30 déc. 2024

LA PROTECTION DU SAVOIR-FAIRE PAR L'ACCORD DE CONFIDENTIALITE (NDA) : UN ENJEU STRATEGIQUE POUR LES ACTIFS INCORPORELS DE L'ENTREPRISE

En 2023, une affaire avait fait grand bruit en Asie : un ingénieur, qui avait travaillé pour le géant sud-coréen Samsung, a été inculpé en Corée pour « vols de secrets commerciaux », accusé d’avoir dérobé des plans d’usines et des secrets de production pour construire une fabrique de puces mémoires en Chine. Un fait qui a pris l’allure d’une affaire d’Etat dans un contexte de concurrence féroce avec le voisin chinois sur le marché des semi-conducteurs. Ce « fait divers » économique illustre l’importance de la protection juridique du savoir-faire pour les entreprises. Quels sont les outils et la stratégie pour se prémunir des atteintes des concurrents ? 

Qu'est-ce que le savoir-faire ? 

Le savoir-faire, considéré comme une innovation technologique ou commerciale substantielle non-brevetable ou non-brevetée et ayant une valeur commerciale, ou plus étroitement comme « une connaissance technique, transmissible mais non immédiatement accessible au public et non-brevetée » (Jean-Marc Mousseron, Le know-how, JCP E 1972, supplément 1), constitue un actif incorporel essentiel afin de maintenir un avantage concurrentiel sur un marché et de valoriser une entreprise.

Plus encore que sur sa nature et sa substance, toute définition insiste sur un caractère essentiel de sa valeur commerciale et financière : son caractère secret.

C’est d’ailleurs une condition de sa protection en tant que « secret des affaires », aux termes des articles L. 151-1 et suivants du Code de Commerce (Loi n°2018-670 du 30 juillet 2018 issue de la transposition de la Directive UE 2016/943 du 8 juin 2016).

On assimile parfois (par abus de langage) ce savoir-faire à un « secret de fabrique » constituant l’essentiel de la valeur d’une entreprise (par exemple, un algorithme de fixation des prix d’un service comme Google Ads : voir CA Paris, Pôle 1, Ch. 8, 13 septembre 2024, n°24/01498). Il ne faudrait toutefois pas confondre ce savoir-faire avec le secret de fabrique visé à l’article L. 621-1 du Code de la Propriété Intellectuelle, dont le détournement peut entraîner l’application des sanctions pénales prévues à l’article L. 1227-1 du Code du Travail (2 ans de prison et 30 000 Euros d’amende). D’interprétation stricte, la jurisprudence le définit comme un « procédé technique industriel », ce qui ne recouvre pas tous les savoir-faire que nous évoquons dans cette note et qui sont susceptibles d’être protégés juridiquement par d’autres voies que le droit pénal (même s’il ne faut pas nécessairement l’exclure). Pris dans un sens plus large, nous retenons du savoir-faire la définition générale qu’en donnait le Professeur Jean-Marc Mousseron, à savoir « un ensemble d’informations pour la connaissance desquelles une personne désireuse de faire des économies d’argent et de temps est prête à verser une certaine somme (…) », qui sous-tend l’acception technologique ou non technologique donnée plus haut en introduction.     

Comment protéger des actifs incorporels non protégés par un titre de propriété intellectuelle ?

Rappelons tout d’abord qu’aucun droit privatif ne peut porter sur une innovation non brevetée ou couverte par un certificat d’utilité reconnu par l’autorité publique : seul un titre de propriété industrielle confère à l’inventeur ou au déposant titulaire des droits un monopole d’exploitation sur l’innovation (cf. Frédéric Pollaud-Dulian, La Propriété Industrielle, 2e Éd., n°871 et s.). Or, les découvertes scientifiques, « créations esthétiques », concepts, méthodes mathématiques, plans, principes et méthodes commerciales ou méthodes en matière de jeu ou d’activités intellectuelles, les « présentations d’informations » ainsi que les « programmes d’ordinateur » ne sont pas protégeables par un brevet (article L. 611-10-2° du Code de la propriété intellectuelle), même s’il s’agit là d’innovations de très grande valeur commerciale.

En l’absence de droit de propriété intellectuelle, il existe un grand risque de perte de l’avantage concurrentiel et de la valeur de l’innovation, compte tenu de la concurrence accrue à l’échelle mondiale et des risques inhérents à la cybercriminalité et à l’espionnage industriel, alors que les investissements consacrés à la R&D peuvent être substantiels ou que l’innovation en est encore au stade du test, du financement ou du lancement commercial.

Quels sont les modes de protection envisageables en dehors du brevet ?

Il existe d’autres modes de protection qu’un brevet ou certificat d’utilité pour réduire les risques d’atteintes au savoir-faire et de concurrence illicite ou de parasitisme économique des innovations ou des produits et services résultant de l’innovation, en particulier :

- le droit des marques (art. L. 713-1 et s. CPI),

- les dessins et modèles (art. L. 511-1 et s CPI),

- ou encore le droit d’auteur qui peut permettre de protéger par exemple les « créations esthétiques », des « présentations d’informations » formalisées de manière originale (art. L. 111-1 et s. CPI), ou encore des bases de données (art. L. 112-3 CPI) et des logiciels (art. L. 122-6 CPI), expressément exclus de toute protection par un brevet.

Mais ces alternatives légales, si elles constituent un excellent complément d’un savoir-faire technique ou commercial (la marque en matière de franchise en est l’exemple type : voir par exemple : CA Paris, 16 mai 2013, n°12/16960 à propos d’un contrat de transmission au franchisé d’un savoir-faire technique et commercial associé à la mise à disposition d’une marque commerciale dans le domaine de la boulangerie) ne suffisent pas, à eux seuls, à protéger un savoir-faire. 

Le droit des marques ne protège que des signes distinctifs liés à certains types de produits et services, les dessins et modèles que l’apparence des produits et le droit d’auteur que la forme ou l’expression originale des créations mais ni les concepts ou les méthodes ni l’idée sous-jacente ou le contenu d’une création originale ou d’une connaissance, même innovante. 

Ainsi, par exemple, à la différence de son code source, les fonctionnalités d’un programme d’ordinateur ne bénéficient pas d’une protection légale contre la contrefaçon en application du droit d’auteur, la jurisprudence considérant que celles-ci « ne correspondent qu’à une idée » (voir Cass. Civ. 1, 13 décembre 2005, n° 03-21.154).

En effet, en droit de la propriété intellectuelle, les idées sont, selon l’adage consacré, « de libre parcours ». Ce qui signifie que chacun peut licitement se les approprier afin de concevoir des innovations et des produits et services destinés à concurrencer l’auteur de découvertes ou de concepts innovants antérieurs, ce que la jurisprudence rappelle de manière constante (voir par exemple Cass. Civ. 1, 22 juin 2017, 14-20.310 : « les idées étant de libre parcours, le seul fait de reprendre, en le déclinant, un concept mis en œuvre par un concurrent ne constitue pas un acte de parasitisme »). 

Cette liberté de la concurrence s’explique également par l’application du principe général de la « liberté du commerce et de l’industrie » (principe de valeur constitutionnelle).

