Violation de licence de logiciel et action en contrefaçon

/dans , /par

Cour de cassation, Chambre civile 1, 5 octobre 2022, 21-15.386, publié au bulletin

Anne-Sophie Poggi                Nicolas Taverna

Avocat à la Cour                     Avocat à la Cour

Dans sa décision du 5 octobre 2022 (Cour de cassation, Chambre civile 1, 5 octobre 2022, 21-15.386), la première chambre civile de la Cour de cassation a rendu un arrêt important, tranchant la saga judiciaire sur la possibilité pour un éditeur de logiciel d’agir en contrefaçon en cas de non-respect des termes d’un contrat de licence.

Un éditeur open source avait conçu un logiciel permettant la mise en place d’un système d’authentification unique, diffusé sous licence libre ou licence commerciale. Les sociétés Orange et OBS avaient intégré cette brique logicielle dans une solution de gestion des identités commercialisée à l’Etat.

Estimant que cette mise à disposition de son logiciel n’était pas conforme aux clauses de la licence libre, la société éditrice, après avoir fait procéder à une saisie contrefaçon, a notamment assigné les sociétés Orange en contrefaçon de droits d’auteur.

Le jugement du Tribunal de Grande Instance de Paris, confirmé sur ce point par un arrêt de la Cour d’Appel de Paris (19 mars 2021, pôle 5, chambre 2, 21-15.386), a déclaré l’action en contrefaçon irrecevable. L’éditeur du logiciel d’authentification a alors formé un pourvoi en cassation.

La règlementation Européenne. Pour rappel, la directive européenne 2004/48 du 29 avril 2004 relative au respect des droits de propriété intellectuelle impose aux états membres d’accorder des garanties procédurales et de réparation minimums pour toute atteinte aux droits de propriété intellectuelle. Ces dernières comprennent la possibilité de voir ordonner la saisie des marchandises contrefaites et  d’allouer un montant forfaitaire de dommages et intérêts, sur la base notamment du montant des redevances qui auraient dues être perçues.

Interrogée sur l’interprétation de cette directive, la Cour de Justice de l’Union Européenne, dans une décision rendue le 18 décembre 2019 (IT Development c. Free Mobile, aff. C-666/18) avait déjà conclu que cette directive couvre les atteintes résultant de manquements à une clause contractuelle relative à l’exploitation d’un programme d’ordinateur. La juridiction européenne avait toutefois précisé que le législateur national reste libre de définir la nature, contractuelle ou délictuelle, de l’action dont le titulaire des droits dispose.

La décision de la Cour d’appel de Paris. La décision de la Cour d’appel de Paris précitée, objet du pourvoi en cassation, rappelle qu’en droit français, une personne ne peut voir sa responsabilité contractuelle et sa responsabilité délictuelle engagées pour les mêmes faits. La responsabilité délictuelle doit être écartée au profit de la responsabilité contractuelle lorsque les parties sont liées par un contrat et que le dommage subi par l’une des parties résulte du non-respect des termes du contrat par l’autre partie.

La Cour d’appel avait relevé que la Cour de Justice de l’Union Européenne n’avait pas remise en cause ce principe dit de non-cumul des responsabilités délictuelle et contractuelle. Dès lors que les parties étaient liées par un contrat et qu’elles  invoquaient la violation d’une clause de ce contrat, la responsabilité délictuelle devait être écartée au profit de la responsabilité contractuelle. Par voie de conséquence, l’action en contrefaçon, assimilée à l’action délictuelle, devait être déclarée irrecevable.

La position de la Cour de cassation. La décision de la Cour d’appel de Paris précitée, objet du pourvoi en cassation, rappelle La première chambre civile de la Cour de cassation censure la décision de la Cour d’appel de Paris sur le fondement de quatre textes : l’article L. 335-3, alinéa 2, du code de la propriété intellectuelle, les articles 7 et 13 de la directive 2004/48/CE du Parlement européen et du Conseil, du 29 avril 2004, relative au respect des droits de propriété intellectuelle et l’article 1er de la directive 2009/24/CE du Parlement européen et du Conseil du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur.

