Réforme du droit des contrats : quid novi pour les contrats IT ?

L’ordonnance du 10 février 2016 fait enfin intervenir la réforme du droit des contrats si longtemps annoncée. Non évènement ou changement radical dans la vie des affaires ? Qu’est ce qui est nouveau en matière de contrats IT ?

Il y a deux manières d’envisager cette réforme : y voir la source d’une profonde transformation dans les relations d’affaires ou considérer qu’elle ne fait que reprendre des règles jurisprudentielles bien établies. A travers le prisme des contrats IT, quelques exemples permettent d’illustrer les termes du débat.

I) Une source de transformation dans la vie des affaires : plus d’efficacité et de justice au détriment de la sécurité juridique ?

Conformément à l’air du temps, la recherche d’efficacité, de réactivité et de vitesse irrigue l’ensemble des changements à intervenir. De sorte que les nouveautés essentielles portent sur l’inexécution du contrat et notamment sur les possibilités d’action unilatérale d’une des parties.

A) Action unilatérale d’une des parties – nécessité d’adapter la pratique contractuelle

Plutôt que d’attendre la décision du juge, une partie pourra, de son propre chef : « refuser d’exécuter son obligation, alors même que celle-ci est exigible, si l’autre n’exécute pas la sienne et si cette inexécution est suffisamment grave ». (Art. 1219)

De même : « Une partie peut suspendre l’exécution de sa prestation dès lors qu’il est manifeste que son cocontractant ne s’exécutera pas à l’échéance et que les conséquences de cette inexécution sont suffisamment graves pour elle. Cette suspension doit être notifiée dans les meilleurs délais ». (Art. 1220)

De plus : « La partie envers laquelle l’engagement n’a pas été exécuté, ou l’a été imparfaitement, peut:

– suspendre l’exécution de sa propre obligation

– poursuivre l’exécution forcée en nature de l’engagement

– solliciter une réduction du prix

– provoquer la résolution du contrat

– demander réparation des conséquences de l’inexécution.

Les remèdes qui ne sont pas incompatibles peuvent être cumulés ; les dommages et intérêts peuvent s’ajouter à tous les autres remèdes ». (Art. 1217)

 On voit bien ce que telles dispositions laissent entrevoir pour certains clients : « vous ne faites pas ce pourquoi je vous paie, donc je suspends les paiements … ».

Pire encore : « manifestement, vous ne ferez pas ce que vous avez promis, donc je suspends les paiements … ».

En matière d’intégration de systèmes par exemple, l’épée de Damoclès sera en permanence sur la tête de l’ESN, sans qu’elle dispose toujours de moyens immédiats de rétorsion.

En matière d’externalisation, le rapport de forces sera souvent inversé.

Viennent encore compliquer la situation les contrats de développements en méthodes agiles, dont on sait que la spécification des livrables est particulièrement délicate.

Plus grave encore que le risque de suspension, la menace de résolution planera dorénavant sur les parties, soit en cas d’exécution imparfaite (Art. 1217), mais aussi en cas d’inexécution suffisamment grave accompagnée d’une notification (Art. 1224) et d’une mise en demeure (Art.1225).

« Inexécution suffisamment grave », « Engagement exécuté imparfaitement » : voici donc les standards juridiques auxquels il faudra prioritairement se référer pour ne pas à avoir à attendre le juge.

Certains s’en réjouiront. D’autres s’en inquièteront. Comment par exemple reconnaitre le revenu d’un contrat pluri-annuels alors les conditions de son exécution peuvent si fortement le compromettre ? En est ce fini de la prévisibilité propre à la matière contractuelle ?

Oui et non. Oui si la pratique contractuelle reste inchangée. Non, si elle s’adapte. Nul doute que dorénavant les stipulations contractuelles devront être encore plus précises qu’aujourd’hui et notamment encadrer les exceptions d’inexécution, le niveau de gravité et les clauses résolutoires. Que les rédacteurs devront plus que jamais être des spécialistes du but du contrat et/ou travailler en étroite équipe techniques concernées.

B) Intervention accrue du juge dans le contrat : faible impact sur la pratique contractuelle

Empreinte de l’air du temps, l’Ordonnance donne plus de latitude au juge afin qu’il intervienne dans le contrat et réduise les effets de la trop grande force d’une partie sur l’autre.

En premier lieu, la liberté des cocontractants trouvera sa limite lorsqu’elle portera atteinte aux droits et libertés fondamentaux, à moins que, selon la formule consacrée : « cette atteinte soit indispensable à la protection d’intérêts légitimes et proportionnée au but recherché ». (Art. 1102)

En second lieu, une clause qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat pourra être supprimée par le juge à la demande du contractant au détriment duquel elle est stipulée. (Art. 1169)

En troisième lieu, il y a également violence lorsqu’une partie abusera de l’état de nécessité ou de dépendance dans lequel se trouve l’autre partie pour obtenir un engagement que celle–ci n’aurait pas souscrit si elle ne s’était pas trouvée dans cette situation de faiblesse. (Art. 1142)

En quatrième lieu, l’ordonnance ne manque pas de prévoir que toute clause privant de sa substance l’obligation essentielle du débiteur est réputée non écrite. (Art. 1168)

Sauf à faire preuve d’une grande créativité, on voit mal à priori en quoi les rédacteurs de contrats seront affectés par ces dispositions. En effet, soit elles seront d’ordre public de sorte qu’aucun contrat ne pourra s’y opposer, soit elles reprennent en grande partie des solutions jurisprudentielles bien établies.