La protection légale du « secret des affaires » contre les atteintes illicites

Ce n’est que par exception à ces principes de liberté que la Loi n°2018-670 du 30 juillet 2018 sur la protection du savoir-faire et des informations commerciales par le secret des affaires a consacré une protection légale du savoir-faire à la condition qu’il soit protégé par des « mesures de protection raisonnables », autrement dit efficaces et suffisantes, compte tenu du contexte et de la nature de l’information protégée (« compte tenu des circonstances ») « pour en conserver le caractère secret » (art. L. 151-1 Code de Commerce).

Ce statut de « secret des affaires » du savoir-faire et de certaines informations commerciales leur garantit en effet une protection de base contre les atteintes illicites par des tiers, telles que notamment : l’obtention, la divulgation ou l’utilisation non autorisée par leur détenteur légitime, la production, l’offre, la mise sur le marché, ou encore l’importation, l’exportation ou le stockage de « tout produit résultant de manière significative d’une atteinte au secret des affaires » (cf. art. L. 151-5 et 151-6 Code de Commerce).

Une réserve importante : le détenteur légitime d’un secret des affaires ne pourra se prémunir contre l’obtention d’une connaissance ou d’un secret technique ou autre par des moyens licites, même lorsqu’elles recouvrent son propre savoir-faire. Ce qui démontre qu’il ne jouit nullement d’un droit de propriété ou d’un monopole d’exploitation sur ce savoir-faire et ses connaissances secrètes, mais seulement d’une protection « minimale » contre les modes d’obtention illicites et les divulgations et utilisations non-autorisées. Les modes licites d’obtention d’un secret sont définis à l’article L. 151-3 du même Code comme :

- « Une découverte ou une création indépendante ;

- L’observation, l’étude, le démontage ou le test d’un produit ou d’un objet qui a été mis à la disposition du public ou qui est de façon licite en possession de la personne qui obtient l’information, sauf stipulation contractuelle interdisant ou limitant l’obtention du secret.»

La « rétro-ingénierie » des produits est donc un risque à prendre en compte par le détenteur légitime du savoir-faire, et la réserve d’une stipulation contraire milite en faveur des clauses contractuelles visant à protéger la confidentialité du savoir-faire et à restreindre ou interdire le reverse engineering, afin de limiter les risques de reproduction d’innovations ou de «parasitisme économique ».

Le détenteur légitime du savoir-faire illicitement divulgué ou détourné peut recourir à un arsenal de mesures préventives, défensives et réparatrices adaptées à ces types d’atteintes illicites au patrimoine incorporel. Elles s’inspirent des sanctions et mesures prévues en cas d’atteinte à des droits de propriété intellectuelle (art. L 152-1 et s. Code de Commerce). Les armes du détenteur légitime d’un secret d’affaires surpassent ainsi nettement celles prévues par le droit commun et la jurisprudence en cas d’actes de concurrence déloyale ou de parasitisme économique, réparés sur le fondement de la responsabilité civile délictuelle (article 1240 du Code Civil). 

Néanmoins, les recours et mesures prévus en cas d’atteintes illicites ne sont pas assimilables à l'action en contrefaçon et les droits du détenteur ne lui confèrent aucun titre de propriété intellectuelle ou industrielle. Il s’agit d’une action en responsabilité civile délictuelle, laquelle suppose, outre la démonstration du caractère secret et substantiel et valorisable du savoir-faire, celle d’une atteinte illicite, d’un préjudice matériel et/ou moral et d’un lien de causalité entre les préjudices et les manquements allégués à l’encontre du ou des tiers poursuivis.

Pourquoi conclure un accord de confidentialité ou « NDA » ?

D’où le caractère essentiel, et même indispensable, de conclure des accords de confidentialité afin de permettre à l’entreprise détentrice d’un savoir-faire de valeur :

- de s’assurer que le savoir-faire répondra bien à la qualification de « secret des affaires », entraînant une protection légale accrue en vertu de la loi du 30 juillet 2018 ;

- d’étendre au besoin la notion de savoir-faire ou d’informations commerciales protégées ;

- de renforcer la protection offerte par la loi sur le « secret des affaires », notamment au moyen de clauses de pénalité en cas d’atteintes (violation d’une obligation) ;

- de conserver la preuve de la mise en œuvre de « mesures de précaution raisonnables » (…) pour (...) « conserver le caractère secret » du savoir-faire (art. 151-1 C. Com. précité).   

L’accord de confidentialité ou de « non-divulgation », s'impose donc comme un outil juridique absolument indispensable afin de protéger le capital immatériel issu de l’innovation.

Qu’est-ce qu’un accord de confidentialité ou « NDA » (Non-Disclosure Agreement) ?

Souvent désigné en pratique par l’anglicisme « NDA », l’accord de confidentialité est un contrat (ou un acte unilatéral) engageant une, deux ou une multiplicité de parties à garder secrètes et à ne pas réutiliser les informations définies comme confidentielles autrement qu’aux fins et pour la durée limitée définies dans l’accord. 

Lorsque plusieurs parties (et non une seule) ont intérêt à protéger le secret des connaissances constitutives d’un savoir-faire ou d’actifs immatériels afin de permettre la mise à disposition de renseignements économiques ou techniques de valeur sans risquer leur divulgation, il est bilatéral. Dans le cas contraire, il peut être unilatéral (les obligations de confidentialité n’engagent qu’une seule partie signataire).

Les engagements d’un NDA ne se recoupent pas avec l’obligation de confidentialité mentionnée à l’article 1112-2 du Code Civil qui n’est qu’un rappel de la possibilité pour une partie d’engager la responsabilité délictuelle d’une autre en raison de la divulgation déloyale de renseignements obtenus par cette dernière « à l'occasion des négociations » (ex : des pourparlers avant contrat).

L’intérêt de conclure un accord de confidentialité est qu’il engage la responsabilité contractuelle de la partie fautive et que les obligations de non-divulgation prévues s’étendent à toute la durée fixée dans l’accord, donc souvent bien au-delà de la durée prévue pour les échanges ou la divulgation d’informations entre les parties, afin d’en protéger le secret vis-à-vis des tiers quand les parties ont cessé leurs relations commerciales ou leur collaboration.

Il couvrira de nombreuses situations, c’est-à-dire toutes les fois qu’un tiers risquerait d’être mis en contact avec les éléments d’un savoir-faire ou des informations commerciales confidentielles, par exemple : partenariats commerciaux ou techniques, collaboration salariée ou non (même bénévole), sous-traitance, cotraitance, conseil, prestations de services, pourparlers avec des investisseurs ou de futurs actionnaires, pactes d’associés, etc.

La conclusion d’un « NDA » est un préalable indispensable à toute discussion avec des tiers pour le détenteur d’un savoir-faire et/ou d’informations commerciales stratégiques, ne serait-ce, par exemple, que parce que la perte de la nouveauté en raison de la divulgation non limitée par un NDA empêcherait le dépôt ultérieur d’un brevet pour une innovation non encore brevetée mais potentiellement brevetable (art. L. 611-11 CPI : « Une invention est considérée comme nouvelle si elle n’est pas comprise dans l’état de la technique », lequel « est constitué par tout ce qui a été rendu accessible au public avant la date de dépôt de la demande de brevet par une description écrite ou orale, un usage ou tout autre moyen. »)

Quelles sont les formes et les « clauses essentielles » d’un accord de confidentialité ?

