infraction informatique

6 Mar 2023

Piratage de site internet

Avec la création d’internet, et plus particulièrement des sites internet, une nouvelle criminalité a émergé, en effet il est maintenant possible de s’introduire dans un site, d’y introduire des virus,… il a alors fallu adopter la législation face à ce nouveau type de criminalité.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

I. Quelles sont les réponses légales en matière d’infractions (intrusions, défacement, contaminations virales) de sites Internet ?

La plupart des infractions informatiques sont sanctionnées au niveau pénal. La loi Godfrain du 5 janvier 1988 relative à la fraude informatique est la première loi française qui réprime les actes de criminalité informatique et de piratage. Elle a par la suite été complétée par la loi pour la confiance dans l’économie numérique du 21 juin 2004 puis par la loi LOPPSI II du 14 mars 2011. Ces différentes lois permettent de sanctionner les atteintes aux systèmes de traitement automatisé de données (STAD) prévu aux articles 323-1 à 323-7 du Code pénal.

Parmi elles on retrouve l’accès frauduleux dans tout ou partie d’un système de traitement automatisé de données, puni de deux ans de prison et de 60 000 € d’amende. Dans le cas où il en résulte une altération, soit des données contenues (suppression ou modification), soit du fonctionnement même du système, les peines prévues sont de trois ans de prison et de 100 000 € (article 323-1 du Code pénal).

Besoin de l’aide d’un avocat pour un problème de cybercriminalité?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Il est également possible de citer le maintien frauduleux dans un système informatique. Les causes d’aggravation retenues (altération des données) sont identiques à celles prévues pour l’accès frauduleux. En effet, bien que le maintien dans un système suppose un préalable accès, celui-ci peut-être autorisé tandis que le maintien, ne l’est pas selon un arrêt de la Cour d’appel de Paris 11° chambre, section. A du 14 janv. 1997.

Par ailleurs, les juges prennent en compte le degré de négligence dans la sécurisation du système. En effet, afin de caractériser un accès ou un maintien frauduleux il semble nécessaire d’établir l’existence d’une faute. L’intrusion consiste en l’utilisation sans droit et contre la volonté du propriétaire du système informatique. Pour ce faire, « le propriétaire doit avoir manifesté son intention de restreindre l’accès aux données aux seules personnes autorisées ». (CA de Paris, 1994)

Est également sanctionnée toute atteinte volontaire au fonctionnement d’un système de traitement automatisé de données, autrement dit le fait de le fausser ou l’entraver est puni de cinq ans de prison et de 150 000 € d’amende (Article 323-2 du Code pénal).

Ainsi une attaque par déni de service peut constituer une entrave au fonctionnement d’un STAD (T. Correctionnel de Nancy, 23 novembre 2015). Il s’agit d’une atteinte au système par saturation. Les entraves au système sont également retenues lorsqu’est déposé un virus ou une bombe logique.

Dans une autre affaire du 15 décembre 2015, les juges ont qualifié d’entrave au fonctionnement d’un STAD, le fait pour un associé de faire cesser le développement du site internet de la société. Pour ce faire, les juges relèvent que « B, qui était le responsable du bureau mauricien où était développé le contenu du site Uptoten.com, licenciait l’ensemble du personnel de ce bureau, faisant de facto cesser le développement du site, et remisait le matériel de la société Uptoten. » (TGI de Paris, 13^e chambre correctionnelle, 15 décembre 2015, Uptoten et autres c.J.B).

Est aussi incriminé par l’article 323-3 du Code pénal, le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende (T. Correctionnel de Paris, 25 février 2000).

De plus le droit civil s’applique, ce qui permettra de rechercher la responsabilité de l’individu à l’origine de l’infraction pour qu’il puisse être condamné à des dommages et intérêts pour le préjudice subi par la victime (perte de clients, de commandes, de notoriété, etc.)

II. Sont-elles suffisantes ?

Le système est assez complet, il serait éventuellement possible d’ajouter des infractions pénales plus spécifiques. De plus les cybercriminels innovent constamment ce qui demande un effort constant de la part du législateur. Mais les différentes actions contre les sites Internet peuvent être sanctionnées par les articles du Code pénal cités.

Les peines semblent assez dissuasives. En effet, les peines vont de 1 an à 5 ans d’emprisonnement et entre 60 000 € et 150 000 € d’amende. Cependant, elles sont aggravées lorsque les infractions visent un STAD mis en œuvre par l’Etat et peuvent aller de 5 ans à 7 ans d’emprisonnement. Elles le sont également lorsqu’elles sont commises en bande organisée.

