PROPPRIETE INDUSTRIELLE ET INTELLIGENCE ARTIFICIELLE GENERATIVE

ABSTRACT DE l’ARTICLE : "BREVET – L’IA EST-ELLE L’INVENTEUR DE SES PROPRES CRÉATIONS ?"

J'ai rédigé un article d'une douzaine de pages (environ 6000 mots, notes comprises), que j'ai l'intention de proposer à la publication en revue. Je ne peux donc pas le publier ici, en tout cas du moins pas maintenant, dans l'attente des retours des comités de rédaction. Je vous en livre cependant un bref aperçu sous la forme de cet abstract, pour le cas où le sujet de l'intelligence artificielle et de la protection de leurs créations par la propriété industrielle (bien plus développé dans l'article que j'ai rédigé) vous intéresserait ou appellerait de votre part des questions juridiques concrètes et pratiques auxquelles je me ferais un plaisir de répondre. Les questions soulevées par l'IA dans le domaine de la propriété intellectuelle sont passionnantes. Et sachez qu'il existe (déjà) des réponses claires et précises !  

L’article aborde les questions juridiques entourant la brevetabilité des inventions créées par une intelligence artificielle dite « générative » et le débat portant sur la possibilité de désigner un système d’IA comme l’inventeur dans le cadre d’un dépôt de brevet d'invention.

Alors que le marché mondial de l’IA générative connaît une croissance très forte depuis une décennie et "exponentielle" depuis 2023 et que la recherche et la concurrence internationale sont intenses (il suffit pour s'en convaincre de penser au nombre de publications scientifiques sur l'IA et de brevets déposés fondées sur l'IA générative déposés aux Etats-Unis et en Chine, par exemple), la question de la protection des inventions "créées" par l’IA ou à l'aide de l'IA appelle des réponses claires et précises et des solutions pratiques afin d’encourager l’innovation et les investissements et d’encourager la recherche et le développement dans un domaine aux nombreuses applications industrielles. 

Or, la plupart des systèmes juridiques exige que l'inventeur soit une personne physique et soit doté de la personnalité juridique. Ce qui pose un "dilemme" juridique pour le déposant et pour l'office de brevets lorsque l'IA « crée » des inventions de façon autonome ou quasi-autonome : peut-elle alors être désignée comme l’inventeur, peut-on désigner l'humain (son propriétaire, son concepteur ou même simplement celui qui se sert de l'IA pour générer des innovations) ou faut-il recourir à un mode de protection distinct et alternatif au brevet (secrets d'affaires ou autre) ? La question, d’abord d'ordre pratique, pose aussi celle, plus large, de l’adaptation des droits internes et international des brevets en vigueur à ce nouvel environnement. Ces droits et ces solutions qui excluent les "systèmes d'IA" du statut d’inventeur permettent-ils encore d’encourager l’innovation dans ce secteur et de protéger les intérêts légitimes des inventeurs, des investisseurs et du public ou bien devrait-il être réformé afin de tenir compte de cette technologie d’IA forte à l’origine d’innovations de plus en plus nombreuses et qui peuvent être utiles au plus grand nombre (santé, pharmacie, etc.) ?

Ce débat suscité par l’affaire « DABUS », un système d’IA créé par un chercheur en IA de l’université du Missouri, M. Thaler, qui a déposé des brevets dans plus d’une douzaine de pays et sur les cinq continents en désignant « DABUS » en qualité de seul inventeur de deux innovations (un récipient alimentaire basé sur la géométrie fractale et une "flamme neuronale" destinée à alerter dans une situation de danger). La réponse des offices et des juridictions saisies des recours de M. Thaler a presque toujours été négative, à l’exception d’un brevet admis par l’office en Afrique du Sud (avec une portée réduite puisqu'il n'y a pas d'examen de contrôle au sujet de la qualité d'inventeur) et d’une décision d’un tribunal en Australie rendue en juillet 2021 (mais réformée en appel en avril 2022). 