L’accord de confidentialité peut prendre en pratique des appellations et formes diverses : engagement séparé, annexe à un contrat ou clauses au sein d’un accord plus vaste, mais il doit dans tous les cas être écrit et comporter, pour être efficace, un certain nombre de clauses essentielles. Parmi celles-ci, on pourra citer notamment :

- Les définitions des informations et du savoir-faire objets de l’accord ;

- Les destinataires autorisés à accéder aux informations et au savoir-faire et leur obligation de signer au préalable des « clauses miroir » ;

- Les obligations de la ou des parties dans la sécurisation des données sensibles, les interdictions de divulgation et les conditions et restrictions d’accès et d’utilisation des données confidentielles ;

- La durée au-delà de laquelle l’utilisation des éléments protégés est interdite et les obligations de restitution ou de destruction des informations au terme de l’accord ;

- Les sanctions en cas de violation d’obligations de confidentialité, en particulier la clause de pénalité financière d’un montant dissuasif ;

- Les exceptions (cas dans lesquels l’information est considérée comme publique et « libre de droits »).

Outre son intérêt pédagogique, la supériorité du « NDA » sur la seule protection légale par le « secret des affaires » et a fortiori sur le droit commun de la responsabilité civile pour concurrence déloyale ou parasitisme est que la violation d’une obligation de non-divulgation stipulée engage la responsabilité contractuelle du débiteur de l’obligation de confidentialité, le plus souvent sur la base d’une obligation de résultat (art. 1231-1 C. Civil). Cela facilitera la preuve des atteintes illicites au savoir-faire protégé et permettra de sanctionner et réparer plus vite et efficacement le préjudice en cas d’atteinte constatée, tout en jouant un rôle préventif essentiel, notamment par le jeu de la clause pénale (voir en détail ci-dessous).

Focus sur la clause de pénalité applicable en cas de violation des obligations du NDA 

L’objet des clauses de pénalité est à la fois de prévenir les atteintes par une sanction pécuniaire dissuasive (en rendant le coût d’une violation des obligations de confidentialité trop élevé pour qu’un débiteur puisse être tenté de divulguer ou détourner le savoir-faire protégé) et en cas d’atteinte de faciliter la réparation des dommages. La pénalité financière stipulée présentant un caractère forfaitaire et automatique (elle sera applicable « de plein droit »), elle jouera dès que la violation d’une obligation quelconque sera constatée. Le juge sera lié par les termes utilisés, d’où l’intérêt de soigneusement rédiger cette stipulation.

Si tel est le cas, le créancier de l’obligation de confidentialité n’aura pas besoin d’établir un lien de causalité ni le quantum de son préjudice, ni même la matérialité du dommage pour réclamer et obtenir, si nécessaire en justice, l’application de la clause et le versement à première demande de la pénalité financière prévue. Il suffira de suivre à la lettre les modalités convenues.

Mais le détenteur du savoir-faire devra prendre garde à bien formuler la clause et à prévoir une réparation forfaitaire suffisante, car, eu égard à la nature juridique de la clause pénale, la jurisprudence l’interprète comme un plafond de responsabilité et interdit de cumuler la pénalité forfaitaire avec des dommages et intérêts réparant le même dommage (ex. : CA Agen, 20 août 2003, n°01/1687). Des dommages et intérêts supplémentaires peuvent toutefois être obtenus s’ils visent à réparer un « préjudice distinct » de celui indemnisé par la pénalité financière stipulée (jurisprudence constante : cf. Cass. Civ. 1, 12 février 1964 : Bull. Civ. I, n°82 ; Cass. Com., 12 juillet 2011, n°10-18.326 ; Cass. Civ. 3e, 17 mars 1993, n°91-13.634). Il convient donc pour le détenteur de prendre en compte cette quasi-interdiction de cumul dans la rédaction de la clause afin de ne pas se priver d’une réparation suffisante des préjudices économiques et immatériels, qui peuvent être importants mais difficiles à évaluer.

Les limites de l'accord de confidentialité et la nécessité d’une politique de défense active et passive du savoir-faire stratégique des entreprises.

Malgré ses très nombreux atouts, un accord de confidentialité n’est pas une garantie absolue du maintien du secret d’un savoir-faire protégé. Il vaut donc mieux pour les entreprises s’entourer des conseils et services d’un avocat d’affaires expert en propriété intellectuelle et droit des technologies de l’information et communication et de la protection des actifs immatériels afin de définir avec lui les meilleures mesures de protection pratiques, techniques et juridiques et la meilleure stratégie de protection et de défense, le cas échéant judiciaire, de son savoir-faire et de ses informations stratégiques vis-à-vis des risques ou atteintes illicites internes ou externes. 

Parmi ces mesures, on peut citer l’élaboration de sanctions dans les règlement intérieur et de chartes informatique, éthique et « IA » et d’annexes aux contrats de travail, de partenariat et de sous-traitance, conditions générales, etc., le dépôt d’enveloppes Soleau ou e-Soleau, la mise en place de procédures internes de classification et de restrictions d’accès techniques, physiques et informatiques aux données sensibles, la sécurisation des données numériques et du « Cloud », la désignation d’un délégué spécial à la préservation des données sensibles, les informations et formations systématiques du personnel et des intervenants extérieurs, etc. 

Il faut d’autant plus y être attentif que c’est une condition du maintien de la protection légale d’un savoir-faire et que les tribunaux pourront se montrer exigeants, voire sévères avec son détenteur s’il néglige de se protéger en justice contre des atteintes ou des risques (voir en ce sens par ex. : CA Paris, Pôle 5, Ch. 5, 1er avril 2021, n°18/22373). Ceci l’oblige à veiller sur ses actifs incorporels et informations stratégiques avec la mise en place de process adaptés et régulièrement mis à jour et à lancer au besoin des actions en justice préventives ou curatives en cas d’atteintes illicites ou de risques avérés (par exemple, en cas de cyberattaques ou d’utilisation par des concurrents).

En résumé

Le « NDA » doit être vu comme un élément essentiel mais non suffisant d’une stratégie globale de protection des actifs incorporels incluant le savoir-faire et les connaissances stratégiques, à mettre en place et à actualiser en fonction des évolutions technologiques et économiques au moyen de mesures organisationnelles, techniques et juridiques diversifiées. En classifiant les informations sensibles, en anticipant les différents niveaux de risques, en se défendant vigoureusement et en s'entourant d'experts juridiques compétents et aguerris, les entreprises peuvent préserver leur patrimoine immatériel essentiel et consolider leur valorisation et leurs avantages concurrentiels dans un environnement économique et numérique mondialisé en constante évolution.

N'hésitez pas faire appel à nous si vous avez des questions juridiques ou des besoins pratiques concernant la protection de vos actifs incorporels. 

Guillaume LE LU

Associé fondateur du cabinet KOBALT (Aarpi)


3 déc. 2024

PROPPRIETE INDUSTRIELLE ET INTELLIGENCE ARTIFICIELLE GENERATIVE

ABSTRACT DE l’ARTICLE : "BREVET – L’IA EST-ELLE L’INVENTEUR DE SES PROPRES CRÉATIONS ?"

J'ai rédigé un article sur ce sujet, proposé à la publication dans une revue juridique française spécialisée dans les domaine IT et IP (technologies de l'information et de la communication et propriété intellectuelle). Je ne peux donc pas le publier. En tout cas ni ici ni maintenant. Dans l'attente du retour du comité de rédaction de la revue, je vous en livre toutefois un bref aperçu. Si la problématique de l'IA et de la protection des créations ou inventions générées par l'IA par la propriété intellectuelle vous intéresse ou vous intrigue, cette mise en bouche est pour vous. Bien plus de réponses bien sûr dans l'article in extenso (d'une douzaine de pages et environ 6000 mots notes comprises). Mais je me ferai un plaisir de répondre si vous avez des questions concrètes et pratiques liées à votre domaine d'activité.

