La simple commande d’un site web n’emporte pas la cession des codes sources au client

De très nombreuses prestations de développement de sites internet sont réalisées sur la base de devis ou bons de commande, non accompagnés d’un contrat de prestation ou ne comprenant pas de stipulation relative à la propriété intellectuelle du site. Or, en l’absence de stipulation claire en matière de cession de droits de propriété intellectuelle, le client est dépendant du prestataire. Il ne disposera que du droit d’utilisation de “son” site et ne pourra le faire évoluer sans l’accord du prestataire. D’autres contrats de prestation de développement stipulent que le prestataire conserve les droits de propriété intellectuelle, notamment sur les codes sources. Se posera alors la question de la pérennité du site au regard de son hébergement technique (possibilité de faire migrer le site vers un nouveau prestataire d’hébergement ou d’internaliser cette prestation) et surtout de son évolution fonctionnelle.

Un jugement du tribunal de commerce de Besançon de mars 2016 a rappelé ces principes, aux dépends du client. (1)


1. Les faits

Courant 2011, la société LDG Constructions avait commandé à la société Mediacom Studio le développement de sites internet pour les sociétés de son groupe, ainsi que la réservation des noms de domaine et l’hébergement des sites. Le contrat d’hébergement était renouvelable annuellement par tacite reconduction. A la fin de la première année, le contrat a été reconduit pour une nouvelle durée d’un an.

Dans un courrier du 8 mars 2013, la société LDG Constructions informait le prestataire de son souhait de reprendre l’hébergement de ses sites web en interne et lui demandait des précisions sur les modalités de transfert de l’hébergement des sites des sociétés du groupe afin de garantir leur bon fonctionnement et d’éviter toute coupure.

La société Mediacom Studio a considéré que LDG Constructions avait pris la décision de résilier son contrat d’hébergement à la date d’échéance annuelle, ce que LDG Constructions contestait. Mediacom Studio a informé la société LDG Constructions que la résiliation du contrat d’hébergement des sites mettrait un terme au droit d’utilisation des sites. Les sites web des sociétés du groupe ont donc été coupés le 12 mai 2013, à l’échéance du contrat d’hébergement.

La société LDG Constructions a assigné la société Mediacom Studio pour résiliation fautive du contrat d’hébergement.

Le litige portait notamment sur la question de déterminer si le courrier du client du 8 mars 2013 pouvait être analysé comme la résiliation du contrat d’hébergement à son échéance annuelle et la cessation du droit d’utilisation des sites web développés par Mediacom Studio.

En effet, les droits de propriété intellectuelle sur les sites n’avaient pas été cédés à la société LDG Constructions. La résiliation du contrat d’hébergement des sites a donc entraîné leur suspension.


2. La décision

Dans un jugement du 23 mars 2016, le tribunal de commerce de Besançon a suivi les arguments de la société prestataire en constatant que par son courrier du 8 mars 2013, la société LDG Constructions avait effectivement dénoncé le contrat d’hébergement.

Les juges rappellent par ailleurs le principe de protection des logiciels. Conformément à l’article L.112-2 13° du code de la propriété intellectuelle, les logiciels sont considérés comme oeuvre de l’esprit et à ce titre, protégés par le droit de la propriété intellectuelle.

En l’espèce, conformément au contrat conclu entre les parties, les droits de propriété intellectuelle sur les codes sources n’avaient pas été cédés au client. Le prestataire était donc fondé à refuser de communiquer le code source des sites internet à la société LDG Constructions. La cessation du contrat d’hébergement avec le prestataire entraînait ainsi automatiquement la coupure des sites internet.


    En conclusion, le développement d’un site web, a fortiori si celui-ci est utilisé à des fins commerciales, doit faire l’objet d’une analyse préalable concernant la propriété intellectuelle. Le site peut être développé sur une plateforme open source ou en mode propriétaire. Dans ce dernier cas, sous réserve du critère d’originalité, le site sera protégé par le droit d’auteur. Les développements appartiendront à leur auteur, à savoir en principe, au prestataire. Si la question de la propriété intellectuelle n’est pas visée dans les documents de commande ou dans le contrat, ou si les droits ne sont pas expressément cédés au client, celui-ci ne disposera que du droit d’utilisation du site, limité dans le temps.


                                                                      * * * * * * * * * * * *

(1) T com. Besançon, jugement du 23 mars 2016, LDG Constructions c. Mediacom Studio


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

Audit de licences de logiciels - Oracle condamné en appel pour mauvaise foi et déloyauté

 

La cour d’appel de Paris, statuant sur l’appel du jugement du Tribunal de grande instance de Paris du 6 novembre 2014, a confirmé la condamnation de la société Oracle pour ses pratiques agressives en matière d’audit de licences de logiciels. (1)


1. Les faits : incertitude et désaccord sur le périmètre de la licence des logiciels

L’Association nationale pour la formation professionnelle des adultes (AFPA) a attribué en 2002 un marché de fourniture de services informatiques à l’intégrateur Sopra Group (devenu Sopra Steria), prestataire agréé de la société Oracle. Cette société avait remporté l’appel d’offres avec la solution Oracle E-Business Suite. Le marché a pris fin en 2005. Lors de la reprise des contrats par la société Oracle, celle-ci a décidé d’organiser deux audits de licences. Le second audit a été suspendu alors que l’AFPA lançait un nouvel appel d’offres, auquel la société Oracle a décidé de répondre. Le nouveau contrat ne lui ayant pas été attribué, la société Oracle a repris l’audit qu’elle avait suspendu. A l’issue de cet audit, Oracle a conclu que l’AFPA utilisait 885 licences du logiciel Purchasing sans en avoir acquis les droits car selon Oracle, ce logiciel faisait partie d’une autre suite logicielle.

