“Vers la fin des pratiques d’audits des éditeurs ? “

La Cour d’appel de Paris vient de trancher une question juridique déterminante pour les éditeurs de logiciel en concluant que le non-respect des termes d’une licence de logiciel relève des règles de la responsabilité contractuelle et non pas de celles de la responsabilité délictuelle applicable à la contrefaçon prévues à l’article L335-3 du Code de la propriété intellectuelle (Arrêt du 19 mars 2021- Pôle 5 – chambre 2, n° 19/17493).

Cette jurisprudence s’inscrit dans la ligne de précédentes décisions des chambres spécialisées en propriété intellectuelle de la Cour d’appel de Paris.

Déjà en 2016, la 1ère chambre du Pôle 5 avait sanctionné l’éditeur, sur le terrain de la responsabilité contractuelle, pour mauvaise foi et déloyauté, en lui reprochant d’avoir profité de son droit d’audit pour faire pression sur sa cliente en exigeant indûment des régularisations de licences de logiciels concernant l’utilisation d’un logiciel fourni par l’éditeur et non compris dans le périmètre de la licence (Arrêt du 10 mai 2016 – Pôle 5 – chambre 1, n° 14/25055).

En 2018, la Cour d’appel de Paris avait également demandé à la CJUE de trancher cette épineuse question dans le cadre d’une question préjudicielle (Arrêt du 16 octobre 2018 – Pôle 5 – chambre 1, , n° 17/02679). La CJUE ne s’était pas prononcée considérant qu’elle ne pouvait trancher que les faits de l’espèce qui portaient sur des modifications apportées aux codes-sources. Elle avait rappelé que le titulaire des droits de propriété intellectuelle sur le logiciel bénéficiait des dispositions de la directive 2004/48/CE relatives au respect des droits de propriété intellectuelle, indépendamment du régime de responsabilité applicable selon le droit national (CJUE, n° C-666/18, Arrêt de la Cour, IT Development SAS contre Free Mobile SAS). L’affaire n’avait pas eu de suite, les parties s’étant désisté de leur appel.

Les conséquences pratiques sont importantes :

  • L’éditeur devra prouver la faute de sa cliente et du préjudice qu’elle a subi, alors qu’en matière de contrefaçon, la bonne ou mauvaise foi est indifférente et le préjudice n’a pas à être démontré.
  • Le référentiel des métriques de licence sera celui du contrat de licence et non celui du jour de l’audit.
  • Le prix des licences supplémentaires à régulariser sera celui convenu au contrat et non pas le prix public.
  • Les Tribunaux de commerce pourront se déclarer compétents sans renvoyer vers les Tribunaux judiciaires spécialisés en propriété intellectuelle.
  • La saisie contrefaçon ne sera pas autorisée.

Rappelons que la Cour d’appel d’Aix-en-Provence s’est également inscrite dans la voie des décisions plus favorables aux bénéficiaires des licences en considérant, sur le terrain délictuel de la contrefaçon, que le calcul du préjudice pour le paiement des redevances supplémentaires devaient avoir comme base le prix contractuel et non le prix public, qui aurait abouti à majorer le montant du préjudice (Arrêt du 5 mars 2020 Chambre 3-1, 5 mars 2020, n° 17/15324).

Cookies & autres traceurs : plus que quelques jours pour vous mettre en conformité

Le 31 mars 2021 au plus tard, toutes opérations de lecture et/ou d’écriture d’information dans l’équipement de l’utilisateur devront être conformes aux règles législatives applicables.

La délibération de la CNIL du 17 septembre 2020 les rappelle : 

  • interdiction de déposer des cookies sans consentement préalable de l’utilisateur (la personne concernée),
  • information préalable claire et complète de l’utilisateur sur les finalités de chaque cookie,
  • possibilité pour l’utilisateur de s’y opposer.

En pratique, la bannière « cookies » doit laisser trois options à l’utilisateur : « tout accepter », «  tout refuser » ou « paramétrer » l’acceptation ou le refus pour chaque cookie assortie de sa finalité et de sa durée de rétention.

La Cnil n’a pas attendu cette date pour frapper et avait déjà lourdement sanctionné les sociétés Google LLC et Google Ireland Limited d’une amende record de 100 millions d’euros (voir notre actualité du 14 décembre 2020 sur notre site internet : poggi-avocats.com).

Cette décision ayant été assortie d’une astreinte très élevée par jour de retard, les sociétés Google ont demandé au juge des référés du Conseil d’Etat de suspendre son exécution au motif que :

  • La Cnil n’était pas compétente pour prononcer une telle injonction, cette compétence appartenant à l’autorité de contrôle de l’établissement principal du traitement en application du mécanisme dit du « guichet unique » prévu par l’article 56 du RGPD, soit l’autorité de contrôle Irlandaise,
  • Le montant de l’astreinte était trop élevé, soit 100 000 euros par jour de retard,
  • Le délai pour s’exécuter était trop réduit, soit jusqu’au 7 mars 2021.

Dans sa décision du 4 mars 2021, le Conseil d’état vient de rejeter cette requête pour trois raisons :

  • Le mécanisme du « guichet unique » prévu par le RGPD ne s’applique pas en matière de cookies. C’est l’article 15 bis de la directive  « ePrivacy » qui fixe  la compétence des autorités de contrôle des états membres,
  • Les articles 16 et 20 de la LIL autorisent la formation restreinte de la Cnil a prononcé toutes sanctions en cas de non respect des obligations découlant du RGPD et de la LIL et notamment, une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée,
  • Le délai de 3 mois est « raisonnable, compte tenu des moyens techniques dont disposent les sociétés Google et de la capacité d’adaptation dont elles se prévalent.

L’arsenal juridique est en place pour que la CNIL frappe vite et fort.

Workshop Agora DSI/CIO 10 Mars 17h à 18h « Comprendre les métriques des contrats SAAS »

Workshop Agora DSI/CIO du 10 Mars de 17h à 18h sur le thème « Comprendre les métriques des contrats SAAS »

POGGI AVOCATS IT anime un workshop en visioconférence organisé par son partenaire Agora DSI/CIO dans le cadre des sessions digitales de l’IT  sur le thème : « Comprendre les métriques des contrats SAAS ».

Pour en parler, nous serons avec Robert Eusebe, DSI de Ingerop, qui partagera son retour d’expérience.  

Il se déroulera en direct depuis le plateau TV Agora Managers et en visioconférence Teams afin de pouvoir interagir.  

Si vous souhaitez y participer, merci de m’adresser un email à aspoggi@poggiavocats.com en mettant en copie Julien Merali jmerali@agoramanagers.fr. Ce dernier est le General Manager de l’Agora DSI et vous fera parvenir une invitation Outlook comprenant les liens de connexion.