L’OEB, comme le Royaume-Uni ou les États-Unis, notamment, ont suivi des raisonnements similaires pour rejeter les demandes ainsi présentées par M. Thaler avec l’aide d’avocats en propriété intellectuelle et du Pr. Abbott, un universitaire britannique à l’origine de The Artificial Inventor Project (voir le site Internet dédié au proejt). Maigre résultat, si ce n’est que le débat a été lancé parmi les experts et dans le public, ce qui était l’un des objectifs du projet. Ainsi, plusieurs magistrats qui ont eu l’occasion de statuer sur cette affaire médiatisée, notamment en Australie ou au Royaume-Uni, ont laissé entendre qu’une IA pourrait être désignée comme inventeur et en tout cas que le droit actuel ne répondait plus qu’imparfaitement aux enjeux de la protection de l’innovation dans le domaine de l’IA.

Mais si le droit des brevets, à commencer par le droit international ou conventionnel, n’était plus adapté et devait être réformé, comme le prétendent certains experts en PI, chercheurs en IA et acteurs économiques, à commencer par MM. Thaler et Abbott, de quelle façon devrait-il l’être ? Création d'un droit sui generis pour intégrer l'IA, admission d'un statut de « co-inventeur » homme-IA, etc. ? Et quelles seraient les implications juridiques d’un tel changement de paradigme ? Le débat reste ouvert en l'état. L'Organisation Mondiale de la Propriété Intellectuelle a évoqué quelques solutions. Preuve que le sujet intéresse de plus en plus d'acteurs et d'experts et pourrait influencer d'éventuelles réformes ou adaptation du droit dans les mois ou années à venir. 

Toutefois, sur le plan pratique, que faire en l’état du droit positif, sachant que l'IA ne peut être désignée comme l'inventeur et qu'il reste un doute sur la qualité d'inventeur de l'utilisateur ou du concepteur humain dans le cas d'un système d'IA générative créant des innovations de façon autonomes ou quasi-autonomes ? Le déposant propriétaire du système d’IA générative ou l'utilisateur humain de l'IA peut-il se déclarer comme seul inventeur sans courir de risques d'un refus du brevet par l’office ou d’invalidation postérieure de son brevet enregistré, ou bien devrait-il plutôt recourir en pareil cas à des modes de protection alternatifs tels que le secret d’affaires ? Une décision de la Cour Fédérale d’Allemagne rendue en juin 2024 apporte des réponses précises et éclairantes à cette problématique en autorisant, à certaines conditions, un dépôt de brevet en désignant le déposant humain comme inventeur en pareille hypothèse.

Plus d'informations dans l'article à paraître (en revue ou ici), je l'espère prochainement. En attendant, n'hésitez pas à me contacter si vous avez des questions pratiques sur la protection d'une invention fondée sur l'IA ou créée par l'IA, ou tout simplement si le sujet développé dans l'article ou des sujets connexes vous intéressent.

Guillaume LE LU

Avocat au Barreau de Paris

Associé fondateur KOBALT

LE CONSTAT D’HUISSIER SUR INTERNET

Le constat d’huissier est la preuve « reine » en cas d’agissements illicites. Objectif et impartial (1), il permet d’étayer une situation litigieuse à un moment précis, en lui donnant un contenu attesté par un officier ministériel assermenté et une date certaine (2). Reproduction illicite d’une marque, violation de droits de propriété intellectuelle (copie ou exploitation de photos, dessins et modèles, logiciels, bases de données, sites web, livres, articles, films, vidéos, etc.), atteinte aux droits des personnes (droit à l’image, diffamation ou injures en ligne), responsabilité des entreprises (concurrence déloyale ou parasitaire, atteinte à la réputation, dénigrement de produits ou services), etc., les occasions ne manquent pas, pour les victimes, de recourir au constat d’huissier sur Internet. 

Mais cette preuve ne sera valable et utilisable en justice, et elle ne convaincra lors des discussions amiables, qu’à condition que ce constat ait été réalisé dans les règles de l’art et du droit. Sans quoi la partie adverse aura beau jeu de soulever la nullité de l’acte de constat ou d’obtenir qu’il soit écarté des débats en cas de contentieux, ébranlant ainsi les belles certitudes d’une victime « sûre de son fait ».

1. Quelles sont les conditions de validité des constats d’huissier sur Internet ?

Hormis l’article 648 du Code de Procédure Civile qui précise les mentions prescrites à peine de nullité pour tout acte d’huissier (3), il faut se reporter aux directives générales de l’article 1er de l’Ordonnance n°45-2592 du 2 novembre 1945 (4), mais surtout à une jurisprudence bien établie depuis quinze ans, qui a dégagé un corpus de règles très précises portant tant sur les prérequis techniques que sur la nature des constations effectuées par l’huissier. 