Après deux ans de négociations infructueuses, les sociétés Oracle Corporation, Oracle International Corporation et Oracle France ont assigné l’AFPA pour contrefaçon du logiciel Purchasing pour lequel l’AFPA n’aurait pas acquis les droits d’exploitation. L’AFPA a alors appelé en garantie la société Sopra Group.


2. Le jugement du TGI : le litige n’est pas un litige de contrefaçon mais porte sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution

Devant le TGI, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Par ailleurs, l’AFPA explique que le logiciel Purchasing était intégré dans la suite logicielle Financials, objet du premier marché de fourniture accordé à Sopra Group. L’AFPA indiquait en outre que si le tribunal devait en juger autrement, le contrat a toutefois été exécuté de bonne foi car le logiciel Purchasing avait été installé sur son système informatique par Sopra, prestataire agréé d’Oracle.

Les juges ont estimé que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.”

Ainsi, selon les juges du fond, la question posée ne relevait pas du droit d'auteur, mais du droit des contrats. En effet, le tribunal a jugé qu’il "n’est à aucun moment soutenu que l’AFPA aurait utilisé un logiciel cracké ou implanté seule un logiciel non fourni par la société Sopra Group, ni même que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, le litige soumis au tribunal n’est pas un litige de contrefaçon mais bien un litige portant sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution."


3. La décision de la cour d’appel : la demande en contrefaçon est recevable, mais mal fondée ; Oracle a fait preuve de mauvaise foi et déloyauté
 

Dans un arrêt du 10 mai 2016, la cour d’appel de Paris va cependant infirmer le jugement sur le fondement de la demande, mais néanmoins retenir la responsabilité des société Oracle pour mauvaise foi et déloyauté.

Contrairement au TGI, la cour considère la demande en contrefaçon recevable, mais mal fondée et examine si l’AFPA et Sopra avaient manqué à leurs obligations contractuelles en installant et en utilisant le logiciel Purchasing. La cour a estimé "qu’en installant et en utilisant le module PO, se rattachant pour le moins au logiciel Purchasing et inclus dans le périmètre du marché Mosaïc, lequel a été dûment payé, la société Sopra Group et l’AFPA n’ont manqué à aucune de leurs obligations contractuelles ; qu’aucun acte de contrefaçon ne peut donc leur être reproché par la société Oracle International Corporation”.

La cour a en revanche retenu les demandes reconventionnelles en dommages-intérêts de l’AFPA et de Sopra pour avoir agi avec mauvaise foi et déloyauté envers ces deux organisations. Elle a estimé qu’Oracle avait profité à deux reprises de son droit contractuel de procéder à des audits, de manière à faire pression et obtenir la souscription de nouvelles licences incluses dans l’offre de 2001.

Les sociétés Oracle Corporation, Oracle International Corporation et Oracle France sont condamnées à verser 100.000 € à l’AFPA et la même somme à Sopra au titre des dommages-intérêts et 100.000 € à chacune au titre de l’article 700 (frais de procédure). L’arrêt fait l’objet d’un pourvoi en cassation.


    Comme rappelé dans notre précédent article sur cette affaire,(2) la complexité de certaines licences de logiciel, voire même de certains contrats SaaS, peut rendre la procédure d’audit de licence de logiciel très conflictuelle, entre un client-utilisateur de bonne foi et l’éditeur de logiciel, en désaccord sur le périmètre de la licence. Les utilisateurs font de plus en plus de résistance face aux audits ,qu’ils ressentent parfois comme abusifs, et n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu. Les audits de licence sont néanmoins une pratique légitime des éditeurs et l’abus ou la mauvaise foi de l’éditeur devra pouvoir être prouvée en cas de poursuites judiciaires.


(1) CA Paris, pôle 5, ch. 1, arrêt du 10 Mai 2016, Oracle France, Oracle Corporation, Oracle International Corporation / AFPA, Sopra Steria Group

(2) Voir notre précédent article sur le sujet “La conduite et les conclusions des audits de licences de logiciel contestées en justice”

Les apports de la loi pour une République numérique dans le domaine de la protection des données personnelles

Le droit de la protection des données évolue. Après la publication du règlement européen sur la protection des données (RGPD) le 27 avril dernier, (1) la loi pour une République numérique, adoptée le 7 octobre 2016 comporte plusieurs dispositions qui viennent modifier la loi Informatique et Libertés.(2) Certaines dispositions anticipent d’ailleurs l’entrée en vigueur du RGPD.

