Intelligence artificielle, plateformes, logiciels, cybersécurité, contrats informatiques, signature électronique : l’actualité juridique du numérique et des nouvelles technologies a de nouveau été foisonnante au cours de l’année passée. L’intelligence artificielle a vu son cadre juridique se préciser, notamment avec l’IA Act entré en vigueur le 1er août dernier et plusieurs décisions internationales notables rendues en matière de droit d’auteur. De même, le droit des plateformes numériques a évolué avec l’entrée en vigueur dès le 17 février dernier du Digital Service Act (« DSA »), applicable aux personnes publiques qui peuvent être concernées dans le cadre de la réutilisation des données publiques ou en tant que signaleurs de confiance. Sans oublier le désormais traditionnel bilan des dernières décisions rendues en droit des logiciels et en droit des contrats informatiques à l’instar de nos focus des années précédentes : LAJ de septembre 2023 (numéro #149) LAJ septembre 2022 (numéro #136), LAJ de septembre 2021 (numéro #124), LAJ de septembre 2020 (numéro #112) et LAJ d’octobre 2019 (numéro #101). Bonne lecture !
Audrey LEFEVRE, Lucile MARTIN et Gabrielle LAMBERT
1. Actualités en intelligence artificielle
Nouveau cadre juridique de l’intelligence artificielle par les textes européens (IA Act, convention-cadre)
La récente adoption du règlement européen sur l’intelligence artificielle (« IA ») pose les principes tendant à encadrer le développement et la fourniture de systèmes d’IA « sûrs, transparents, traçables, non discriminatoires et respectueux de l’environnement », et d’en garantir la sécurité juridique, afin d’encourager les investissements et l’innovation au sein de l’UE, tant pour les personnes privées que pour les personnes publiques (par exemple, dans la relation usagers au travers de chatbot, utilisé dans la gestion des services liés à la consommation, à l’octroi des aides ou encore pour des outils de l’open data dans l’administration).
Le règlement met en place un système de classification selon l’usage qui sera fait de l’IA et non selon le système d’IA en lui-même, à l’exception des IA génératives. Il classe les IA en fonction de leur niveau de risque en distinguant :
- les IA à risque inacceptable (qui sont interdites),
- les IA à haut risque (soumises à un régime d’autorisation avec des obligations renforcées), et
- les IA à risque limité ou “faible” (soumises au respect d’obligations relatives à la transparence).
Il impose de nombreuses obligations relatives à la transparence visant à informer l’utilisateur qu’il est en présence d’une IA.
En parallèle, le 17 mai 2024, le Conseil de l’Europe a adopté la convention-cadre sur l’IA, les droits de l’homme, la démocratie et l’État de droit. Juridiquement contraignant, ce traité international a été adopté par les ministres des Affaires Etrangères des 46 pays membres du Conseil de l’Europe. Traité international contraignant, il permet de rassembler des acteurs incontournables de cette nouvelle technologie comme les États-Unis, le Japon et le Canada, autour des valeurs portées par l’Europe. De plus, il est compatible avec le règlement IA. Ce texte couvre ainsi l’ensemble du cycle de vie des systèmes d’IA et permet de promouvoir une innovation responsable au niveau international.
Dernières décisions en matière d’intelligence artificielle à l’échelle internationale
A défaut de pouvoir pour le moment analyser des décisions émanant de juridictions françaises, il convient de s’intéresser, comme l’année dernière (Cf. LAJ#149), aux décisions rendues par les juridictions étrangères en matière d’IA.
Tribunal de Hambourg, 27 septembre 2024, n° 310 O 227/23
Le 24 septembre dernier, le Tribunal régional de Hambourg a rendu la première décision concernant les exceptions de fouille de textes et de données (ou « TDM » pour text and data mining) consacrées par la DAMUN (la directive du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique). C’est une décision historique dans le contexte de l’intelligence artificielle dans la mesure où ces exceptions sont souvent évoquées pour justifier la phase d’entrainement de modèles d’intelligence artificielle[1].