Ainsi, au titre des prérequis techniques, avant même de lancer les opérations de constat, il convient que l’huissier : 1. vide la mémoire cache de son ordinateur (5) ; 2. décrive précisément le matériel qui servira aux opérations ; 3. indique expressément l’adresse IP de l’ordinateur et 4. désactive les connexions au serveur proxy. 

La Cour d’appel de Paris a confirmé ces obligations, en apportant de nouvelles précisions techniques (6). Doivent donc être également décrits, d’après une décision rendue en 2016 : le système d’exploitation et le navigateur Internet, l’architecture du réseau local (absence de connexion à un serveur Proxy, serveurs DNS utilisés, pare-feu...), ainsi que les informations relatives au fournisseur d’accès Internet. Avant toute connexion, l’huissier doit aussi préciser le paramétrage de définition de l’écran, synchroniser la date et l’horloge de l’ordinateur et supprimer les fichiers temporaires stockés sur celui-ci, l’historique de navigation et les cookies, puis paramétrer les fichiers temporaires et l’historique pour que le navigateur vérifie, le cas échéant, que la version de la page la plus récente est affichée. 

L’huissier ne doit pas faire porter son constat sur des copies d’écran, sous peine d’encourir la nullité ou de priver son procès-verbal de toute valeur probante, car il doit procéder à une vérification personnelle et directe des pages en ligne. Les constatations doivent avoir lieu en direct sur Internet, selon un protocole spécifique. Des copies ou impressions d’écran, de même que des « archives Web » ne présentent pas de garanties légales de fiabilité, n’ayant aucune validité et valeur probatoire aux yeux des tribunaux (7). Un constat est donc un passage obligé.

Durant les opérations et au moment de la rédaction du procès-verbal de constat, l’huissier doit se montrer d’une objectivité et d’une impartialité à toute épreuve et ne pas chercher à plaire au requérant. Car il reste le garant de la légalité et de la neutralité de ses « constatations purement matérielles » (voir Ordonnance de 1945 précitée, note 4), et par conséquent de la validité de ses actes, quels que soient les intérêts en jeu. Doivent ainsi être bannis du PV des appréciations « sur les conséquences de fait ou de droit » de ces constatations, ce qui exclut tout avis direct ou indirect sur le bien-fondé des thèses ou prétentions du requérant. Par exemple, des termes non neutres tels que l’« article piraté » dénotent un évident manque d’objectivité et entachent la validité d’un constat (8).

Pour clore les opérations, d’après ce même arrêt de 2016, « l’huissier doit enfin répertorier et enregistrer le contenu de ses constations sur des supports fiables [p. ex : disque dur externe] et, à la fin de son constat, procéder à la capture des informations sur la cible. » 

Dans un arrêt du 8 janvier 2019 (pourvoi n°18-80.748), la Cour de cassation a nettement statué dans le sens de l'invalidité et en tout cas l'absence de tout caractère probant d'un constat d'huissier réalisé en ne respectant aucune des conditions techniques de fiabilité citées plus haut (9), la Haute Juridiction observant "que, faute de respect des impératifs techniques indispensables, l'authenticité des propos enregistrés par l'huissier ne peut être tenue pour certaine". 

Cette jurisprudence, désormais établie, démontre l'importance du respect de ces impératifs en apparence d'ordre purement technique. 

2. La norme "AFNOR NF Z67-147" 

La Cour d’appel d’Aix-en-Provence est allée encore plus loin, puisqu’elle a considéré qu’un tel constat d’huissier n’est valable qu’à la condition de respecter la norme AFNOR NF Z67-147 (septembre 2010) sur le mode opératoire des procès-verbaux de constat sur Internet (10). C’est pousser l’exigence à son comble, car de telles normes, non publiées par décret ou arrêt ministériel, n’ont pas force de loi et sont d’application « volontaire » (11). Ceci n'a pas empêché la Cour d'appel de retenir la nullité du constat.

S’inspirer des recommandations techniques de cette norme publiée, qui reprend les garanties de fiabilité exigées par la jurisprudence précitée, reste en tous les cas une excellente idée. D’ailleurs, certaines études d’huissiers, avec raison, mettent en avant leur soumission spontanée à cette norme pour la réalisation de tous leurs constats réalisés sur Internet.

