La propriété intellectuelle dans le numérique (3/5)

Dans ce troisième article de notre dossier, découvrez les caractéristiques des licences d’utilisation (types, modes d’acceptation, contamination…).

Retrouvez également les autres articles de ce dossier en 5 parties :

• La propriété intellectuelle dans le numérique (1/5)
• La propriété intellectuelle dans le numérique (2/5)

Dans cette section, nous allons aborder plus en détail le thème des licences d’utilisation (aussi appelées licences de diffusion ou d’exploitation selon les cas), sous l’angle des licences logicielles, bien que certains des concepts ci-dessous s’appliquent à de nombreux autres domaines que les logiciels, tels que les œuvres audio, vidéo, graphiques, littéraires, matérielles, textuelles (comme cet article), etc. Le sujet est extrêmement vaste, mais nous allons tenter de le synthétiser.

Commençons par cerner un peu mieux ce qu’est une « licence » :

• « Une licence, dans le droit français, est, en droit administratif, une autorisation, ou, en droit commercial, un contrat de licence. » (Wikipédia)
• « Une licence de diffusion est un instrument juridique, complémentaire au droit d’auteur. Elle permet au titulaire des droits sur une œuvre d’accorder à l’avance aux utilisateurs certains droits d’utilisation de cette œuvre. Elle préserve les droits moraux de l’auteur en imposant toujours l’obligation d’attribution » (Délégation à l’Information Scientifique et à la Science Ouverte du CIRAD)
• « Document décrivant les conditions d’utilisation et de diffusion d’un logiciel » (lexique de l’association APRIL)

Bien qu’aucun texte de loi français ne fournisse de définition formalisée de ce que doit être une licence, car il n’existe pas de « Code des Contrats » à proprement parler dans la législation française, elle peut être déduite des dispositions du CPI et du Code Civil.

Par exemple, dans le Code Civil, les articles les plus pertinents sont ceux du Livre III, Titre II, articles 1101 et suivants.

Risquons-nous à proposer une définition, non officielle, en évitant les termes juridiques, et la plus générique possible (© ® ™ moi-même 😉) :

Une licence est un accord mutuel, prenant habituellement la forme d’un contrat de licence (document papier ou numérique), par lequel des tiers, appelés les « licenciés », obtiennent une concession (et non une cession), de certains droits d’utilisation sur une œuvre de la part de son auteur, appelé le « licenciant » ou le « titulaire ».

Le contrat de licence précisera les types d’utilisation et les conditions que le licencié devra respecter, telles que la durée d’utilisation autorisée, le champ d’application, l’exclusivité ou non, les cas d’utilisation permis ou interdits, les restrictions techniques, les redevances éventuelles (ponctuelles ou récurrentes) à verser, la possibilité ou non de copier, voire de redistribuer l’œuvre à son tour et sous quelles conditions, les recours éventuels, les conditions de rupture de la licence, la possibilité ou non d’adapter l’œuvre, etc.

Puisqu’il s’agit d’un contrat, tout type de clause est envisageable, du moment qu’elle respecte la législation, et que les licenciés l’acceptent, bien entendu. Exemples de clauses illégales (selon le contexte) : clause de renonciation aux droits d’auteur ou du droit moral, de limitation de responsabilité (de l’auteur), de confidentialité (excessives), de non-concurrence ou d’interdiction de réaliser une copie de sauvegarde…

Notez que la notion de licence ne doit pas être confondue avec celle de brevet : un brevet est un titre de propriété industrielle, qui confère à son titulaire la propriété exclusive et le monopole d’exploitation (pour une durée limitée) : personne ne peut exploiter l’invention brevetée, sauf si son auteur en permet explicitement l’exploitation, à ses propres conditions. Dans ce cas, comme pour les œuvres, le titulaire du brevet proposera un contrat, qui sera une licence d’exploitation.

Quelques caractéristiques possibles d’une licence :

• Non exclusive : Le licenciant peut accorder des licences à plusieurs licenciés, c’est souvent le cas pour les logiciels, où plusieurs utilisateurs peuvent obtenir une licence pour utiliser le même programme. En général, dans ce cas, les licenciés ne peuvent eux-mêmes accorder de licences à d’autres (on parle de licences finales, non transmissibles) ;
• Exclusive : Dans ce cas, le licenciant accorde à un seul licencié le droit d’utilisation, ce dernier ayant éventuellement le droit de concéder des licences à d’autres (par exemple un revendeur exclusif) ;
• Obligatoire : Il s’agit d’un cas spécifique au domaine des brevets (donc hors licences logicielles). Ces licences d’exploitation peuvent être accordées par un tribunal ou une autorité administrative lorsque certaines conditions sont remplies, comme la justification que le demandeur n’a pu obtenir du propriétaire du brevet une licence d’exploitation (aucune réponse pendant au moins un an, être en capacité sérieuse et effective d’exploiter le brevet, d’un intérêt public, etc), voir notamment l’article L613-11 et suivants du CPI.