Dans cette affaire, l’organisation à but non lucratif allemande LAION, connue notamment pour créer et mettre à disposition des sets de données d’entraînement, a publié gratuitement un set de données d’entraînement (le LAION-5B dataset) utilisé notamment pour entraîner certains modèles très connus tel que Stable Diffusion. Ce set de données (ou « dataset ») comprenait un lien hypertexte conduisant vers une image mise en ligne sur le site internet Bigstockphoto du photographe Robert Kneschke. Ce dernier a reproché à LAION d’avoir téléchargé une copie d’une de ses photos en basse qualité et contenant un tatouage numérique alors que les conditions d’utilisation de son site internet interdisaient l’utilisation des images par des « programme automatisés ». LAION a invoqué pour sa part l’exception TDM à des fins de recherches scientifiques.
Le Tribunal a considéré que les reproductions opérées par LAION avaient bien été effectuées à des fins scientifiques, et étaient donc couvertes par l’exception de fouille de textes et de données à des fins scientifiques (issue de l’article 4 de la DAMUN). Il en a conclu qu’il n’y avait pas eu de violation du droit d’auteur du fait de la reproduction non autorisée de la photographie.
C’est une décision importante pour l’exception TDM à des fins de recherches scientifiques car le Tribunal précise que la notion de recherche scientifique ne doit pas être appréhendée trop étroitement. Si la création de set de données n’est pas, en tant que telle, encore associée à un gain de connaissances, cette étape constitue toutefois une étape essentielle pour un futur gain de connaissances. Dès lors que le set de données est publié gratuitement, il permet à des chercheurs d’en bénéficier et donc de créer un gain de connaissance potentiellement via de l’IA générative.
D’autres décisions ont été rendues au cours de l’année passée.
Tribunal municipal de Prague, 11 octobre 2023, 10 C 13/2023
Beijing Internet Court, civil Judgement, 2023, Beijing 0491 Republic of China n° 11279
Le 11 octobre 2023, le Tribunal municipal de Prague a rendu une décision concernant la qualification des contenus générés par IA au titre du droit d’auteur et, en conséquence, la protection particulière qui pourrait y être accordée. Il a ainsi été jugé qu’une image générée par IA ne constituait pas une œuvre de l’esprit protégeable au titre du droit d’auteur. Le cas d’espèce concernait une image générée par l’IA DALL-E, sur laquelle le « créateur » en qualité de personne physique n’a pu rapporter la preuve suffisante de sa contribution personnelle. Les juges ont ici particulièrement insisté sur la nécessité de démontrer une intervention humaine suffisante dans l’activité créatrice.
Cette décision s’inscrit dans la lignée des décisions rendues en 2023 par la Cour du district de Colombia et l’Internet Court de Beijing en Chine qui ont insisté sur l’importance de la démonstration d’un rôle actif et prépondérant de l’auteur dans la création d’une image, ou de toute « œuvre », assisté de l’IA. A ce titre, il convient de relever que l’Internet Court de Beijing dans sa décision précitée, a quant à elle retenu la protection par le droit d’auteur.
C’est en suivant ce raisonnement que la Cour Suprême du Royaume-Uni a considéré, pour sa part, que les systèmes d’IA ne pouvaient pas être titulaires d’un brevet d’invention. La haute juridiction britannique s’est rapportée à sa loi sur les brevets, qui limite la catégorie des déposants à des personnes physiques, et qui a en conséquence exclue « toute machine ».
2. Actualités en droit des logiciels
Code source non communiqué, originalité du logiciel non prouvée
Tribunal Judiciaire de Paris, 27 juin 2024, n° 20/02476
Une société spécialisée dans les services d’e-santé destinés aux pharmaciens a conclu un contrat de prestation informatique avec une société éditrice de logiciels, pour un logiciel de gestion informatique de la vente et de la délivrance de médicaments et produits de pharmacie.
Considérant que les conditions d’utilisation du logiciel par la société d’e-santé licenciée n’étaient pas respectées, la société titulaire a été assignée notamment en contrefaçon de logiciel par la société éditrice.
