Anne-Sophie Poggi a commencé sa carrière d’avocat avec le droit de l’informatique. Vingt ans après, elle compte parmi les spécialistes de cette spécialité particulièrement technique. Pratiquant le contentieux, elle a vécu beaucoup d’expertises judiciaires. Elle raconte l’époque faste de l’expertise et explique pourquoi elles sont aujourd’hui beaucoup moins nombreuses, comme les décisions de justice en matière informatique. Elle évoque aussi les problématiques actuelles de l’IT : la question de l’interopérabilité et des interfaces, la protection des formats de fichier au travers de l’arrêt de la CJUE du 2 mai 2012, la consumérisation de l’informatique, le Patriot Act et le cloud computing.
Sylvie Rozenfeld : S’il y a beaucoup d’avocats qui pratiquent le droit de l’internet, rares sont les spécialistes de droit de l’informatique. Et vous en faites partie. Après avoir exercé cette matière aux côtés de Jean-Noël Derriennic au sein d’un cabinet dans lequel vous étiez associés, vous avez créé votre propre structure dédiée aux technologies de l’information. Pourquoi créer votre cabinet ?
Anne-Sophie Poggi : Cela correspond à un moment de la vie d’avocat où il reste encore de nombreuses années à exercer. A cette occasion, je me suis demandée si ma vision du métier et de ma spécialité pour les vingt prochaines années était partagée avec mes associés. J’ai constaté que non. Nous n’avions pas la même façon d’envisager le positionnement de l’IT dans le cabinet. Mes associés pensaient que les clients qui y entraient pour l’IT devaient pouvoir disposer d’une offre globale. Alors que je considère qu’il faut au contraire se concentrer sur l’IT. Selon moi, le droit de l’informatique est mal appréhendé par les services juridiques des entreprises et par les directions des systèmes d’information des sociétés, hors secteur informatique. Aujourd’hui les technologies de l’information sont omniprésentes et les juristes se sentent démunis face à cette spécialité. L’avocat peut être le relais entre la direction juridique et les DSI afin de faciliter le dialogue et d’assurer la protection des intérêts de l’entreprise sans refuser les ouvertures ou opportunités parce qu’on les comprend mal.
Sur votre site, vous vous positionnez autour du concept des 3 I : immatériel, innovation et information. Quel message voulez-vous faire passer ?
L’objectif était d’avoir une offre et une identité claires. Le marketing des cabinets d’avocats n’a d’intérêt que si on se positionne clairement. Il était important que je sois aussi vraie. Avant de créer ce concept IT cube, je me suis demandée ce que représente l’informatique, à l’aune de mes vingt ans d’expérience. Je suis partie de l’information, du système d’information, de la société de l’information, qui regroupe les besoins informatiques de l’entreprise. Elle est indissociable de l’innovation, qui se trouve au centre de la société de l’information. Nous sommes en effet passés de l’AS400 d’IBM, au client/serveur, du minitel à l’internet, du SaaS au cloud computing. Quant à l’immatériel, il représente le patrimoine de l’entreprise dont la donnée se trouve au cœur : il s’agit de la donnée industrielle, la donnée commerciale, etc. Voilà pourquoi IT cube. Je voulais me positionner en tant qu’avocat IT, par opposition à l’IP/IT. L’avocat IT pratique la propriété intellectuelle, mais il s’agit d’une composante de sa spécialité et non d’un domaine à part entière.
Vous avez aussi inscrit sur votre site ce slogan : « Parce que le droit est aujourd’hui agile ». J’imagine qu’il s’agit d’une référence aux méthodologies Agile. Avez-vous déjà pratiqué cette méthodologie, qui semble être la nouvelle tendance contractuelle ?