En outre, comme le précise l’article 323-7 du Code pénal, la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

De plus, des peines complémentaires accompagnent régulièrement ces condamnations. Il peut s’agir d’une confiscation de matériel, ou d’une privation de droits civique et familiaux pour une durée de 5 ans ou plus, etc. (Article 323-5 du Code pénal).

Enfin, la récente adoption de la loi LOPMI prévoit d’aggraver les peines encourues en cas de cyberattaques contre un réseau informatique ou bancaire, les hôpitaux et les services de numéros d’urgence.

Cela dit, il semble que les entreprises hésitent à engager des poursuites pénales contre les pirates.

III. Les moyens mis en œuvre pour poursuivre et découvrir les auteurs de ces infractions sont-ils aujourd’hui pertinents ? Je fais notamment référence à l’OCLCTIC.

Des organismes chargés de la recherche et la sanction des infractions informatiques existent : OCLCTIV, BEFTI, SEFTI, BCRCI notamment, mais ce ne sont pas les seuls, on peut aussi noter que la DST (service de renseignement national) s’occupe des affaires de piratages importantes.

Ils sont compétents techniquement pour effectuer la recherche des infractions et des responsables des différents délits informatiques.

On peut éventuellement noter un manque de moyens matériels et financiers pour contrer des pirates qui ont souvent des moyens puissants. Mais aussi un problème de temps, lorsqu’un groupe de pirates peut passer 24h sur 24 à agir, les différents organismes chargés de la répression sont limités par leur nombre et leurs horaires.

C’est pourquoi les stratégies en la matière tentent de s’axer sur la prévention et la sensibilisation des utilisateurs et des entreprises. Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par les autorités compétentes en la matière. Il est à ce titre possible de citer le site internet de l’ANSSI ou encore de la CNIL qui regorgent de recommandations et de guides.

Depuis mars 2017, le gouvernement a également mis en place la plateforme « cybermalveillance.gouv.fr ». Cette plateforme est un dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes de cybermalveillance pour les particuliers, entreprises et collectivités territoriales.

Des points de contact et la création de certifications (SecNUM Cloud) permettent d’identifier les prestataires qualifiés afin de répondre aux besoins des entreprises. Il est possible de trouver la liste des prestataires qualifiés de réponses aux incidents de sécurité aussi appelés PRIS.

IV. Lorsqu¹une entreprise est victime de ce type de délit doit-elle déposer une plainte ? Si oui auprès de qui ?Est-ce que cette démarche ne l’expose pas plus encore ?

La plainte doit être déposée soit auprès d’un organisme de la police nationale ou de la gendarmerie nationale soit spécialisé, soit auprès du commissariat ou de la gendarmerie ou directement auprès du procureur de la république par le biais d’un avocat.

Je conseillerais dans un premier temps de saisir directement les services de police compétents.

C’est une démarche qui ne devrait pas exposer plus l’entreprise, sauf bien sur si le pirate retrouvé fait partie d’un groupe et donne des consignes d’attaques postérieures…..

Il est assez curieux de constater que paradoxalement il y a beaucoup plus de plaintes pour escroquerie à la carte bancaire que pour défacement de site Internet. Bien sûr dans ces cas de figure, ce sont le plus souvent les banques qui portent plainte. En général si le pirate est en France, il est souvent retrouvé par les services de police compétent en une semaine….

V. Quels autres dispositifs ou mesures sont à la disposition des entreprises victimes de cyberattaques ?

En outre, l’outil « cybermalveillance.gouv.fr » a pour missions d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de malveillance en ligne. Elle pourra les orienter sur la marche à suivre en cas d’attaque et les informer sur le dépôt de plainte.

La récente loi LOPMI du 24 janvier 2023 a donné naissance à un numéro d’urgence, le « 17 cyber », qui sera destiné aux particuliers, aux entreprises, mais aussi aux administrations victimes de cyberattaques.

De plus, au regard des obligations imposées par les articles 33 et 34 du RGPD, dès lors que les violations de données représentent un risque pour les personnes concernées, celles-ci faire l’objet d’une notification auprès l’autorité de contrôle compétente (en l’occurrence la CNIL) dans un délai de 72 heures. Lorsque cette violation présente un risque élevé pour les personnes concernées, il sera nécessaire d’alerter les personnes concernées par cette dernière.
Enfin, il vous sera également demandé d’indiquer cette violation dans votre registre de violation des données.

VI. Lorsqu’elle est victime d’une infraction depuis un pays étranger, quelle loi s’applique-t-elle. Existe-t-il d¹ailleurs un dispositif légal au niveau international ?