A défaut d’évolutions prévisibles en matière de pratique contractuelle, il reste que certaines possibilités de procès nouveaux pourraient apparaître. Notamment s’agissant des clauses contractuelles avec les mastodontes tels que le GAFA ou Microsoft et dès lors que ni le Code de la Consommation (L. 132-1) ni le Code de Commerce (Article L442-6) ne trouveraient à s’appliquer.

PS : Pour rappel, c’est en se référant au Code de la Consommation que la cour d’appel de Paris a confirmé le 12 février 2016 l’ordonnance du 5 mars 2015 du TGI de Paris jugeant abusive la clause attributive de compétence au profit des tribunaux du comté de Santa Clara en Californie et figurant dans les conditions générales de Facebook

II) Une absence de rupture avec le droit positif : une clarification salutaire plus qu’une révolution ?

L’absence de rupture résulte tout d’abord des dispositions transitoires de l’Ordonnance : elle n’entrera en vigueur que le 1er octobre 2016 et les contrats conclus avant cette date demeurent soumis à la loi ancienne.

Même si les contrats tacitement renouvelés et les contrats tacitement reconduits seront soumis à la loi nouvelle, la loi ancienne continuera encore quelques années à régir les plus importants contrats. Notamment en matière d’externalisation et de grands projets d’intégration.

L’absence de rupture résulte aussi du fait que cette réforme est avant tout une clarification salutaire des règles du droit positif, notamment s’agissant de l’exception d’inexécution et de la résolution pour inexécution.

A) L’exception d’inexécution

Pour dire les choses simplement, l’exception d’inexécution, c’est la règle du donnant-donnant. Chaque partie ne donne à l’autre que si elle a reçu ce qu’elle attendait. Si jusqu’à ce jour, il n’existe pas dans le Code civil de texte général sur l’exception d’inexécution, cela n’a pas empêché les praticiens des contrats IT d’appliquer cette règle en conditionnant les paiements en fonction des livrables et des recettes. De sorte que la chronologie des obligations réciproques palliait le silence du Code civil. De ce point de vue là, l’entrée en vigueur du nouvel article 1219 ne semble pas changer grand chose.

En revanche, s’agissant du nouvel article 1220, il pourrait ouvrir la porte à bien des débats sur le caractère « manifeste » du fait que le cocontractant ne s’exécutera pas à l’échéance. Il peut donc apparaître comme un facteur d’insécurité, qui serait le prix à payer pour favoriser la sacro-sainte réactivité de la vie des affaires.

B) La résolution pour inexécution

Contrairement au système de Common Law (Termination for breach) et aux Principes du droit européen des contrats, le droit français pose aujourd’hui le principe que l’intervention du juge doit avoir lieu avant que la résolution soit prononcée. Ainsi, aux termes de l’article 1184 du Code civil, alinéa 3 : « la résolution doit être demandée en justice, et il peut être accordé au défendeur un délai selon les circonstances ».

Une jurisprudence prétorienne (Cass. Civ. 1ère, 13 oct 1998) est toutefois venue assouplir cette règle de l’intervention préalable du juge. Les spécialistes n’ont depuis cessé de s’opposer sur le sens et la portée de cette jurisprudence. De sorte que le régime de la résolution pour inexécution se caractérise encore aujourd’hui par le flou et l’insécurité dont il est entaché.

C’est donc à la fois un alignement de notre droit avec celui de nos partenaires économiques et une clarification qu’apporte cette réforme du droit des contrats.

Il faut s’en réjouir. Même s’il faut aussi admettre qu’elle imposera de revisiter quelque peu les matrices de contrats IT auxquels nous sommes habitués, notamment leurs clauses résolutoires et la caractérisation fine des niveaux de gravité en cas de manquement(s).

Un réveil salutaire en quelque sorte …

Paris, le 29 février 2016

Michel PASOTTI- Avocat au Barreau de Paris

Le contrat Amazon Web Services : derrière la rose, les épines ?

Les excellents résultats de AWS (Amazon Web Services)  au 2ème trimestre 2015 confirment l’attractivité de son offre, parfaite implémentation des principes du cloud computing. Cependant, les entreprises françaises gagneraient à bien mesurer les risques nés des termes du contrat AWS. Car ils sont inhabituels en droit français et justifient des mesures d’accompagnement.

Le cours de l’action Amazon à bondi de 17% dès l’annonce des excellents résultats de sa filiale AWS pour le second trimestre 2015 : un chiffre d’affaires de 1,8 Mrd$, soit une croissance de +81% sur un an. Les clients référencés par AWS sont prestigieux : NetFlix, AirBnB, Spotify, Shazam, Expedia, Siemens, Novartis … Il suffit de visiter le site aws.amazon.com/fr pour être séduit : leader du Gartner Magic Quadrant, ressources à la demande et paiement à l’utilisation, abondant écosystème, gratuité la 1ère année pour l’offre d’entrée (Amazon EC2). Tout est simple, clair, agréable, ludique. C’est très complet, largement illustré et, bien entendu, rédigé en français.

Au bas de la page d’accueil se trouve ainsi le lien : « Informations juridiques », un peu perdu parmi d’autres sujets bien plus captivants, tels que « Témoignages de réussite », « Evènements », « Livres blancs », « Solutions » « Ressources », …

Sitôt cliqué sur « Informations juridiques », changement de décor ! Exit le français, bonjour l’anglais juridique, bienvenu au royaume du « Legal ».

Après un rapide survol (I), quelques pistes d’actions peuvent être esquissées (II).