Oui, il s’agit d’un clin d’œil à la méthode Agile. Ce qui est passionnant avec le droit de l’informatique, c’est que nos clients nous amènent à nous renouveler en permanence. Ils nous forment. J’ai découvert la méthode Agile avec les DSI, dans le cadre d’un club d’utilisateurs, l’Agora des DSI avec lequel je suis partenaire. Au moment où nous abordions cette réflexion, un prestataire est venu me voir pour un contrat d’intégration, comprenant des obligations classiques avec des spécifications et une validation sur la base d’une méthode Meurise traditionnelle. Or, il m’avait prévenue que ce contrat ne correspondait pas à la réalité mais qu’il n’était pas capable de le modifier. Il avait été rédigé par un avocat qui n’avait pas compris les implications du choix de la méthode Agile. Nous avons donc adapté le contrat en conséquence, prenant en compte le caractère itératif de la méthode. Dans ce cas, nous n’allions pas coller au cahier des charges. La recette, quant à elle, allait se faire au fil de l’eau, des différentes versions qui allaient être livrées. Cette manière d’appréhender le développement allait avoir une conséquence sur le prix, d’autant plus qu’il fallait que le client soit très collaboratif mais aussi que les itérations soient gérées par une tête de pont du client - le chef de projet mais pas nécessairement - qui soit en mesure d’arbitrer et de faire des choix très rapidement. Dans ce projet, nous avions des développements itératifs mensuels. Ce sont des versions de livraison qui sont enrichies au fur et à mesure. La méthode Agile implique une grande collaboration du client qu’il faut inscrire dans le contrat. Quant au prix, il est difficile de l’établir sur une base forfaitaire, ce que le client a du mal à comprendre. On part des grosses mailles que le client souhaite et le résultat est probablement un peu différent.
Pourquoi les clients optent-ils pour ces méthodes Agile ?
Elles sont très proches de la programmation internet. Ce sont des outils qui demandent beaucoup de souplesse et de remises en question à des moments du développement de logiciel ou des bases de données. La méthodologie Agile permet de revoir l’architecture technique en cours de route.
Tout cela reste très insécurisant au niveau du prix, de la durée, du contenu. Comment faites-vous pour apporter de la tangibilité ? Cela vous demande de gros efforts de créativité, j’imagine.
En effet. Un contrat informatique aujourd’hui, c’est un contrat d’intégration. Nous sommes donc en contact avec les juristes, les informaticiens. C’est un travail à deux ou trois intervenants pour aboutir à un résultat à la fois souple et sécurisant, pour le prestataire comme pour le client. C’est la raison pour laquelle il convient de décrire le nombre d’itérations, de définir le calendrier et de prévoir une enveloppe à ne pas dépasser. L’agilité est tolérée mais pas l’insécurité.
J’imagine que la gestion d’un contrat Agile n’est pas une situation aisée pour un avocat car vous avez peu de recul, de retour d’expérience et pas davantage de jurisprudence.
Nous travaillons avec l’expérience que nous avons des contrats et de l’informatique. Une pratique de vingt ans dans la matière représente une vraie valeur pour anticiper les risques associés à ces nouvelles formules. Et c’est aussi vrai pour le cloud computing. Les avocats se sont posés beaucoup de questions pour savoir si cette offre posait de nouvelles problématiques juridiques.
Les innovations juridiques proviennent aujourd’hui davantage de l’internet que de l’informatique dont les problématiques semblent stabilisées. Existe-t-il encore des questions irrésolues en droit de l’informatique ?
Oui, bien sûr. Les questions qui se posent tournent autour de l’interopérabilité et des interfaces. Il y a encore très peu de décisions de justice sur ce sujet. Comment interopérer sur des logiciels du marché quand on dispose d’une offre concurrentielle. Par exemple, il y a des ERP qui permettent de faire de la facturation. Des outils offrent par ailleurs des fonctionnalités de dématérialisation des factures. Or, certains éditeurs ne communiquent pas gratuitement les interfaces avec leur ERP alors qu’ils le font lorsque le client acquiert le module de dématérialisation associé à leur offre. Le ticket d’entrée est alors très cher puisque l’utilisateur qui choisit une offre concurrente à l’ERP est obligé de payer l’interface. Les autres produits ne peuvent donc pas être concurrentiels. On s’attend à l’émergence de contentieux.