Les tribunaux répressifs français sont compétents pour connaître de toute infraction commise sur le territoire français, quelle que soit la nationalité de son auteur ou de sa victime. Cette compétence territoriale se justifie aisément : juridiquement, elle découle du pouvoir souverain de la France de protéger l’ordre public sur son territoire contre les infractions qui y sont commises.

En revanche, beaucoup de cyberattaquants se jouent des frontières et des accords d’extradition conclus entre les différents pays, ce qui peut rendre leur arrestation complexe. On dit qu’ils se domicilient dans des « cyber paradis ». Le principe de la territorialité de la loi pénale fait parfois obstacle aux poursuites en cas d’enquêtes transnationales. Il est à ce titre possible de citer l’exemple de Gregory Chelli aussi connu sous le pseudonyme « Ulcan ».

Malgré tout, on trouve des dispositifs de coopération policière comme INTERPOL (qui délivre des notices rouges) ou des conventions telles que la Convention internationale de cybercriminalité Budapest. Ces dispositifs permettent d’harmoniser la lutte contre la cybercriminalité à une échelle internationale et d’émettre des définitions juridiques communes.

Au niveau européen on retrouve les agences EUROPOL et EUROJUST qui facilitent la coopération entre les services répressifs et judiciaires nationaux. On peut également évoquer l’ENISA, qui vise à garantir un niveau commun en cybersécurité dans toute l’Europe.

Cette coopération a encore été étendue à l’échelle européenne. En effet, la révision de la directive « sécurité des réseaux et des systèmes d’information » initiée en juillet 2020, a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers. Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière.

En France, l’adoption de la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) le 24 janvier 2023 promet également le déploiement de 1 500 cyberpatrouilleurs.

VII. En cas de piratage d’un site, le tiers par exemple le client ayant subi un préjudice quelconque doit-il se retourner contre la société elle-même victime de l¹infraction ?

Le tiers peut se retourner contre la société à l’unique condition qu’elle soit responsable du préjudice par une faute de sa part par exemple, sinon il devra agir contre l’auteur de l’infraction

Il pourra se constituer partie civile par exemple dans un procès contre le pirate même s’ il n’est pas à l’origine de ce procès, par exemple dans un procès engagé par d’autres victimes ou par l’entreprise victime.

VIII. Si le prix d’un produit a été modifié sur le site à l¹insu de l’entreprise, le client peut-il exiger de régler le prix affiché ? Comment l¹entreprise peut-elle prouver sa bonne foi ?

La jurisprudence considère que le client peut exiger de régler le prix affiché, l’erreur d’étiquetage n’entraînant pas la nullité de la vente.

Cependant, il existe une exception à cette règle lorsque le prix présenté est erroné et dérisoire (article 1169 du Code civil). Autrement dit, lorsque le prix est sous-estimé, on considère que le consommateur normalement avisé ne peut pas avoir interprété le prix affiché comme étant la valeur réelle de l’article. Dans cette hypothèse, le client ne peut réclamer le prix affiché et la vente peut être annulée pour erreur. Si l’entreprise ne peut pas prouver sa bonne foi, elle peut éventuellement prouver la mauvaise foi du client pour obtenir la nullité de la vente ou le paiement des sommes non perçues.

Ce cas d’erreur de prix sur Internet s’est produit il y a quelques années. Des internautes ont profité d’un bug du prix sur le site Micromania pour acheter des consoles à 40 euros alors que le prix réel des consoles était compris entre 300 et 400 euros. Micromania a donc été en droit d’annuler la vente ou bien de réclamer la différence de prix entre le prix affiché et le prix payé.

IX. En matière d’infraction, l’employeur peut-il rechercher une responsabilité auprès d¹un salarié (par exemple, son directeur informatique), de son hébergeur (lorsque son système est externalisé) ou de l¹intégrateur pour manquement professionnel (par exemple, défaut de précaution quant à la protection du site ou manque d’information sur sa vulnérabilité ) ?

La société pourra agir en responsabilité civile contre tous ces tiers si elle peut prouver une faute ayant entraîné pour elle un préjudice. Ainsi, l’entreprise pourra intenter un procès contre un hébergeur qui devait assurer la sécurité du site si celle-ci n’était pas assurée dans la réalité. En revanche, l’entreprise devra s’être assurée que ce dernier présentait des garanties suffisantes (article 34 de la loi informatique et liberté).

Elle pourra également intenter un procès contre toute personne qui en dehors d’un contrat a commis une faute, par exemple, un membre de la société ou un tiers qui aurait fourni des informations confidentielles permettant d’accéder au système.