Pour la Cour de cassation, la question soumise à la Cour d’appel ne relève pas du cumul de responsabilité mais de l’effectivité des garanties accordées à l’auteur en cas de violation de ses droits d’auteur.

Si la Cour de Justice de l’Union Européenne laisse aux états membres le choix de définir la nature, contractuelle ou délictuelle, de l’action dont le titulaire des droits dispose, ce dernier doit en toute hypothèse disposer des garanties minimums prévues par la directive 2004/48/CE relative au respect des droits de propriété intellectuelle.

Or la Cour de cassation relève que les dommages-intérêts consécutifs à l’inexécution des obligations nées du contrat ne peuvent, en principe, excéder ce qui était prévisible ou ce que les parties ont prévu conventionnellement.

Elle relève ensuite que le code de procédure civile n’offre pas de mécanisme aussi efficace que la saisie contrefaçon prévue par le code de la propriété intellectuelle.

En conséquence, la Cour constate que seule une action en contrefaçon offre au titulaire des droits d’auteur d’un programme d’ordinateur les garanties prévues par la directive 2004/48/CE relative au respect des droits de propriété intellectuelle.

Portée de la décision. Le titulaire du droit d’auteur d’un programme d’ordinateur est donc recevable à agir en contrefaçon en cas d’atteinte à ses droits de propriété intellectuelles résultant d’un manquement à une clause du contrat de licence.

Dans les contrats de licences comme dans les contrats SaaS, l’éditeur, titulaire des droits d’auteur, autorise son client à accéder et utiliser le logiciel hébergé par ses soins. Cette autorisation est très généralement assortie de nombreuses réserves, telles que le nombre maximum d’utilisateurs et autres limites d’utilisation.

Le client qui utilise l’application au-delà des conditions de licence prévues au contrat s’expose ainsi aux rigueurs d’une action pénale en contrefaçon et risque de se voir imposer une régularisation très onéreuse.

La négociation préalable de métriques de licence claires, assorties de mécanismes de contrôle et d’alerte en cas de dépassement de ces métriques, apparait ainsi indispensable pour le client d’une solution informatique « on premise » ou SaaS .

Publicités comportementales : Meta sanctionnée par l’autorité irlandaise de protection des données à une amende de 390 millions d’euros.

/dans , /par

La Commission irlandaise de protection des données (« Data Protection Commission ») a infligé une amende de 390 millions d’euros à Meta Platforms Ireland Limited (« Meta ») pour des traitements de données personnelles réalisés sur Facebook et Instagram en violation du RGPD.

La décision, annoncée le 4 janvier 2023, est la conclusion d’enquêtes diligentées à la suite de deux plaintes déposées respectivement en Autriche et en Belgique.

S’ils souhaitent continuer à avoir accès à Facebook et Instagram, les utilisateurs de ces plateformes sont invités à cliquer sur « J’accepte » pour indiquer qu’ils acceptent les conditions de service et leurs mises à jour.

Meta a adopté la position selon laquelle le traitement des données des utilisateurs est nécessaire à l’exécution du contrat, ce qui inclut la fourniture de services personnalisés comprenant des publicités personnalisées ou comportementales.

Les plaignants ont soutenu qu’en subordonnant l’accessibilité de Facebook et Instagram à l’acceptation par les utilisateurs des conditions de service mises à jour, Meta les « forçait » à consentir au traitement de leurs données personnelles à des fins de publicité comportementale et d’autres services personnalisés.

Les projets de décision préparés par la Commission irlandaise ont été soumis aux autres autorités nationales de protection des données de l’UE. En l’absence de consensus, les points litigieux ont été jugés par le Comité européen de protection des données (CEPD).