Les problématiques soulevées par l'intelligence artificielle générative en lien avec la propriété intellectuelle et industrielle comptent parmi les plus passionnantes du moment. Et sachez que si beaucoup reste à faire au plan national et international (lois et conventions internationales), il existe déjà certaines réponses jurisprudentielles claires et précises dans le domaine des brevets, qui est l'objet de cette étude de droit comparé en matière de brevets. 

Cet article aborde les problèmes entourant la brevetabilité des inventions créées par une intelligence artificielle dite "générative" (en anglais GenAI) et les débats portant sur la possibilité ou non de désigner un système d’IA comme l’inventeur dans le cadre d’un dépôt de brevet d'invention. Il s'efforce aussi d'apporter des réponses juridiques et pratiques pertinentes et les plus précises possibles aux questions qui peuvent se poser aux inventeurs et aux praticiens désireux de protéger leurs inventions réalisées par ou avec l'assistance de l'IA en l'état du droit positif.

Alors que le marché mondial de l’IA générative connaît une croissance très forte depuis une décennie et "exponentielle" depuis 2023 et que la recherche et la concurrence internationale font rage (il suffit pour s'en convaincre de penser au nombre de publications scientifiques sur l'IA et de brevets déposés fondées sur l'IA générative déposés aux Etats-Unis et en Chine, par exemple), la question de la protection des inventions créées par l’IA ou à l'aide de l'IA appelle des réponses juridiques prévisibles et des solutions pratiques adaptées afin d'encourager et de récompenser l’innovation, de garantir aux inventeurs ainsi qu'aux entreprises et investisseurs qui financent leurs projets des retours sur investissements dans le domaine de la recherche et du développement et de permettre ainsi aux applications sans cesse plus nombreuses d'être efficacement protégées par des titres de propriété industrielle reconnus par les offices de brevets nationaux ou internationaux. 

La problématique essentielle traitée dans cette étude est la suivante. La plupart des systèmes juridiques exige que l'inventeur soit une personne physique dotée de la personnalité juridique, ce qui pose un dilemme au déposant et aux offices de dépôt lorsque l'IA « crée » ou génère du moins des inventions potentiellement brevetables de façon autonome ou quasi-autonome : l'IA (c'est-à-dire la machine) peut-elle alors être désignée comme l’inventeur ? Doit-on et peut-on désigner l'humain (propriétaire, concepteur ou simplement la personne qui se sert de l'IA générative) comme le seul inventeur en sa qualité de personne physique ? Ou bien faut-il recourir à un mode de protection distinct et alternatif au brevet pour protéger le savoir-faire sous-jacent (le secret des affaires, par exemple) ? 

La question, d’abord d'ordre pratique, pose aussi celle, plus large, de l’adaptation des droits internes et international des brevets actuellement en vigueur à ce nouvel environnement ou à leur "dépassement" du fait des dernières avancées technologiques de l'IA forte. Ces droits et solutions qui excluent les systèmes d'IA du statut d’inventeur permettent-ils bien d’encourager l’innovation dans ce secteur d'activité et de protéger les intérêts légitimes des inventeurs, des investisseurs et du public ou devrait-il être réformé afin de tenir compte de cette technologie  à l’origine d’innovations de plus en plus nombreuses et souvent utiles au plus grand nombre (santé, pharmacie, etc.) ?

Ce débat suscité par "l’affaire DABUS », un système d’IA créé par un chercheur de l’université du Missouri, M. Stephen Thaler. Celui-ci a, avec l'aide d'un professeur d'université britannique spécialisé en droit de la propriété intellectuelle (M. Abbott) et d'avocats ou de CPI, déposé des brevets dans plus d’une douzaine de pays et sur les cinq continents en désignant « DABUS » (l'IA) en qualité d'inventeur d'un récipient alimentaire basé sur la géométrie fractale et d'une "flamme neuronale" destinée à alerter en situation de danger (deux inventions). La réponse des offices et juridictions saisies des recours de M. Thaler portant sur les décisions de rejet a presque toujours été négative. A l’exception d’un brevet admis par l’office en Afrique du Sud (dont la portée est réduite puisqu'il n'y existe aucun examen de contrôle au fond concernant la qualité d'inventeur) et d’une décision rendue par un tribunal en Australie en juillet 2021 (décision réformée en appel en 2022), la réponse unanime est que la machine ou l'IA ne peut jamais être désignée en qualité d'inventeur, quelle que soit le degré d'autonomie et l'importance décisive de sa contribution. 

L’OEB, comme le Royaume-Uni ou les États-Unis, notamment, ont suivi des raisonnements similaires pour rejeter les demandes présentées par M. Thaler avec l’aide d’avocats en propriété intellectuelle et du Pr. Abbott, un universitaire britannique à l’origine de The Artificial Inventor Project (voir le site Internet dédié au projet). Maigre résultat. Le débat a toutefois été lancé parmi les experts et auprès du public intéressé, ce qui était l’un des objectifs principaux du projet. Ainsi, plusieurs magistrats (notamment en Australie ou au Royaume-Uni) qui ont eu l’occasion de statuer sur cette affaire médiatisée, ont laissé clairement entendre qu’une IA pourrait être désignée comme inventeur lorsque l'humain ne joue qu'un rôle mineur dans la conception et la réalisation et qu'elle est bien seule à l'origine de l'activité inventive, ou en tout cas que le droit matériel des brevets actuel ne répondrait plus qu’imparfaitement aux enjeux de la protection des innovations de l’IA générative.

Si le droit, en particulier en particulier les conventions internationales portant sur les brevets, n’est plus adapté, comme le prétendent certains experts, chercheurs et acteurs économiques, de quelle façon pourrait-il l’être ? Création d'un droit sui generis pour intégrer l'IA dans les dispositions législatives ou conventionnelles ? Admission d'un statut de co-inventeur à côté de l'inventeur humain ? Autres solutions? Et quelles seraient les implications juridiques d’un tel changement de paradigme ? Le débat reste ouvert. L'Organisation Mondiale de la Propriété Intellectuelle a évoqué quelques "pistes" dans des rapports qui ont suivi des consultations. Preuve que le sujet intéresse de plus en plus d'acteurs et d'experts au niveau international et pourrait déboucher sur d'éventuelles réformes dans les mois ou années à venir. 

Reste qu'en pratique, il faut se contenter du droit des brevets en vigueur. Dès lors, que faire en l’état du droit positif sachant que l'IA ne peut être désignée comme l'inventeur et qu'il reste un doute légitime quant à la qualité d'inventeur de l'utilisateur ou du concepteur humain dans le cas d'une IA générant des inventions de façon plus ou moins autonome ? Le déposant d'une demande de brevet peut-il se déclarer comme inventeur alors même que l'IA a "créé" de toutes pièces l'invention sans courir de risques d'un refus par l’office de dépôt ou par la suite d'une invalidation du brevet ainsi enregistré ? Quelle est la personne physique qui pourra être désignée comme l'inventeur lors d'un dépôt de demande de brevet en pareille hypothèse ? Le propriétaire de la machine ? Le concepteur de l'IA (le développeur ou l'éditeur du logiciel qui en a défini les algorithmes) ? L'utilisateur de l'IA générative qui formule les bonnes questions ou soumet les bons concepts à I'IA (input) afin de permettre à l'IA de les générer en utilisant toutes ses ressources inventives (output) ? 