Les licences décrivent parfois les engagements du titulaire (en plus de ceux du licencié), tels que la garantie, la maintenance corrective et/ou évolutive, etc. On dit alors que le contrat est synallagmatique (article 1106 du Code Civil), c’est-à-dire qu’il comporte des obligations réciproques entre les parties (le titulaire et les licenciés), même si elles sont rarement équilibrées, ce qui n’est d’ailleurs pas une obligation : les licenciés ont couramment plus d’obligations que le titulaire.

À noter que les licences perpétuelles (celles qui n’indiquent aucune durée limitée) entraînent des questionnements :

• Du point de vue légal déjà, car « les engagements perpétuels sont prohibés » (cf article 1210 du Code Civil), voir aussi plus d’aspects légaux sur ce sujet.
• Et plus particulièrement du point de vue pratique : dans le cas des logiciels, que signifie concrètement une licence perpétuelle ? Sachant que la durée de vie moyenne d’un logiciel sans mise à jour n’est que de quelques années (2 à 5 ans), et même moins pour une application de smartphone (1 à 3 ans).

Le licencié devra vérifier qu’il bénéficiera de l’usage du logiciel à vie, avec toutes les mises à jour correctives et évolutives. En effet, un logiciel sans mise à jour aura une durée de vie très courte : tout logiciel doit bénéficier de mises à jour correctives et notamment en matière de sécurité des SI, mais également des adaptations indispensables (mises à jour évolutives). En effet, un logiciel est intégré dans un SI, or le système d’exploitation sur lequel il s’exécute, comme les autres logiciels avec lesquels il interagit, évoluent régulièrement : un logiciel sans mises à jour sera rapidement obsolète et incompatible avec les SI maintenus à jour. Enfin, même si l’éditeur accorde une licence et des mises à jour sans limite de durée, le support et la maintenance de l’éditeur peut quand même s’arrêter, suite à un changement de gouvernance de l’éditeur, au dépôt de bilan de l’éditeur, ou de son rachat (ou fusion) par une autre société, qui ne souhaite plus maintenir le logiciel, etc.

• À noter que la sécurisation des produits et services, dont leur maintien à jour, devient peu à peu une obligation légale, dans de nombreux secteurs d’activité, cf. lois européennes CRA (Cyber Resilience Act), DA (Data Act), DORA (Digital Operational Resilience Act), DSA (Digital Services Act), eIDAS (electronic IDentification, Authentication and trust Services), NIS2 (Network and Information Security directive), PLD (Product Liability Directive), pour n’en citer que quelques-unes.
• Par conséquent, une licence perpétuelle est plutôt un argument commercial et/ou marketing, mais n’a pas de réalité en matière de sécurité des SI ou juridique.

Il existe de nombreux mécanismes d’acceptation d’une licence (par le licencié), tels que les « click-wrap licences » et les « browse-wrap licences ».

Les premiers consistent habituellement en une présentation des termes de la licence, puis l’acceptation (par une action volontaire : un clic sur un bouton ou une case à cocher, mais non cochée par défaut), les seconds consistent à se contenter d’indiquer où trouver les termes de la licence (hyperlien ou simple commentaire indiquant de consulter les termes) et que la poursuite du parcours client implique l’acceptation de la licence.

Si le click-wrap est légal, le browse-wrap ne l’est pas, car il engendre une acceptation implicite des termes de la licence avant même d’avoir eu l’opportunité de les consulter. Vous trouverez aisément de nombreuses ressources et jurisprudences en la matière, par exemple :

• Cet article Wikipédia ;
• Cette présentation par DocuSign ;
• Ou encore cette liste de jurisprudences par une société américaine spécialisée dans la gestion des contrats.

En résumé, pour qu’un mécanisme d’acceptation puisse être considéré valide, il faut qu’il remplisse certaines conditions, en particulier :

• Le licencié doit avoir la possibilité de lire les clauses avant de les accepter ;
• Les termes de la licence soient clairs et accessibles (= lisibles et compréhensibles) ;
• Le licencié doit avoir pleinement conscience que son action (clic ou autre) va le faire entrer dans une relation contractuelle ;
• L’acceptation doit être volontaire et non contrainte (le licencié doit pouvoir refuser) ;
• Intégrer un mécanisme pour redemander l’accord au licencié en cas d’évolution des termes de la licence, ou au terme de la durée de la licence.