J’ai un dossier avec une problématique un peu différente qui se résume ainsi : peut-on bénéficier d’une interface pour développer un logiciel concurrent alors qu’il existe d’autres moyens pour créer sa propre interface ? L’arrêt de la CJUE du 2 mai 2012 nous apporte quelques lumières à ce sujet.
Justement, j’aimerais connaître votre opinion sur cet arrêt de la CJUE. Sans ambiguïté, la Cour a réaffirmé que ni les fonctionnalités ni le langage de programmation ou le format de fichiers de données utilisés dans le cadre d’un logiciel pour exploiter certaines de ses fonctions ne constituent une forme d’expression de ce programme. Cet arrêt n’enfonce-t-il pas une porte ouverte ?
Sur les fonctionnalités, la position de la jurisprudence est assez claire, elle l’est un peu moins sur les langages de programmation et encore moins sur les fichiers de données. Même pour le langage de programmation, l’absence de protection était déduite. Désormais, nous avons une position européenne claire.
Cette question posait-elle problème ?
Oui car on se pose toujours la question de la limite de la protection. Jusqu’où l’idée est-elle de libre parcours ? A partir de quel moment passe-t-on de l’idée à l’expression de l’idée ?
Et les formats de fichier ?
C’est un point important notamment pour la réversibilité. Quand dans le cadre d’un contrat d’infogérance ou d’hébergement, les clients souhaitent récupérer leurs fichiers dans un format ou dans un autre, il n’y a pas de contrefaçon, sauf si le format est en lui-même original au titre du droit d’auteur classique, à condition que la formalisation de ce fichier soit originale.
Cela risque d’être difficile.
Pas si on s’appuie sur la documentation d’utilisation. C’est d’ailleurs le sujet du troisième attendu de l’arrêt qui rappelle que le manuel reste protégeable au titre de l’expression de la création intellectuelle. Nous voyons bien qu’il s’agit d’une décision très conforme au droit d’auteur, qui est très intéressante pour en définir les frontières et pour l’harmonisation européenne.
En matière de protection des logiciels, notez-vous de grandes distorsions d’un Etat à l’autre ?
Je note surtout que nous sommes limités pour connaître la position des autres pays. Il faut disposer d’un large réseau de cabinets d’avocats en Europe et leur poser la question. Et de toute façon, cela reste de l’interprétation au cas par cas, qui est complexe à gérer et onéreuse.
Et l’arrêt de la CJUE vous apporte-t-il des éclaircissements sur la décompilation ?
Cette question ne fait pas l’objet d’un attendu mais elle ressort en filigrane. La décision dit clairement qu’on ne peut pas reprocher au concurrent de développer un programme identique ou similaire : tant qu’il n’a pas eu accès au code source du programme ou au code objet, que l’étude qu’il a réalisée ne s’est pas basée sur le code source et qu’il n’y a pas eu décompilation du code objet. Car l’idée est de libre disposition, fondement de la propriété littéraire et artistique, afin de permettre des développements inventifs. La décision rappelle que ce n’est pas par la décompilation qu’il faut y parvenir mais par l’étude de tests. Cela ne dénoue pas complètement la question de la décompilation : dans quel cas peut-on la pratiquer, quid des interfaces ? Les attendus 38, 42 et 44 sont intéressants dans la réflexion d’un cabinet IT. Une décision d’octobre 2010 de la CJUE avait par ailleurs affirmé qu’une interface n’est pas protégeable au titre du droit d’auteur des logiciels mais au titre de la propriété intellectuelle, comme finalement le langage de programmation et les formats de fichiers. La frontière entre l’idée et son expression est bien clarifiée aujourd’hui.
L’expertise joue un rôle central dans les contentieux informatiques. Détermine-t-elle encore toujours l’orientation d’une décision de justice ?
Oui, cela reste vrai. Aujourd’hui l’informatique reste au cœur des problématiques des technologies. Que ce soit l’internet, le cloud computing, les logiciels libres, même la mobilité, ces technologies reposent sur la programmation.