Une décision rendue par la Cour Fédérale d’Allemagne en juin 2024 apporte des réponses éclairantes à cette problématique en autorisant, à certaines conditions, un dépôt de brevet désignant l'humain comme inventeur dans l'hypothèse d'une IA générative dans l'affaire "DABUS". Il existe donc déjà des réponses pratiques positives en pareil cas, du moins en Europe (la question est plus délicate aux Etats-Unis, en l'état du droit). 

Toutefois, en cas de doute ou de choix, l'être humain ou l'entreprise qui utilise l'IA générative pourrait songer à recourir à des modes alternatifs de protection du savoir-faire ainsi généré tels que le secret des affaires en particulier. Même si la protection par le secret n'offre pas les mêmes avantages que le brevet, elle peut constituer une bonne alternative, en lieu et place ou dans l'attente d'un éventuel dépôt de brevet d'invention. 

L'IA générative n'en a pas fini en fout cas de faire parler d'elle et de susciter des interrogations qu'il nous appartient, à nous praticiens experts du droit des technologies de l'information et de la propriété intellectuelle, de résoudre au mieux de l'intérêt de nos clients.

Plus d'informations dans l'article à paraître (en revue ou ici), je l'espère prochainement. En attendant, n'hésitez pas à me contacter si vous avez des questions sur la protection d'une invention fondée sur l'IA ou générée par l'IA, ou tout simplement si le sujet développé dans l'abstract ou des sujets connexes vous intéressent.

Guillaume LE LU

Avocat au Barreau de Paris
Associé fondateur KOBALT


15 nov. 2024

LE CONSTAT D’HUISSIER SUR INTERNET

Le constat d’huissier est la preuve « reine » en cas d’agissements illicites. Objectif et impartial (1), il permet d’étayer une situation litigieuse à un moment précis, en lui donnant un contenu attesté par un officier ministériel assermenté et une date certaine (2). Reproduction illicite d’une marque, violation de droits de propriété intellectuelle (copie ou exploitation de photos, dessins et modèles, logiciels, bases de données, sites web, livres, articles, films, vidéos, etc.), atteinte aux droits des personnes (droit à l’image, diffamation ou injures en ligne), responsabilité des entreprises (concurrence déloyale ou parasitaire, atteinte à la réputation, dénigrement de produits ou services), etc., les occasions ne manquent pas, pour les victimes, de recourir au constat d’huissier sur Internet. 

Mais cette preuve ne sera valable et utilisable en justice, et elle ne convaincra lors des discussions amiables, qu’à condition que ce constat ait été réalisé dans les règles de l’art et du droit. Sans quoi la partie adverse aura beau jeu de soulever la nullité de l’acte de constat ou d’obtenir qu’il soit écarté des débats en cas de contentieux, ébranlant ainsi les belles certitudes d’une victime « sûre de son fait ».

1. Quelles sont les conditions de validité des constats d’huissier sur Internet ?

Hormis l’article 648 du Code de Procédure Civile qui précise les mentions prescrites à peine de nullité pour tout acte d’huissier (3), il faut se reporter aux directives générales de l’article 1er de l’Ordonnance n°45-2592 du 2 novembre 1945 (4), mais surtout à une jurisprudence bien établie depuis quinze ans, qui a dégagé un corpus de règles très précises portant tant sur les prérequis techniques que sur la nature des constations effectuées par l’huissier. 

Ainsi, au titre des prérequis techniques, avant même de lancer les opérations de constat, il convient que l’huissier : 1. vide la mémoire cache de son ordinateur (5) ; 2. décrive précisément le matériel qui servira aux opérations ; 3. indique expressément l’adresse IP de l’ordinateur et 4. désactive les connexions au serveur proxy. 

La Cour d’appel de Paris a confirmé ces obligations, en apportant de nouvelles précisions techniques (6). Doivent donc être également décrits, d’après une décision rendue en 2016 : le système d’exploitation et le navigateur Internet, l’architecture du réseau local (absence de connexion à un serveur Proxy, serveurs DNS utilisés, pare-feu...), ainsi que les informations relatives au fournisseur d’accès Internet. Avant toute connexion, l’huissier doit aussi préciser le paramétrage de définition de l’écran, synchroniser la date et l’horloge de l’ordinateur et supprimer les fichiers temporaires stockés sur celui-ci, l’historique de navigation et les cookies, puis paramétrer les fichiers temporaires et l’historique pour que le navigateur vérifie, le cas échéant, que la version de la page la plus récente est affichée. 

L’huissier ne doit pas faire porter son constat sur des copies d’écran, sous peine d’encourir la nullité ou de priver son procès-verbal de toute valeur probante, car il doit procéder à une vérification personnelle et directe des pages en ligne. Les constatations doivent avoir lieu en direct sur Internet, selon un protocole spécifique. Des copies ou impressions d’écran, de même que des « archives Web » ne présentent pas de garanties légales de fiabilité, n’ayant aucune validité et valeur probatoire aux yeux des tribunaux (7). Un constat est donc un passage obligé.

Durant les opérations et au moment de la rédaction du procès-verbal de constat, l’huissier doit se montrer d’une objectivité et d’une impartialité à toute épreuve et ne pas chercher à plaire au requérant. Car il reste le garant de la légalité et de la neutralité de ses « constatations purement matérielles » (voir Ordonnance de 1945 précitée, note 4), et par conséquent de la validité de ses actes, quels que soient les intérêts en jeu. Doivent ainsi être bannis du PV des appréciations « sur les conséquences de fait ou de droit » de ces constatations, ce qui exclut tout avis direct ou indirect sur le bien-fondé des thèses ou prétentions du requérant. Par exemple, des termes non neutres tels que l’« article piraté » dénotent un évident manque d’objectivité et entachent la validité d’un constat (8).

Pour clore les opérations, d’après ce même arrêt de 2016, « l’huissier doit enfin répertorier et enregistrer le contenu de ses constations sur des supports fiables [p. ex : disque dur externe] et, à la fin de son constat, procéder à la capture des informations sur la cible. » 

Dans un arrêt du 8 janvier 2019 (pourvoi n°18-80.748), la Cour de cassation a nettement statué dans le sens de l'invalidité et en tout cas l'absence de tout caractère probant d'un constat d'huissier réalisé en ne respectant aucune des conditions techniques de fiabilité citées plus haut (9), la Haute Juridiction observant "que, faute de respect des impératifs techniques indispensables, l'authenticité des propos enregistrés par l'huissier ne peut être tenue pour certaine". 

Cette jurisprudence, désormais établie, démontre l'importance du respect de ces impératifs en apparence d'ordre purement technique. 

2. La norme "AFNOR NF Z67-147" 

La Cour d’appel d’Aix-en-Provence est allée encore plus loin, puisqu’elle a considéré qu’un tel constat d’huissier n’est valable qu’à la condition de respecter la norme AFNOR NF Z67-147 (septembre 2010) sur le mode opératoire des procès-verbaux de constat sur Internet (10). C’est pousser l’exigence à son comble, car de telles normes, non publiées par décret ou arrêt ministériel, n’ont pas force de loi et sont d’application « volontaire » (11). Ceci n'a pas empêché la Cour d'appel de retenir la nullité du constat.

