Audit de licences et CJUE

Eric Barbry, avocat associé du cabinet Racine

Avocat spécialisé dans le domaine de l’IP/IT & Data Protection au sein du cabinet Racine, je vous propose une nouvelle approche du droit, résolument pratique, basée sur mon expérience professionnelle : celle d’un avocat qui travaille sur le droit des technologies depuis plus de 25 ans.

J’ai souvent envie de pousser des coups de gueules, parfois, moins souvent je l’accorde volontiers, des coups de chapeau…

Je vous propose de partager mes émotions professionnelles tantôt favorables à une nouvelle règlementation, tantôt contre ; critiques (positives ou négatives) à propos de décisions de justices qui bousculent la vie digitale des entreprises.

Sans trahir le moindre secret professionnel il me parait important d’échanger sur les cas d’usage des entreprises confrontées à des nouvelles questions autour de l’usage des nouvelles technologies.

Mon propos se veut pragmatique et tente d’apporter des réponses pratiques pour absorber, aussi sereinement que possible, le choc juridique que constitue la transformation digitale de votre entreprise.

A propos de Racine :

Racine est un cabinet d’avocats français indépendant de droit des affaires qui réunit 200 avocats et juristes, répartis au sein de 7 bureaux.

Racine se caractérise par une approche « full service » en droit des affaires en conseil et contentieux et intervient pour des entreprises, issues de différents secteurs de l’industrie et des services, des organisations professionnelles et interprofessionnelles ainsi que des collectivités publiques.

La problématique de l’audit de licence de logiciel fait beaucoup parler.La question de la nature de la responsabilité du client en cas de non-respect des conditions d’utilisation du logiciel est déterminante. S’agit-il d’une contrefaçon ou bien d’un manquement contractuel ?

Audit de licences : comment faire dire à la CJUE ce qu’elle ne dit pas ! Le choix de la qualification change tout. En effet, la contrefaçon constitue un délit pénal, ce qui permet à l’éditeur d’évincer les clauses limitatives de responsabilité énoncées dans le contrat au profit du licencié et, surtout, d’avoir contre lui une menace particulièrement efficace.

Inversement, si le non-respect des conditions de licence est considéré comme un « simple » manquement contractuel, les moyens de pression de l’éditeur sont moindres, tout comme ses prétentions financières.

La jurisprudence sur ce thème est particulièrement erratique : dans certains cas, les Tribunaux retiennent la contrefaçon (Cour d’appel de Versailles, 1ère chambre 1ère section, 22 septembre 2011, n° 11/02114 ; Tribunal de grande instance de Marseille, 1ère chambre civile, 22 juin 2017, n° 12/11207 et Tribunal de grande instance de Nanterre, 12 juin 2014, n° 9999) et, dans d’autres cas, c’est le manquement contractuel qui est retenu (Tribunal de grande instance de Paris, 6 novembre 2014, n° 9999 et Cour d’appel de Paris, 10 mai 2016, n° 14/25055). Allez comprendre !

Et voici que nous espérions voir jaillir la lumière quand la Cour d’appel de Paris a posé une question préjudicielle à la CJUE sur le sujet.

La question posée à la CJUE était la suivante :

« Le fait pour un licencié de logiciel de ne pas respecter les termes d’un contrat de licence de logiciel (par expiration d’une période d’essai, dépassement du nombre d’utilisateurs autorisés ou d’une autre unité de mesure, comme les processeurs pouvant être utilisés pour faire exécuter les instructions du logiciel, ou par modification du code source du logiciel lorsque la licence réserve ce droit au titulaire initial) constitue-t-il :

– une contrefaçon (au sens de la directive [2004/48]) subie par le titulaire du droit d’auteur du logiciel réservé par l’article 4 de la directive [2009/24] concernant la protection juridique des programmes d’ordinateur

– ou bien peut-il obéir à un régime juridique distinct, comme le régime de la responsabilité contractuelle de droit commun ? »

Mais quelle drôle de question qui mélange les genres !

Quoi qu’il en soit la CJUE a donné la réponse suivante : la violation d’une clause d’un contrat de licence relève de la notion d’« atteinte aux droits de propriété intellectuelle » et, par conséquent, le titulaire doit pouvoir bénéficier des garanties prévues en matière de contrefaçon.

De fait, toutes les fines plumes du monde de l’informatique se sont empressées d’écrire que la question était maintenant réglée et que le non-respect par le client de son nombre de licences constituerait une contrefaçon…

Mais ont-ils lu la décision en entier ?

La CJUE a circonscrit la question – et donc sa réponse – au cas d’espèce posé par la Cour d’appel, à savoir : la modification du code source du logiciel lorsque la licence réserve ce droit au titulaire initial.

En effet le considérant 31 de la décision est très clair : « Il importe de faire observer que la juridiction de renvoi énumère, dans la question posée, plusieurs formes possibles de violation d’un contrat de licence de logiciel, à savoir le fait pour un licencié de logiciel de ne pas respecter l’expiration d’une période d’essai, de dépasser le nombre d’utilisateurs autorisés ou une autre unité de mesure, comme les processeurs pouvant être utilisés pour faire exécuter les instructions du logiciel, ou de modifier le code source du logiciel lorsque la licence réserve ce droit au titulaire initial. Or, dans l’affaire au principal, seul est en cause ce dernier cas de figure, de telle sorte qu’il ne convient de se référer, en l’occurrence, qu’à celui-ci ».

Ainsi, à la question mode « salade de fruits » de la Cour d’appel : expiration d’une période d’essai, dépassement du nombre d’utilisateurs, modification du code source du logiciel, qui constituent autant de cas différents, la CJUE n’en a traité qu’un seul : celui de la modification du code source sans autorisation.

Et que nous dit la CJUE ? Que la modification sans autorisation du code source du logiciel par le licencié constitue une contrefaçon… la belle affaire, c’est tellement évident !

Mais ce qui est plus évident encore c’est que la CJUE n’a pas répondu à la question à 10 millions de dollars qui est celle de la qualification juridique du dépassement du nombre d’utilisateurs autorisés.

Donc NON, à ce stade, personne ne peut affirmer que toute violation d’une clause d’un contrat de licence constitue une contrefaçon.

Amis utilisateurs, le combat continue…

Chronique co-écrite avec Esther Dadoun

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description