Le CEPD a estimé que Meta n’était pas en droit d’invoquer « l’exécution du contrat » comme base juridique des traitements réalisés à des fins de publicité comportementale.

Le CEPD a en outre confirmé la position de la Commission irlandaise relative à la violation par Meta de son obligation de transparence. Les informations sur les finalités et bases juridiques des traitements réalisés sur Facebook et Instagram n’ont pas été clairement exposées aux utilisateurs.

Meta, qui doit se mettre en conformité dans un délai de 3 mois, a annoncé son intention de faire appel.

Une décision similaire concernant WhatsApp est attendue prochainement.

Nouvelles obligations à la charge des fournisseurs de contenus ou services numériques en BtoC

/dans , /par

L’ordonnance n°2021-1247 du 29 septembre 2021 vient de transposer deux directives européennes visant à moderniser le cadre juridique de la protection des consommateurs quant à l’achat de produits connectés et de contenus et services numériques. Son objectif est de mieux sécuriser les consommateurs dans le domaine du numérique et de contribuer à réduire l’empreinte environnementale du numérique en renforçant la durabilité des biens et en favorisant les usages vertueux de ces derniers.

Son apport principal est la création d’une garantie légale de conformité :

  • sur les produits numériques à l’exception de certains services tels que les jeux d’argent et de hasard, les services financiers ou les documents administratifs ;
  • pour les contrats conclus entre professionnels et consommateurs mais également ceux conclus entre professionnels et non-professionnels ;
  • dès lors qu’ils sont à « titre onéreux », quel que soit le modèle de rémunération, tel qu’un avantage reçu par le professionnel au lieu ou en complément d’un prix par exemple la valorisation des données personnelles du consommateur.

La « conformité » sera déterminée soit selon les exigences prévues au contrat, soit selon des exigences objectives qui sont légitimement attendues du consommateur, telles que la durabilité d’un bien.

En cas de défaut de conformité, le fournisseur doit mettre en conformité le service ou le bien numérique (via sa réparation ou son remplacement), sans frais ni inconvénient majeur et dans un délai raisonnable ne pouvant dépasser 30 jours. A défaut, le consommateur a droit à une réduction du prix ou la résolution du contrat.

La durée de cette garantie pour les biens est de deux ans avec une présomption d’antériorité du défaut (charge de la preuve en faveur du consommateur) de deux ans également. Ces durées sont rallongées dans le cadre de la fourniture continue de contenus et services numériques (indépendamment de la vente du bien ou non) à la durée pendant laquelle lesdits contenus ou services sont fournis.

A défaut de respect de ces dispositions ou de mauvaise foi dans leur mise en œuvre, une nouvelle sanction civile pourra être prononcée à l’encontre du professionnel concerné.

Par ailleurs, l’ordonnance consacre un certain nombre de droits :

  • le droit aux mises à jour logicielles nécessaires au maintien de la conformité du bien,
  • le droit de refuser toute modification ultérieure des éléments numériques sous réserve que cette modification aille au-delà des dispositions contractuelles et ne soit pas nécessaire au maintien de la conformité du bien,
  • le droit de récupérer les contenus utilisés en cas de résolution du contrat.

Enfin, l’ordonnance étend à ces contrats de fourniture de contenus ou services numériques :

  • certaines dispositions applicables aux contrats de services de communications électroniques, à savoir l’information contractuelle, le plafonnement de la durée d’engagement des consommateurs à deux ans ou encore un délai de préavis maximum de dix jours lorsque le consommateur a droit à la résiliation ;
  • des obligations relatives à l’information des consommateurs, notamment sur les prix (y compris l’avantage reçu par le professionnel au lieu ou en complément d’un prix), et au contenu des conditions générales de vente ;
  • les sanctions administratives applicables en matière du droit de la consommation.