3. Se faire assister d’un Conseil et d’une étude d'huissier spécialisés pour réaliser les constats valides et probants

Garant de la légalité et de l’utilité des actes dont il a la charge, l’huissier de justice peut voir sa responsabilité engagée en cas de nullité de son fait, ce qui l’oblige, tant à assumer tous les frais afférents aux constats inutilement entrepris que les dommages et intérêts encourus en cas de préjudice subi par son requérant (12). Or, les dommages peuvent être gros en cas de perte d’un procès du fait d’un constat nul. Bien que tiers, la victime d’un acte abusif peut également agir en responsabilité contre le requérant et contre l’huissier sur le fondement du droit commun. Le plaideur amateur, le dilettante ou l'huissier mal informé courent de vrais risques !

Pour ce type d’opérations à caractère technique, il est donc indispensable d’avoir recours à un huissier spécialisé dans les constats sur Internet et de consulter, en amont, un avocat spécialisé. Celui-ci pourra:  1. vérifier la pertinence du mode de preuve à retenir, étant précisé que dans cas d’atteintes à certains droits, c’est la saisie-contrefaçon qui s’imposera ou encore le constat par un organisme spécialisé habilité en matière de propriété littéraire ou artistique (13), 2. orienter vers un huissier territorialement et techniquement compétent avec lequel il pourra collaborer et 3. veiller à la régularité et la pertinence du constat d'huissier et lui adjoindre un expert privé dans les hypothèses où cela s’avère indispensable (par exemple en matière d'atteintes aux bases de données, aux systèmes d'information ou aux logiciels).

On le voit, la réalisation d’un constat sur Internet ne laisse aucune place à l’improvisation, à l’à-peu-près et à l’amateurisme. Acte de technicien du droit, le constat reste un art à maîtriser.

Guillaume LE LU

Avocat - Associé fondateur

Email : glelu@kobalt-avocats.eu

06.30.82.21.40

Notes de l'article

1)  Un constat d’huissier, effectué par un officier ministériel, « fait foi jusqu’à preuve contraire ». Il agit ainsi comme une sorte de « présomption de vérité » quant aux constatations opérées.

2)  Et cela d’autant plus que des copies ou impressions d’écran n’ont aucune valeur probante en cas de litige.

3)  Pour les requérants personnes morales : dénomination, forme, siège, représentant légal, nom et adresse exacte du domicile du destinataire.

4)  Ordonnance relative au statut des huissiers qui dispose que les huissiers « peuvent, commis par justice ou à la requête de particuliers, effectuer des constatations purement matérielles, exclusives de tout avis sur les conséquences de fait ou de droit qui peuvent en résulter. Sauf en matière pénale où elles ont valeur de simples renseignements, ces constatations font foi jusqu'à preuve contraire. » 

5)  Il s’agit d’être sûr que la page affichée est bien celle qui est en ligne à la date et à l’heure du constat et non pas une page présente dans la mémoire cache du serveur proxy (CA Paris, 17/11/2006 ; CA Paris, 23 mars 2012 : PI 2012, n°45, p. 415, note A. Lucas ; CA Paris, 27/02/2013 : PI 2013, n°47, p. 207).

6)  CA Paris, Pôle 5, 12 janvier 2016, n°2014/14431 (« Considérant (…) qu’il doit être rappelé que la valeur probante d’un constat d’huissier sur Internet suppose le respect d’un protocole permettant d’authentifier les constatations effectuées (…) ». En l’espèce, « absence toute force probante » des procès-verbaux soulignée.)

7)  CA Paris, Ch. 2, 2 juillet 2010, n°09/12757 (cas de contrefaçon de marque, impressions d’écran et copies des pages issues d’un constat d’huissier réalisé sur un site d’archives de pages web The Wayback Machine rejetées comme ne permettant pas d’attribuer date certaine au contenu des pages web).

8)  TGI Paris, 3ème Ch., 1ère Sect., 4/03/2003, Fréderic M. c. / Ziff Davis, ZDN et autres).

9)  Cass. Crim., 8 janvier 2019 (pourvoi n°18-80.748) : s'agissant d'un constat réalisé dans une affaire de diffamation, la Cour de cassation souligne que les juges du fond avaient observé que l'huissier s'était en l'espèce borné à se connecter au site Internet litigieux par l'intermédiaire d'un moteur de recherche, à trouver l'enregistrement incriminé, à le télécharger et à en retranscrire les termes à des fins probatoires.

