Fort de plus de 20 ans d’existence, l’open source s’est désormais imposé dans une très large majorité des secteurs. Sa dynamique poursuit sa progression. L’open source représentait ainsi en 2022 un marché de près de 6 milliards d’euros. La question de son utilisation dans le cadre du développement d’un logiciel ou d’un service est désormais devenue incontournable mais elle n’est pas sans risque

Cet arrêt très important de la Cour d’Appel de Paris rappelle que la violation des termes d’une licence libre peut coûter cher.

Cet article revient sur les différentes violations de la licence GNU GPL V2 qui étaient reprochées à Orange afin de les analyser et de déterminer dans quels cas celles-ci peuvent donner lieu à une condamnation pour contrefaçon.

1. Rappel des faits

La société Entr’ouvert a développé le logiciel de gestion d’identité unique dénommé « Lasso » permettant aux internautes de s’identifier une seule fois pour accéder à plusieurs services.

Ce logiciel est distribué par Entr’ouvert en mode « dual licensing » c’est-à-dire soit sous licence libre, en l’espèce la licence GNU GPL V2 soit sous licence commerciale moyennant le paiement de redevances.

Dans le cadre d’un appel d’offres émis par l’ADAE relatif à la conception et à la réalisation du portail « Mon service public » qu’elle a remporté, la société Orange a fourni une solution informatique dénommée « Identité Management Platform » (ci-après « IDMP ») qui intégrait le logiciel Lasso de la société Entr’Ouvert dans sa version GNU GPL V2.

Estimant que l’incorporation du logiciel Lasso dans la plateforme IDMP et que sa distribution auprès de l’ADAE contrevenait aux termes de la licence GNU GPL V2, la société Entr’Ouvert a assigné en 2011 la société Orange devant le tribunal de grande instance de Paris (devenu le tribunal judiciaire) en contrefaçon et parasitisme.

Après une longue phase d’expertise, par jugement en date du 21 juin 2019 le Tribunal de Grande Instance de Paris a déclaré la société Entr’ouvert irrecevable à agir sur le fondement de la contrefaçon. Compte tenu du fait que ses demandes correspondaient à la violation de clauses d’un contrat, Entr’Ouvert aurait dû agir, selon le Tribunal de Grande Instance de Paris, sur le fondement de la responsabilité contractuelle et non en contrefaçon qui correspond à une action en responsabilité délictuelle. Les juges ont également débouté Entr’Ouvert de ses demandes au titre du parasitisme.

Le 19 mars 2021, la Cour d’appel a confirmé l’irrecevabilité à agir sur le fondement de la contrefaçon mais condamnera tout de même Orange à payer 150 000 euros sur le fondement du parasitisme.

Cet arrêt a ensuite été cassé par la Cour de Cassation le 5 octobre 2022 qui a considéré que bien qu’elle reprochait à la société Orange des manquements à un contrat, en l’espèce le contrat de licence GNU GPL V2, Entr’Ouvert était recevable à agir en contrefaçon.

C’est donc après douze ans de procédure que la Cour d’appel de Paris, sur renvoi après cassation, a finalement jugé qu’Orange avait commis des actes de contrefaçon portant atteinte aux droits de propriété intellectuelle d’Entr’ouvert du fait des violations des clauses de la licence GNU GPL V2 applicable au logiciel Lasso et l’a condamnée à payer 800 000 € de dommages et intérêts.

 2. Analyse des violations des termes de la licence GNU GPL V2 qui ont été reprochés à Orange

Plusieurs violations des termes de la licence GNU GPL V2 ont été reprochés à Orange.

La violation des termes de la licence GNU GPL V2 quant à la modification du logiciel

L’article 2 de la licence GNU GPL V2 stipule qu’il est possible de modifier tout ou partie du logiciel et d’en faire un logiciel dérivé sous réserve de respecter trois obligations à savoir :

• Munir les fichiers modifiés d’avis précisant que les fichiers ont été modifiés et de la date de modification ;
• Concéder les droits sur le logiciel dérivé à titre gratuit s’il est distribué à des tiers ou publié ;
• Que logiciel lorsqu’on l’exécute affiche un avis de droit d’auteur ad hoc et un avis précisant l’absence de garantie sur le logiciel.