(I) Rapide survol du « Legal » AWS

Parmi les sept documents auxquels renvoie le lien « Legal », le premier d’entre eux mérite une attention particulière. Il s’agit du « AWS Customer Agreement » (1), complété notamment par les documents contractuels annexes désignés par les six autres liens (2).

  1. AWS Customer Agreement

Il regroupe les principaux termes du contrat auquel consent tout client AWS.

En cas de conflit avec les autres documents contractuels AWS, ceux du Customer Agreement s’imposent, sauf s’agissant de l’annexe « AWS Services Terms ». Plutôt que d’entrer dans les détails des 14 articles de ce contrat (version du 19/6/2015), il convient de relever quelques règles particulièrement importantes.

  • Loi applicable au contrat et juridictions compétentes :

En cas de conflit, le Client ne pourra que se référer à la loi de l’Etat de Washington et se tourner vers les juridictions du King County, Etat de Washington.

  • Changements

De « temps en temps », les services offerts peuvent être modifiés ou arrêtés. Il en va de même pour les SLA (Service Level Agreement) et les APIs (Application Programming Interfaces), avec toutefois un délai de prévenance de 90 jours s’agissant des SLA et une relative stabilité sur 12 mois s’agissant des APIs.

Les termes mêmes du contrat peuvent être modifiés unilatéralement par AWS.

  • Résiliation du contrat

Le contrat peut être résilié pour convenance ou pour cause. AWS peut mettre fin au contrat dans un délai de 30 jours pour sa convenance ou immédiatement dans le cas d’une raison assez grave. Quant au client, le délai de prévenance n’est pas précisé s’agissant d’une résiliation pour convenance et il peut être de 30 jours en cas de manquement non réparé dans un délai de 30 jours après notification.

  • Support – assistance

Lorsque le contrat n’a pas été résilié pour cause, le client connaît le régime suivant durant les 30 jours post-résiliation :

– ses « contenus » (données et programmes) ne seront pas effacés

– il pourra les retrouver s’il paie tous les montants dus, y compris ceux de l’utilisation post-résiliation des services AWS

– AWS fournira la même assistance que celle habituellement disponible pour tous ses clients.

  • Responsabilité

Le contrat AWS l’exonère tant et si bien de sa responsabilité que l’on en arrive à se demander dans quels rares cas celle-ci pourrait être engagée. Le sens très large (bien plus que celui de notre Cour de cassation) donné à la Force Majeure parachève l’édifice puisque le contrat qualifie ainsi « toute cause en dehors du contrôle raisonnable » du prestataire. En tout état de cause, l’indemnisation reste plafonnée par le total des sommes payées par le client à AWS durant les 12 derniers mois.

  • Sécurité et données privées

S’agissant de la sécurité des « contenus », c’est le client qui est responsable de leur back-up et de leur protection, devant même aller jusqu’à les encrypter afin de se prémunir contre les accès non-autorisés.

Quant aux données privées, AWS y range les données à caractère personnel au sens de la CNIL et revendique son adhésion aux « safe harbor programs » développé par le Département du Commerce américain avec l’Union Européenne d’une part et la Suisse d’autre part.

Selon la CNIL, « Safe Harbor » désigne un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne. Le Safe Harbor permet donc d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis.

Tout client peut choisir les régions du monde dans lesquelles il souhaite que ses contenus soient stockés. AWS conserve toutefois la faculté de s’affranchir de ce choix à la condition de notifier ce changement.

  • Notifications

Toutes les notifications aux clients peuvent être communiquées par simple affichage sur le site internet AWS. Tous les mails envoyés par AWS sont réputés bien lus par chaque client. Après délai de prévenance, toute modification publiée sera réputée acceptée du fait de l’utilisation postérieure des services.

  1. Documents contractuels annexes

Au delà de l’AWS Customer Agreement, six autres documents sont proposés dans la section « Legal ». Il s’agit successivement :

  • des règles d’utilisations propres à certains services AWS
  • des interdictions relatives à l’utilisation des services AWS
  • des règles protégeant les droits de propriété intellectuelle AWS
  • des règles relatives à l’utilisation de site internet AWS
  • de la politique AWS de respect des données privées
  • de renseignements relatifs aux aspects fiscaux.

Dans le cadre du présent survol, un exposé rapide de ces documents annexes n’aurait guère de pertinence. Il suffit de retenir que ces documents annexes sont tous traversés par un même état d’esprit : protéger les droits de AWS, limiter ceux des clients et les responsabiliser.

En cas de conflit de règles avec l’AWS Customer Agreement, celui l’emporte sur les documents annexes, à l’exception des règles d’utilisations propres à certains services AWS. Ce qui paraît de bon sens et n’est rien d’autre que l’application de vieil adage « Specialia generalibus derogant ».

II) Esquisse de pistes d’actions

A l’issue de ce premier survol, il apparaît clairement que le contrat AWS n’est pas fait pour plaire aux directions juridiques des entreprises françaises. Ce serait même plutôt le contraire.

En effet, il est très largement déséquilibré. Plusieurs clauses apparaissent potestatives puisque AWS se laissent de nombreuses possibilités de s’affranchir de ses obligations : certains juges y trouveraient d’ailleurs matière à intervenir. Mais le droit français ne s’applique pas car le contrat impose de se référer à la loi de l’Etat de Washington et de se tourner vers les juridictions du King County. En définitive, chacune de ses règles serait à elle seule une bonne raison de dire « niet » à AWS.

De leur coté, les DSI ne devraient guère apprécier de devoir subir les changements que s’autorise AWS, notamment en matière de services, d’API ou de SLA. Encore moins peut-être de se voir exposées à un délai de prévenance de 30 jours en cas de résiliation. Point de rassurant plan de réversibilité ici ni de zakouskis financiers pour compenser les dysfonctionnements du prestataire.