Le comportement fautif du salarié entraîne également des répercussions sur son contrat de travail. C’est ce que rappelle la Cour de cassation dans un arrêt en date du 26 décembre 2006. Ainsi le fait pour un salarié d’essayer de se connecter, sans motif légitime et par emprunt du mot de passe d’un autre salarié, sur le poste informatique du directeur de la société était un comportement qui violait la charte informatique de l’entreprise, rendait impossible son maintien dans l’entreprise pendant la durée du préavis et justifiait son licenciement pour faute grave.

Dans une affaire en date de 2015, le Tribunal correctionnel de Nancy a condamné un administrateur réseau pour maintien frauduleux dans un STAD et pour atteinte aux secrets des correspondances. Ce dernier avait copié, à partir des serveurs informatiques de la société dont il était salarié, des mails et des documents qui laissaient entendre que la société exerçait des pressions sur une inspectrice du travail et les avait adressés à cette dernière. (T. Correctionnel de Nancy, 4 décembre 2015).

Pour ce faire elle retient qu’« il a consulté les serveurs fichiers sans lien avec sa fonction et s’y est maintenu dans une autre intention que celle d’exécuter son travail habituel de développement du wifi. »

X. Préconisez-vous une assurance couvrant spécifiquement les risques liés à une présence sur le réseau (sous quelle forme et dans quelles conditions). À terme, pensez-vous qu’une protection de ce genre sera rendue obligatoire, et est-ce souhaitable ?

En matière de cyber attaque, l’entreprise victime peut traditionnellement invoquer plusieurs chefs de préjudice. Il peut s’agir d’un préjudice financier, d’un préjudice moral ou encore d’un préjudice matériel. En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis. Cependant, elle devra être en capacité d’apporter des éléments de preuve qui corroborent l’existence d’un préjudice du fait de cette attaque.

Quel type de dédommagement peut-il espérer une entreprise lorsque qu’elle est victime d¹un sinistre de cette nature ?

En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis.

Cependant, l’indemnisation est limitée par la solvabilité du responsable, or un bon nombre des pirates sont des particuliers.

Les préjudices pour une société commerciale d’une telle action peuvent être très importants et risquent par conséquent de ne pas être indemnisés totalement.

Il est dans ce cas intéressant pour l’entreprise de souscrire une assurance à cet effet. Le niveau des dédommagements est fonction du type d’assurance souscrite.

A ce propos, la loi LOPMI du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi.

Pour lire une version plus complète de cet article sur le défacement et le piratage de site internet, cliquez

SOURCES :

https://www.ihemi.fr/articles/organisation-france-europe-cybersecurite-cyberdefense-V2
https://www.ihemi.fr/sites/default/files/inline-files/Gestion%20de%20crise%20et%20cha%C3%AEnes%20cyber%20-%20INHESJ%20-%20juillet%202020%20-%20Martial%20Le%20Gu%C3%A9dard%20-%20MAJ15juil%281%29.pdf
http://www.senat.fr/rap/r19-613/r19-6131.pdf
Le développement de l’assurance cyber risque : https://www.vie-publique.fr/rapport/286216-developpement-de-l-assurance-du-risque-cyber
Rapport sur le développement de l’assurance cyber risque : https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/286216.pdf
https://www.un.org/fr/chronicle/article/combattre-lindustrialisation-de-la-cybercriminalite

Par Murielle Cahen • internet-et-droit • • Tags: accès frauduleux, defacement, délit, infraction informatique, piratage

4 Jan 2022

LA RESILIATION DE CONTRAT DE MAINTENANCE DE LOGICIEL

Le terme de « maintenance » en lui-même renvoie à un certain nombre de prestations très disparates.

Les prestations portant sur un logiciel vont au-delà de la simple correction des erreurs ou de la prévention des défaillances, que l’on peut respectivement dénommer – sans difficulté – maintenance corrective et maintenance préventive, par symétrie avec ce qui concerne la maintenance des logiciels.

NOUVEAU : Utilisez nos services pour faire respecter vos droits en matière de contrats en passant par le formulaire !

Il faut aussi que le fournisseur assure son évolution et sa pérennité dans le temps, ce qui implique pour ce dernier, de se livrer à une prestation que l’on appelle improprement la maintenance évolutive, voire la maintenance adaptative, et qui se traduit par la mise au point de versions nouvelles et techniquement ou fonctionnellement différentes du logiciel initial.

