950.000 euros de dommages-intérêts pour violation d'une licence open source !
Les décisions en matière de logiciel « libre » sont suffisamment rares pour être mises en avant. L’arrêt de la Cour d’Appel de Paris du 14 février 2024 fera date car il condamne pour la première fois l’utilisateur d’un logiciel sous licence « open source », à de lourds dommages-intérêts pour non-respect de cette licence.
- Le dernier épisode d’une longue saga judiciaire
Cette décision n’est en réalité que le dernier épisode en date, et peut être l’épilogue, d’une longue saga judiciaire, ayant opposé la société coopérative Entr’ouvert, à l’opérateur Orange.
Un bref rappel des faits : la société Entr’ouvert a conçu un logiciel dénommé LASSO, permettant la mise en place d'un système d'authentification unique, afin que l'internaute ne s'identifie qu'une seule fois pour accéder à plusieurs services ou sites en ligne, évitant ainsi d'avoir autant d'identifiants que de services en ligne. Elle diffuse ce logiciel soit sous licence libre GNU GPL v. 2, soit sous licence commerciale, en contrepartie du paiement de redevances, si l'utilisation souhaitée du logiciel LASSO est incompatible avec la licence GNU GPL (par ex si le client souhaite conserver le code sous format propriétaire et ne pas être tenu de le rediffuser).
Dans le cadre d'un appel d'offre lancé fin 2005 par la Direction générale de la modernisation de l'état (DGME), en vue de la conception et de la réalisation du portail dénommé « Mon service Public » qui a fonctionné de début 2009 jusqu'au 1er juillet 2016, la société Orange a obtenu la réalisation du lot nº2, relatif à la fourniture d'une solution informatique de gestion d'identités et des moyens d'interface à destination des fournisseurs de service, au moyen d'une plate-forme logicielle dénommée Identité Management Platform (« IDMP »), intégrant le logiciel LASSO de la société Entr'Ouvert, dans sa version GNU GPL Version 2, sous licence libre.
Estimant qu’Orange n’avait pas respecté les conditions de la licence GNU GPL pour l’intégration de Lasso dans sa plateforme logicielle, la société Entr’ouvert l’a assignée en contrefaçon de droits d’auteur.
Il s’en est suivi un long débat juridique sur la recevabilité de cette action, Orange estimant que l’action en violation de licence avait un caractère exclusivement contractuel, et qu’elle ne pouvait donc être assignée en contrefaçon, s’agissant d’une responsabilité à caractère délictuel. Ce long -et passionnant- débat a occupé les juridictions pendant de nombreuses années, puisque, après avoir obtenu gain de cause en première instance et en appel, Orange a vu la décision d’appel censurée par la Cour de Cassation dans un arrêt du 5 mars 2022[1], qui a jugé que l’action en contrefaçon de l’éditeur était bien recevable (décision que nous avions déjà commentée ici).
L’enjeu était important, car l’indemnisation est plus intéressante en matière de contrefaçon, la partie adverse ne pouvant opposer certains arguments purement contractuels, comme par exemple une clause limitative de responsabilité.
Ce point étant tranché, la Cour d’Appel de Paris, statuant sur renvoi après cassation, a donc enfin pu aborder le fond du litige pour juger s’il y avait violation de la licence GPL, de nature à caractériser un acte de contrefaçon.
Et c’est précisément sur ce point que la décision est intéressante, car elle procède à une analyse très fine des clauses de la licence GNU GPL v.2.
- Violation d’une licence GNU GPL = contrefaçon
En l’espèce, la Cour retient la violation de quatre articles distincts de la licence, et en profite pour clarifier certaines notions.
- Sur la violation des conditions de « redistribution » (article 2 de la licence GPL)
L’article 2 de la licence GNU GPL autorise le licencié à modifier le logiciel sous licence pour créer « un ouvrage fondé sur le Programme » ; autrement dit un logiciel dérivé, mais à condition de respecter trois exigences :
- Identifier les fichiers modifiés,
- Distribuer le logiciel dérivé à titre gratuit, et soumis aux conditions de la même licence,
- Afficher un avis aux utilisateurs pour rappeler ces obligations ainsi que l’absence de garantie donnée par l’éditeur.
Manifestement, Orange n’avait pas respecté ces conditions, puisque Lasso était intégré dans sa plateforme IDMN, qu’elle redistribuait à l’Etat moyennant finances dans le cadre de cet appel d’offres.