S’inspirer des recommandations techniques de cette norme publiée, qui reprend les garanties de fiabilité exigées par la jurisprudence précitée, reste en tous les cas une excellente idée. D’ailleurs, certaines études d’huissiers, avec raison, mettent en avant leur soumission spontanée à cette norme pour la réalisation de tous leurs constats réalisés sur Internet.

3. Se faire assister d’un Conseil et d’une étude d'huissier spécialisés pour réaliser les constats valides et probants

Garant de la légalité et de l’utilité des actes dont il a la charge, l’huissier de justice peut voir sa responsabilité engagée en cas de nullité de son fait, ce qui l’oblige, tant à assumer tous les frais afférents aux constats inutilement entrepris que les dommages et intérêts encourus en cas de préjudice subi par son requérant (12). Or, les dommages peuvent être gros en cas de perte d’un procès du fait d’un constat nul. Bien que tiers, la victime d’un acte abusif peut également agir en responsabilité contre le requérant et contre l’huissier sur le fondement du droit commun. Le plaideur amateur, le dilettante ou l'huissier mal informé courent de vrais risques !

Pour ce type d’opérations à caractère technique, il est donc indispensable d’avoir recours à un huissier spécialisé dans les constats sur Internet et de consulter, en amont, un avocat spécialisé. Celui-ci pourra:  1. vérifier la pertinence du mode de preuve à retenir, étant précisé que dans cas d’atteintes à certains droits, c’est la saisie-contrefaçon qui s’imposera ou encore le constat par un organisme spécialisé habilité en matière de propriété littéraire ou artistique (13), 2. orienter vers un huissier territorialement et techniquement compétent avec lequel il pourra collaborer et 3. veiller à la régularité et la pertinence du constat d'huissier et lui adjoindre un expert privé dans les hypothèses où cela s’avère indispensable (par exemple en matière d'atteintes aux bases de données, aux systèmes d'information ou aux logiciels).

On le voit, la réalisation d’un constat sur Internet ne laisse aucune place à l’improvisation, à l’à-peu-près et à l’amateurisme. Acte de technicien du droit, le constat reste un art à maîtriser.

Guillaume LE LU

Avocat - Associé fondateur

Email : glelu@kobalt-avocats.eu

06.30.82.21.40

Notes de l'article

1)  Un constat d’huissier, effectué par un officier ministériel, « fait foi jusqu’à preuve contraire ». Il agit ainsi comme une sorte de « présomption de vérité » quant aux constatations opérées.

2)  Et cela d’autant plus que des copies ou impressions d’écran n’ont aucune valeur probante en cas de litige.

3)  Pour les requérants personnes morales : dénomination, forme, siège, représentant légal, nom et adresse exacte du domicile du destinataire.

4)  Ordonnance relative au statut des huissiers qui dispose que les huissiers « peuvent, commis par justice ou à la requête de particuliers, effectuer des constatations purement matérielles, exclusives de tout avis sur les conséquences de fait ou de droit qui peuvent en résulter. Sauf en matière pénale où elles ont valeur de simples renseignements, ces constatations font foi jusqu'à preuve contraire. » 

5)  Il s’agit d’être sûr que la page affichée est bien celle qui est en ligne à la date et à l’heure du constat et non pas une page présente dans la mémoire cache du serveur proxy (CA Paris, 17/11/2006 ; CA Paris, 23 mars 2012 : PI 2012, n°45, p. 415, note A. Lucas ; CA Paris, 27/02/2013 : PI 2013, n°47, p. 207).

6)  CA Paris, Pôle 5, 12 janvier 2016, n°2014/14431 (« Considérant (…) qu’il doit être rappelé que la valeur probante d’un constat d’huissier sur Internet suppose le respect d’un protocole permettant d’authentifier les constatations effectuées (…) ». En l’espèce, « absence toute force probante » des procès-verbaux soulignée.)

7)  CA Paris, Ch. 2, 2 juillet 2010, n°09/12757 (cas de contrefaçon de marque, impressions d’écran et copies des pages issues d’un constat d’huissier réalisé sur un site d’archives de pages web The Wayback Machine rejetées comme ne permettant pas d’attribuer date certaine au contenu des pages web).

8)  TGI Paris, 3ème Ch., 1ère Sect., 4/03/2003, Fréderic M. c. / Ziff Davis, ZDN et autres).

9)  Cass. Crim., 8 janvier 2019 (pourvoi n°18-80.748) : s'agissant d'un constat réalisé dans une affaire de diffamation, la Cour de cassation souligne que les juges du fond avaient observé que l'huissier s'était en l'espèce borné à se connecter au site Internet litigieux par l'intermédiaire d'un moteur de recherche, à trouver l'enregistrement incriminé, à le télécharger et à en retranscrire les termes à des fins probatoires.

10) CA Aix, arrêt du 15/09/2016, n°2013/22133 : en l’espèce, souligne les juges, l’huissier s’était «contenté de faire usage du moteur de recherches Google comme tout un chacun ». La demande de nullité du constat est donc accueillie.

11)  D’autres décisions l’ont rappelé, par ex. CA Paris, 27/02/2013, n°11/11785 : cette norme AFNOR n’est qu’un « recueil de bonnes pratiques en la matière », sans caractère obligatoire.

12)  Art. 650 du Code de Procédure Civile. Voir aussi art. L. 111-8 du Code des Procédures Civiles d’Exécution.

13)  Avec des règles et des risques de nullités spécifiques, qui nécessiteraient d’autres développements.




29 mars 2018

Brève - Actualités - CYBERSECURITE - Transposition de la Directive Européenne 2016/1148 "Network Information Security" (NIS)


La loi transposant en France la Directive européenne « Network Information Security » (NIS) de 2016 a été promulguée le 26 février 2018, devançant de quelques semaines la date butoir fixée au 9 mai. C’est une pièce maîtresse dans l’arsenal destiné à prévenir et limiter les effets de cyber-attaques pouvant toucher des secteurs clés de la société civile et de l’économie. Elle accroît les obligations et risques de certaines entreprises en matière de cyber-sécurité.

Jusqu’à présent, seule une catégorie limitée d’acteurs qualifiés d’« opérateurs d’importance vitale » (OIV) par la loi de programmation militaire de 2013 étaient soumis à des obligations très strictes en matière de cyber-sécurité. Eu égard à l’importance des enjeux et à la multiplication des attaques touchant d’autres secteurs d’activités tenus pour stratégiques (énergie, transport, banques et marchés financiers, santé, eau, infrastructures numériques…), la Directive étend certaines obligations à d’autres entreprises, qualifiées d’« opérateurs de services essentiels » (OSE), bien plus importantes en nombre.

La France a jusqu’au 9 novembre 2018 pour déterminer la liste des OSE affectés par les nouvelles règles de sécurité informatique, précisées et appliquées sous l’impulsion et le contrôle de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), laquelle disposera d’un pouvoir d’audit et de sanctions. Ces OSE auront par exemple pour obligations de : (i) mettre en œuvre les nouveaux dispositifs adoptés, (ii) notifier à l’autorité administrative tout incident de sécurité et (iii) se soumettre, à leurs frais, aux contrôles imposés. En outre, bien que plus légères que celles pesant sur ces OSE, la loi renforce les obligations des « fournisseurs de services numériques » (FSN), à savoir : les places de marché en ligne, moteurs de recherche ou fournisseurs de services « cloud » actifs au sein de l’Union européenne. Ils devront aussi notifier les incidents de sécurité et encourent des sanctions financières en cas de manquement.