10) CA Aix, arrêt du 15/09/2016, n°2013/22133 : en l’espèce, souligne les juges, l’huissier s’était «contenté de faire usage du moteur de recherches Google comme tout un chacun ». La demande de nullité du constat est donc accueillie.

11)  D’autres décisions l’ont rappelé, par ex. CA Paris, 27/02/2013, n°11/11785 : cette norme AFNOR n’est qu’un « recueil de bonnes pratiques en la matière », sans caractère obligatoire.

12)  Art. 650 du Code de Procédure Civile. Voir aussi art. L. 111-8 du Code des Procédures Civiles d’Exécution.

13)  Avec des règles et des risques de nullités spécifiques, qui nécessiteraient d’autres développements.

Brève - Actualités - CYBERSECURITE - Transposition de la Directive Européenne 2016/1148 "Network Information Security" (NIS)

La loi transposant en France la Directive européenne « Network Information Security » (NIS) de 2016 a été promulguée le 26 février 2018, devançant de quelques semaines la date butoir fixée au 9 mai. C’est une pièce maîtresse dans l’arsenal destiné à prévenir et limiter les effets de cyber-attaques pouvant toucher des secteurs clés de la société civile et de l’économie. Elle accroît les obligations et risques de certaines entreprises en matière de cyber-sécurité.

Jusqu’à présent, seule une catégorie limitée d’acteurs qualifiés d’« opérateurs d’importance vitale » (OIV) par la loi de programmation militaire de 2013 étaient soumis à des obligations très strictes en matière de cyber-sécurité. Eu égard à l’importance des enjeux et à la multiplication des attaques touchant d’autres secteurs d’activités tenus pour stratégiques (énergie, transport, banques et marchés financiers, santé, eau, infrastructures numériques…), la Directive étend certaines obligations à d’autres entreprises, qualifiées d’« opérateurs de services essentiels » (OSE), bien plus importantes en nombre.

La France a jusqu’au 9 novembre 2018 pour déterminer la liste des OSE affectés par les nouvelles règles de sécurité informatique, précisées et appliquées sous l’impulsion et le contrôle de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), laquelle disposera d’un pouvoir d’audit et de sanctions. Ces OSE auront par exemple pour obligations de : (i) mettre en œuvre les nouveaux dispositifs adoptés, (ii) notifier à l’autorité administrative tout incident de sécurité et (iii) se soumettre, à leurs frais, aux contrôles imposés. En outre, bien que plus légères que celles pesant sur ces OSE, la loi renforce les obligations des « fournisseurs de services numériques » (FSN), à savoir : les places de marché en ligne, moteurs de recherche ou fournisseurs de services « cloud » actifs au sein de l’Union européenne. Ils devront aussi notifier les incidents de sécurité et encourent des sanctions financières en cas de manquement.

En cas de non-respect de ces obligations ou d’entrave au contrôle, les entreprises encourront des sanctions allant de 75.000 à 125.000 €. Sans parler des risques liés à la publication des atteintes à la sécurité qui pourra être décidée par l’ANSSI et à la pratique en vogue sur les réseaux sociaux du « name and shame » contre les firmes impliquées. Enfin, nous rappellerons que 77% des attaques des hackers sont dirigées contre des PME. Aucune entreprise n’est à l’abri du risque !

Newsletter - Le Réglement "RGPD" en 80 Jours

Se mettre en conformité d’ici le 25 mai prochain avec le Règlement Général sur la Protection des Données (RGPD) est encore possible !

Accroissement des droits des personnes protégées. Le RGPD apporte des nouveautés importantes et approfondit bon nombre de droits des personnes concernées, tels que le droit à la portabilité des données personnelles, le « droit à l’oubli » ou le droit de ne pas faire l’objet de profilages, et accroît les obligations de sécurité et d’information du responsable du traitement et de son (ou ses) sous-traitant(s).

Data Protection Officer et responsabilités accrues du responsable du traitement. Le règlement européen modifie les relations entre responsable du traitement et sous-traitant et transforme le correspondant informatique et libertés (CIL) en « délégué à la protection des données » (DPO ou « Data Protection Officer »). La contrepartie de l’allégement des formalités administratives, c’est un poids accru de ce DPO mais aussi de nouvelles responsabilités mises à la charge du responsable du traitement (ex : étude d’impact sur la vie privée et notification des failles de sécurité aux personnes concernées et aux autorités de contrôle).