Orange se défendait en prétendant que IDMN n’était pas « fondé sur » Lasso, et que celui-ci ne constituait qu’une brique indépendante du reste de la plateforme. Or, une expertise avait été ordonnée par la Cour, pour l’éclairer sur ces points techniques. Et les conclusions de l’expert étaient sans appel : l'expert a clairement relevé que le logiciel LASSO représentait 57% de la plateforme IDMP, que « IDMP/MSP [Mon service public] ne saurait fonctionner sans LASSO. Les liens sont multiples et profonds. IDMP, dans le cadre de MSP est totalement dépendant de la présence de LASSO », que « cette dépendance est transversale et elle débute dès la conception du code source pour se poursuivre lors de la pré-compilation, de la compilation et de l'usage d'IDMP ». L’expert indique également que « LASSO et IDMP n'existent pas côte à côte de façon séparée et indépendante. En réalité LASSO est encapsulé dans au moins un des composants de IDMP et d'autres, ont, dès le code source, des liens de dépendance extrêmement forts. IDMP/MSP s'appuient entièrement sur LASSO. De ce point de vue l'interaction est totale et permanente ». Dans ces conditions, la Cour ne pouvait qu’écarter l’argument d’Orange, et retenir que IDMP est effectivement « fondé », au sens du contrat de licence, sur le logiciel LASSO.
Puis, après avoir constaté qu’Orange n’avait pas respecté les conditions de la redistribution du logiciel dérivé prévues à l’article 2, la Cour en déduit donc que « Orange a violé les dispositions de l'article 2 du contrat de licence, ayant procédé à des modifications de LASSO sur lequel est fondé IDMP, en ne concédant pas IDMP comme un tout gratuit auprès de l'Etat ».
Au passage, on notera l’importance décisive de l’avis de l’expert dans les conclusions de la Cour, comme c’est très souvent le cas en matière de contrefaçon de logiciel, les magistrats n’ayant pas les compétences techniques pour juger à eux seuls de l’originalité d’un logiciel, ou de la teneur et de l’importance des lignes de code reprises du logiciel d’origine.
- Sur le non-respect de l’obligation de redistribution des sources (article 3 de la licence GPL)
L’article 3 impose à l’utilisateur qui « redistribue » un logiciel dérivé (basé sur le Programme) de redistribuer également le code source du logiciel dérivé, par l’un des moyens prévus dans la licence (téléchargement, proposition d’offrir le code source à la copie sur demande, etc.). C’est l’une des clés de voute des licences open source : toute modification du code d’origine doit être rendue accessible à tous les utilisateurs, ou autrement dit à « la communauté ».
Manifestement, là encore, Orange n’avait pas respecté cette condition, encapsulant Lasso dans une plateforme propriétaire, dont elle avait n’avait jamais partagé les codes sources envers la communauté des utilisateurs Lasso, ni même auprès de son client.
Une fois de plus, Orange contestait l’applicabilité de cet article, en estimant qu’elle n’avait pas « redistribué » le logiciel Lasso, car elle l’avait intégrée à un site Internet, lui-même exploité par le client final, et non vendu directement, ce qui semblait admis par les FAQ relatives à la licence GNU GPL v.2.
L’argumentaire était astucieux, mais n’a pas convaincu la Cour, qui a adopté une conception économique de la notion de « distribution ». Ainsi, selon la Cour, « la distribution est constituée, au sens du contrat de licence, et sans qu'il soit nécessaire de procéder à son interprétation, dans la mesure où les sociétés Orange ont vendu, livré et transféré à un tiers, l'Etat, l'ouvrage IDMP fondé sur le logiciel LASSO modifié sous licence GPL, dans le cadre de l'élaboration du site « Mon service public », pour être intégré à ce portail. ».
En outre, Orange avait sollicité Entr’ouvert avant la mise en place du portail, pour qu’elle lui fasse des propositions de licence « fermée » ou propriétaire, ce qui démontre qu’elle était bien consciente de cette obligation de redistribution des sources, qui lui posait certainement problème. Mais Orange a préféré se dispenser de l’accord de l’éditeur, pensant sans doute que celui-ci n’irait pas soutenir un long (et couteux) contentieux pour défendre sa propriété intellectuelle. Mal lui en a pris !
- Sur le caractère incompatible de la GPL avec une distribution sous licence propriétaire
L’article 4 stipule que « vous ne pouvez copier, modifier, concéder en sous-licence, ou distribuer le Programme sauf tel qu'expressément prévu par la présente Licence » et son article 10 que « Si vous souhaitez incorporer des parties du Programme [if you wish to incorporate parts of the Program] dans d'autres programmes libres dont les conditions de distribution sont différentes, écrivez à l'auteur pour lui en demander l'autorisation »
La violation de l’article 4 était déjà acquise, au vu de la violation des articles 2 et 3.
Quant à l’incorporation de Lasso dans IDMP,, là encore contestée par Orange, elle était amplement démontrée par les conclusions de l’expert, mais aussi prévue dès le départ dans la sollicitation d’Entrouvert par Orange. C’est ainsi que la proposition commerciale de l’éditeur à Orange rappelle le contexte de la demande : « le groupe France Telecom a été retenu par l'ADAE pour mettre en 'œuvre un projet de création pilote d'un nouveau service à destination des usagers de l'administration dénommé « Mon service Public ». (') Dans le cadre ce de projet, la société Setib, filiale de France Telecom a pour mission entre autres de fournir un système d'authentification « Liberty enabled ». (') la société Setib a émis les besoins suivants : une licence d'utilisation du logiciel Lasso en environnement propriétaire non compatible avec la licence GNU GPL, afin d'implémenter la bibliothèque Lasso dans un IDP». La Cour en conclut que, « dès l'origine du projet, la non comptabilité de l'implémentation du programme LASSO au sein d'IDP avec la licence gratuite GNU GPL était connue par les intimées (Orange). »
Ainsi, en incorporant LASSO dans la plate-forme IDMP, dont les conditions de distribution sont différentes et sans demander l'autorisation à la société Entr'Ouvert, Orange a violé également l'article 10 de la licence GNU GPL.