En cas de non-respect de ces obligations ou d’entrave au contrôle, les entreprises encourront des sanctions allant de 75.000 à 125.000 €. Sans parler des risques liés à la publication des atteintes à la sécurité qui pourra être décidée par l’ANSSI et à la pratique en vogue sur les réseaux sociaux du « name and shame » contre les firmes impliquées. Enfin, nous rappellerons que 77% des attaques des hackers sont dirigées contre des PME. Aucune entreprise n’est à l’abri du risque !

12 mars 2018

Newsletter - Le Réglement "RGPD" en 80 Jours

Se mettre en conformité d’ici le 25 mai prochain avec le Règlement Général sur la Protection des Données (RGPD) est encore possible !
Accroissement des droits des personnes protégées. Le RGPD apporte des nouveautés importantes et approfondit bon nombre de droits des personnes concernées, tels que le droit à la portabilité des données personnelles, le « droit à l’oubli » ou le droit de ne pas faire l’objet de profilages, et accroît les obligations de sécurité et d’information du responsable du traitement et de son (ou ses) sous-traitant(s).
Data Protection Officer et responsabilités accrues du responsable du traitement. Le règlement européen modifie les relations entre responsable du traitement et sous-traitant et transforme le correspondant informatique et libertés (CIL) en « délégué à la protection des données » (DPO ou « Data Protection Officer »). La contrepartie de l’allégement des formalités administratives, c’est un poids accru de ce DPO mais aussi de nouvelles responsabilités mises à la charge du responsable du traitement (ex : étude d’impact sur la vie privée et notification des failles de sécurité aux personnes concernées et aux autorités de contrôle).
Analyse d’impact. C’est une dernière nouveauté. « L’analyse d’impact » évalue la nécessité et l’absence du caractère excessif des traitements de données par rapport à leur finalité. Toutefois, seuls les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » l’exigeront.
Accroissement des sanctions et des risques liés aux contrôles. Enfin, de nouvelles amendes administratives et sanctions (notamment financières) voient le jour en cas de violation. L’importance des contrôles a posteriori des autorités nationales (en France, par la CNIL) se voit également renforcée par la disparition des déclarations préalables.
Rappelons aussi que toute violation du RGPD par le responsable du traitement ou son sous-traitant est susceptible de conduire à la réparation intégrale du préjudice subi par les personnes affectées. Ainsi, eu égard aux standards actuels, le niveau de protection des personnes et les risques liés à la gestion de données sont accrus.
Quelles solutions ? Quelle stratégie ? Que faire ? Il vous faut agir, et commencer par identifier les besoins de votre structure et vous poser les bonnes questions. Faut-il par exemple adapter vos conditions générales de vente B2C ? Modifier vos contrats de sous-traitance portant sur la gestion de données ? Changer vos pratiques internes et mettre en place de nouvelles procédures ? Etc. Le nombre de questions et de changements à apporter dépendent de votre entreprise.
Illustrons notre propos par un exemple concret. La vérification et l’encadrement des engagements de vos prestataires (« sous-traitants ») sont d’autant plus indispensables qu’ils participent pleinement de la mise en conformité de votre entreprise (en qualité de « responsable du traitement ») avec les exigences nouvelles du RGPD. Eu égard aux obligations nouvelles des sous-traitants, le contrat de sous-traitance devra désormais prévoir notamment les éléments suivants :
·         la ou les finalités du traitement (à ce jour, seule la nature des prestations confiées au sous-traitant y figure) ;
·         la nature des données traitées par le sous-traitant ;
·         le type de personnes concernées par la collecte et le ou les traitements ;
·         le sort des données gérées à l’expiration du contrat ;
·         les engagements pris par le sous-traitant en termes de traitement et de sécurité des données (le responsable du traitement est plus que jamais tenu de les définir) ;
·         les mesures garantissant la protection des données personnelles dès l’origine des projets de traitement, dite aussi privacy by design (principe complété par celui de security by default qui veut dire que, par défaut, seules pourront être collectées les données nécessaires pour assurer la finalité de chaque traitement envisagé) ;
·         l’obligation de créer et tenir à jour une documentation concernant les mesures (techniques et organisationnelles) destinées à sécuriser les données personnelles ;
·         la définition de la collaboration entre les parties, notamment pour la mise en œuvre des droits des personnes concernées et pour régir les relations des parties au contrat de sous-traitance avec les autorités de contrôle ;
·         les mesures d’urgence à adopter par les parties en cas de fuite de données…

Cet exemple n’est qu’un cas concret parmi d’autres à traiter en vue de la mise en conformité de votre entreprise avec le RGPD dans les douze semaines qui vous séparent de son entrée en vigueur ! Le plus important est de lancer ce chantier si cela n’est pas encore fait.

L’équipe d’avocats spécialisés de KOBALT se tient à votre disposition pour vous aider à redéfinir votre stratégie de protection des données traitées et vous assurer de la mise en conformité de votre entreprise.


20 juin 2016

La clause de "recette" dans les contrats de prestations informatiques

FICHE PRATIQUE

 

CLAUSE ESSENTIELLE DES CONTRATS INFORMATIQUES

Clause essentielle des contrats de fourniture de développements logiciels ou d’une solution ou portant sur l’intégration de progiciels, la clause de « recette » présente la particularité d’être à la fois très juridique et très opérationnelle. Autrement dit, elle s’adresse et doit « parler » autant au juriste qu’aux personnels chargés de la conduite du projet, aussi bien côté client (« MOA ») que côté prestataire.


Objet de la clause de recette

Dans les contrats informatiques, elle a pour double objet d’organiser la « délivrance » conforme des documents et logiciels attendus par le client et sa « réception » au sens juridique du terme par le client (notions définies dans le Code Civil), c’est-à-dire la vérification de l’aptitude des "livrables" à être exploités conformément aux besoins exprimés par le maître de l'ouvrage au sein d’un référentiel défini par avance dans le contrat (tels que : cahier des charges, spécifications fonctionnelles et techniques détaillées, compte-rendu d’analyse préalable, etc.).


Obligation essentielle du maître de l'ouvrage (client)

L’obligation de recetter les livrables, contrepartie de l’obligation essentielle de délivrance conforme pesant sur le fournisseur, est une obligation essentielle du client. Dans le commun intérêt des parties, elle doit être rédigée avec le plus grand soin, de façon à la fois précise et détaillée.

L’expression des besoins, autrement dit le référentiel de conformité, décrira les livrables documentaires à fournir au client en cours de projet et, pour les livrables logiciels, les fonctionnalités et niveaux de service et de performances attendus du système informatique ou de l’application à délivrer. C'est la conformité des livrables à ce référentiel qui sera testée lors de la recette.

La phase de recette, c'est-à-dire la procédure de tests et de validation de la conformité des livrables aux spécifications contractuelles ne doit pas être confondue avec les tests réalisés par le prestataire avant la fourniture des "livrables", qui ne sauraient se substituer à ceux que doit obligatoirement réaliser le client, avec ses propres équipes et au besoin avec l’aide du prestataire ou d’un tiers (du type assistant à la maîtrise d’ouvrage).