L’expertise judiciaire a vécu différentes phases. Elle a connu une vie intense entre les années 1990 et 2000. Nous avions des experts stars, des coûts très importants. Puis, les compagnies d’assurances ont de plus en plus rechigné à payer des montants considérables, les clients trouvaient que le « rapport » investissement / expertise judiciaire au regard des indemnités dévolues par le juge n’était pas à la hauteur. En interne, du côté client comme du côté prestataire, cela représentait une consommation énorme de ressources humaines sur des projets « pathologiques » qui ne permettaient pas de se concentrer sur le business. Que ce soit les compagnies d’assurances, les cabinets d’avocats, les clients utilisateurs comme les prestataires ou les éditeurs, tous ont considéré que l’expertise judiciaire devenait trop onéreuse.
Sauf peut-être les experts judiciaires...
Peut-être. En tout cas, on a noté un net frein dans le recours à l’expertise judiciaire. Sans aucune concertation. Le marché vit son rythme. Désormais les compagnies d’assurances, les donneurs d’ordre donc, demandent des solutions moins onéreuses. Une volonté est donc née de se tourner vers des solutions alternatives de résolution des conflits. Depuis quelques années, les tribunaux de commerce, notamment à Paris, demandent de passer par une médiation quasiment systématiquement quand les sociétés en litige sont de taille relativement importante. Même si la médiation n’est pas obligatoire, quand le juge demande d’essayer de s’entendre, on tente de trouver une solution.
Pour la médiation, il faut que le dialogue reste encore possible, n’est-ce pas ?
Il ne faut pas être en position frontale. Mais il revient aussi aux avocats de dépassionner les positions. Si un avocat est aussi extrémiste que son client alors, effectivement, cela mène forcément à l’expertise judiciaire et c’est coûteux pour tout le monde. Très généralement, les avocats qui ont une expérience dans le domaine sont raisonnables. Pour maintenir une relation pérenne avec un client, il est nécessaire de prendre en compte l’intérêt pécuniaire du client.
Il y a donc moins d’expertises judiciaires qu’avant ?
C’est certain. D’ailleurs Expertises a dû le remarquer car il y a beaucoup moins de décisions de justice.
Je pensais que la baisse du nombre de décisions s’expliquait par le recours à la transaction mais aussi par la baisse des conflits.
Les problématiques continuent d’exister ainsi que les chantiers pathologiques. On note toujours autant de difficultés d’exécution des contrats. Il existe une vraie volonté d’aboutir à des solutions, qui ne soient pas nécessairement judiciaires, même si on a aussi beaucoup de pré-contentieux qui passent par des systèmes alternatifs de résolution des litiges. On note de plus en plus dans les contrats l’existence de clauses prévoyant, en cas de conflit, le recours à des expertises techniques intermédiaires, avec des experts désignés préalablement.
Les nombreuses expertises liées à l’ERP ont également participé à cette prise de conscience. Il y avait beaucoup de remises en cause dans les contrats d’intégration. Le produit n’était pas toujours conforme aux besoins ou les clients se rendaient compte que l’intégration prendrait trop de temps, que c’était trop cher, que sa mise en place impliquait une organisation trop éloignée de celle de la société, une trop grande standardisation, des dérapages, etc. L’intégration des ERP a donc généré beaucoup de contentieux. Aujourd’hui, le marché a atteint une certaine maturité. Les acteurs veulent éviter l’expertise judiciaire jugée trop coûteuse. Les modes alternatifs de résolution des litiges se sont développés et les experts judiciaires se sont tournés vers eux pour proposer un autre rôle. D’autres experts ont par ailleurs évolué vers la maîtrise d’ouvrage. Toutes ces raisons expliquent que nous ayons moins d’expertises judiciaires et moins d’expertises retentissantes.
Existe-t-il des décisions judiciaires qui ont été prises sans le recours à l’expertise judiciaire ?
Il y en a quelques-unes. L’avocat décide de traiter le litige juridiquement, en évitant le débat technique. C’est une stratégie dangereuse car le juge n’est pas toujours très à l’aise de ne pas disposer d’explications techniques avant de prendre une décision juridique.