- Ne pas respecter une licence open source, ça peut coûter cher !
Une fois ces violations constatées, il restait à savoir si les dommages-intérêts seraient à la hauteur du préjudice subi par l’éditeur.
Et, force est de constater que la Cour d’Appel a assez largement suivi la société Entr’ouvert dans ses demandes, et condamné Orange à payer à celle-ci une lourde indemnisation.
Faisant une interprétation littérale de l’article L.331-3-1 du Code de la Propriété Intellectuelle, la Cour a ainsi alloué une indemnisation à l’éditeur au titre de chacun des trois chefs de préjudice prévus dans cet article :
- Au titre du manque à gagner, la Cour s’est fondée sur l’une des propositions commerciales de la société Entr’ouvert à Orange pour le projet, à savoir une licence « fermée » à 500.000 euros, sans limite de nombre d’utilisateurs. C’est donc ce montant, qui constituait la fourchette « haute » des 3 propositions émises, qui a été retenu.
- Au titre des « bénéfices réalisés par le contrefacteur », la Cour a insisté sur « le rôle crucial joué par Lasso dans IDMP », et sur l’ampleur du projet pour l’Etat, avec un budget global estimé à 8.7 millions d’euros (sans qu’on sache toutefois la part revenant à Orange). La Cour arbitre ainsi ce préjudice à 150.000 euros, mais son raisonnement est moins convaincant, car peu détaillé sur le plan économique.
- Enfin, la Cour alloue également 150.000 euros au titre du préjudice moral à Entr’ouvert, se fondant sur notamment sur le comportement de mauvaise foi d’Orange, qui a été solliciter Entr’ouvert pour des licences propriétaires, puis n’a finalement pas donné suite, avant d’utiliser le Logiciel en parfaite connaissance de la violation des termes de la licence open source. La Cour relève également la violation du droit à la paternité de l’éditeur, Entr’ouvert n’ayant jamais été nommé par Orange dans le cadre du projet ; ce qui a engendré un préjudice d'autant plus significatif que ce projet a bénéficié d'une renommée incontestable et été primé. Ainsi, du fait des agissements des sociétés Orange, l’éditeur « a perdu une chance de pouvoir revendiquer être un acteur notable sur le marché de la gestion des identités numériques, alors en plein essor ». C’est donc ici l’impact en termes de notoriété et de préjudice d’image, que vient réparer la juridiction.
En dernier lieu, il faut rappeler que 150.000 euros avaient déjà été alloués à la société Entr’ouvert au titre du parasitisme, Orange ayant en effet profité des « économies d’investissement » significatives, Lasso ayant fait l’objet d’un développement pendant plus de 20 ans par la société Entr’ouvert. On peut néanmoins s’interroger sur le cumul de cette indemnisation avec celles allouées au titre de la contrefaçon, dans la mesure ou elles semblent indemniser un même préjudice (notamment celui au titre des « bénéfices réalisés par le contrefacteur, qui inclut en partie les économies réalisées par celui-ci).
Au total : 500.000 +150.000+150.000+150.000 = 950.000 euros de dommages-intérêts à l’encontre d’Orange. Si l’on ajoute les 60.000 euros d’article 700 (indemnité pour frais de procédure), l’addition dépasse ainsi le million d’euros pour l’opérateur !
Cette décision constitue ainsi un rappel à l’ordre pour les entreprises du numérique, qui espéreraient pouvoir tirer profit de composants ou briques logiciels sous licence « open source » pour faire des économies dans leurs projets : licence libre ne signifie pas que l’on peut utiliser le logiciel n’importe comment, ou à moindre coût. Chaque licence inclut ses propres exigences, qu’il convient de respecter à la lettre, sous peine de se rendre coupables d’actes de contrefaçon.
Cet arrêt est également une décision rassurante pour tous les acteurs du logiciel libre, puisqu’elle vient rappeler la force obligatoire des licences open source, et sanctionner les violations de ces licences, conférant ainsi une protection réelle et visible à tout ce secteur de l’industrie logicielle.
Le Cabinet Champollion Avocats reste à votre disposition pour toute assistance juridique sur un projet open source, ou litige en lien avec un logiciel sous licence libre.
Article rédigé par Josquin Louvier, avec l’aide d’Ugo Chanut
[1]Cass. Com 5.10.2022, Pourvoi n° 21-15.386