Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Articles divers

Contrats Saas : La revanche des éditeurs de logiciels sur les utilisateurs ?

Par Kim-Mai Huynh, Etudiante en droit.

Retour sur le phénomène SaaS. L’avènement des logiciels en mode SaaS au début des années 2010 n’est pas un hasard : suite à la décision Usedsoft de la CJUE qui a sérieusement écorné l’efficacité de la protection des logiciels sous licence, les éditeurs de logiciel ont été amenés à revoir leur mode de distribution. Le SaaS apparaît ainsi comme une solution permettant de surmonter les faiblesses inhérentes au régime de la licence s’agissant de la protection des logiciels contre la revente. Si le SaaS marque un retour en grâce des éditeurs, l’entrée en application prochaine du Règlement sur la protection des données personnelles est susceptible d’apporter un rééquilibrage bienvenu du rapport de force entre éditeurs de logiciel et utilisateurs.

Coup de tonnerre dans l’univers des éditeurs de logiciel : en 2012, avec sa décision Usedsoft (CJUE, 3 juillet 2012, Usedsoft c/ Oracle International Corp., C 128/11), la Cour de justice de l’Union européenne a ouvert la voie au marché des logiciels d’occasion en mettant en exergue le lien d’indivisibilité entre le droit d’utilisation octroyé au titulaire d’une licence de logiciel et le droit de détenir – et a fortiori de revendre – un exemplaire physique du logiciel. Par application de la théorie de l’épuisement des droits de distribution issue de la directive 2001/29/CE , la Cour a estimé que le titulaire des droits sur un logiciel ne pouvait pas s’opposer à la revente sur le marché secondaire d’une copie physique obtenue par téléchargement légal. Est seulement prohibée la revente d’une copie de sauvegarde d’un support physique original. Cette décision a été perçue comme restreignant fortement la portée et l’efficacité de la protection du droit d’auteur en matière de logiciel.

De manière concomitante, c’est également au début des années 2010 que le marché du logiciel s’est progressivement ouvert à une nouvelle logique de distribution, par le biais du cloud computing, et plus spécifiquement du SaaS (Software as a Service) qui s’adresse en premier lieu aux professionnels.
Le cloud computing, consiste pour un prestataire à proposer des capacités de traitement informatique à distance, auxquelles le client accède grâce à une connexion Internet, sans avoir à assurer la gestion de l’infrastructure physique. Le cloud computing peut donner lieu à différentes offres de service : le IaaS (Infrastructure as a Service), le PaaS (Plateform as a Service), le BPaas (Business Process as a Service) et le SaaS. En permettant aux utilisateurs d’accéder à des logiciels installés sur des serveurs distants, le SaaS constitue, après le BPaas, le mode le plus abouti de l’externalisation cloud.

Dans la foulée de l’affaire Usedsoft, le SaaS a contribué à rebattre les cartes s’agissant du rapport de force entre éditeurs de logiciel et utilisateurs, et ce dans un contexte juridique et social qui a plutôt tendance à faire primer la libre circulation des biens et l’intérêt des utilisateurs sur celui des titulaires de droits sur les logiciels.

Le Saas ou la remise en cause de la licence de logiciel

Le modèle du logiciel en mode SaaS se distingue de la licence de logiciel. Dans le cadre d’une licence, l’éditeur d’un logiciel, titulaire des droits d’auteur sur celui-ci, va accorder – sans pour autant les céder – des droits à l’utilisateur, notamment, et au minimum, un droit d’utilisation.

Or, il s’infère de la jurisprudence de la CJUE de 2012 dans l’affaire Usedsoft, que le droit d’utilisation octroyé dans le cadre d’une licence de logiciel s’accompagne d’un droit à détenir une copie du logiciel. Par cet arrêt, la CJUE s’est employée à valider une vision matérialiste du logiciel.

Cette approche subordonnant le droit d’usage à la tangibilité du logiciel est d’ailleurs corroborée en droit interne par le fait que le droit d’usage ne fait plus parti en tant que tel des prérogatives réservées au titulaire des droits sur un logiciel depuis la loi du 10 mai 1994. Celle-ci a en effet supprimé la mention du droit d’utilisation qui apparaissait à l’article L. 122-6 ancien du Code de propriété intellectuelle.

L’usage n’étant plus considéré comme un droit autonome, c’est en fait par le biais du droit de reproduction que le titulaire des droits va pouvoir indirectement contrôler l’usage qui est fait du logiciel. Par conséquent, il ne peut y avoir véritablement de licence de logiciel que dans la mesure où l’utilisateur a accès à un exemplaire du logiciel installé localement sur sa machine.

Il s’avère que le modèle du SaaS, dans sa version la plus pure, est à l’inverse de celui de la licence : le Saas s’analyse comme une prestation de service qui consiste pour le prestataire à fournir au client un accès à distance au logiciel, généralement via un interface web.

Dans cette perspective, le client n’a pas besoin d’installer le logiciel et le prestataire, qui peut être l’éditeur de logiciel, n’a pas à lui octroyer de licence. A la place, il lui propose un abonnement et est rémunéré à l’utilisation. En conséquence, l’accès du client au marché d’occasion est définitivement fermé, puisque la théorie de l’épuisement des droits de distribution est ineffective lorsqu’il est question de prestations de service.

