation d’information des consommateurs, le droit de rétractation et la protection des données personnelles sont assortis de sanctions de nature pénale.

L’information des internautes : tout manquement à l’obligation d’information sera passible d’une amende administrative d’un montant maximal de 3.000€ pour une personne physique et 15.000€ pour une personne morale.

L’obligation de livraison : à défaut de livraison dans les délais, le consommateur peut demander la résolution du contrat de vente. Dans ce cas, le professionnel est tenu de rembourser le consommateur de la totalité des sommes versées, au plus tard dans les 14 jours suivant la date à laquelle le contrat a été dénoncé. La somme versée par le consommateur est de plein droit majorée de 10% si le remboursement intervient plus de 30 jours après ce délai, de 20% jusqu'à soixante jours et de 50% au-delà.

Le droit de rétractation : en cas d’absence d’information précontractuelle sur l’existence du droit de rétractation, le délai de rétractation de 14 jours passe à 12 mois.

Par ailleurs, le professionnel qui ne rembourse pas au consommateur "rétracté" la totalité des sommes versées dans le délai légal de 14 jours se voit - sauf exception - appliquer de plein droit des pénalités croissantes avec le retard de remboursement (taux d’intérêt légal et au-delà de 10 jours de retard, pénalités calculées en pourcentage du prix de vente du bien).

Enfin, les manquements aux conditions d’exercice du droit de rétractation, ainsi que ses effets, sont passibles d’une amende administrative s’élevant à 15.000€ pour une personne physique et 75.000€ pour une personne morale.

La protection des données personnelles : la nouvelle règlementation n’a pas modifié les sanctions en cas de non-respect de la loi Informatique et Libertés.

Pour rappel, à l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€ (allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.

La CNIL peut également rendre publiques les sanctions qu’elle prononce, en procédant à leur publication sur son site ou en ordonnant leur insertion dans la presse, aux frais de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Indépendamment des sanctions administratives, l'entreprise qui n'a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible de sanctions pénales pouvant atteindre 300.000€ d’amende et cinq ans d'emprisonnement.


   Dans ce contexte, il est recommandé aux exploitants de sites de commerce électronique qui n’auraient pas encore fait cette mise à jour, de faire réaliser, dans les meilleurs délais, un audit de conformité juridique de leur site. Il convient également de porter une attention particulière au processus de passation de commande, à la procédure d’acceptation des CGV/CGU et à la communication effective des documents contractuels à l’acheteur. Enfin, il appartient aux responsables de traitement de données de s’assurer de la conformité des traitements réalisés et si nécessaire, de faire procéder à des audits de conformité à la loi Informatique et Libertés.

                                                      * * * * * * * * * *

(1) Loi n°2014-344 du 17 mars 2014 relative à la consommation et Directive européenne n° 2011/83 du 25 octobre 2011 relative aux droits des consommateurs.

(2) Au sujet de la validité et de l’opposabilité des CGV, voir notre article http://dwavocat.blogspot.fr/2012/10/e-commerce-les-conditions-de-validite.html

(3) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Au sujet des nouveaux pouvoirs d’enquête de la CNIL, voir notre article http://dwavocat.blogspot.fr/2014/03/donnees-personnelles-vers-un.html



Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com

Juin 2014

Droits d’utilisation des logiciels : de la nécessaire gestion des licences au sein de l’entreprise

Les modes d’utilisation des logiciels se sont multipliés, que ce soient les logiciels installés (dans l’entreprise ou sur des machines identifiées), ou une utilisation via des serveurs virtuels, en Cloud, avec un PC classique, ou depuis des appareils mobiles (tablettes, voire smartphones).