Plus généralement, les DSI sont placées dans une situation particulièrement inconfortable car elles devront supporter de très nombreuses obligations si elles entendent rester irréprochables : cryptage des données, sauvegardes, suivi permanent des notifications et adaptations aux changements …

Dans ces conditions, pourquoi diable s’embarrasser avec AWS ? Pour autant, ses 81% de croissance annuelle résultent-ils d’entreprises irrationnelles ? Le marché français est-il rendu atypique, voire impénétrable, par les principes protecteurs de son droit ?

En partie oui, mais seulement en partie. Car il est bien évident que les entreprises françaises sont elles aussi soumises aux lois d’airain du business : flexibiliser leurs charges et adapter leurs ressources IT aux besoins du marché. Tandis que les prestataires IT ne sont pas des entreprises philanthropiques.

« Think large, start small, upgrade fast » : le motto à la mode aux premières heures de l’internet trouve dans le cloud sa parfaite illustration, spécialement avec AWS. Quelle start-up, même française, pourrait résister aux charmes du modèle de l’informatique « élastique » ? Mais quelle entreprise bien établie accepterait de se rendre trop vulnérable en dépendant d’un prestataire si puissant ?

Pour autant, rejeter systématiquement AWS serait dommage. Comme aimait à le dire J.P. Morgan : « je ne paie pas mon juriste pour qu’il me dise ce que je ne dois pas faire … ».

Encore une fois, le bon équilibre se trouve probablement dans les modalités de mise en œuvre de l’externalisation. Délimiter les domaines candidats, identifier les risques associés, fixer ses mesures d’accompagnement et valoriser tous les coûts associés restent indispensables. Bien entendu, l’étude comparative des solutions concurrentes, sans oublier les françaises, devra faire partie du processus de décision. Et une fois le contrat signé, il s’agira de le faire vivre opérationnellement pour mitiger ses risques. Mais ceci est une autre histoire …

Michel PASOTTI

Paris, le 5 août 2015.

 

Conformité des logiciels : en 2014, qui empochera le pactole ?

Quand on ne gagne plus de nouveaux clients, autant faire payer ceux que l’on a déjà. Les éditeurs de logiciels le savent bien. Aussi, en 2014, ils se battront comme jamais pour exploiter le gisement de la conformité. Au même moment, virtualisations, concentrations et relocalisations des systèmes d’information (SI) alimentent toujours plus ce pactole pour les éditeurs. Mais ils ne sont plus les seuls à le convoiter. Afin de contrebalancer leur dessein, d’autres acteurs montent progressivement en puissance. Ainsi, s’engage un passionnant bras de fer, qui – espérons le – donnera tout son sens au software asset management (SAM).

I – La conformité : un pactole nourri par les grandes tendances des SI

A) La partie faible n’est plus ce qu’elle était

Chacun sait que les logiciels sont protégés par le droit d’auteur et que celui-ci a été pensé pour la protection du plus faible. Mais par un curieux revirement de l’histoire, la logique d’ensemble est inversée. En 2014, les grands éditeurs détiennent à la fois droits d’auteur et pouvoir. Ils peuvent donc dicter leur loi : celle des contrats, qu’ils parviennent à imposer pratiquement à tous.

De fait, ils ont identifié de longue date le gisement de la conformité. Les éditeurs de culture anglo-saxonne notamment sont parfaitement rompus aux arcanes contractuelles et au filon de la « compliance », dont ils mesurent toute la portée.

Ainsi, chaque éditeur concocte son cocktail de clauses qui, avec quelque patience, viendra asphyxier le client et rapporter bien plus que la redevance initiale. Les ingrédients sont bien connus. Ils portent notamment sur les conditions de cession des droits, le lieu d’implantation des logiciels, les bénéficiaires, les machines utilisées et les puissances de traitement.

Le tout reposant habilement sur des clauses d’audit, de résiliation et de limitation de durée soigneusement muries.

C’est bien entendu la combinaison de tous ces ingrédients qui en fait la saveur. D’autant qu’une habile politique commerciale permet la plupart du temps de s’affranchir du garde-fou constitué par le contrat-cadre et de changer d’interlocuteurs au fil du temps. Il en est ainsi notamment lorsque sont négociés au coup par coup des documents plus contingents (bons de commandes, contrats d’application, documents dits de transactions, avenants, annexes ou tout autre avatar du même acabit).

B) Les DSI doivent évoluer comme jamais

Chacun constate que le rythme des affaires et les mutations des entreprises s’accélèrent de manière exponentielle. Il n’est guère de directions générales qui ne s’affairent aux évolutions de son périmètre et de ses activités. Toutes pensent fusion, cession, filialisation, spécialisation, mondialisation, sous-traitance, externalisation.

Dans ce contexte, les DSI ont choisi leur credo : virtualisation et alignement du SI avec les métiers.

De sorte qu’elles consacrent d’importants moyens à la « mise en nuage » des ressources de traitements, leur consolidation, voire leur relocalisation et/ou leur sous-traitance.

Nul besoin d’être grand clerc pour réaliser que le cadre contractuel imposé par les éditeurs constitue un formidable carcan lorsque l’entreprise doit se transformer de la sorte.

Qu’ainsi, à plusieurs reprises, le choc sera frontal entre les limites imposées par les contrats de logiciels et les changements souhaités par le management. Et que lorsque ceux-ci n’auront pas été suffisamment anticipés et chiffrés, il faudra en passer par les fourches caudines des éditeurs.