Analyse d’impact. C’est une dernière nouveauté. « L’analyse d’impact » évalue la nécessité et l’absence du caractère excessif des traitements de données par rapport à leur finalité. Toutefois, seuls les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » l’exigeront.

Accroissement des sanctions et des risques liés aux contrôles. Enfin, de nouvelles amendes administratives et sanctions (notamment financières) voient le jour en cas de violation. L’importance des contrôles a posteriori des autorités nationales (en France, par la CNIL) se voit également renforcée par la disparition des déclarations préalables.

Rappelons aussi que toute violation du RGPD par le responsable du traitement ou son sous-traitant est susceptible de conduire à la réparation intégrale du préjudice subi par les personnes affectées. Ainsi, eu égard aux standards actuels, le niveau de protection des personnes et les risques liés à la gestion de données sont accrus.

Quelles solutions ? Quelle stratégie ? Que faire ? Il vous faut agir, et commencer par identifier les besoins de votre structure et vous poser les bonnes questions. Faut-il par exemple adapter vos conditions générales de vente B2C ? Modifier vos contrats de sous-traitance portant sur la gestion de données ? Changer vos pratiques internes et mettre en place de nouvelles procédures ? Etc. Le nombre de questions et de changements à apporter dépendent de votre entreprise.

Illustrons notre propos par un exemple concret. La vérification et l’encadrement des engagements de vos prestataires (« sous-traitants ») sont d’autant plus indispensables qu’ils participent pleinement de la mise en conformité de votre entreprise (en qualité de « responsable du traitement ») avec les exigences nouvelles du RGPD. Eu égard aux obligations nouvelles des sous-traitants, le contrat de sous-traitance devra désormais prévoir notamment les éléments suivants :

·         la ou les finalités du traitement (à ce jour, seule la nature des prestations confiées au sous-traitant y figure) ;

·         la nature des données traitées par le sous-traitant ;

·         le type de personnes concernées par la collecte et le ou les traitements ;

·         le sort des données gérées à l’expiration du contrat ;

·         les engagements pris par le sous-traitant en termes de traitement et de sécurité des données (le responsable du traitement est plus que jamais tenu de les définir) ;

·         les mesures garantissant la protection des données personnelles dès l’origine des projets de traitement, dite aussi privacy by design (principe complété par celui de security by default qui veut dire que, par défaut, seules pourront être collectées les données nécessaires pour assurer la finalité de chaque traitement envisagé) ;

·         l’obligation de créer et tenir à jour une documentation concernant les mesures (techniques et organisationnelles) destinées à sécuriser les données personnelles ;

·         la définition de la collaboration entre les parties, notamment pour la mise en œuvre des droits des personnes concernées et pour régir les relations des parties au contrat de sous-traitance avec les autorités de contrôle ;

·         les mesures d’urgence à adopter par les parties en cas de fuite de données…

Cet exemple n’est qu’un cas concret parmi d’autres à traiter en vue de la mise en conformité de votre entreprise avec le RGPD dans les douze semaines qui vous séparent de son entrée en vigueur ! Le plus important est de lancer ce chantier si cela n’est pas encore fait.

L’équipe d’avocats spécialisés de KOBALT se tient à votre disposition pour vous aider à redéfinir votre stratégie de protection des données traitées et vous assurer de la mise en conformité de votre entreprise.

La clause de "recette" dans les contrats de prestations informatiques

FICHE PRATIQUE

 

CLAUSE ESSENTIELLE DES CONTRATS INFORMATIQUES

Clause essentielle des contrats de fourniture de développements logiciels ou d’une solution ou portant sur l’intégration de progiciels, la clause de « recette » présente la particularité d’être à la fois très juridique et très opérationnelle. Autrement dit, elle s’adresse et doit « parler » autant au juriste qu’aux personnels chargés de la conduite du projet, aussi bien côté client (« MOA ») que côté prestataire.

Objet de la clause de recette

Dans les contrats informatiques, elle a pour double objet d’organiser la « délivrance » conforme des documents et logiciels attendus par le client et sa « réception » au sens juridique du terme par le client (notions définies dans le Code Civil), c’est-à-dire la vérification de l’aptitude des "livrables" à être exploités conformément aux besoins exprimés par le maître de l'ouvrage au sein d’un référentiel défini par avance dans le contrat (tels que : cahier des charges, spécifications fonctionnelles et techniques détaillées, compte-rendu d’analyse préalable, etc.).