Bien entendu, l’éditeur doit pouvoir prouver tout cela : il doit donc garder une trace des acceptations avec les versions des clauses acceptées.

Une caractéristique importante dans le domaine des licences, bien qu’un peu complexe, est la notion de « contamination de licence ». Si le terme a une connotation péjorative, il a toutefois le mérite d’être clair. Abordons cette question par le petit bout de la lorgnette des logiciels, même si cela peut s’appliquer à d’autres types d’œuvres.

Lorsqu’un logiciel tiers, par exemple une bibliothèque logicielle, qui est sous licence contaminante, est modifié et/ou intégré dans un projet logiciel, que nous appellerons logiciel final, ce dernier pourrait être considéré comme une œuvre dérivée du logiciel tiers. Dans ce cas, la licence du logiciel tiers impose automatiquement certaines de ses conditions au logiciel final.

Par « automatiquement », il faut comprendre « juridiquement », i.e. que cela ne nécessite aucune action du responsable du projet (éditeur, développeur ou intégrateur) : qu’il l’accepte ou non, la contamination est un fait.

Précisons que cette caractéristique peut apparaître avec n’importe quelle famille de licences (propriétaire, libre, open source, que nous détaillerons plus loin), même si elle est couramment associée à quelques licences libres, notamment les licences GNU GPL, LGPL et AGPL. Cela s’explique aisément :

• L’éditeur d’un logiciel sous licence propriétaire a tout intérêt à ne pas « contaminer » les logiciels de ses clients, ce qui pourrait être un frein à l’adoption de son logiciel, et à son expansion commerciale. Toutefois par sa licence, il interdit généralement toute modification de son logiciel, qui conserve sa licence quoi qu’il arrive ;
• L’auteur de logiciel sous licence libre peut souhaiter que tous puissent bénéficier de son logiciel et le modifier librement, mais que personne ne puisse se l’attribuer (par exemple en effectuant une modification mineure), et qu’il reste libre, même s’il est profondément amélioré, ou intégré dans un autre logiciel.

Il y a une multitude de niveaux de contamination. Pour simplifier, quatre peuvent être cités :

Note : le terme copyright a été abordé précédemment dans la section « Introduction à la Propriété Intellectuelle », le terme copyleft, ainsi que sa relation avec copyright, sera abordé ultérieurement dans la section « Les licences libres ».

1. Absence de contamination (ni copyleft, ni copyright) : non seulement ce type de licence ne contamine pas le logiciel final, mais même la partie constituée par le logiciel tiers, qu’il soit modifié ou non, ne conserve pas sa licence d’origine, et peut passer entièrement sous la licence du logiciel final ;
2. Contamination faible (copyright faible) : le logiciel tiers conserve sa licence quoi qu’il arrive et ne peut être modifié, cependant le logiciel final dans lequel il est intégré n’est pas impacté par sa licence ;
3. Contamination intermédiaire (copyright / copyleft faible) : le logiciel tiers conserve sa licence, mais n’impose pas sa licence au logiciel final qui l’intègre, toutefois les modifications éventuelles du logiciel tiers sont contaminées ;
4. Contamination forte (copyright / copyleft fort) : le logiciel tiers conserve sa licence, qu’il soit modifié ou non, et de plus le logiciel final, dans lequel il est intégré, passe également sous la licence du logiciel tiers.

Un petit schéma qui devrait aider à mieux comprendre :

Les conditions d’applicabilité de la contamination sont variées, elles dépendent généralement de la manière (technique) dont le logiciel tiers est utilisé par le logiciel final, c’est-à-dire le niveau d’intrication des deux logiciels :

• Tout d’abord, si le code source du logiciel tiers (A) est modifié (A’), ces modifications, lorsqu’elles sont autorisées, sont toujours contaminées ;
• Ensuite, si le logiciel final (B) invoque le logiciel tiers (A), éventuellement modifié (A’), comme un programme séparé, le logiciel final n’est sans doute pas contaminé. « Programme séparé » signifie que chaque logiciel s’exécute dans un processus lourd distinct, sans partage d’espace d’adressage, et qu’ils communiquent entre eux par le réseau: API distante, échange de fichiers, échange de messages (ESB, EIA, …), etc. Dans le cas contraire, l’exemple classique étant l’invocation de l’API locale du logiciel tiers (telle qu’une bibliothèque logicielle), le logiciel final sera certainement considéré comme une œuvre dérivée du logiciel source, et donc potentiellement contaminé (selon le niveau de contamination).