Même si les avocats font des efforts de pédagogie ?
Même. Les magistrats ont peur d’être manipulés. Aussi la partie qui prend la décision de ne pas avoir recours à l’expertise peut être manipulée par son adversaire. Je pense à une décision dans laquelle le client avait refusé l’expertise judiciaire, pensant que le dossier était très juridique. Et en fait, n’ayant pas démontré la réalité du grief qu’il exposait, le juge a considéré qu’il n’était pas légitime dans sa résiliation. Il faut être prudent.
Vous avez évoqué une tendance à la consumérisation de l’informatique. Qu’est-ce que vous entendez par là ?
Nous nous rendons compte que les utilisateurs sont des consommateurs de l’informatique que ce soit dans l’entreprise ou pour un usage privé. La consumérisation est le mélange des usages personnels et professionnels des outils dans le monde de l’entreprise et sur les réseaux sociaux. Un utilisateur va « consommer » beaucoup de temps et d’argent pour acheter son équipement : smartphone, tablette et ordinateur portable.
Un salarié va apporter dans l’entreprise son propre matériel. C’est plus particulièrement le cas de la génération Y. Ces jeunes savent très bien utiliser les outils, internet, Facebook. Les DSI sont parfois dépassés par cette nouvelle génération, par les nouveaux usages de ces internautes. Doit-on lutter contre ces pratiques et les interdire dans les chartes informatiques, ou au contraire faut-il accompagner et considérer cette tendance comme un potentiel extraordinaire pour l’entreprise, etc. ?
Se pose donc la question de l’utilisation par les salariés des matériels qu’ils apportent dans l’entreprise, les BYOD, « Bring your own device ». Comment gère-t-on l’introduction des BYOD ?
Des réflexions existent dans les entreprises pour mettre en place un cadre afin d’autoriser les salariés à venir travailler avec leur propre matériel, à télécharger des contenus en passant par le réseau de l’entreprise, etc. Se posent en effet des questions de droit du travail et de calcul du temps du travail. Il faut préciser dans le contrat de travail que le salarié peut apporter ses outils. Est-ce un bien qu’il faut déclarer à l’Urssaf en tant qu’avantage en nature ? Dans les sociétés d’informatique, il convient de s’interroger sur le droit applicable aux créations réalisées avec ces outils. N’oublions pas que lorsque l’on développe un programme à partir du matériel de l’entreprise, les droits sont dévolus à l’employeur.
Mais le code de la propriété intellectuelle envisage deux cas alternatifs de dévolution des droits à l’employeur : quand le logiciel est développé par un salarié dans le cadre de ses missions ou sur instruction de l’employeur.
Bien sûr mais la jurisprudence a accordé une grande importance aux outils. C’est un moyen de déterminer si on se trouve dans le cadre du travail ou non. Or, aujourd’hui, l’outil n’est plus un moyen permettant de tracer la frontière entre ce qui relève de l’entreprise et du personnel dans le cadre du temps de travail. En interne, il s’agit de définir les données à protéger ou à laisser à disposition, les conditions d’utilisation de ces outils, etc. C’est une réelle remise en cause de la gouvernance de « la donnée » : qu’elles soient autorisées à transiter sur le matériel du salarié, à être téléchargées, etc.
Vous parliez aussi d’opportunité ?
Oui, il faut aussi laisser une certaine liberté car ces nouveaux usages sont une source de richesse pour l’entreprise. Cela apporte de nouveaux modèles d’organisation qui imposent d’autres manières de travailler. Par ailleurs, il faut pouvoir garder ces salariés issus de cette génération très mobile. Le revers de la médaille des entreprises qui mettent en place des plans sociaux et qui délocalisent le travail est la difficulté à fidéliser les nouveaux talents. Il n’est pas question d’interdire à cette génération d’utiliser ses propres outils, qui peuvent être plus performants que ceux de l’entreprise. Elle ne se soumettra pas à ce genre d’instruction et s’en ira.