Obligation essentielle du maître de l'ouvrage (client)

L’obligation de recetter les livrables, contrepartie de l’obligation essentielle de délivrance conforme pesant sur le fournisseur, est une obligation essentielle du client. Dans le commun intérêt des parties, elle doit être rédigée avec le plus grand soin, de façon à la fois précise et détaillée.

L’expression des besoins, autrement dit le référentiel de conformité, décrira les livrables documentaires à fournir au client en cours de projet et, pour les livrables logiciels, les fonctionnalités et niveaux de service et de performances attendus du système informatique ou de l’application à délivrer. C'est la conformité des livrables à ce référentiel qui sera testée lors de la recette.

La phase de recette, c'est-à-dire la procédure de tests et de validation de la conformité des livrables aux spécifications contractuelles ne doit pas être confondue avec les tests réalisés par le prestataire avant la fourniture des "livrables", qui ne sauraient se substituer à ceux que doit obligatoirement réaliser le client, avec ses propres équipes et au besoin avec l’aide du prestataire ou d’un tiers (du type assistant à la maîtrise d’ouvrage).

Le périmètre de la recette et le "protocole de recette"

Le périmètre de la recette (total ou partielle, provisoire ou définitive) et la procédure à suivre pour parvenir à la recette définitive des livrables devront être clairement indiqués au contrat. Cela suppose aussi bien la rédaction d’une clause de recette générale dans le corps du contrat que l’élaboration d’un "protocole de recette" détaillé, rédigé en premier lieu par les opérationnels et revu par un juriste, prévoyant la procédure étape par étape et phase par phase. Ce document sera intégré en annexe au contrat (p. ex dans le "PAQ"), soit à idéalement à sa signature, soit en début de projet (et au besoin mis à jour en cours de projet). La clause de recette y renverra explicitement.

Quelques précisions à apporter dans la clause de recette

La clause de recette précisera l’objet et le périmètre de la recette, les délais impérativement liés aux différentes phases (intermédiaire ou modulaire, documentaire, provisoire, définitive...), les modalités et conditions de signature du procès-verbal de recette et les conséquences (i) d’une absence de réserves dans les délais indiqués et (ii) d’une acception avec ou sans réserves ou d’un refus de la recette des livrables par le client (réparation des anomalies non levées après recette avec réserves, résolution en cas d’impossibilité constatée d’exploiter les livrables ou d’un taux d’anomalies bloquantes et semi-bloquantes trop important et non levées).

Cette clause renverra explicitement aux définitions des termes essentiels à sa mise en œuvre (prévoir un article "définitions"), dont les documents constituant le référentiel de conformité, les notions de recette provisoire et définitive (s'il y a lieu), les non-conformités ou « anomalies », etc. On aura soin de décrire synthétiquement  les notions d'anomalies les unes par rapport aux autres en les situant sur une échelle de criticité (ex : bloquante/semi-bloquante/mineure).

Compte tenu de son objet juridique essentiel (la vérification de l’obligation de délivrance conforme), la clause renverra également à la validation, par les deux parties, des spécifications fonctionnelles et techniques et le cas échéant aux performances (ex: temps de réponse, délai de traitement, etc.). et les niveaux de services attendus (un "SLA" pourra être ajouté au besoin, surtout si le prestataire assurera ensuite la tierce maintenance de la solution livrée). Côté client, il faudra se souvenir que les besoins doivent avoir été expressément spécifiés pour entrer dans le champ contractuel et donc dans l’objet de la phase recette.

Quelques précisions à apporter dans le "protocole de recette"

Le "protocole de recette" (plus opérationnel que la clause proprement dite, bien qu’il ait des effets juridiques indéniables) prévoira la ou les procédures de recette (en cas de phases successives) de façon détaillée, les modalités de notification des anomalies, dysfonctionnements ou non-conformité après la phase de tests (fiches d’anomalies, cahier d’incidents...), leurs délais de résolution par le prestataire suivant leur taux de criticité, leur taux d’acceptabilité par le client au stade de la recette provisoire ou définitive non assortie de réserves (ex : 0% pour les anomalies bloquantes, 0% pour les semi-bloquantes, X% pour les mineures) ou assortie de réserves (taux à prévoir également ici), les modalités de "levée" des anomalies ou dysfonctionnements signalés lors de la phase de recette initiale dans un nouveau délai ou dans le cadre de la "garantie" en cas de recette avec réserves (voir prochainement notre Fiche pratique sur la "clause de garantie" dans les contrats informatiques).