Dans sa décision en date du 27 juin 2024, le Tribunal a rappelé que l’originalité du logiciel devait être démontrée par un effort personnalisé [qui se matérialise par un apport intellectuel propre à l’auteur et à l’existence de choix opérés par ce dernier]. Elle a, par ailleurs ajouté, que si cette démonstration ne suffisait pas à démontrer l’originalité d’un logiciel, il était nécessaire de communiquer à la procédure le code source du logiciel, car seul ce dernier permettait d’identifier l’apport intellectuel et les choix précis de l’auteur.
Or en l’espèce, le code source n’a pas été fourni par la société demanderesse et l’expert n’a pu établir son rapport que sur la base d’extraits de code sources. Ainsi, le Tribunal n’a pas retenu la contrefaçon, considérant qu’il n’était pas « en mesure d’apprécier l’originalité du logiciel et l’effort personnalisé de l’auteur matérialisé dans une structure individualisée et l’éventuelle logique automatique et contraignante ».
Licence d’utilisation d’un logiciel et clause de réserve de propriété
Cass. Com., 6 mars 2024, n° 22-23.657
Une société a fourni des logiciels à une société intermédiaire, pour le compte d’une troisième société utilisatrice (client final). Ayant été placée en liquidation judiciaire, la société intermédiaire n’a pas réglé les factures dues. La société fournisseur des logiciels a donc assigné la société intermédiaire, se prévalant de la clause de réserve de propriété contenue dans ses CGV auprès de l’administrateur judiciaire.
L’affactureur de la société intermédiaire, intervenu volontairement à ses côtés, a argué que la clause de réserve de propriété dont se prévalait le fournisseur ne pouvait être appliquée dès lors qu’elle était limitée à “la propriété des matériels et des supports de logiciels”.
Ce n’est cependant pas l’interprétation qu’a retenu la Cour de cassation qui a rejeté le pourvoi initié par l’affactureur, en considérant, au regard des articles L. 122-6, 3° du Code de la propriété intellectuelle et de l’article 4 de la directive 2009/24/CE sur la protection juridique des programmes d’ordinateur, que “la mise à disposition d’une copie d’un logiciel par téléchargement et la conclusion d’un contrat de licence d’utilisation y afférente visant à rendre ladite copie utilisable par le client de manière permanente moyennant le paiement d’un prix implique le transfert du droit de propriété de cette copie”.
Ainsi, la Cour de cassation ne fait pas une interprétation littérale de la clause de réserve de propriété, mais opte pour une interprétation large, qui inclut aussi un transfert de propriété immatérielle.
Contrefaçon du logiciel d’une SCOP, distribué sous licence libre
CA Paris, 14 février 2024, n° 22/18071
Une société coopérative de production (SCOP) est titulaire d’un logiciel de mise en place d’un système d’authentification unique, qu’elle diffuse soit sous licence libre GNU GPL version 2, soit sous licence commerciale si l’utilisation n’est pas compatible avec la licence libre précitée.
Les sociétés Orange et Orange Business Services ont incorporé le logiciel de la SCOP dans sa version sous licence libre dans un nouveau logiciel qu’elles ont commercialisé seules auprès de l’État, dans le cadre de la réalisation du portail « mon service Public ».
Considérant que cette utilisation violait les clauses de la licence libre, la SCOP a assigné en contrefaçon les sociétés Orange.
Par une décision rendue le 14 février 2024, la Cour a retenu la contrefaçon en raison de manquements aux stipulations de la licence libre. Pour se faire, elle a considéré que les sociétés Orange ont procédé à des modifications du premier logiciel sur lequel était fondé celui des sociétés Orange, sans le concéder comme un tout gratuit auprès de l’Etat. De même qu’elles n’ont pas sollicité l’autorisation de la SCOP pour incorporer leur logiciel au nouveau.
Enfin, il est intéressant de relever que la Cour a pris en compte le comportement des sociétés Orange en relevant qu’elles ne s’étaient pas rapprochées de la SCOP pour clarifier le contenu de certaines stipulations de la licence.
Tenant compte de l’ampleur du projet du fait notamment de la durée d’exploitation du portail « mon service Public », du nombre de visiteurs de la plateforme, du budget de fonctionnement et d’investissement), la Cour a condamné les sociétés Orange à des dommages et intérêts particulièrement importants : 500.000 euros au titre des conséquences économiques négatives de l’atteinte aux droits d’auteur, 150.000 euros au titre des bénéfices qu’elles ont réalisé, et 150.000 € au titre du préjudice moral.