Ces nouvelles dispositions sont applicables à partir du 1er janvier 2022 aux contrats conclus à compter de cette date ainsi qu’à tout contrat de fourniture de contenus ou services numérique.

La CNIL condamne Le Figaro à une amende de 50 000 euros pour non-respect des règles en vigueur en matière de cookies

/dans , /par

Lors de plusieurs contrôles du site internet lefigaro.fr effectués sur une période de 2 ans, la CNIL a constaté des manquements aux règles en vigueur en matière de gestion des cookies.

Ainsi, et malgré la mise en place de plusieurs outils (plateforme de gestion du consentement, outils d’identification des cookies déposés…), des cookies publicitaires de tiers étaient déposés avant tout recueil du consentement de l’utilisateur ou malgré son refus.

L’origine des cookies installés n’a pas d’incidence sur la responsabilité de l’éditeur du site,  dans la mesure où il a la maîtrise de son site et de ses serveurs. La CNIL a donc considéré, conformément à la jurisprudence en vigueur, que Le Figaro, en tant qu’éditeur du site internet, était responsable des cookies déposés par des tiers partenaires sur son site. A ce titre, Le Figora avait une obligation de moyen de s’assurer que ses partenaires respectent la législation en vigueur, notamment en matière de consentement de l’utilisateur.

Lire la décision

Sanction CNIL de 1,75 millions d’euros à l’encontre d’AG2R La Mondiale

/dans , /par

La CNIL a constaté que la société AG2R LA MONDIALE avait manqué aux obligations du RGPD relatives aux durées de conservation et à l’information des personnes.

  • Sur le principe de limitation de la durée de conservation des données, la CNIL a constaté qu’AG2R La Mondiale avait certes défini des durées de conservation mais que ces dernières n’étaient pas mis en œuvre dans ses systèmes.
  • Sur l’obligation d’information des personnes dans le cadre d’un démarchage téléphonique, la CNIL a relevé plusieurs manquements :
    • Une information incomplète et l’absence de possibilité d’accéder à une information plus complète ;
    • L’absence d’information des personnes sur le potentiel enregistrement des appels téléphoniques ou de leur droit à s’y opposer ;
    • L’absence d’information concernant les traitements relatifs à leurs données personnelles ou leurs autres droits.

En conséquence, la CNIL a prononcé une amende publique de 1,75 millions d’euros à l’encontre de la société AG2R LA MONDIALE.

Voir la délibération

Brexit & RGPD : les transferts de données vers le Royaume-Uni autorisés

/dans , /par

Conséquence directe du Brexit : les partages de données personnelles avec le Royaume-Uni sont devenus des transferts de données hors UE, par principe interdits par le RGPD.

Depuis le 28 juin 2021, le Royaume-Uni est reconnu comme un pays ayant un niveau de protection des données équivalent à celui garanti par le RGPD. En vertu de deux décisions d’adéquation adoptées par la Commission européenne, les transferts de données personnelles depuis le territoire de l’UE vers celui du Royaume-Uni sont donc autorisés et pourront être effectués par les responsables de traitement et les sous-traitants sans qu’il soit nécessaire de mettre en place des clauses contractuelles-types ou d’autres garanties spécifiques.

Cette décision n’est pas surprenante dans la mesure où, préalablement au Brexit, le Royaume-Uni était soumis au RGPD et avait mis en conformité sa législation nationale.

La décision d’adéquation relative au RGPD et la décision d’adéquation relative à la Directive Police-Justice

De nouvelles clauses contractuelles types à mettre en place avec vos prestataires

/dans , /par

Le 27 juin, les nouvelles clauses contractuelles types adoptées par la Commission européenne sont entrées en vigueur. La Commission européenne a choisi de créer deux catégories de ces contrats-types :

1/ Une version applicable aux relations entre les responsables du traitement et les sous-traitants.