Évidemment, la situation est encore pire lorsque l’entreprise se transforme et évolue en ignorant les contraintes imposées par la conformité. C’est alors par les foudres de la contrefaçon que l’entreprise se trouve rattrapée.

II – L’écosystème de la conformité : les multiples acteurs complémentaires du SAM

Face aux éditeurs, le SAM mobilise toujours plus tant les équipes internes des entreprises que divers prestataires externes en plein essor.

A) La mobilisation conjointe de nombreux intervenants internes

Plus que toute autre activité, le SAM repose sur une étroite interaction entre les trois directions internes que sont les achats, le juridique et l’informatique.

En effet, dès lors que se noue le lien contractuel, les directions des achats sont concernées au premier chef puisqu’il s’agit de manager la relation avec des fournisseurs comme les autres que sont les éditeurs. De leur côté, les directions juridiques doivent bien entendu veiller à l’équilibre des clauses contractuelles et aux risques nés du fait du contrat. Quant aux directions informatiques, il leur appartient de définir les besoins en termes de licences. Cette mission peut être rendue particulièrement délicate tant par la nature des unités d’œuvre que l’identification même des besoins.

Au fil du temps, la tâche de l’entreprise se complexifie rapidement puisqu’il lui est nécessaire de piloter en permanence la délicate et volatile balance entre les licences acquises et les licences requises.

Et celles-ci vont évoluer toujours plus fréquemment, notamment du fait de la virtualisation des ressources techniques, des changements parmi la population des utilisateurs, des évolutions de la politique de back-up, des concentrations, relocalisations et autres transferts de sites …

Il s’ensuivra de nombreux va et vient entre les trois entités concernées, sans que jamais l’une d’elles puisse raisonnablement prendre le leadership sur les autres.

B) La montée en puissance d’un nouvel écosystème

Ces derniers temps, comme l’on pouvait s’y attendre, les éditeurs se sont faits toujours plus menaçants à l’égard de leurs clients. Ils ont donc brandi les menaces de l’audit, de la résiliation et de la contrefaçon.

Les audits étant généralement prévus par les contrats des éditeurs, certaines sociétés spécialisées n’ont donc pas manqué de proposer leurs services, notamment afin de mesurer l’utilisation réelle des licences puis de la confronter aux prévisions des termes contractuels.

De leur côté, les utilisateurs se sont trouvés confrontés à un nombre croissant de pré-contentieux, de sorte qu’ils ont progressivement commencé à faire appel aux professionnels du droit que sont les avocats. Ainsi, ils ont vite pris conscience de la sévérité du droit français en cas de contrefaçon : la procédure de saisie-contrefaçon mais aussi un mode spécial de calcul du préjudice et une juridiction “inhabituelle” en cas de litiges. En effet, le TC (Tribunal de Commerce) est écarté par la compétence exclusive du TGI (Tribunal de Grande Instance) en matière de droit d’auteur. Sans oublier que le droit pénal lui même vient renforcer le pouvoir de sanction des éditeurs puisqu’il punit la contrefaçon par 3 ans d’emprisonnement et 300.000 euros d’amende pour les personnes physiques (montant multiplié par 5 pour les personnes morales).

Le SAM vient donc constituer une activité en croissance pour la profession d’avocats.

Enfin, conscients des difficultés rencontrées par les entreprises du fait de la conformité, certains éditeurs y ont vu une opportunité. Il ont donc entrepris de développer des applications spécialisées, afin notamment de compléter leurs gammes de logiciels dédiés à l’asset management ou au contract management.

Évidemment, la complexité se déplace alors vers la mise en œuvre, l’implémentation et le pilotage de ce type d’applications. De sorte que diverses sociétés spécialisées commencent à proposer un mix de conseil et de logiciels, souvent qualifié de conseil outillé.

De surcroît, certains spécialistes du sourcing – maîtrisant notamment les arcanes et pratiques des grands éditeurs (Microsoft, IBM, Oracle, CA, BMC, …) – entrent eux aussi dans la compétition. Nul doute qu’ils seront particulièrement pertinents compte tenu des chausse-trappes que renferment les contrats des champions du logiciel.

En définitive, l’étonnant cumul des prérogatives du droit d’auteur et de la puissance économique des éditeurs produit un foisonnant écosystème. C’est ainsi que le SAM vient encore renforcer la dynamique de décloisonnement et de fertilisation croisée entre les métiers des achats, du droit et du conseil IT.

Méthodes agiles : contrats fragiles !

Les méthodes agiles sont souvent présentées comme une panacée permettant d’échapper aux lourdeurs des phases de spécifications. N’en déplaise aux habiles commerciaux des SSII, les méthodes agiles induisent toujours d’importants risques supportés par les clients.

Pour mémoire, il convient de rappeler que l’approche agile est basée sur des pratiques itératives et collaboratives, dont les 4 valeurs fondamentales sont :

– les individus et leurs interactions plus que les processus et les outils

– les logiciels opérationnels plus qu’une documentation exhaustive

– la collaboration avec les clients plus que la négociation contractuelle

– l’adaptation au changement plus que le suivi d’un plan.

Pour autant, méthodes agiles ou pas, aucune entreprise ne peut renoncer au triptyque périmètre, délai, budget.

De sorte que, en présence d’une méthode agile, tout projet d’importance sera le théâtre d’une âpre lutte contractuelle entre la SSII et son client. Il n’y a ni vainqueur ni vaincu à ce stade. Un contrat finit toujours par être signé … d’autant plus que le prêt à porter contractuel est aujourd’hui abondant.