La clause objet d’un contrat de maintenance ou suivi de logiciel peut donc prévoir ces différents types de prestations.

la Cour de cassation a jugé que dès lors que le « contrat de maintenance garantissait “un abonnement aux relectures et nouveautés propres à ce programme” et “la fourniture automatique et immédiate de chaque dernière version de ce programme et sa conformité à la législation en vigueur”, le mainteneur avait rempli son obligation de fourniture » puisqu’il avait « fourni le nouveau logiciel dans un délai aussi bref que possible compte tenu des contraintes imposées par la réglementation en vigueur » (Cass. 1re civ., 30 avr. 2014, no 13-11068, note Huet J., RDC 2014 no 4, p. 640).

A propos de cette décision, le professeur Jérôme Huet indique notamment que « l’arrêt, dans sa simplicité, appelle une double observation : la première est que la maintenance d’un programme inclut les mises à jour rendues nécessaires par des modifications législatives ou réglementaires affectant la profession concernée, notamment lorsque celles-ci sont d’ordre purement mathématique ; la seconde est que, par le biais de l’appréciation de la faute, ce que l’on aurait pu penser relever du simple fait, se trouve soumis au contrôle de la Cour de cassation » (Huet J., Revue des contrats, décembre 2014, no 4, p. 640).

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Le terme du contrat est atteint à la suite d’une période déterminée ou indéterminée au départ, ou encore peut être induit par la réalisation de certains événements évoqués dans la rédaction du contrat.

I. La résiliation et la résolution

A. La résolution du contrat

Contrairement à la résiliation qui met fin au contrat et le prive d’effets uniquement pour l’avenir, la résolution anéantit, quant à elle, le contrat de façon rétroactive, ce qui suppose que les parties se retrouvent dans la situation de départ, comme si le contrat n’avait jamais existé. La résolution suppose, notamment, la restitution des sommes versées et implique de lourdes conséquences pour chacune des parties.

Dans un jugement, le tribunal de commerce de Paris a par exemple imposé au prestataire fautif (qui n’avait pas réglé à la société qui distribuait un logiciel ERP les licences nécessaires à l’activité de son client) la résolution du contrat ainsi que le remboursement des factures déjà réglées par le client (TC Paris, 5 décembre 2018, Byexpert / JL Consulting, <www.legalis.net>).

Soulignons que la résolution peut être envisagée par les parties dès la conclusion du contrat. Comme le prévoit le nouvel article 1125 du Code civil, une clause résolutoire permet de mettre automatiquement fin au contrat en cas d’inexécution par exemple, à condition qu’elle ne soit pas potestative.

Selon le nouveau texte du Code civil, « La clause résolutoire précise les engagements dont l’inexécution entraînera la résolution du contrat » et « la résolution est subordonnée à une mise en demeure infructueuse, s’il n’a pas été convenu que celle-ci résulterait du seul fait de l’inexécution » et à condition que mise en demeure mentionne expressément la clause résolutoire (Code civil, nouvel article 1125).

C’est ainsi que la Cour de cassation a jugé que devait être privé de la faculté de se prévaloir utilement de la clause résolutoire stipulée dans un contrat d’infogérance, le client qui n’avait pas respecté les exigences procédurales encadrant sa mise en œuvre : le contrat contenait une clause de résiliation anticipée de plein droit en cas de manquement de l’une des parties à ses obligations, non réparées dans un délai de trente jours à compter d’une lettre recommandée avec demande d’avis de réception.

Dans une espèce soumise à la Cour d’appel de Paris, un contrat de distribution de logiciels avait été conclu et avait comme particularité de contenir la clause « intuitu personae » suivante : « En dépit des clauses ci-dessus, X pourra résilier le présent contrat avec effet immédiat (…) si les actionnaires ou propriétaires actuels de la société Y venaient à cesser de contrôler la société Y, à moins que X n’approuve le transfert de propriété, ce consentement ne pouvant être refusé de manière irraisonnable ». Pour actionner cette clause, le fournisseur s’était fondé sur une annonce publique du changement de contrôle, sans attendre son effectivité juridique.

La Cour a relevé que la mise en œuvre de la clause n’était « subordonnée ni à la constatation préalable du transfert de propriété des titres cédés ni à sa mise en œuvre abusive, laquelle n’avait pas été constatée en l’espèce » (CA Paris, 5e ch., sect. B, 16 nov. 2006, SAS Microsoft France c/ Sté Solution Informatique et de développement, Juris-Data, no 2006-322561, cité, in Bitan H., Un an de droit des contrats informatiques, Comm. com. électr. 2007, no 5, p. 23).