La signature d’un contrat entre le responsable de traitement et le sous-traitant (ou Data protection agreement – DPA) est obligatoire en application de l’article 28.3 du RGPD. La CNIL avait déjà fourni un modèle de contrat de ce type afin d’aider les entreprises à se mettre en conformité avec le RGPD. Ce nouveau modèle permet d’enrichir les DPA déjà en vigueur notamment en ce qui concerne les mesures de sécurité à mettre en place ou l’étendue de l’assistance qui doit être portée par un sous-traitant au responsable de traitement.

2/ Une version applicable à tout transfert de données personnelles vers des pays tiers à l’Union européenne.

Pour rappel, le transfert de données personnelles vers un pays situé en dehors de l’UE est interdit par le RGPD, sauf exceptions. Au titre de ces exceptions, on retrouve les pays ayant fait l’objet d’une décision d’adéquation de la Commission européenne c’est-à-dire dont le niveau de protection des données personnelles est considéré comme équivalent à celui de l’Union européenne. Une deuxième exception concerne la signature de clauses contractuelles types permettant de garantir contractuellement une protection optimale des données personnelles et donc de rendre licite un transfert de données hors UE.

Pour s’adapter aux exigences du RGPD (notamment la tenue des registres, le guichet unique, la désignation d’un DPO etc.), la Commission européenne a dû refondre les clauses contractuelles types à travers un modèle « à tiroirs » qui permet de les adapter à la réalité du transfert de données (chaine de sous-traitance successive, contrats tripartites…). Elle a également enrichi ce mécanisme au regard de l’arrêt SCHREMS II invalidant le Privacy Shield en intégrant des clauses relatives à la vérification de la législation du pays destinataire et des exemples d’éventuelles mesures additionnelles permettant de rendre le transfert conforme.

Ce nouveau modèle sera obligatoire à compter de septembre 2021 et les entreprises auront 18 mois pour remplacer les versions précédentes des clauses contractuelles type déjà signées avec leurs co-contractants soit jusqu’au 27 décembre 2022.

« Vers la fin des pratiques d’audits des éditeurs ? « 

/dans , , /par

La Cour d’appel de Paris vient de trancher une question juridique déterminante pour les éditeurs de logiciel en concluant que le non-respect des termes d’une licence de logiciel relève des règles de la responsabilité contractuelle et non pas de celles de la responsabilité délictuelle applicable à la contrefaçon prévues à l’article L335-3 du Code de la propriété intellectuelle (Arrêt du 19 mars 2021- Pôle 5 – chambre 2, n° 19/17493).

Cette jurisprudence s’inscrit dans la ligne de précédentes décisions des chambres spécialisées en propriété intellectuelle de la Cour d’appel de Paris.

Déjà en 2016, la 1ère chambre du Pôle 5 avait sanctionné l’éditeur, sur le terrain de la responsabilité contractuelle, pour mauvaise foi et déloyauté, en lui reprochant d’avoir profité de son droit d’audit pour faire pression sur sa cliente en exigeant indûment des régularisations de licences de logiciels concernant l’utilisation d’un logiciel fourni par l’éditeur et non compris dans le périmètre de la licence (Arrêt du 10 mai 2016 – Pôle 5 – chambre 1, n° 14/25055).

En 2018, la Cour d’appel de Paris avait également demandé à la CJUE de trancher cette épineuse question dans le cadre d’une question préjudicielle (Arrêt du 16 octobre 2018 – Pôle 5 – chambre 1, , n° 17/02679). La CJUE ne s’était pas prononcée considérant qu’elle ne pouvait trancher que les faits de l’espèce qui portaient sur des modifications apportées aux codes-sources. Elle avait rappelé que le titulaire des droits de propriété intellectuelle sur le logiciel bénéficiait des dispositions de la directive 2004/48/CE relatives au respect des droits de propriété intellectuelle, indépendamment du régime de responsabilité applicable selon le droit national (CJUE, n° C-666/18, Arrêt de la Cour, IT Development SAS contre Free Mobile SAS). L’affaire n’avait pas eu de suite, les parties s’étant désisté de leur appel.