Entr’ouvert reprochait à Orange d’avoir modifié le logiciel Lasso et de l’avoir distribué, en l’espèce à l’ADAE, sans avoir communiqué d’avis de modification et sans avoir distribué le logiciel dérivé, la plateforme IDMP, à titre gratuit.

Il convient de rappeler que ces obligations ne s’appliquent pas aux éléments indépendants du logiciel dérivé et qui ne sont pas fondés sur le logiciel initial sous licence GNU GPL V2.

En défense, Orange faisait valoir que la plateforme IDMP était indépendante du logiciel Lasso et n’avait donc pas à être distribuée sous licence GNU GPL V2 de ce fait.

La Cour d’appel de Paris démontre le lien de dépendance entre le logiciel Lasso et la plateforme IDPM

La Cour d’appel de Paris rejette cette argumentation considérant qu’il n’y avait pas d’indépendance entre le logiciel Lasso et la plateforme IDMP notamment car, selon le rapport de l’expert judiciaire intervenu préalablement à l’action en contrefaçon, le logiciel Lasso représentait 57% de la plateforme et que celle-ci ne saurait fonctionner sans le logiciel Lasso.

Le pourcentage que représente la composante sous licence libre dans le logiciel au sein duquel elle est intégrée est un indicateur qui peut naturellement jouer. Cela a été le cas en l’espèce. Toutefois il faut se garder de penser qu’il s’agirait de l’indicateur prépondérant.

En effet, un composant sous licence libre peut parfaitement ne représenter qu’un faible pourcentage du logiciel dans lequel il est inséré tout en étant absolument fondamental pour le fonctionnement de celui-ci. Cet aspect a également joué dans l’affaire en cause comme l’a relevé la Cour d’appel.

Dès lors que des liens indissociables existent entre le composant sous licence libre et le logiciel dans lequel il est y intégré, il devra être considéré qu’il ne s’agit pas de deux éléments indépendants.

La violation des termes de la licence GNU GPL V2 du fait de l’absence de communication du code source

Aux termes de l’article 3 de la licence GNU GPL V2, l’utilisateur peut copier et distribuer le logiciel à condition de l’accompagner de l’intégralité du code source correspondant, ce qui est l’obligation emblématique de l’open source.

En l’espèce, Orange ne contestait pas ne pas avoir communiqué les codes sources du logiciel Lasso encapsulé dans la plateforme IDMP.

Orange contestait être tenue à cette obligation au motif qu’elle n’aurait pas « distribué » le logiciel Lasso au sens de la licence GNU GPL V2.

La plateforme IMDP contenant le logiciel open source Lasso a bien été distribuée

La Cour d’appel de Paris n’approuve pas ce raisonnement et considère qu’il y a bien eu distribution dans la mesure où la plateforme IDMP, fondée sur le logiciel Lasso modifié, a été vendue, livrée et transférée à l’Etat.

Si la licence GNU GPL V2 ne contient pas de définition du terme « distribuer », il est impossible de considérer que la concession de droits d’exploitation ou d’utilisation à des tiers ne constitue un acte de distribution.

Orange faisait également valoir que, selon « des FAQ échangés dans le cadre de la communauté open source » l’obligation de communication du code source du logiciel ne s’appliquait pas s’il était utilisé par l’intermédiaire d’un site internet exploité par le client et non par celui qui distribue le logiciel modifié.

Cet élément ne figure pas dans la licence GNU GPL V2.

La Cour rejette cette justification et rappelle qu’avant d’obtenir le marché public lancé par l’ADAE, elle avait sollicité des propositions commerciales d’Entr’Ouvert lesquelles faisaient état de l’incompatibilité entre la licence GNU GPL V2 sous laquelle le logiciel Lasso était distribué et de son utilisation dans un environnement propriétaire comme IDMP.

 La distribution du logiciel dérivé sous des termes de licence différents de la GNU GPV V2

L’article 4 de la licence GNU GPL V2 prévoit que l’utilisateur ne peut copier, modifier, concéder en sous-licence ou distribuer le logiciel libre que dans les conditions prévues par la licence. Autrement dit, il doit être distribué sous les mêmes conditions de licence que celles stipulées par la licence GNU GPL V2.