Violation de licence de logiciel : la Cour d’appel de Paris se prononce à nouveau sur le fondement de responsabilité applicable
CA Paris, 8 décembre 2023, n° 21/19696
Par cet arrêt, la Cour d’appel de Paris s’inscrit dans le courant de la saga judiciaire en matière de violation des termes de licence de logiciel ayant opposé la société Entr’Ouvert à la société Orange.
Pour rappel, dans cette affaire, la Cour d’appel de Paris avait saisi, en 2019, la Cour de Justice de l’Union européenne (CJUE) d’une question préjudicielle sur ce sujet afin de déterminer si la violation des termes contractuels d’une licence de logiciel relevait d’une responsabilité contractuelle ou de l’action en contrefaçon qui est de nature extracontractuelle (voir notre brève du 19/09/2019). Par sa décision en date du 18 décembre 2019, la CJUE a rappelé que le choix de l’application du régime de responsabilité délictuelle ou contractuelle importait peu du moment que les garanties prévues par la directive 2004/48 étaient respectées, notamment en matière de calcul des dommages intérêts (voir notre brève du 23/01/2020).
A la suite de cette décision, qui laissait en apparence un choix entre le fondement contractuel et la contrefaçon, la Cour d’appel de Paris a estimé, dans un arrêt du 19 mars 2021, que toute action en responsabilité fondée sur la violation d’un contrat de licence ne pouvait être formée que sur le fondement d’une responsabilité contractuelle (voir notre brève du 16/09/2021). Cette décision a cependant été cassée par l’arrêt de la Cour de cassation du 5 octobre 2022, au motif que le fondement de la responsabilité contractuelle ne permettait pas le respect des garanties posées par la directive 2004/48 (seule exigence rappelée par la CJUE).
La présente affaire présentait des faits similaires, à savoir le non-respect des termes d’une licence de logiciel. Plus précisément, la société Lundi Matin, éditrice de logiciels et applications mobiles de gestion, a concédé des licences sur deux de ses logiciels à La Poste pour le développement de son application « Genius ». La Poste a, par la suite, décidé de rendre disponible cette application au téléchargement sur smartphone dès 2017. La société Lundi Matin a alors assigné La Poste en contrefaçon de ses droits d’auteur, estimant que cette dernière, en rendant accessible au public son application « Genius », avait fait une utilisation irrégulière de ses logiciels concédés au regard des contrats de licence.
Par sa décision en date du 8 décembre 2023, la Cour d’appel de Paris a ainsi fait siens les arguments exposés par l’arrêt de la Cour de cassation en octobre 2022, en considérant que seul le fondement de la contrefaçon permet au titulaire de droits de bénéficier des garanties de la directive 2004/48. Cette décision vient ainsi entériner la position de la Cour de cassation. Il est désormais clair que l’action en contrefaçon est le seul fondement envisageable en matière de violation de licence.
3. Actualités en droit des plateformes
Accès aux données : compatibilité des traitements de données d’identité civile pour la lutte anti-contrefaçon de droit d’auteur en ligne
CJUE, 30 avril 2024, n° C-470/21
Dans le cadre d’une saisine du Conseil d’Etat visant à l’annulation du décret n° 2010-236 du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel, la CJUE a été interrogée sur la compatibilité des traitements de données d’identité civile prévus dans le décret précité [à savoir : les données d’identité liées à l’adresse IP des utilisateurs par l’autorité publique], avec les dispositions de la directive 2002/58 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
La CJUE a considéré que la directive précitée ne s’opposait pas à ce qu’un Etat membre « impose une obligation de conservation généralisée et indifférenciée des adresses IP aux fins d’un objectif de lutte contre les infractions pénales en général », dès lors qu’existe un encadrement certain, à savoir notamment :
- une conservation exclusivement limitée à identifier la personne concernée et dont la durée est limitée au strict nécessaire ;
- une conservation dans des conditions garantissant qu’il n’est pas possible de tirer des conclusions sur la vie privée de la personne concernée ;
- une conservation via un système de traitement de données qui fasse l’objet d’un contrôle régulier par un organisme indépendant.