Les conséquences pratiques sont importantes :

  • L’éditeur devra prouver la faute de sa cliente et du préjudice qu’elle a subi, alors qu’en matière de contrefaçon, la bonne ou mauvaise foi est indifférente et le préjudice n’a pas à être démontré.
  • Le référentiel des métriques de licence sera celui du contrat de licence et non celui du jour de l’audit.
  • Le prix des licences supplémentaires à régulariser sera celui convenu au contrat et non pas le prix public.
  • Les Tribunaux de commerce pourront se déclarer compétents sans renvoyer vers les Tribunaux judiciaires spécialisés en propriété intellectuelle.
  • La saisie contrefaçon ne sera pas autorisée.

Rappelons que la Cour d’appel d’Aix-en-Provence s’est également inscrite dans la voie des décisions plus favorables aux bénéficiaires des licences en considérant, sur le terrain délictuel de la contrefaçon, que le calcul du préjudice pour le paiement des redevances supplémentaires devaient avoir comme base le prix contractuel et non le prix public, qui aurait abouti à majorer le montant du préjudice (Arrêt du 5 mars 2020 Chambre 3-1, 5 mars 2020, n° 17/15324).

Cookies & autres traceurs : plus que quelques jours pour vous mettre en conformité

/dans , , /par

Le 31 mars 2021 au plus tard, toutes opérations de lecture et/ou d’écriture d’information dans l’équipement de l’utilisateur devront être conformes aux règles législatives applicables.

La délibération de la CNIL du 17 septembre 2020 les rappelle : 

  • interdiction de déposer des cookies sans consentement préalable de l’utilisateur (la personne concernée),
  • information préalable claire et complète de l’utilisateur sur les finalités de chaque cookie,
  • possibilité pour l’utilisateur de s’y opposer.

En pratique, la bannière « cookies » doit laisser trois options à l’utilisateur : « tout accepter », «  tout refuser » ou « paramétrer » l’acceptation ou le refus pour chaque cookie assortie de sa finalité et de sa durée de rétention.

La Cnil n’a pas attendu cette date pour frapper et avait déjà lourdement sanctionné les sociétés Google LLC et Google Ireland Limited d’une amende record de 100 millions d’euros (voir notre actualité du 14 décembre 2020 sur notre site internet : poggi-avocats.com).

Cette décision ayant été assortie d’une astreinte très élevée par jour de retard, les sociétés Google ont demandé au juge des référés du Conseil d’Etat de suspendre son exécution au motif que :

  • La Cnil n’était pas compétente pour prononcer une telle injonction, cette compétence appartenant à l’autorité de contrôle de l’établissement principal du traitement en application du mécanisme dit du « guichet unique » prévu par l’article 56 du RGPD, soit l’autorité de contrôle Irlandaise,
  • Le montant de l’astreinte était trop élevé, soit 100 000 euros par jour de retard,
  • Le délai pour s’exécuter était trop réduit, soit jusqu’au 7 mars 2021.

Dans sa décision du 4 mars 2021, le Conseil d’état vient de rejeter cette requête pour trois raisons :

  • Le mécanisme du « guichet unique » prévu par le RGPD ne s’applique pas en matière de cookies. C’est l’article 15 bis de la directive  « ePrivacy » qui fixe  la compétence des autorités de contrôle des états membres,
  • Les articles 16 et 20 de la LIL autorisent la formation restreinte de la Cnil a prononcé toutes sanctions en cas de non respect des obligations découlant du RGPD et de la LIL et notamment, une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée,
  • Le délai de 3 mois est « raisonnable, compte tenu des moyens techniques dont disposent les sociétés Google et de la capacité d’adaptation dont elles se prévalent.

L’arsenal juridique est en place pour que la CNIL frappe vite et fort.