Une étude récente sur les audits menés par les éditeurs de logiciels, conduite par la société de conseil IDC auprès de 1398 entreprises, indique que les éditeurs de logiciels n’hésitent plus à auditer les entreprises utilisatrices afin de contrôler la conformité de l’utilisation de leurs logiciels aux licences conclues. En cas de non-respect des conditions de licence, les éditeurs réclament le règlement des surplus de redevances, éventuellement augmentés de pénalités. Les sommes réclamées peuvent aller de quelques milliers à plusieurs millions d’euros. (1)

Même si la multiplication des modes d’utilisation rend le suivi des licences particulièrement difficile à gérer pour l’entreprise et la DSI, cette question est primordiale dans le cadre d’une bonne gouvernance juridique et financière de l’entreprise.


1. Contrat de licence, droits d’utilisation du logiciel et gestion des licences

Le logiciel est une oeuvre de l’esprit protégée par le droit d’auteur. L’auteur (l’éditeur du logiciel) dispose des droits exclusifs sur l’oeuvre et décide donc de sa commercialisation et des conditions applicables, notamment en termes de calcul des redevances. (2) Ainsi, bien qu’en droit français, il n’existe aucune disposition spécifique dans le code de la propriété intellectuelle concernant la licence d’utilisation de logiciel, l’utilisation d’un logiciel propriétaire est soumise à l’autorisation du titulaire des droits sur ce logiciel. (3)

Les droits accordés aux utilisateurs sont décrits dans le contrat de licence. Les tribunaux ont reconnu la validité des différentes formes de licences, du format papier classique aux contrats d’adhésion comme les licences dites “shrink-wrap” pour les logiciels emballés, ou les licences “click-thru” pour les logiciels téléchargeables.

Les droits accordés diffèrent suivant les éditeurs et les logiciels concernés. Les droits d’utilisation peuvent ainsi être limités selon un type ou un nombre de postes déterminé, un nombre d’utilisateurs nommés, un volume d’utilisation, etc. Les limitations peuvent également être géographiques : limitation par site ou établissement (société disposant de plusieurs établissements), par pays ou encore par région.

De même, le calcul des redevances d’utilisation diffère selon les éditeurs et les modes d’utilisation : versement d’une redevance unique et forfaitaire, abonnement périodique calculé en fonction du nombre de postes ou du volume d’utilisation, redevances évolutives en fonction des montées de version du logiciel, etc.

Comme mentionné plus haut, la multiplication des modes d’utilisation des logiciels dans l’entreprise rend le suivi et la gestion des licences - donc des droits accordés par l’éditeur - de plus en plus difficile à gérer pour les équipes IT. Même si les outils de gestion de licence (ou software license optimization tools) sont de plus en plus déployés, il ressort de l’étude IDC précitée que la majorité des entreprises utiliseraient plusieurs méthodes de suivi des licences, y compris le suivi manuel (via des tableurs). Cependant, de nombreuses entreprises n’ont toujours aucune méthode de suivi de conformité des logiciels utilisés par rapport à leurs contrats de licence.

Or, en sus de se mettre en situation de manquement à leurs obligations contractuelles, les entreprises fautives courent plusieurs risques.

Outre le risque financier (paiement des redevances supplémentaires, éventuellement augmentées de pénalités), l’éditeur peut décider de résilier la licence d’utilisation pour violation des obligations contractuelles, voire même poursuivre l’entreprise contrevenante pour contrefaçon de ses droits de propriété intellectuelle. 

La résiliation du contrat de licence peut être extrêmement pénalisante pour l’entreprise dont une partie de l’activité reposerait sur l’utilisation du logiciel en cause, l’obligeant à identifier un logiciel équivalent sur le marché et à transférer les données traitées vers le nouvel outil, souvent dans des délais très brefs.

Par ailleurs, les poursuites judiciaires qui seraient intentées par l’éditeur contre l’entreprise contrevenante nécessiteront la mobilisation de personnels internes et de consultants externes (avocats, experts, etc.), entraînant des coûts importants pour celle-ci.


2. Les clauses d’audit et le contrôle de conformité aux licences logiciel

La licence étant de nature contractuelle, le non-respect - volontaire ou non - des conditions d’utilisation du logiciel met l’entreprise utilisatrice en situation de manquement à ses obligations contractuelles.