Vous, qui avez une grande pratique des contentieux, en avez-vous connu en matière de cloud computing ?
Non, mais je croise des problématiques liées au contenu des licences SaaS, qui, auparavant, étaient de type licences propriétaires et qui n’ont pas été modifiées en profondeur. Le contrat n’a pas été adapté à l’offre nouvelle. On constate l’existence de licences SaaS qui ne sont pas conformes à l’offre commerciale qui prévoit par exemple un paiement sur la base de telle utilisation, d’un utilisateur et d’une connexion. Or, à la lecture de la licence, on s’aperçoit que le prix n’est pas assis sur ces critères. Il est écrit qu’en cas de modification du périmètre, le client devra payer. Mais que veut-on dire par modification du périmètre, quand se rend-on compte qu’il a changé ? Il y a une insécurité juridique importante. Le client par ailleurs ne sait pas quand il franchit la ligne.
Je note par ailleurs l’émergence de questions liées au Patriot Act. Cette législation est mal connue et l’information est difficile à trouver. Les procédures ne sont pas publiées.
Quel problème pose le Patriot Act par rapport au cloud computing ?
La CIA est autorisée à demander des données à une société prestataire américaine sans que celle-ci en avertisse son client, dans des cas bien précis de terrorisme, d’atteinte à la sûreté de l’Etat. La société utilisatrice n’est pas avertie que l’on va accéder à ses données et le prestataire dispose d’une immunité totale. Il ne pourra pas être poursuivi du fait de la communication des informations, même confidentielles, de son client. Pourtant, il est lié contractuellement par une obligation de confidentialité.
Cela s’applique-t-il aux données stockées aux Etats-Unis ?
Cette loi s’impose aux sociétés américaines.
Il faut donc éviter d’avoir recours à un prestataire américain.
En fait, il y a une vraie inconnue quant à l’application de cette loi. Et c’est l’un des grands problèmes que pose le cloud computing : on n’est jamais sûr que les données ont été supprimées après avoir transité par le serveur. Pour parer à ce risque, des prestataires américains mettent leur ferme de données sur des territoires européens. Mais ce n’est pas suffisant. Le critère d’application du Patriot Act n’est pas la localisation des données, mais la nationalité américaine du prestataire.
Cela dessert-il les sociétés américaines ?
Non, car ce problème n’est pas connu. Le risque est mal identifié et pas anticipé. Sauf peut-être par les banques qui sont très réticentes au cloud computing, notamment pour cette raison. Ou alors elles vont opter pour un cloud privé. Se posent aussi beaucoup de questions liées aux données à caractère personnel. Dans ce cas, on constate une vraie méconnaissance du sujet par les opérateurs d’origine anglo-saxonne.
Le client n’a-t-il pas les moyens d’imposer que les données soient localisées dans un pays ayant un niveau adéquat de protection ?
Il est libre d’accepter ou non l’offre. Mais parfois elles sont tellement attractives financièrement. On commence à bien identifier les risques et les enjeux du cloud. Mais les problèmes ne sont pas forcément résolus dans les contrats par rapport aux données personnelles, à la sécurité, à la réversibilité, à la loi applicable, aux juridictions compétentes, etc.
Est-ce parce qu’on n’a pas les moyens d’imposer des garanties ?
Lorsque les acteurs sont français, cela ne pose guère de problème. Après c’est une question d’arbitrage. Des prestataires, dans le consulting, accompagnent les clients dans la décision car les risques juridiques et techniques associés ont été identifiés.
Le mot de la fin ?
L’IT est, selon moi, une matière très riche et très pragmatique. Elle va subir de grandes transformations dans les années à venir en raison de son caractère de plus en plus européen voire international. On ne peut pas laisser aux professionnels le choix des solutions et de l’homogénéisation des comportements. De nouvelles lois vont émerger, notamment sur la protection de la donnée car cela correspond à un besoin du marché. On n’en a pas fini avec le droit de l’informatique.
Propos recueillis par Sylvie Rozenfeld