Ce protocole annexé précisera également, pour les livrables logiciels, les protocoles de tests ou jeux d’essai que devra élaborer le client, avec ou sans collaboration du prestataire, afin de « dérouler » la procédure de recette avant le signalement des anomalies ou non-conformités.

Recette provisoire et recette définitive

A noter aussi, en pratique on distingue fréquemment dans les contrats de prestations informatiques, surtout pour les projets d’une certaine importance, une phase dite de « recette provisoire » de la procédure de "recette définitive". Juridiquement, la recette dite définitive correspond à la réception proprement dite des livrables, celle qui a pour effet de constater la conformité des livrables fournis sans réserves après tests et corrections éventuelles des anomalies. Elle couvre les "vices apparents".

Eu égard aux définitions des termes ayant cours dans les marchés publics (cf. les "CCAG TIC") et à la pratique dans les marchés privés de prestations informatiques, on peut définir la procédure de recette "provisoire", parfois dénommée "Vérification d’Aptitude au Bon Fonctionnement" (VABF) comme l’aptitude de la solution ou du système informatique livré à fonctionner en conformité avec les spécifications dans le cadre d’une simulation de situations réelles, c’est-à-dire sur la base de jeux d’essais déroulés dans un environnement de tests de la solution ou du système informatique. Quant à la recette "définitive", encore nommée parfois "Vérification de Service Régulier" (VSR), elle peut être définie comme « la réception de la solution dans le cadre de son exploitation sur un environnement de production, suivant les niveaux de services définis et mesurables » (cf. Y. Bismuth, Pratique Contractuelle - La clause de recette dans les contrats informatiques, Communication Commerce Electronique, Mars 2012, pp. 47-48).

Le recours à une telle distinction n’a rien d’indispensable. A défaut de précision, la clause de recette sera censée se référer à la recette définitive.

Le procès-verbal de recette

Il convient surtout de se référer à des notions claires et à une procédure parfaitement encadrée afin d’apporter un maximum de sécurité juridique au prestataire et au maître de l’ouvrage. A cet égard, l’on ne saurait trop recommander de veiller à préciser les modalités de signature du procès-verbal de recette provisoire et/ou définitive (avec ou sans réserves), les délais et les effets attachés aux dépassements et les modalités de l’acceptation et d’émission ou non de réserves en phase de recette avant la signature essentielle du procès-verbal de recette.

En effet, "l'acquisition" de la recette reste en principe soumise à la signature d'un procès-verbal de recette sans réserves, c'est-à-dire après levée de toutes les anomalies ou non-conformités considérées comme un obstacle à l'acceptation conformément aux prévisions du contrat.

La question de la "recette tacite"

A noter, toutefois, les tribunaux admettent parfois la "recette tacite" définitive d’une solution livrée, faute pour le client d’avoir émis en temps utile des réserves écrites concernant des livrables qu’il utilise depuis un certain temps sur un environnement de production.

Il est cependant envisageable d’exclure un tel effet en fixant des conditions d’acceptation plus strictes ou en poussant plus loin l’exigence, à la condition toutefois que le refus du client repose toujours sur des conditions objectives et ne constitue pas un manquement à son obligation de coopération ou un abus de droit.

Que se passera-t-il en cas de refus de la recette ?

Enfin, les conséquences du refus de signature du procès-verbal de recette (si bien entendu il n'est pas abusif ou la conséquence d'une coupable passivité du maître de l'ouvrage) ne doivent pas négligées.

Quelle sera l'issue du projet ? Fin du contrat au moyen de la clause de résolution ? Réécriture du code défectueux par le prestataire ? Achèvement du projet par un prestataire tiers à ses frais ?

Ceci revient à dire que la clause de recette devra envisager par avance tous les scénarios possibles au plan opérationnel et juridique. C'est pourquoi cette clause est centrale et ne doit jamais être négligée.

 

Guillaume LELU

Kobalt-avocats.eu