CONTRATS INFORMATIQUES
Contrat d’intégration : les juges sanctionnent le « chantage » à la signature d’un avenant et résilient le contrat aux torts du prestataire !
Cour d’appel d’Amiens, Chambre économique, Arrêt du 13 décembre 2018, Répertoire général nº 16/00587
Dans un contrat d’intégration au forfait, le fait de conditionner la poursuite de ses prestations à un accord sur un prix complémentaire doublant le prix initial peut constituer une faute du prestataire, en ce qu’il contrevient au caractère forfaitaire de l’accord, et justifie la décision du client de rompre le contrat.
Une société souhaitant mettre en place un nouveau système d’information sollicite un intégrateur avec lequel elle signe un premier contrat de prestations de services au terme duquel il rédige le cahier des charges et recommande la mise en place du logiciel ‘Oracle’. Les parties concluent ensuite un contrat d’intégration de progiciels moyennant un prix forfaitaire d’1,7M€. Les parties signent simultanément un contrat d’assistance à maîtrise d’ouvrage.
Suite aux difficultés en phase de réalisation rencontrées, un premier avenant est signé pour un montant de 400K€ ; quelques mois après, l’intégrateur engage une négociation sur un nouvel avenant modifiant le périmètre des prestations, doublant le prix du projet et redéfinissant le calendrier d’exécution. Les discussions n’aboutiront pas, le client demandant des garanties de bonne fin qui seront refusées par l’intégrateur.
Après mise en demeure et résiliation du contrat, le client a engagé une action pour obtenir réparation des préjudices subis. Le Tribunal de commerce de Compiègne, le 26 janvier 2016, prononce la résiliation du contrat d’intégration aux torts de l’intégrateur, condamne celui-ci à payer au client environ 2M€ de dommages et intérêts.
Le prestataire interjette appel, arguant principalement de la possibilité contractuelle de demandes de prestations supplémentaires et de complément de prix, que le client aurait accepté selon lui, ainsi que d’une révision du calendrier d’exécution qui aurait été réalisée de concert.
Le client, pour sa part, rappelle que l’acceptation du principe d’une augmentation de prix était sous réserve que l’intégrateur s’engage de façon ferme en termes de résultats et de délais de réalisation, ce que celui-ci n’a pas fait, proposant uniquement un protocole transactionnel inacceptable. Pour le client, c’est bien le prestataire qui a failli dans l’exécution de sa mission, remettant en cause le prix forfaitaire avec un doublement du budget et ne correspondant pas à un doublement du périmètre de la mission mais à une mauvaise évaluation initiale imputable à celui-ci.
La Cour va relever que si les parties ont bien envisagé d’élargir le périmètre du contrat à de nouvelles prestations et ont œuvré à un rapprochement dans la perspective d’une poursuite du projet, le prestataire qui n’a pas signé l’avenant proposé ne peut se prévaloir d’un accord du client pour modifier les termes initiaux du contrat ; un désaccord sur une augmentation du périmètre initial ne pouvait avoir d’autre incidence que de maintenir les parties dans le lien contractuel initial, aucune d’elles ne pouvant imposer à l’autre une extension de ce périmètre.
Pour les juges d’appel, l’intégrateur a clairement conditionné la poursuite de l’exécution du contrat initial à la signature d’un engagement de payer un prix supplémentaire (multipliant le prix du projet par 2) sans démontrer que les prestations supplémentaires envisagées étaient indispensables à l’exécution du contrat initial; le ferait-elle, il lui appartiendrait de s’expliquer sur le fait que ces prestations nécessaires n’étaient pas incluses dans le marché à forfait, indépendamment de la complexité réelle du projet d’intégration qu’elle était à même d’anticiper grâce à son expérience et aux missions déjà exécutées pour le client.
Ainsi l’augmentation de prix souhaitée par le prestataire résultait pour sa plus grande part d’un coût d’exécution des prestations initialement promises significativement plus important que la base sur laquelle elle avait proposé un prix forfaitaire et dans ces circonstances, le fait de conditionner la poursuite de ses prestations à un accord sur un prix complémentaire doublant le prix initial n’était pas justifié par les termes du contrat et constituait au contraire une faute en ce qu’il contrevenait au caractère forfaitaire de l’accord initial.
L’intégrateur faisait également valoir que le client avait exécuté le contrat de mauvaise foi en sollicitant un concurrent avant même la lettre de résiliation du contrat. Pour autant, selon la Cour, dès lors qu’il avait déjà annoncé son refus de poursuivre l’exécution du contrat sauf à percevoir un prix supplémentaire qui n’était pas justifié, que ses manquements avaient déjà été dénoncées, il ne saurait être reproché au client d’avoir recherché une solution alternative au regard du caractère particulièrement sensible et coûteux du projet.
Les juges concluent que la multiplicité des manquements retenus à l’encontre du prestataire et leurs conséquences dommageables justifient la décision du client de rompre le contrat et en conséquence, la Cour d’appel de Paris va confirmer le jugement en ce qu’il a prononcé la résiliation du contrat aux torts de l’intégrateur.