Traditionnellement, les méthodes agiles découpent le projet en itérations, ou « sprints », tandis que le « backlog » comptabilise ce qu’il reste à faire pour respecter le périmètre fonctionnel initialement convenu.

Et c’est là le premier germe de la discorde : la valeur d’une itération repose-t-elle sur la quantité de  travail fournie par la SSII ou s’apprécie-t-elle au regard de la progression vers l’atteinte du périmètre fonctionnel visé par le client ?

Bien entendu, la SSII demandera à être payée pour le travail accompli, c’est à dire en régie, plus ou moins bien dissimulée derrière « points de complexité », « vélocité » ou autres termes pompeux …

Face à cette demande, le client aura bien du mal à mesurer le bénéfice qu’il tire de l’itération et à la caractériser en termes de résultats, d’autant que – conformément au dogme de l’agilité –  il a accordé peu de temps aux spécifications, surtout s’agissant des livrables des itérations.

Le second germe de la discorde apparaît généralement au même stade : la collaboration et l’interaction entre les équipes étant au cœur des méthodes agiles, la SSII comme le client pourront s’incriminer  mutuellement en cas de retards, de difficultés de recettes, de manquements aux obligations de compétence, d’alerte …

Le client aura bien du mal à se prévaloir des obligations de résultats mises à la charge de la SSII. Chacun sait que l’immixtion du maître d’ouvrage permet à la SSII de s’exonérer de sa responsabilité.

Moteur même de la démarche agile, l’interaction SSII-client sape ainsi directement les bases de la responsabilité du prestataire en matière d’obligations de résultats. Pire, le client peut se voir demander réparation du préjudice que la SSII pourrait prétendre supporter : équipes mobilisées pour ne faire qu’attendre ou se substituant aux carences du client, …

Ultérieurement, en présence d’un litige, plusieurs questions additionnelles se poseront : résiliation ou résolution du contrat, jouissance des droits de propriété intellectuelle afférents aux programmes et/ou aux spécifications, réutilisabilité opérationnelle des livrables …

En définitive, il semble raisonnable de retenir que, en présence de méthodes agiles, le cadre contractuel SSII-client est particulièrement délicat. Il s’avère bien souvent un leurre, sauf à se satisfaire de l’achat en régie de prestations qu’il conviendra de piloter de très près – tout en sachant parfaitement où l’on souhaite arriver.

Ainsi, Sénèque a encore et toujours raison : « il n’est point de vent favorable pour qui ne sait pas où se trouve son port ». Les méthodes agiles nous le rappellent parfois cruellement.

Chartes informatiques à l’heure des smartphones et du web 2.0

Les smartphones estompent les frontières entre vies professionnelle et personnelle. Le Web 2.0 donne à chacun de puissants moyens d’expression en dehors de l’entreprise. De nouvelles règles du jeu s’imposent. La charte informatique a vocation à rassembler ces règles. Mais quel peut être son contenu ? Quelle est son effectivité juridique ? Comment la mettre en œuvre ?

Le contenu d’une charte informatique est hybride par nature. Il a évolué pour passer d’une vision technique à une approche éthique, ayant pour socle la loyauté.

La première génération de chartes informatiques faisait la part belle aux directives techniques destinées à protéger l’intégrité du système informatique. Elles interdisaient notamment les modifications des configurations des logiciels de sécurité, les manipulations anormales du matériel ou l’introduction de logiciels tiers, voir parasites tels que virus ou chevaux de Troie. À cette époque, tout était simple : il suffisait d’interdire dans le but de protéger des ressources techniques.
Internet et le Web 2.0 ont rendu nécessaire l’adjonction de nouvelles règles.
Des notions complexes sont apparues. Il s’agit notamment des « sites Internet présentant un lien direct et nécessaire avec l’activité professionnelle », des « opinions personnelles susceptibles de porter préjudice à l’entreprise », de « l’usage à titre personnel dans le cadre des nécessités de la vie courante » ou de la « parfaite correction à l’égard de ses interlocuteurs dans les échanges électroniques ».
Toutes ces nouvelles règles ont en commun leur caractère flou. Elles rendent délicat le tracé de la frontière entre ce qui est permis et ce qui est interdit. En définitive, leur principal dénominateur commun est de reposer sur le critère de la loyauté. Celle du salarié mais aussi celle de l’employeur.
Malheureusement, la loyauté ne se mesure pas ! En fait, elle est devenue l’un des principaux standards juridiques d’aujourd’hui. Seul le juge peut trancher et dire si un comportement est déloyal ou loyal. Il convient donc de s’interroger sur les enjeux sous-jacents.
Le premier enjeu porte sur la qualification de la faute. Aux termes de l’article L.1222-1 du Code du Travail, « Le contrat de travail est exécuté de bonne foi ». La méconnaissance d’une obligation édictée par la charte informatique peut être analysée comme un défaut de loyauté. Elle est donc de nature à justifier la rupture du contrat de travail au tort du salarié.
Le second enjeu porte sur l’opposabilité de la preuve. Pour pouvoir être opposée à un adversaire, une preuve doit avoir été obtenue de manière loyale. La jurisprudence est constante pour rappeler ce principe. Le cadre légal impose d’ailleurs que tout dispositif de surveillance soit porté préalablement à la connaissance des salariés (Art. L.1222-4 du Code du travail). La charte informatique peut constituer avantageusement le support d’une telle information, notamment en faisant connaître les prérogatives de surveillance des administrateurs de réseaux.
Le troisième enjeu porte sur la responsabilité civile ou pénale de l’entreprise. A défaut de prévenir les utilisateurs du caractère illicite de certains comportements, celle-ci peut voir sa responsabilité engagée. Il en est ainsi notamment lorsque sont méconnus les droits de propriété intellectuelle des tiers ou stockées des informations pour le compte de tiers, notamment sur des forums ouverts au public. Là encore, la charte informatique permet d’informer les salariés quant à la ligne jaune à ne pas franchir.
La charte informatique a donc vocation à être connue de tous. Sa mise en œuvre loyale impose l’information et la consultation du CHSCT, du CE et de chaque salarié individuellement.
Partie intégrante du règlement intérieur, elle doit aussi satisfaire le critère de la proportionnalité des restrictions imposées aux salariés, conformément à l’article L.1321-3 du Code du travail prohibant « les dispositions apportant aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir et proportionnées au but recherché ».
En définitive, si la charte informatique doit être profondément remaniée à l’heure où vies professionnelle et personnelle se chevauchent, le critère de la loyauté en constitue la boussole. Il faut cependant garder à l’esprit que seul le juge pourra finalement dire où se trouve le nord !