Nous faisons une synthèse ci-après des principales dispositions relatives aux données personnelles. Ces dispositions s’articulent sur deux axes : un renforcement des droits des personnes sur leurs données et un élargissement des pouvoirs et des compétences de la Commission nationale de l’informatique et des libertés (CNIL).


1. Les droits des personnes sur leurs données

    - Le principe de la maîtrise de ses données
La loi affirme le principe de la maîtrise par chaque individu de ses données. L’article 1er de la loi Informatique et Libertés comporte un nouvel alinéa qui dispose que “Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.” Ce droit se retrouve dans plusieurs dispositions de la loi Informatique et Libertés qui évoluent dans ce sens.

    - Un droit à l’oubli pour les mineurs est désormais prévu, à l’article 40 II de la loi Informatique et libertés.
Ce droit est soumis à une procédure accélérée. Ainsi, lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement de ses données dans les meilleurs délais, ou un délai maximum d’un mois. En l’absence de réponse de la plateforme, ou de réponse négative, dans un délai d’un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour répondre.

    - Le sort des données personnelles après la mort de la personne concernée figure à l’article 40-1 de la loi Informatique et libertés.

Dans une décision du 8 juin 2016, le Conseil d’Etat a confirmé la position de la CNIL refusant de donner accès aux données à caractère personnel d’une employée décédée, à ses ayants droit. En l’espèce, les ayants droit d’une personne décédée en 2012 avaient demandé à son employeur de leur communiquer le relevé des appels téléphoniques passés par la défunte pendant le mois de juillet 2012, depuis sa ligne professionnelle, afin de connaître le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès. Suite au refus de l’employeur, ils avaient porté plainte auprès de la CNIL qui avait refusé de donner suite à leur demande. Selon l’article 2 de la loi Informatique et Libertés, la personne concernée par un traitement est celle à laquelle se rapportent les données. L’ayant droit d’une personne décédée ne peut donc pas être considéré comme la personne concernée, au sens de la loi Informatique et Libertés. (3)

La loi Informatique et Libertés a été modifiée afin que désormais chaque personne puisse donner des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès. Une personne peut être désignée pour exécuter ces directives. Celle-ci aura alors qualité, lorsque la personne concernée est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.
Ces directives peuvent être générales, lorsqu’elles portent sur l’ensemble des données concernant une personne et peuvent être confiées à un tiers de confiance certifié par la CNIL.
Les directives peuvent être particulières, lorsqu’elles ne concernent que certains traitements de données. Elles peuvent alors être confiées aux responsables de traitement (réseaux sociaux, services ou site de commerce en ligne) qui les mettront en oeuvre lors du décès. La seule acceptation des conditions d’utilisation du site est insuffisante. Les modalités de mise en oeuvre sont soumises au consentement spécifique de la personne concernée.
En l'absence de directives données de son vivant par la personne concernée, ses héritiers pourront exercer certains droits, en particulier le droit d'accès, s'il est nécessaire pour le règlement de la succession du défunt et le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement des données.

    - La possibilité d'exercer ses droits par voie électronique est prévue à l’article 43 bis de la loi Informatique et Libertés qui impose, "lorsque cela est possible", de permettre à toute personne l’exercice des droits d'accès, de rectification ou d'opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

    - Enfin, l’information des personnes sur la durée de conservation de leurs données est prévue par l’article 32 de la loi Informatique et Libertés.
Les responsables de traitements doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.


2. L’élargissement des pouvoirs et des compétences de la CNIL

    - Le renforcement des pouvoirs de sanction de la CNIL
Le montant maximal des sanctions pouvant être imposées par la CNIL est revu à la hausse et passe de 150.000 € à 3 millions €. Ce nouveau plafond reste cependant en deçà des dispositions du RGPD qui prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

La formation restreinte de la CNIL pourra désormais ordonner que les organismes sanctionnés informent individuellement chacune des personnes concernées de la sanction, à leur frais.

La CNIL pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité.

    - Un rôle consultatif plus systématique
La CNIL sera saisie pour avis sur tout projet de loi ou de décret relatifs à la protection ou au traitement des données à caractère personnel. L’objectif de cette disposition est de permettre à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique.

Les avis de la CNIL sur les projets de loi seront automatiquement publiés, dans un but de transparence.

    - Des compétences étendues pour la CNIL
Elle hérite ainsi de nouvelles missions, à savoir :
- la promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;
- la certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation (ouverture des données publiques - open data). L’anonymisation des bases de données est en effet une condition essentielle à leur ouverture ou à leur partage ;
- la conduite d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques.


                                                  * * * * * * * * * * * *

(1) Pour rappel, le RGPD deviendra applicable dans l’Union européenne à partir du 25 mai 2018

(2) Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

(3) CE, 9é et 10é ch. réunies, décision du 8 juin 2016, M.-Mme D c/ Banque de France

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016