L’article 10 quant à lui stipule que l’utilisateur qui entend incorporer le logiciel libre sous licence GNU GPL V2 dans d’autres programmes libres et le distribuer dans des conditions différentes de la licence GNU GPL V2 doit au préalable obtenir l’autorisation de « l’auteur » du logiciel.

Les juges d’appel rappellent que le logiciel Lasso a été incorporé dans la plateforme IDMP, qui est un environnement propriétaire et qui a été distribué auprès de l’ADAE sous des conditions de licence incompatibles avec la licence GNU GPL V2, ce que savait Orange compte tenu des propositions commerciales sollicitées auprès d’Entr’Ouvert.

Ils considèrent donc qu’Orange a violé les articles 4 et 10 de la licence GNU GPL V2.

Enfin, les juges d’appel ont considéré qu’Orange avait également violé le droit moral, en l’espèce le droit à paternité, en distribuant le logiciel IDMP sous le seul nom d’Orange alors que deux versions du logiciel Lasso y ont été incorporées.

Conséquence de la violation des termes de la licence GNU GPL V2 : une lourde condamnation pour Orange

Entr’Ouvert réclame 4 millions d’Euros de réparation pour manque à gagner

En réparation de ces violations, la société Entr’Ouvert réclamait la somme globale de 4 000 000 d’euros notamment au titre des gains manqués, des bénéfices réalisés par Orange et du préjudice moral.

La Cour d’appel retient que la société Entr’ouvert a effectivement subi un manque à gagner au titre du marché public remporté par Orange puisque cette dernière aurait dû souscrire une licence payante et verser une redevance.

Les juges considèrent également qu’Orange a réalisé des économies d’investissement puisque l’incorporation du logiciel Lasso lui a économisé des frais de recherche et de développement d’une solution permettant de remplir les standards de sécurité exigés par l’ADAE.

A ce titre les juges rappellent toutefois qu’il doit être tenu compte du fait que l’arrêt rendu avant le pourvoi en cassation avait déjà condamné Orange à payer 150 000 € pour des faits de parasitisme et que ce chef de jugement n’était pas dans le débat puisqu’il n’avait pas été cassé.

Préjudice moral

La Cour retient enfin un préjudice moral notamment du fait du non-respect du droit de paternité au regard de la renommée du projet.

En conséquence, la Cour condamne la société Orange à payer à la société Entr’Ouvert une somme de 500 000 euros au titre des conséquences négatives des faits de contrefaçons, 150 00 euros au titre des bénéfice réalisés par Orange, et enfin 150 000 euros au titre du préjudice moral, soit 800 000 euros au total.

Comment éviter et maîtriser le risque open source ?

Comme le démontre cet arrêt, le fait d’intégrer des briques logicielles sous licence libre dans un programme d’ordinateur sans respecter les termes de la licence desdits logiciels, comme en l’espèce la licence GNU GPL V2, expose un sérieux risque de condamnation au titre de faits de contrefaçon.

Il peut en outre entraîner l’impossibilité de poursuivre l’exploitation du logiciel contrevenant aux licences libres en cause.

Le recours aux logiciels open source, notamment en raison des conditions d’utilisation parfois permissives et à titre gratuit (bien que cela ne soit pas systématique) est souvent privilégié lors du développement d’un logiciel, sans qu’il ne soit suffisamment prêté d’attention au caractère éventuellement contaminant de la licence en cause et sur son impact pour sa distribution future, notamment l’incompatibilité avec certains modèles de distribution.

Pour en savoir plus sur l’Open Source, découvrez notre article « comprendre l’Open-Source ».

Auditer le risque open source tout au long de son développement logiciel

Pour éviter ce risque il est donc fondamental non seulement d’intégrer le plus tôt possible un processus de vérification de la compatibilité des logiciels sous licence libre intégré dans le logiciel en développement mais également de maintenir un tel processus tout au long de l’exploitation du logiciel pour éviter que le problème ne survienne du fait d’une évolution du logiciel en cause.

Pour cela il est fortement recommandé de mettre en place un audit du code du logiciel afin d’identifier ses composantes sous open source et d’établir une cartographie des risques et un plan d’action et de remédiation.

Ce plan de remédiation pourra notamment consister à un changement du composant litigieux soit à la souscription d’une licence adéquate si l’éditeur propose un mode dual licensing comme c’était le cas de la société Entr’Ouvert.