Cependant, il sera noté la réduction significative du montant des dommages et intérêts alloués au client (912K€), faute pour ce dernier de démontrer son préjudice sur l’ensemble des postes.
Contrat informatique « clef en mains », enfin un peu de nuance ! Il emporte obligation de résultat… encore faut-il apporter la preuve de la qualification.
Cour d’appel de Paris, Pôle 5 Chambre 11, Arrêt du 23 novembre 2018, Répertoire général nº 15/19053
En matière de contrat informatique, la jurisprudence a associé à l’expression « clef en mains » de lourdes conséquences. La Cour d’appel de Paris, dans son arrêt du 23 novembre 2018, revient sur cette notion, d’une part en la définissant précisément et d’autre part en ne s’arrêtant pas aux seuls termes et en analysant dans le contrat et dans les faits les obligations des parties.
Afin d’améliorer son système de comptabilité et de facturation, une société a accepté une proposition commerciale pour l’acquisition de matériels informatiques, logiciels professionnels et de prestations de service. Un procès-verbal de livraison-réception est signé, mais, soutenant divers dysfonctionnements, le client, après mise en demeure, assigne son prestataire informatique aux fins de voir constater la violation de ses obligations contractuelles et prononcer la résiliation du contrat.
Par jugement du 15 septembre 2015 le tribunal de commerce de Paris a débouté le client, les éléments produits ne permettant pas d’établir la responsabilité du prestataire dans ces dysfonctionnements. Le tribunal retient également qu’il existe une obligation de collaboration du client, qui est le corollaire de l’obligation de conseil pesant sur la société informatique, qu’ainsi, le client ne peut se contenter d’une attitude passive se concluant par la désinstallation du logiciel pour ensuite rechercher la responsabilité du prestataire informatique, mais doit au contraire dialoguer et s’impliquer afin de favoriser le succès de l’outil et s’abstenir d’interrompre prématurément la relation technique face à certaines difficultés. Le client a ainsi manqué à son obligation de collaboration en refusant toute proposition.
Le client interjette appel considérant que le prestataire était tenu à une obligation de résultat quant à l’installation de la solution informatique proposée, dès lors qu’elle livre une solution « clef en main » s’étant engagée à intégrer les données du client et à adapter le logiciel à ses besoins spécifiques dont elle ne rapporte pas la preuve de son respect.
La cour d’appel va considérer qu’il incombe au client qui soutient que le prestataire est débiteur d’une obligation de résultat d’en rapporter la preuve. En l’espèce il ne résulte pas du bon de commande que les parties sont convenues qu’une telle obligation pèse sur le prestataire qui a certes fourni logiciels, matériel et services. Les juges relèvent qu’aucune mention contractuelle ne spécifie une installation ‘clef en main’ et que la référence à une plaquette publicitaire n’a pas valeur contractuelle et ne saurait conférer au bon de commande litigieux cette qualification. C’est donc en considération des caractéristiques du bon de commande qu’elle établit que le client ne fait pas la preuve que le fournisseur a livré un contrat clef en main imposant au prestataire d’assurer la maîtrise totale c’est-à-dire de fournir non seulement des prestations d’édition, d’installation et de formation relatives au logiciel mais également la fourniture du matériel spécifiquement conçus pour le client formant un tout indissociable.
Ainsi, échouant à faire la preuve d’une installation ‘clef en mains’ assortie d’une obligation de résultat incombant au prestataire le client sera débouté de sa demande de résolution du contrat.
Rappelons que la Cour de cassation, par son arrêt du 17 mai 2017, avait considéré que la seule mention des termes « clef en main » sur un devis de création d’un site internet emportait de facto la qualification en obligation de résultat, cassant ainsi l’arrêt des juges du fond qui avait rappelé que pour la bonne réalisation du contrat, le prestataire dépendait des informations que devait lui fournir son client, à qui revenait par conséquent la charge de prouver les manquements de son cocontractant.
COMMUNICATION ELECTRONIQUE
Décret sur la sécurité des systèmes d’information
Le décret n° 2018-1136 du 13 décembre 2018 est pris en application de l’article L. 2321-2-1 du Code de la défense et des articles L. 33-14 et L. 36-14 du Code des postes et des communications électroniques issus de l’article 34 de la loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025.
Les dispositions de cette loi du 13 juillet 2018, concernant la défense, confèrent à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et aux opérateurs de communications électroniques de nouvelles compétences pour prévenir et caractériser les menaces qui pourraient affecter la sécurité des systèmes d’information.
Le décret du 13 décembre 2018 définit les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés, les catégories de données pouvant être conservées, ainsi que les modalités d’échange entre ces opérateurs et l’ANSSI.