Dans ces conditions, une autorité publique chargée de la lutte anti-contrefaçon en matière de droit d’auteur et de droits voisins est autorisée, dans ce cadre-là, à accéder à ces données d’identité conservées par les fournisseurs de services de communications électroniques.
Le Digital Service Act (DSA) relatif aux plateformes en ligne, applicable aux personnes publiques, est entré en vigueur le 17 février 2024
Le Digital Service Act (dit « DSA ») est entré en vigueur le 17 février 2024. Ce règlement européen encadre les services numériques et a souvent été mentionné comme un nouveau cadre applicable aux GAFAM (pour « Google, Apple, Facebook, Amazon et Microsoft », plateformes qualifiées, aux termes de ce règlement, de « très grandes plateformes en lignes »).
Le DSA a cependant un champ d’application beaucoup plus large que les seules GAFAM puisque, depuis son entrée en vigueur le 17 février dernier, il s’applique à toutes les plateformes en ligne, y compris celles gérées par les personnes publiques. En effet, l’objectif du texte est de rendre l’environnement en ligne plus sûr, plus équitable et plus transparent. A ce titre, son champ d’application est défini par référence aux types de services proposés et non par référence aux catégories de personnes qui fournissent ces services.
En conséquence, une personne publique qui édite une plateforme en ligne permettant de réserver des services, ou de mettre en lien un administré avec un prestataire particulier, sera en principe soumis au respect du DSA. Cela implique notamment la mise en place d’un système de traitement des réclamations contre les décisions prises après le signalement d’un contenu illicite, l’information des utilisateurs sur les publicités ou la mise à disposition de rapports de transparence.
Action d’Association Addictions France contre la plateforme Meta (Facebook) : condamnation à communiquer des données d’identification de comptes Instagram publiant des contenus contraires à la loi Evin
En France, la loi visant à sécuriser l’espace numérique a été promulguée le 21 mai 2024 (dite loi « SREN ») et résulte en partie de l’application du DSA au niveau national. Elle a notamment modifié la loi pour la confiance dans l’économie numérique de 2004 (dite « LCEN »), mettant à jour l’article 6 relatif au retrait des contenus illicites des plateformes numériques. Celui-ci pose le régime de la responsabilité des plateformes qui sont tenues de retirer tout contenu illicite après en avoir été dument notifiées, à défaut le juge compétent pouvant être saisi. La loi SREN est ici venue ajouter que le juge sera alors saisi selon la procédure accélérée au fond.
Sur le fondement de ce mécanisme, l’ANPAA, aujourd’hui Association Addictions France, a assigné le géant Meta, après lui avoir demandé par LRAR de lui communiquer les coordonnées des éditeurs de certains comptes Instagram d’influenceurs qui faisaient de la publicité pour des boissons alcoolisés sans respecter les règles de la loi Evin.
Condamné à communiquer les informations demandées en première instance, Meta a fait appel de cette décision. La Cour d’appel de Paris, par une décision en date du 21 décembre 2023, a confirmé la décision de première instance portant injonction de communiquer les informations des comptes visés, sans toutefois statuer sur le retrait des publications litigieuses car la société Meta les avait déjà rendues inaccessibles.
4. Actualités en droit des contrats informatiques
Opposabilité de la clause limitative de responsabilité qui doit prendre en compte le montant total des contrats interdépendants puisque liés à une même prestation informatique
CA Paris, 22 mars 2024, n° 21/16505
Une société a contracté, via quatre contrats différents avec un prestataire, l’intégration d’un nouvel ERP (un progiciel de gestion intégré) ainsi que la migration de ses données sur ce nouvel outil. Lors de la livraison des prestations, la société cliente a relevé de nombreuses anomalies qu’elle jugeait bloquante. Ces anomalies n’ayant jamais été corrigées par la suite, la société a été dans l’obligation de faire appel à un tiers pour mettre en œuvre son projet. Elle a ainsi reproché à son prestataire de ne pas avoir rempli son obligation de délivrance conforme et l’a assigné sur le fondement de sa responsabilité contractuelle.