La clause résolutoire peut donc s’analyser alors comme une clause-sanction, à l’exécution de laquelle la jurisprudence n’oppose qu’un contrôle assez limité. C’est ainsi que dans un arrêt du 10 juillet 2012 portant justement sur la rupture unilatérale d’un contrat du numérique, la chambre commerciale de la Cour de cassation a estimé que comme un article du contrat « autorisait chacune des parties à résilier le contrat pour faute », il en « résultait que les parties avaient écarté l’appréciation judiciaire de la gravité de leur comportement ».

En dehors des cas de résolution judiciaire que peut prévoir le contrat, la jurisprudence de la Cour de cassation admet parfois aussi la possibilité pour une partie de rompre unilatéralement et à ses risques et périls un contrat lorsque la gravité du comportement de son cocontractant le justifie.

Cette résolution extra judiciaire a été reconnue par la 1re chambre civile et la chambre commerciale a complété cette jurisprudence en tranchant qu’une telle rupture unilatérale pouvait être mise en œuvre même en présence et indépendamment d’une clause organisant par ailleurs « les modalités formelles de la résiliation contractuelle ».

Dans le même sens, un arrêt ultérieur de la chambre commerciale de la Cour de cassation a admis qu’une telle résolution unilatérale puisse s’effectuer « peu important que le contrat soit verbal », dès lors que les motifs invoqués par la partie décidant la résolution peuvent se déduire des correspondances échangées avant la rupture et alors que « la gravité des manquements d’une partie à un contrat peut justifier que l’autre partie y mette fin de façon unilatérale à ses risques et périls ».

Plus récemment encore, la même chambre commerciale a validé la résolution extrajudiciaire d’un contrat de licence d’exploitation de sites Internet, aux motifs que « la gravité du manquement de l’une des parties peut justifier que l’autre partie mette fin à l’engagement de manière unilatérale à ses risques et périls » et qu’en l’espèce, « le respect de l’obligation de maintenance était essentiel au bon fonctionnement des sites » et qu’il était démontré à la fois l’importance des dysfonctionnements et l’existence d’une mise en demeure préalable du prestataire défaillant.

Si la résolution du contrat du numérique est la sanction la plus fréquente, sa mise en œuvre doit cependant répondre à certaines conditions. Il faut dans un premier temps qu’une obligation du contrat n’ait pas été exécutée.

Mais cette obligation doit cependant être une obligation essentielle du contrat, ce que vérifient assez fréquemment les juges. Et pour ce faire, ils n’hésitent pas à rechercher la commune intention des parties : « Mais attendu, en premier lieu, que recherchant la commune intention des parties dans le bon de commande, le cahier des charges et les correspondances échangées, l’arrêt retient dans l’exercice de son pouvoir souverain qu’il en résulte que les parties avaient l’intention de procéder à une informatisation globale et intégrée de la comptabilité dans des délais précis, caractérisant ainsi l’obligation de résultat, tandis que l’expert a constaté que ni le matériel, ni le logiciel ne pouvaient être utilisés en raison de l’inachèvement des modifications et de l’adaptation ».

Outre le fait que l’inexécution doit porter sur une obligation principale, il faut que cette inexécution présente une gravité suffisante. Ainsi, dans un arrêt de 1993, la Cour de cassation a voulu – pour valider la résolution – vérifier que la non-conformité du système constatée mettait le système dans l’incapacité totale de fonctionner. De même, elle reconnaît qu’il est dans le pouvoir souverain du juge du fond d’estimer que « les manquements de la société Multiconsult à ses obligations contractuelles présentaient une gravité suffisante pour justifier la résolution du contrat litigieux, qu’elle a prononcée ».

B. La résiliation du contrat

La résiliation du contrat concerne plus généralement les contrats à exécution successive ou à durée indéterminée alors que la résolution, organisée par le nouvel article 1224 du Code civil concerne les autres contrats.

S’agissant de la résiliation, les parties peuvent librement mettre fin au contrat, mais dans le respect des modalités prévues à cet effet. S’agissant des contrats à durée indéterminée, le nouvel article 1211 du Code civil dispose désormais que « lorsque le contrat est conclu pour une durée indéterminée, chaque partie peut y mettre fin à tout moment, sous réserve de respecter le délai de préavis contractuellement prévu ou, à défaut, un délai raisonnable ».

Soulignons que, le plus souvent, le juge peut néanmoins contrôler et sanctionner le cas échéant l’abus de ce droit comme l’a rappelé la Cour de cassation dans un arrêt du 21 février 2006 : « Si la partie qui met fin à un contrat de durée indéterminée dans le respect des modalités prévues n’a pas à justifier d’un quelconque motif, le juge peut néanmoins, à partir de l’examen des circonstances établies, retenir la faute faisant dégénérer en abus l’exercice du droit de rompre ».