Ainsi, la décision de mettre en œuvre les dispositifs mentionnés au décret sur les réseaux et les systèmes d’information est notifiée par l’ANSSI. « Cette notification est accompagnée d’un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce document précise les conditions techniques d’organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ainsi que le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre. »
En outre, les opérateurs qui recourent, aux fins de détecter les événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés, aux dispositifs mentionnés doivent communiquer à l’ANSSI une documentation qui décrit, pour chaque dispositif :
« 1° La nature du dispositif, les mesures de sécurité appliquées et le type de marqueurs techniques susceptibles d’être exploités par ce dispositif ;
« 2° Les capacités d’analyse du dispositif, les infrastructures de communications électroniques concernées et, le cas échéant, les méthodes d’échantillonnage des flux de données analysés ainsi que la fréquence d’analyse ;
« 3° Les critères techniques définis pour détecter les événements susceptibles de porter atteinte à la sécurité des systèmes d’information ;
« 4° Les catégories de données susceptibles d’être collectées et la durée de conservation appliquée dans la limite de six mois mentionnée au troisième alinéa de l’article L. 33-14 »
Il précise, enfin, les modalités de contrôle, par l’Autorité de régulation des communications électroniques et des postes (ARCEP), de la mise en œuvre de ces dispositions (« la formation de règlement des différends, de poursuite et d’instruction »).
Le décret est entré en vigueur le 1er janvier 2019.
DROIT D’AUTEUR
Assignation en responsabilité de la SACEM par les ayants-droit d’un compositeur méconnu: le Boléro de Ravel pourrait-il « sortir » du domaine public ?
Les héritiers d’un collaborateur de Maurice Ravel demandent la reconnaissance de leur aïeul comme co-auteur du « Boléro » et réclament à la SACEM des dommages et intérêts au titre de leur préjudice économique et moral.
Les ayants droit d’Alexandre Benois, peintre et décorateur russe ayant collaboré avec Maurice Ravel dans le cadre d’un ballet portant le même nom que le « Boléro » créé à l’Opéra de Paris en 1928, ont engagé une procédure judiciaire en responsabilité devant le Tribunal de Grande Instance de Nanterre contre la SACEM, qui a par deux fois refusé de reconnaître leur aïeul comme co-auteur de la célébrissime partition musicale.
Les héritiers Benois demandent la reconnaissance de leur aïeul comme co-auteur du « Boléro » et réclament à la SACEM 250.000 euros au titre de préjudice économique, 10.000 euros pour préjudice moral et la nomination d’un expert.
La première audience de procédure est prévue le 18 février 2019.
A titre anecdotique, le « Boléro » appartient au domaine public en France depuis le 1er mai 2016. Si le « Boléro » est reconnu, au terme de cette procédure, comme étant une œuvre de collaboration, celle-ci sortira, de facto, du domaine public, dans la mesure où sa date d’entrée dans le domaine public sera repoussée à 70 ans après la mort du dernier co-auteur survivant, soit jusqu’en 2039, Monsieur Benois étant décédé en 1960.
A suivre, donc.
DONNÉES PERSONNELLES
Les données non personnelles ont elles aussi droit à leur règlement européen
Règlement sur la protection des données à caractère non personnel du 14 novembre 2018 n°2015/1807 – publié au JOUE le 28 novembre 2018
Après le RGPD, un règlement européen sur les données à caractère non personnel a vu le jour en novembre dernier.
La donnée dite « non personnelle » y est définie comme une donnée autre que celle visée à l’article 4 du RGPD, ce qui recouvre évidemment de nombreuses données.
Le champ d’application de ce nouveau règlement est également large en ce qu’il s’applique à tout traitement de données à caractère non personnel :
* fourni en tant que service aux utilisateurs, résidant ou ayant un établissement dans l’UE, que le prestataire soit ou non établi dans l’UE ;
* mis en œuvre par une personne physique ou morale, résidant ou ayant un établissement dans l’UE, pour ses propres besoins.
Les principales règles édictées sont les suivantes :
1. la libre circulation des données au sein de l’UE
Les exigences de localisation des données (qui existent actuellement notamment dans le domaine de la finance, de la santé ou encore du secteur public) sont ainsi interdites sauf pour des raisons de sécurité publique.
Une période de transition est prévue jusqu’au 30 mai 2021 : passé ce délai, toute disposition nationale contrevenant à cette nouvelle règle sera abrogée.
2. La disponibilité des données par les autorités compétentes
Chaque autorité de contrôle nationale reste compétente relativement à son droit d’accès aux données. Ainsi, ce droit ne pourra être refusé parce que le traitement des données concernées est effectué dans un autre Etat membre. Aussi, en cas de difficultés, chaque autorité nationale pourra solliciter l’assistance d’une autorité d’un autre Etat membre.
Dans ce cadre, un point de contact unique devra être désigné dans chaque Etat membre. Comme pour le DPO, ce point de contact échangera avec l’autorité de contrôle compétente et assurera la conformité au règlement.
3. Le portage des données
Il s’agit d’un encouragement à l’élaboration de codes de conduite avant le 29 novembre 2019 basés sur des principes de transparence et d’interopérabilité.
Les aspects à traiter sont notamment les bonnes pratiques pour faciliter le changement de fournisseur de services et le portage des données (dans un format structuré, usuel et lisible par machine) ; les exigences minimales d’information des utilisateurs professionnels avant la conclusion d’un traitement de données, tel que le cloud computing, (processus, frais, technique, etc. s’ils souhaitent changer de fournisseur ou récupérer leurs données…).
Ce règlement, en vigueur depuis le 19 décembre dernier, est applicable à compter du 19 avril 2018.