En appel, la question s’est posée de la validité de la clause limitative de responsabilité du prestataire, reconnu défaillant. La clause limitait le montant de l’indemnisation du client par le prestataire à hauteur de la somme totale effectivement perçue par le prestataire au titre du contrat dans l’année où est constaté l’incident. La Cour a jugé que ce montant n’était pas dérisoire mais qu’il était nécessaire de tenir compte de l’ensemble des contrats qui concourraient au même but car ils étaient interdépendants, et qu’il fallait de ce fait prendre en compte le montant perçu par le prestataire au titre des quatre contrats conclus (et non uniquement au titre du contrat qui contenait cette clause).
Il est ainsi rappelé dans cette décision l’interdépendance des contrats informatiques conclus pour des prestataires associés qui doivent être pris dans leur ensemble pour calculer les indemnités qu’un prestataire défaillant se doit de verser à son client.
Rappel du point de départ du délai de prescription d’une action à l’encontre d’un prestataire informatique
CA Paris, 18 mars 2024, n° 22/06676
Une société a conclu un contrat avec un prestataire en janvier 2014 afin de mettre en œuvre un logiciel de gestion électronique de ses documents pour ses clients. Le logiciel était édité par une société tierce avec laquelle le prestataire avait conclu un contrat de partenariat. Dès le mois de mai de la même année, la société cliente a fait part au prestataire de nombreux dysfonctionnements qui empêchaient l’utilisation du logiciel fourni, dysfonctionnements qui n’ont pas été résolus par la suite.
La société n’a assigné en justice son prestataire qu’en mars 2020, aux fins d’obtenir la résolution judiciaire du contrat de prestation de services et la restitution des sommes payées. Le prestataire a alors tenté de faire valoir la prescription de l’action.
La Cour rappelle ici que le délai de prescription de droit commun est de 5 ans et qu’en présence d’un dysfonctionnement persistant, « le point de départ se situe au moment où l’intéressé en a eu connaissance. » En conséquence, il importait peu que les dysfonctionnements aient été étalés dans le temps et accumulés dès lors qu’ils avaient été découverts en janvier 2014. En l’espèce, l’action était donc prescrite.
L’obligation de collaboration du client face à l’obligation de délivrance conforme et de conseil du professionnel
CA Toulouse, 27 février 2024, n° 21/01022
Une société a développé une application pour tablettes. Cherchant à la développer sur le web, elle a fait appel à un prestataire et conclu un contrat en vue du développement et de l’hébergement de ladite application. Un cahier des charges spécifique a été remis au prestataire. Une première partie de la mission réalisée, ce dernier a cédé ses droits à son client, sans qu’aucun procès-verbal de recette n’ait été signé pour attester de la réception de cette étape intermédiaire. Une fois terminée, les codes sources ont été remis à la société.
Par la suite, cette société a rapidement contesté la qualité des livrables, avançant le non-respect par le prestataire du cahier des charges, et a refusé de signer le procès-verbal de recette final. Elle a ainsi mis en demeure le prestataire de lui rembourser les sommes avancées et résilié le contrat.
Refusant cette résiliation, le prestataire a été assigné par la société pour voir sa responsabilité contractuelle engagée. Déboutée en première instance, elle a fait appel de la décision en arguant que le prestataire avait failli à son obligation de délivrance conforme. Pour sa défense, le prestataire a rétorqué l’absence de collaboration du client.
La Cour d’appel a rappelé alors que « Si l’exécution de cette prestation imposait […] la collaboration du client, débiteur des informations nécessaires à l’avancée du processus, c’est bien au prestataire, en sa qualité de professionnel de démontrer qu’il a effectivement sollicité son client en ce sens, en l’informant des conséquences de son refus de collaboration notamment en termes de devenir de leurs relations contractuelles, et que malgré cela, il n’a pu obtenir satisfaction dans ses demandes. ».