Faurecia c/ Oracle : les éditeurs de logiciels ne sont pas des transporteurs rapides !

La saga judiciaire opposant l’équipementier automobile à l’éditeur de logiciels s’est enfin achevée le 29 juin 2010. L’arrêt rendu par la Chambre Commerciale de la Cour de Cassation est important. Par sa vaste portée, il dépasse le domaine des contrats informatiques pour concerner l’ensemble des clauses limitatives de responsabilité.
Un rappel du mouvement de balancier jurisprudentiel (1) illustre la valeur de cette solution antipathique mais équilibrée (2).
1. Le balancier jurisprudentiel : contradiction-manquement-contradiction
Dès 1996 avec la jurisprudence Chronopost, la Cour de Cassation avait réputée non-écrite la clause de responsabilité limitée du transporteur, dès lors que celui-ci avait manqué à son obligation essentielle. En l’espèce, celle-ci consistait à livrer des plis dans un délai déterminé.
La Haute juridiction relevait : « la clause limitative de responsabilité du contrat, qui contredisait la portée de l’engagement pris, devait être réputée non écrite ».
Une fois la brèche ouverte, de nombreux clients mécontents s’efforcèrent de faire « sauter » les clauses limitant la responsabilité de leurs fournisseurs.
C’est précisément ce que fit Faurecia contre Oracle.
Dans cette affaire, l’éditeur de logiciels n’avait pas respecté son engagement de livrer la version V12 de son progiciel en septembre 1999. Il ne l’avait pas fait plus tard non plus. Par son arrêt rendu le 13 février 2007, la Chambre Commerciale a considéré que, en l’absence de cas de force majeure, le non-respect du calendrier de livraison par la société Oracle constituait « un manquement à une obligation essentielle de nature à faire échec à l’application de la clause limitative de réparation ».
Le non-respect du calendrier de livraison était ainsi constitutif du manquement à une obligation essentielle du fournisseur. Et un « simple » manquement était devenu suffisant.
Mais n’était-ce pas aller trop loin ? Et sacrifier la sécurité juridique et les prévisions des cocontractants sur l’autel de la défense de la partie faible, du client floué ?
C’est précisément ce que vient nous dire l’arrêt du 29 juin 2010.
La Haute juridiction précise : « seule est réputée non écrite la clause limitative de réparation qui contredit la portée de l’obligation essentielle souscrite par le débiteur ».
Désormais, pour être écartée, la clause limitative de responsabilité doit contredire la portée de l’obligation essentielle. Elle doit la vider de toute substance. Un manquement ne suffit plus.
C’est donc un retour à la règle posée par jurisprudence Chronopost.
2. Une solution amère mais équilibrée : les éditeurs ne sont pas des transporteurs rapides
Incontestablement, la décision du 29 juin 2010 sonne la fin de la récréation. Du moins pour les clients mécontents.
Et ceux qui ont souffert du fait de promesses de délais non respectées sont légion. Dans l’industrie informatique, les projets et logiciels livrés dans les temps sont rares. Ils importaient de « moraliser » les pratiques et de sanctionner la mauvaise foi.
De ce fait, la 1ère jurisprudence Faurecia suscitait la sympathie générale, tout au moins chez les clients du secteur informatique.
Pour autant, le contrat ne doit pas perdre sa force et ses effets doivent rester prévisibles. Seules des situations rares, « extrêmes », peuvent justifier le forçage du contrat par le juge, notamment en réputant non-écrite une clause.
Avec sagesse, la Haute Juridiction a donc fait machine arrière le 29 juin 2010.
Mais la règle posée en 1996 joue ici en sens inverse.
Selon la Chambre Commerciale, le non-respect des délais n’est pas, en soi, suffisant pour contredire l’obligation essentielle d’un éditeur de logiciels.
L’industrie du logiciel n’est pas celle du transport rapide !
La force contraignante des contrats est donc sortie victorieuse du bras de fer avec la morale.
Les utilisateurs floués (et imprudents) sont les perdants.
Plus que jamais, la vigilance s’impose avant toute signature.
Les négociations pré-contractuelles et leurs arcanes ont encore quelques beaux jours devant elles …
Michel Pasotti – Avocat au Barreau de Paris
Paris, le 15 juillet 2010

Cloud computing et contrats informatiques : du nouveau ou du bruit ?

Le cloud computing est devenu omniprésent dans le jargon des nouvelles technologies. Rupture  technologique ou simple effet de mode ? À travers le prisme du droit des contrats, le bilan des nouveautés est décevant !