Un contrôle du même type trouve aussi à s’exercer lorsque la résiliation unilatérale est décidée par le fournisseur au motif qu’il lui est apparu qu’il serait finalement impossible de mener à bien le projet informatique considéré.

Dans un tel cas, la Cour de Paris a considéré que le prestataire avait « rompu le contrat du fait de son incapacité à proposer même une version simplifiée d’un projet d’une extrême complexité technique pour le montant contractuellement envisagé » et qu’en l’espèce, « cette rupture est fautive, la consultation du cahier des charges pouvant lui permettre de se convaincre aussi bien de ces éléments que de l’inachèvement du projet et des attentes particulières du client » (CA Paris, pôle 5, ch. 11, 16 mars 2012, <www.legalis.net>).

Faute de motifs légitimes pour rompre le contrat, les tribunaux qualifient en effet d’abusive la résiliation unilatérale d’une des parties au contrat. Ainsi, dans un arrêt du 17 juin 2008, la Cour de cassation a considéré que la non-remise de la documentation en langue française relative au logiciel d’installation, ne justifie pas la rupture unilatérale du contrat puisque cela ne constitue pas un obstacle à l’exécution du contrat.

Cet abus de résiliation peut également résider dans la clause même de résiliation unilatérale contenue dans le contrat. C’est ainsi que la Commission d’Examen des Pratiques commerciales (CEPC) a estimé dans un avis du 23 février 2015 qu’était « contraire à l’article L. 442-6 I 2º du code de commerce » en raison de son « asymétrie de traitement des parties », une clause de résiliations unilatérale qui prévoyait que « si le cocontractant souhaite sortir du contrat, il doit verser de 30 % à 100 % des loyers à échoir, selon le moment de la résiliation, montant majoré le cas échéant d’une clause pénale de 10 % de ces loyers.

Et ce alors même qu’aucune exécution ne serait matérialisée. À l’inverse, les conditions générales ouvrent de nombreux cas de résiliation à la société B (ou au cessionnaire du contrat) et ce, sans que cette faculté de sortie ne soit payante ni justifiée par un motif grave ».

L’avis décrit ensuite en détail les aspects que la commission a considéré comme particulièrement déséquilibrés, ce qui nous donne de bons exemples de dispositions qu’il convient de considérer comme pouvant « soumettre ou de tenter de soumettre un partenaire commercial à des obligations créant un déséquilibre significatif dans les droits et obligations des parties » (C. com., art. L. 442-6, I. 2º) :

« L’article 16.1 stipule que le contrat peut être résilié de plein droit avec mise en demeure infructueuse par la société B ou le cessionnaire notamment en cas de non-paiement à terme d’une seule échéance, non-exécution d’une seule des conditions du contrat. Ce même article dispose que la société B ou le cessionnaire peut, en dépit de l’exécution consécutive à la mise en demeure, tout de même résilier le contrat.

L’article 16.2, expressément contesté, prévoit une résiliation de plein droit et sans mise en demeure en cas de cessation d’activité partielle ou totale du client signataire.

L’article 16.3 dispose qu’en sus de l’intégralité des loyers, le client devra verser une indemnité de 10 % de ces loyers dès lors que le contrat est résilié par la société B ou le cessionnaire.

Par ailleurs, même s’il n’est pas parti à cette relation, le client devra verser une indemnité en cas de résolution du contrat existant entre la société B et la société de location financière cessionnaire (article 16.4) »

II. Conséquences sur la fin du contrat de maintenance

A. Le contrat de maintenance

La maintenance peut d’abord être liée, en ce sens qu’elle dépend d’un autre contrat, dont elle est une clause ou un contrat annexe indivisible. Il peut s’agir de la vente d’un ordinateur, d’une imprimante, d’un scanneur, ou d’un ensemble plus complexe (voire un contrat relatif à un logiciel, mais alors c’est à tort que le mot de maintenance est utilisé).

Souvent expresse, elle découle aussi, fut-ce implicitement, des clauses de garanties contractuelles, qui obligent le vendeur à réparer gratuitement l’appareil, ou à remédier aux défaillances d’un logiciel (si tant est qu’il puisse exister une maintenance à leur égard, ce qui est contestable). D’un autre côté, il nous semble qu’un professionnel est tenu, de par sa qualité, d’assurer au minimum un service après-vente (qui est distincte de la maintenance), indépendamment de toute garantie conventionnelle.