La Cour d’appel a également rappelé que si aucune recette intermédiaire n’avait été contractuellement prévue, cela ne dispensait pas pour autant la société cliente, au titre de son devoir de collaboration, de procéder à des tests réguliers afin de permettre au prestataire de pouvoir, si besoin, modifier les travaux en cours. Toutefois, en l’espèce, la Cour a relevé que le prestataire n’avait pas tenu compte du comportement obstructif de son client et avait lui-même manqué à ses obligations de conseil et de délivrance conforme. La Cour en a déduit que les manquements de la société cliente n’étaient pas de nature à exonérer le prestataire de sa responsabilité. Ainsi, la résolution judiciaire du contrat a été prononcée et le prestataire a été condamné au remboursement des sommes avancées par son client, contre restitution par celui-ci de l’ensemble des éléments livrés.
La responsabilité professionnelle du prestataire a donc ici primé sur celle du client. Toutefois, l’obligation de collaboration du prestataire a aussi été examinée et ne doit donc pas être négligée.
Cybersécurité : absence de responsabilité du prestataire informatique en cas de perte de données à la suite d’une demande de rançon (type ransomware)
CA Lyon, 14 déc. 2023, n° 20/02356
Une société a conclu deux contrats avec un prestataire informatique, l’un pour la maintenance de son système informatique et l’autre pour la sauvegarde en ligne de ses données. Les serveurs de la société cliente ont ensuite fait l’objet d’une attaque de type rançongiciel (ou « ransomware »). Refusant de payer la rançon, la société a alors demandé à son prestataire de rétablir l’intégralité de ses données. Cependant, la dernière sauvegarde en date réalisée par le prestataire datait de 6 mois. La société a donc assigné son prestataire aux fins notamment d’engager sa responsabilité contractuelle et d’obtenir des dommages et intérêts. Déboutée en première instance, la société a interjeté appel de la décision.
La Cour d’appel a rappelé que « l’obligation de maintenance [du prestataire] s’analyse en une obligation de moyen dans la mesure où le fonctionnement du système implique la participation active du client et sa vigilance. ». Elle a relevé en l’espèce que la rançongiciel est intervenue via un virus un samedi, journée sans maintenance tel que décrit dans le contrat, depuis l’ordinateur portable de son gérant, non inclus dans le contrat de maintenance et dépourvu de solution anti-virus. De plus, concernant la sauvegarde des données, aucune faute n’avait pu être signalée par le client et ce pendant les 5 années d’exécution du contrat précédent les faits litigieux. La Cour a ainsi jugé que les éléments rapportés par le client, à savoir un rapport émis par un prestataire concurrent, ne suffisait pas à établir la faute du prestataire. Les demandes en résiliation du contrat et en indemnisation ont donc été rejetées.
Rappel des composantes de l’obligation de conseil d’un prestataire professionnel envers son client
CA Lyon, 7 décembre 2023, n° 20/03688
Une société a conclu un contrat avec un prestataire informatique afin de réaliser la migration de données de deux de ses sites internet. Des difficultés sont apparues dans l’exécution du contrat. La société cliente a alors assigné le prestataire aux fins de voir résilier le contrat et obtenir réparation de son préjudice. A ce titre, la société s’est également prévalue d’un manquement à l’obligation de conseil du prestataire.
La Cour a rappelé alors que le prestataire professionnel de l’informatique était débiteur d’une obligation de renseignements et de conseil, et d’une obligation de délivrance conforme. Elle a par ailleurs rappelé que le prestataire devait donc étudier les besoins de son client et faire un état des lieux de ses supports informatiques, et si besoin réaliser un audit technique, avant de proposer ses prestations et mettre en garde sur les difficultés potentielles dans une phase précontractuelle. La Cour en a déduit que c’est « à tort que la société intimée incrimine a posteriori le sous-dimensionnement de l’installation pour expliquer retards et dysfonctionnements alors qu’il lui appartenait, avant d’accepter l’architecture informatique déjà en place, d’en faire l’étude pour s’assurer de sa compatibilité avec la solution proposée et d’informer sa cliente des contraintes techniques et des dépenses supplémentaires d’adaptation ».
En conséquence, il a été jugé que le prestataire avait manqué à son obligation de conseil en raison de son évaluation de départ erronée et des prestations qui s’en sont suivies « ayant conduit à une exécution tardive, partielle et déficiente de ses obligations contractuelles ».