Le Journal Officiel du 6 juin 2010 définit l’informatique en nuage comme le « Mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire ».

Il est ensuite précisé : « L’informatique en nuage est une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »
De cette définition, il ressort que le Cloud Computing impose trois conditions cumulatives :

  • Internet
  • Externalisation
  • Incertitude quant à l’emplacement et au fonctionnement du service.

En définitive, la seule spécificité du Cloud Computing est constituée par l’incertitude quant à l’emplacement et au fonctionnement du nuage.

Celui-ci ne connaissant aucune frontière, la question du droit applicable se pose.

Dès l’année 1910, la Cour de Cassation apportait la réponse en affirmant le principe d’autonomie : « La loi applicable est celle choisie par les parties ». (Civ. 5/12/1910 – Arrêt American Trading)

La convention de Rome du 19 juin 1980 ne fait rien d’autre que reprendre ce principe.

Ainsi, le choix exprès de la loi applicable permet aisément aux parties de réduire l’insécurité juridique résultant du fonctionnement en nuage.

De même, une clause attributive de juridiction apporte la faculté de désigner par avance le tribunal compétent en cas de litige.

Ces règles générales connaissent quelques exceptions, notamment lorsqu’elles se heurtent à une loi de police ou atteignent la protection de la partie faible.

Mais ces exceptions viennent précisément conforter la sécurité juridique et sont donc de nature à rassurer ceux qui font appel aux services de l’informatique en nuage.

Reste ensuite la question des transferts hors du territoire français des données à caractère personnel.

Ceux-ci sont encadrés par la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés.

Mais l’article 69 de ladite loi prévoit que le transfert de données à caractère personnel peut être effectué vers un État, quel qu’il soit, « si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ».

Un tel consentement est déjà chose courante chez les professionnels de l’externalisation.

En synthèse, l’informatique en nuage ne soulève guère de difficultés spécifiques d’un point de vue juridique.

Pourtant, les inquiétudes concernant la sécurité et la confidentialité représentent en pratique le plus grand obstacle à l’adhésion au cloud computing.

Et la fameuse élasticité promise par le Cloud Computing (qui n’est que la « scalabilité » des années 1995) impose des engagements de niveaux de services particulièrement précis.

C’est donc par un travail d’équipe, combinant intimement contrats, Service Level Agreements et certifications SAS 70 Type II ou ISO 27001 que l’informatique en nuage pourra continuer à se développer.

Michel PASOTTI – Avocat au Barreau de Paris – Paris, le 23 janvier 2011

Constante de Copernic et prochain CCAG-TIC : qui l’emportera ?

Les chiffres sont aujourd’hui connus du grand public. Le budget du chantier Copernic atteindra 1,8 milliards d’euros. Il était initialement prévu à 0,9 milliards d’euros, dans l’objectif de multiplier les liens électroniques avec les contribuables. C’est donc un doublement du montant initialement prévu que supporteront les propres finances du ministère du Budget.
Un tel doublement n’est pas un cas isolé. Encore dans le même ministère, le projet informatique Chorus a vu son budget passer de 0,55 à 1,1 milliards d’euros, pour une livraison prévue en 2011, soit avec une année de retard (La Tribune – 25/11/2008).
A dire vrai, un tel doublement de budget n’émeut guère les spécialistes, car il est devenu la règle en matière de projets informatiques. Il n’est donc pas rare d’entendre invoquer la « Constante de Copernic » pour échapper à la critique, voir à ses responsabilités.
Dans l’objectif louable de s’attaquer notamment à cette difficulté, la Direction Juridique du Minefi a entrepris la rédaction d’un nouveau Cahier des Clauses Administratives Générales dédié aux Techniques de l’Information et de la Communication (CCAG-TIC). La concertation relative au CCAG-TIC s’est achevée le 29 septembre 2008, pour une publication prévue avant la fin 2008.
Pour l’essentiel, les évolutions portent sur l’apparition de la cession des droits de propriété intellectuelle et surtout de nouvelles définitions ou leur actualisation.
Ainsi, la notion de « réserves » est introduite dans le projet. Celle-ci est décisive car elle permet de s’affranchir de la règle du « tout ou rien », qui est en contradiction avec les faits : de nombreux systèmes informatiques ne fonctionnent pas parfaitement mais sont néanmoins utilisés. Comment ignorer cette situation dans les contrats ?
La notion de « qualité du service » est définie par comparaison du niveau de service rendu avec celui visé dans la convention de niveaux de services. Elle permet elle aussi de s’affranchir du « tout ou rien ».
Font encore leurs apparitions la « réversibilité » ou « transférabilité », qui désignent l’acte de retour ou de transfert de responsabilité, par lequel le pouvoir adjudicateur reprend, ou fait reprendre par un nouveau titulaire, les prestations qu’il avait confiées au titulaire du marché d’infogérance arrivant à terme.
À dire vrai, toutes ces notions sont bien connues et largement utilisées par les professionnels du secteur informatique lorsqu’il interviennent en dehors de la Commande Publique. Il en va de même en matière de cession des droits de propriété intellectuelle. Pour autant, la fameuse constante de Copernic y sévit avec la même force.
Faut-il en déduire que les pratiques comptent plus que les contrats ? C’est vraisemblablement à l’articulation des deux mondes que les gisements de progrès restent à explorer. C’est certainement une bonne raison pour que les informaticiens et les juristes travaillent encore plus concrètement en équipe.
Michel Pasotti – Avocat au Barreau de Paris – Docteur en Économie