Le périmètre de la recette et le "protocole de recette"

Le périmètre de la recette (total ou partielle, provisoire ou définitive) et la procédure à suivre pour parvenir à la recette définitive des livrables devront être clairement indiqués au contrat. Cela suppose aussi bien la rédaction d’une clause de recette générale dans le corps du contrat que l’élaboration d’un "protocole de recette" détaillé, rédigé en premier lieu par les opérationnels et revu par un juriste, prévoyant la procédure étape par étape et phase par phase. Ce document sera intégré en annexe au contrat (p. ex dans le "PAQ"), soit à idéalement à sa signature, soit en début de projet (et au besoin mis à jour en cours de projet). La clause de recette y renverra explicitement.


Quelques précisions à apporter dans la clause de recette

La clause de recette précisera l’objet et le périmètre de la recette, les délais impérativement liés aux différentes phases (intermédiaire ou modulaire, documentaire, provisoire, définitive...), les modalités et conditions de signature du procès-verbal de recette et les conséquences (i) d’une absence de réserves dans les délais indiqués et (ii) d’une acception avec ou sans réserves ou d’un refus de la recette des livrables par le client (réparation des anomalies non levées après recette avec réserves, résolution en cas d’impossibilité constatée d’exploiter les livrables ou d’un taux d’anomalies bloquantes et semi-bloquantes trop important et non levées).

Cette clause renverra explicitement aux définitions des termes essentiels à sa mise en œuvre (prévoir un article "définitions"), dont les documents constituant le référentiel de conformité, les notions de recette provisoire et définitive (s'il y a lieu), les non-conformités ou « anomalies », etc. On aura soin de décrire synthétiquement  les notions d'anomalies les unes par rapport aux autres en les situant sur une échelle de criticité (ex : bloquante/semi-bloquante/mineure).

Compte tenu de son objet juridique essentiel (la vérification de l’obligation de délivrance conforme), la clause renverra également à la validation, par les deux parties, des spécifications fonctionnelles et techniques et le cas échéant aux performances (ex: temps de réponse, délai de traitement, etc.). et les niveaux de services attendus (un "SLA" pourra être ajouté au besoin, surtout si le prestataire assurera ensuite la tierce maintenance de la solution livrée). Côté client, il faudra se souvenir que les besoins doivent avoir été expressément spécifiés pour entrer dans le champ contractuel et donc dans l’objet de la phase recette.


Quelques précisions à apporter dans le "protocole de recette"

Le "protocole de recette" (plus opérationnel que la clause proprement dite, bien qu’il ait des effets juridiques indéniables) prévoira la ou les procédures de recette (en cas de phases successives) de façon détaillée, les modalités de notification des anomalies, dysfonctionnements ou non-conformité après la phase de tests (fiches d’anomalies, cahier d’incidents...), leurs délais de résolution par le prestataire suivant leur taux de criticité, leur taux d’acceptabilité par le client au stade de la recette provisoire ou définitive non assortie de réserves (ex : 0% pour les anomalies bloquantes, 0% pour les semi-bloquantes, X% pour les mineures) ou assortie de réserves (taux à prévoir également ici), les modalités de "levée" des anomalies ou dysfonctionnements signalés lors de la phase de recette initiale dans un nouveau délai ou dans le cadre de la "garantie" en cas de recette avec réserves (voir prochainement notre Fiche pratique sur la "clause de garantie" dans les contrats informatiques).

Ce protocole annexé précisera également, pour les livrables logiciels, les protocoles de tests ou jeux d’essai que devra élaborer le client, avec ou sans collaboration du prestataire, afin de « dérouler » la procédure de recette avant le signalement des anomalies ou non-conformités.


Recette provisoire et recette définitive

A noter aussi, en pratique on distingue fréquemment dans les contrats de prestations informatiques, surtout pour les projets d’une certaine importance, une phase dite de « recette provisoire » de la procédure de "recette définitive". Juridiquement, la recette dite définitive correspond à la réception proprement dite des livrables, celle qui a pour effet de constater la conformité des livrables fournis sans réserves après tests et corrections éventuelles des anomalies. Elle couvre les "vices apparents".

Eu égard aux définitions des termes ayant cours dans les marchés publics (cf. les "CCAG TIC") et à la pratique dans les marchés privés de prestations informatiques, on peut définir la procédure de recette "provisoire", parfois dénommée "Vérification d’Aptitude au Bon Fonctionnement" (VABF) comme l’aptitude de la solution ou du système informatique livré à fonctionner en conformité avec les spécifications dans le cadre d’une simulation de situations réelles, c’est-à-dire sur la base de jeux d’essais déroulés dans un environnement de tests de la solution ou du système informatique. Quant à la recette "définitive", encore nommée parfois "Vérification de Service Régulier" (VSR), elle peut être définie comme « la réception de la solution dans le cadre de son exploitation sur un environnement de production, suivant les niveaux de services définis et mesurables » (cf. Y. Bismuth, Pratique Contractuelle - La clause de recette dans les contrats informatiques, Communication Commerce Electronique, Mars 2012, pp. 47-48).

Le recours à une telle distinction n’a rien d’indispensable. A défaut de précision, la clause de recette sera censée se référer à la recette définitive.


Le procès-verbal de recette

Il convient surtout de se référer à des notions claires et à une procédure parfaitement encadrée afin d’apporter un maximum de sécurité juridique au prestataire et au maître de l’ouvrage. A cet égard, l’on ne saurait trop recommander de veiller à préciser les modalités de signature du procès-verbal de recette provisoire et/ou définitive (avec ou sans réserves), les délais et les effets attachés aux dépassements et les modalités de l’acceptation et d’émission ou non de réserves en phase de recette avant la signature essentielle du procès-verbal de recette.

En effet, "l'acquisition" de la recette reste en principe soumise à la signature d'un procès-verbal de recette sans réserves, c'est-à-dire après levée de toutes les anomalies ou non-conformités considérées comme un obstacle à l'acceptation conformément aux prévisions du contrat.


La question de la "recette tacite"

A noter, toutefois, les tribunaux admettent parfois la "recette tacite" définitive d’une solution livrée, faute pour le client d’avoir émis en temps utile des réserves écrites concernant des livrables qu’il utilise depuis un certain temps sur un environnement de production.

Il est cependant envisageable d’exclure un tel effet en fixant des conditions d’acceptation plus strictes ou en poussant plus loin l’exigence, à la condition toutefois que le refus du client repose toujours sur des conditions objectives et ne constitue pas un manquement à son obligation de coopération ou un abus de droit.


Que se passera-t-il en cas de refus de la recette ?

Enfin, les conséquences du refus de signature du procès-verbal de recette (si bien entendu il n'est pas abusif ou la conséquence d'une coupable passivité du maître de l'ouvrage) ne doivent pas négligées.

Quelle sera l'issue du projet ? Fin du contrat au moyen de la clause de résolution ? Réécriture du code défectueux par le prestataire ? Achèvement du projet par un prestataire tiers à ses frais ?

Ceci revient à dire que la clause de recette devra envisager par avance tous les scénarios possibles au plan opérationnel et juridique. C'est pourquoi cette clause est centrale et ne doit jamais être négligée.



 

Guillaume LELU