Dans cette décision, il est rappelé l’importance de bien encadrer la phase précontractuelle en matière de prestations informatiques qui peut se traduire par la relecture du cahier des charges pour les exigences fonctionnelles, la revue de l’architecture technique (celle-ci pouvant se faire au besoin via un audit), ainsi que par la mise en place d’un planning adapté, afin d’éviter toute déconvenue lors de la réalisation des prestations.
5. Actualités en matière de signature électronique
Absence de signature d’un acte administratif transmis numériquement
Le Conseil d’Etat a été saisi aux fins de savoir si une décision générée automatiquement adressée au nom du service instructeur d’une plateforme interrégionale de la main-d’œuvre étrangère et clôturant comme étant sans objet une demande d’autorisation de travail, pouvait être dispensée de signature au sens de l’article L. 212-2 du Code des relations entre le public et l’administration.
Le Conseil d’Etat a conclu qu’en l’absence de texte législatif contraire, une telle décision entrait dans le champ d’application des articles L. 212-1 et L.212-2 du Code des relations entre le public et l’administration relatifs à la signature des actes administratifs, et que la notification d’une telle décision par l’intermédiaire d’un téléservice permettait de déroger à l’obligation d’y faire figurer la signature de son auteur, dès lors qu’elle comportait la signature de son auteur ainsi que la mention, en caractères lisibles, du prénom, du nom et du service auquel il appartient.
Signature scannée
Cass. Com, 13 mars 2024, n° 22-16.487
Dans un arrêt du 13 mars 2024, la Cour de cassation a eu l’occasion de confirmer l’analyse de la Cour d’appel sur la valeur juridique d’une signature scannée apposée sur une promesse unilatérale de vente.
En l’espèce, la société se prévalant de ce contrat, avançait qu’une signature scannée bénéficiait de la même présomption de fiabilité qu’une signature électronique. La Cour de cassation n’a pas suivi ce raisonnement, considérant que la preuve du consentement des signataires ne pouvait être déduite d’une simple signature scannée. Elle a ainsi rappelé deux points importants :
- Le procédé de scan de signature est valable, dès lors qu’elle permet d’identifier son auteur et de manifester son consentement conformément à l’article 1367, alinéa 1er du Code civil. Une signature scannée peut être valable lorsqu’elle est corroborée par des éléments de preuves de consentement complémentaires.
- Cependant, ce procédé ne peut bénéficier d’une présomption de fiabilité au même titre que celui de la signature électronique, tel qu’explicité dans l’article 1367, alinéa 2 du Code civil.
Force probante de la signature électronique
CJUE, 10e ch., 29 févr. 2024, aff. C-466/22
La Cour de Justice de l’Union Européenne (CJUE) s’est à nouveau prononcée sur l’interprétation de l’article 25 du règlement (UE) no 910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur[2] et plus particulièrement sur la notion de « signature électronique qualifiée ».
Dans le cadre d’un redressement fiscal, un requérant bulgare a contesté la validité de documents électroniques, considérant que l’authenticité desdits documents dépendait de différents aspects techniques qui déterminent la qualité d’une signature électronique en tant que « signature électronique qualifiée ». La juridiction saisie a posé une question préjudicielle à la CJUE afin de voir cette notion explicitée et sa valeur, face à une signature manuscrite précisée.
A cette occasion, la CJUE a rappelé que lorsque les conditions de l’article 3.12 dudit règlement sont réunies, à savoir la définition de «signature électronique qualifiée» comme « une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique; …», les juridictions des Etats membres sont tenues de reconnaitre à la signature électronique qualifiée une force probante équivalente à celle d’une signature
________
[1] « Première décision en Europe sur l’exception de fouille de textes et de données : l’affaire LAION c/ Robert Kneschke » par Elodie Migliore, Doctorante au CEIPI, Université de Strasbourg, Dalloz Actualités du 15/10/2024
[2] Règlement (UE) no 910/2014 du Parlement européen et du Conseil, du 23 juillet 2014, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO 2014, L 257, p. 73), dit règlement « iDAS »