Certains éditeurs optent cependant pour des solutions hybrides en proposant à la fois une prestation SaaS et l’octroi de licence temporaire avec une installation du logiciel en local sur le poste de travail. Dans ce cadre, le mode SaaS permet à l’éditeur d’avoir un meilleur suivi de l’utilisation de son logiciel et du respect des licences par les utilisateurs, tandis que ceux-ci disposent d’un exemplaire du logiciel au titre de la licence qui leur est octroyée, mais dans une logique de location. Ce modèle économique rend donc également impossible la revente des licences sur le marché d’occasion.

Entre le SaaS pur et le mode hybride, d’autres éditeurs proposent encore des licences pour des logiciels exclusivement accessibles à distance et qui ne peuvent pas être téléchargés ni installés par les clients. Au regard de la jurisprudence Usedsoft et de la théorie matérialiste du logiciel, cette qualification de licence est néanmoins contestable.

Le Saas favorise la maîtrise des éditeurs sur les logiciels

L’absence de licence dans le cadre du SaaS est souvent présentée comme un argument marketing par les éditeurs et prestataires de solutions SaaS, qui mettent en avant les nombreux avantages de ce modèle pour le client : économie sur le prix des licences et du matériel, logiciels constamment mis à jour, disponibilité garantie par le prestataire… Cependant, plus question pour le client de se prévaloir d’un droit à disposer d’un exemplaire du logiciel. Ce que le client gagne sur un plan pratique et financier est contrebalancé par une perte de maîtrise sur ses données et l’infrastructure de son système d’information.

Le Saas apparaît surtout comme une aubaine pour les éditeurs, car ce mode de distribution constitue un moyen efficace de faire rempart au téléchargement illégal, mais également à la très défavorable jurisprudence Usedsoft de la CJUE. Car en effet, en vendant le logiciel comme un service et non plus au travers d’une licence, la question de l’étendue des droits octroyés au client utilisateur est habilement éclipsée.

Le constat qui s’impose à ce stade est assez paradoxal : c’est en plaçant le logiciel en dehors de la logique du droit d’auteur et de son contrat phare, la licence, que l’éditeur parvient à protéger plus efficacement son produit.

Un retour de bâton à redouter avec l’entrée en application du Règlement (UE) n°2016/679 du 27 avril 2016 sur la protection des données à caractère personnel (RGPD) ?

La généralisation du SaaS rompt-elle complètement l’équilibre entre éditeurs et utilisateurs ? Pas nécessairement.

Le positionnement des éditeurs sur des prestations SaaS n’est pas exempt de tout risque pour ces derniers. On pense tout particulièrement à la question des données personnelles, avec l’entrée en vigueur imminente du RGPD le 25 mai 2018.

Ce texte constitue un véritable changement de paradigme en termes d’obligations pour les entreprises et de conséquences financières en cas de non-respect. Une des évolutions les plus notables concerne le rôle du sous-traitant de données à caractère personnel.

Là où, sous l’empire de la directive 46/95/CE, qui régissait jusqu’à présent les règles en la matière, le sous-traitant de données à caractère personnel était complètement transparent vis-à-vis du responsable de traitement, le sous-traitant voit son rôle et ses obligations considérablement augmentés avec le nouveau Règlement. Surtout, le texte développe la notion de responsabilité conjointe de traitement, peu exploitée sous l’ancienne directive.

Or, les éditeurs de logiciel SaaS sont particulièrement concernés dans la mesure où ils sont amenés à héberger, stocker, traiter des données à caractère personnel pour le compte de leurs clients. La question qui se pose alors est celle de leur degré d’implication dans le traitement, et donc de leur niveau de responsabilité.

A minima, ils devront être considérés comme sous-traitant, leurs clients demeurant responsables de traitement. Mais dans la mesure où le mode SaaS accroît le degré d’intervention des éditeurs de logiciel sur le traitement des données, ils pourront dans certaines hypothèses se voir qualifier de responsables conjoints de traitement, avec ce que cela implique en termes d’obligations. Ce sera le cas dès lors qu’ils participent à la détermination des moyens et des finalités des traitements de données à caractère personnel mis en œuvre.

Le risque apparaît ainsi particulièrement grand s’agissant de logiciel en mode SaaS mis à disposition « clé en main » par les grands éditeurs via des contrats d’adhésion, avec une implication minime voire inexistante du client pour déterminer les moyens de traitement et les finalités. C’est en tout cas l’approche qu’envisageait déjà la Commission nationale informatique et libertés (Cnil) dans sa recommandation du 25 juin 2012.

En comparaison, le risque de responsabilité conjointe semble très peu probable dans le cadre d’un contrat de licence standard puisque le client a une meilleure maîtrise sur le logiciel et le contexte de son utilisation, en décidant d’utiliser ou pas le logiciel pour tel ou tel traitement.

Ainsi le SaaS a-t-il permis aux éditeurs de logiciel de reprendre le contrôle sur leurs produits et l’utilisation qui en est faite, mais cela au prix d’un accroissement important de leurs obligations en matière de traitement de données à caractère personnel.

Kim-Mai Huynh
étudiante du M2 droit des activités numériques de l’Université Paris Descartes,
juriste apprentie à Informatique CDC

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

30 votes