À côté de la vente, la maintenance peut aussi être liée à un contrat de sécurité, un crédit-bail, à une location-vente, à une location classique d’une unité centrale (processeur) comme de tout autre matériel informatique, ou encore à une location-service (dite parfois renting), dans laquelle le locataire est mandaté par le loueur pour acheter les biens qui lui conviennent (comme dans le crédit-bail), alors que le loueur se charge de leur maintenance. La formation peut encore être liée à des licences de logiciel et à de la maintenance.

Lorsque la maintenance est ainsi associée à un contrat principal de fourniture ou de location, la résiliation du contrat principal entraîne automatiquement celle du contrat de maintenance, dans la mesure où ils sont indivisibles.

La circonstance qu’un contrat de maintenance soit lié à un autre contrat, dont il peut être regardé comme l’accessoire, emporte une importante conséquence en cas de modification du titulaire des droits du contrat de base, qui est son support. Si le propriétaire ou le locataire de l’installation change, le contrat de maintenance sera transféré sur la tête du nouveau propriétaire ou du nouveau locataire, après simple signification au débiteur cédé.

Parfois, le contrat supprime même cette exigence ; dès lors, le débiteur cédé ne peut pas s’opposer à la cession. Cependant, les parties ont pu convenir d’une clause en sens contraire. Il en existe de deux sortes. Soit elle précise que le contrat a été conclu intuitu personæ, ou firmæ, comme cela est presque d’usage dans les contrats de maintenance informatique, pour interdire toute transmission ; soit, un degré en dessous, elle soumet la transmission à un agrément de l’autre partie.

Mais il a été jugé que le contrat de maintenance était automatiquement transmis (sous-entendu malgré toute clause contraire) au sous-acquéreur d’un ordinateur et d’un système d’exploitation (operating system [OS], lorsque le fournisseur initial a le monopole en France du matériel et du système, d’où personne d’autre ne peut effectuer cette prestation.

B. Défaut de résiliation du contrat de maintenance en cas d’utilisation du logiciel

Par un jugement prononcé le 14 octobre 2021, le tribunal de commerce de Rennes a refusé de prononcer la résiliation du contrat de maintenance portant sur des logiciels fournis malgré les dysfonctionnements, car les clients avaient continué de les utiliser.

Il a estimé que l’exécution du contrat avait été partielle et, en conséquence, il a seulement ordonné une indemnisation des clients par une réfaction de 40 % de leurs factures de prestations émises durant les trois ans.

Deux PME spécialisées dans l’emballage avaient souscrit une offre commerciale portant sur l’implémentation d’une solution logicielle standard de gestion de fournisseurs et de clients, de comptabilité, etc. En plus de la mise à disposition des logiciels, le contrat incluait une formation des utilisateurs, une assistance en ligne, une maintenance corrective et évolutive.

Dès le début, les clients ont rencontré des difficultés pour installer et paramétrer les logiciels. Ils ne pouvaient pas l’utiliser de manière optimale. « Le tribunal constatant que les prestations se poursuivent même si la prestation fournie (…) laisse à désirer et que l’exécution du contrat peut être qualifiée de partielle, la société Exact palliant certaines incapacités des défenderesses, juge qu’il n’y a pas lieu de prononcer la résiliation des contrats ».

Les clients demandaient 100 000 € de dommages-intérêts, se basant notamment sur le temps passé par leurs salariés à installer et à paramétrer les logiciels ou à corriger les erreurs. Si le tribunal reconnaît le préjudice sur le principe, il en réfute le montant. Il leur accorde cependant une réfaction du prix, concernant la maintenance.

Pour lire une version plus complète de cet article sur la résiliation d’un contrat de maintenance de logiciel, cliquez

Sources :

https://www.legifrance.gouv.fr/juri/id/JURITEXT000024761210?init=true&page=1&query=10-26203&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000033486905?init=true&page=1&query=15-17.743+&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000026182917?init=true&page=1&query=11-20.060&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000020259667?init=true&page=1&query=08-12415&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000007509424?init=true&page=1&query=05-15590&searchField=ALL&tab_selection=all

https://www.legifrance.gouv.fr/juri/id/JURITEXT000033570035?init=true&page=1&query=15-12.981&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000007235749?init=true&page=1&query=92-20.589&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000007431900?init=true&page=1&query=98-10.600&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000007208875?init=true&page=1&query=91-18.583&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000007052075?init=true&page=1&query=02-21.240&searchField=ALL&tab_selection=all https://www.legifrance.gouv.fr/juri/id/JURITEXT000019035577?init=true&page=1&query=07-14.299&searchField=ALL&tab_selection=all

Par Murielle Cahen • internet-et-droit • • Tags: contrat, infraction informatique, résiliation;, résolution de contrat

Murielle Cahen Cabinet d’avocats Paris