Nombre d’éditeurs incluent dans leur contrat de licence une clause d’audit de conformité. Cette clause d’audit leur donne la possibilité de contrôler les conditions d’utilisation du logiciel et la conformité de cette utilisation aux clauses contractuelles. L’entreprise utilisatrice s’engage généralement à tenir un journal de suivi des licences devant correspondre aux droits accordés par la licence.

Lors d’un audit, en cas d’écarts constatés entre les droits accordés et l’utilisation réelle par l’entreprise auditée, un rapport d’audit est établi. L’entreprise est alors sommée de régler les redevances supplémentaires correspondant à l’utilisation effective du logiciel, parfois accompagnées de pénalités pour utilisation abusive et non autorisée du logiciel, et/ou facturation des frais d’audit à la société.

Même si ces clauses peuvent être rédigées en termes très généraux, elles peuvent également prévoir de limiter le nombre d’audits sur une période donnée (un audit au maximum par périodes de 12 mois par exemple) et prévoir qu’en cas de dépassement des droits inférieur à un pourcentage donné (5 ou 10% par exemple), la société ne sera pas tenue de régler les redevances supplémentaires.

Les clauses d’audit de conformité sont de plus en plus présentes dans les contrats de licence. Ces clauses font souvent l’objet de négociations sur les conditions d’audit, l’application de pénalités en cas de dépassement des droits d’utilisation et la durée pendant laquelle l’audit pourra être conduit après la résiliation ou l’expiration du contrat de licence.


Les éditeurs tendent à utiliser de plus en plus leur faculté d’audit pour contrôler la conformité de l’utilisation de leurs logiciels aux droits conférés par la licence. Malgré la complexité du suivi des licences dans l’entreprise, il est indispensable de mettre en place des méthodes rigoureuses de gestion des licences logicielles. Les entreprises utilisatrices doivent être vigilantes non seulement sur le suivi des licences, mais également sur les évolutions de leur activité, telles que l’ouverture de nouveaux établissements, la création de filiales, en France ou à l’étranger, le passage au Cloud, toutes ces évolutions ayant un impact sur les licences.

En parallèle, il est fortement recommandé de mettre en place une charte informatique dans l’entreprise, et ce quelle que soit sa taille. Cette charte, véritable outil pédagogique pour les salariés, mais aussi disciplinaire, devra notamment préciser les conditions d’utilisation des équipements, et des logiciels, mis à la disposition des collaborateurs de l’entreprise, la possibilité ou l’interdiction de télécharger des logiciels pour une utilisation dans le cadre de leur activité professionnelle, éventuellement les conditions d’utilisation de leurs propres outils informatiques dans un cadre professionnel (BYOD). Ce document devra être revu et mis à jour régulièrement afin de suivre les évolutions des technologies et des usages.

                                                          * * * * * * * * * * *

(1) Voir le rapport intitulé 2013-14 Key trends in software pricing and licensing survey: software license audits: costs & risks to enterprises, commandité par Flexera Software

(2) Article L.112-2 du Code de la propriété intellectuelle. Par ailleurs, la licence d'utilisation d'un logiciel n'est pas définie, dans le Code de la propriété intellectuelle, contrairement aux règles de cession des droits de propriété intellectuelle qui suivent les dispositions de l’article L.131-3 du Code de la propriété intellectuelle.

(3) L’arrêt de la CJUE C-128/11 UsedSoft GmbH / Oracle International Corp du 3 juillet 2012 ne remet pas en question la notion de limitations aux droits d’utilisation du logiciel. Ainsi, un logiciel qui aurait été “revendu” par un premier utilisateur “légitime” i) ne pourra plus être utilisé par ce premier utilisateur et ii) ne pourra être utilisé par l’acquéreur que dans les limites autorisées par l’éditeur (limites en nombre de postes, limites géographiques, etc.).

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2014