Qu’un logiciel soit contaminé est une chose, mais qu’est-ce que cela implique ?

Note : dans cette section, nous nous limiterons aux cas des licences GNU, sinon il y aurait trop de cas spécifiques à aborder.

• Tout d’abord, le logiciel final passe sous la licence du logiciel tiers (ou du moins une licence compatible), et il faut l’indiquer clairement dans le code source, mais cela n’engendre pas nécessairement de problème grave. Exemples : si le logiciel cible est prévu pour être libre également, ou si le logiciel cible n’est pas un logiciel commercialisé mais utilisé uniquement en interne.
• Par contre, si le logiciel final est censé être propriétaire et commercialisé, que ce soit sous forme d’un produit (installé par les clients) ou en mode SaaS (Software as a Service), cela peut impliquer de redistribuer la totalité du code source du logiciel final aux clients/utilisateurs, sur simple demande. Le critère principal est que celui qui réclame le code source doit avoir obtenu une copie de l’exécutable légalement (pour les licences GNU GPL et LGPL), ou simplement avoir accès légalement au service (pour la licence GNU AGPL).
• Pour conclure cette partie sur la contamination : si le logiciel final intègre plusieurs logiciels tiers (typiquement plusieurs bibliothèques logicielles), ayant des licences fortement contaminantes, et incompatibles entre elles, le logiciel final sera dans une impasse juridique : mon conseil est donc d’éviter toute contamination forte, la contamination faible ou intermédiaire posera bien moins de soucis.

Pour savoir si votre projet est concerné, il faut déjà disposer d’un inventaire des logiciels tiers, à jour, avec les licences de chacun, et d’autres métadonnées, puis étudier chaque licence (certaines licences sont connues et déjà étudiées, comme les principales licences libres). Cette démarche fait partie de la démarche de sécurité de l’ISO 27001 (notamment les exigences 5.32, 8.9, 8.28 de l’ISO 27002:2022) et du principe de sécurisation de la chaîne d’approvisionnement en général.

Puisqu’une licence est un contrat, il existe une multitude, presque infinie, d’autres particularités dont nous ne pouvons donner qu’un bref aperçu :

• Rappelons que l’absence de licence n’est pas synonyme de « libre de droits » (cf. section « Introduction à la Propriété Intellectuelle »), ni de gratuité, ni que le logiciel est libre ou open source : il faut chercher cette licence ou en demander une à l’auteur. Par défaut, en cas d’absence de licence c’est un droit d’auteur/copyright strict qui s’applique, personne d’autre ne peut copier, distribuer ou modifier l’œuvre ;
• Certaines licences permettent l’utilisation d’une œuvre, mais interdisent tout usage commercial (au sens d’en tirer profit, et pas seulement financier) ou dans le cadre professionnel (même sans en tirer profit). Un exemple classique sont les logiciels de protection antivirus : souvent une version est gratuite pour les particuliers, mais une licence payante est généralement obligatoire pour les organismes, même s’il s’agit exactement de la même version du logiciel ;
• Une licence est établie pour un pays (en général celui de l’auteur), et peut engendrer des questions juridiques dans d’autres pays, car tous les pays n’ont pas exactement la même législation (on peut citer l’exemple du domaine public, que nous avons évoqué précédemment et qui n’est d’ailleurs pas une licence, nous le rappelons) : il faut donc le vérifier. Toutefois, les licences « standard » (notamment libres) ont un avantage : elles s’appliquent presque partout de la même manière ;
• Il faut aussi savoir qu’une œuvre peut changer de licence au cours du temps, si son auteur le décide. Des exemples existent dans le domaine logiciel, toutefois c’est la nouvelle version du logiciel qui change de licence, pas les anciennes versions. Cependant, si les anciennes versions ne sont plus maintenues, elles n’auront que peu d’intérêt, sauf si elles sont maintenues par d’autres. On peut citer deux exemples typiques dans le domaine logiciel :
  • Blender (logiciel de modélisation 3D), initialement Freeware, puis Shareware, et finalement devenu libre ;
  • SourceForge (le logiciel à la base de la plateforme sourceforge.net) initialement libre est devenu propriétaire sous le nom de TeamForge.

Dans le quatrième article de notre dossier, nous nous intéresserons aux licences logicielles (propriétaires, libres et open source).