Un éditeur de logiciel libre condamné à cause d’une contribution externe

closeCet article a été publié il y a 7 ans 6 mois 16 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

L’affaire est suffisamment rare pour ne pas se sentir interpellé par le sujet. Un éditeur de logiciel libre a été condamné pour une contribution effectuée par un tiers. Complot, mauvaise gestion des contributions, etc, toutes les hypothèses sont possibles. J’ai demandé à Benjamin Jean, spécialiste bien connu des licences de logiciel libre son avis sur le sujet.

L’affaire est dévoilée par Numerama. En cause Appwork, l’éditeur du logiciel JDownloader, un utilitaire bien connu par les accros au téléchargement de contenus divers et variés. Un contributeur extérieur à cette société et qui plus est anonyme aurait inséré dans le logiciel du code destiné à enregistrer en local des vidéos en streaming malgré une protection anticopie.

Cependant ce code a été retiré de la version distribuée au final par l’éditeur. Cela n’a pas suffi pour convaincre le tribunal qui a maintenu la condamnation de l’entreprise éditrice en la jugeant responsable de tous les codes sources déposés sur le projet, quelle que soit la version de ce dernier.

benjamin-jean-inno3J’ai demandé à Benjamin Jean son avis de spécialiste des questions juridiques concernant les logiciels libres. Je vous livre ici ses réponses en précisant qu’il n’a pas lu de traduction de la décision. Il s’agit donc d’une réflexion sur le fond et pas d’une opinion sur les faits précis de cette condamnation.

Philippe : Tout d’abord une telle condamnation est-elle possible en France ?

Benjamin : Il faudrait regarder les motifs de la décision afin d’être certain de comprendre sa portée/ses implications. J’ai l’impression qu’il s’agit de la transposition de EUCD : concernant la protection des mesures techniques de protection et la diffusion/édition/mise à disposition de logiciels permettant de casser des MTP (NDLR : Mesure Technique de Protection).

Sur la base du premier point, et en imaginant que les juges s’appuient sur cette transposition, une décision similaire pourrait bien être possible en France :

  •  L. 335-3-1 CPI : « II.-Est puni de six mois d’emprisonnement et de 30 000 euros d’amende le fait de procurer ou proposer sciemment à autrui, directement ou indirectement, des moyens conçus ou spécialement adaptés pour porter atteinte à une mesure technique efficace telle que définie à l’article L. 331-5, par l’un des procédés suivants :
    1° En fabriquant ou en important une application technologique, un dispositif ou un composant, à des fins autres que la recherche ;
    2° En détenant en vue de la vente, du prêt ou de la location, en offrant à ces mêmes fins ou en mettant à disposition du public sous quelque forme que ce soit une application technologique, un dispositif ou un composant ; »
  • A noter que la tendance est justement à étendre l’utilisation initialement attendue de cette disposition.

Cela dit, rien de très nouveau : de tout temps les intermédiaires qui utilisent, en l’état ou modifiés, des contributions de tiers (c’est le principe de l’open source) assument des responsabilités plus ou moins grandes selon le contexte (en dehors du contrat négocié, celui qui vend un logiciel est soumis à certaines garanties & responsabilités légales que n’aurait pas celui qui n’en fait qu’une diffusion gratuite).

La décision récente contre Fantec (Landgericht Hamburg, 14/06/13) allait aussi dans ce sens : est responsable celui qui vend un matériel qui contiendrait des logiciels développés par un tiers, même si celui-ci s’était engagé à respecter les licences open source des composants utilisés. A leur charge ensuite de se retourner contre les contributeurs/fournisseurs fautifs.

Philippe : Cette action n’est-elle possible que pour des éditeurs de type entreprises ? Cela pourrait-il arriver à The Document Foundation par exemple ?

Benjamin : Cela concerne aussi les projets communautaires organisés en association ou fondation, même si, ne faisant pas de commerce sur la base de ces logiciels, ils peuvent plus facilement prévoir des limitations/exclusions de garantie/responsabilité (obligatoire en matière de vente).

Cela renforce la nécessité d’organiser la contribution à un projet (mais c’est quelque chose qui me semble aller de soi) afin de contrôler qui contribue et, surtout, qui contribue quoi. Je trouve assez étrange qu’une société ne valide pas les contributions apportées sur sa branche principale. L’intérêt de s’appuyer sur une personne morale est justement de ne pas faire reposer la responsabilité sur les contributeurs eux-mêmes.

Philippe : Penses-tu que ce type « d’attaque » puisse être utilisé pour pénaliser les logiciels libres ou open source ?

Benjamin : Je pense qu’il faut relativiser cette décision :

  • Le premier problème est celui des dispositifs de l’EUCD/DADVSI qui sont susceptibles de nombreuses interprétations (rendant pires encore les dispositions initiales) ;
  • Le second est celui attaché à la professionnalisation/industrialisation du libre/Open Source : les projets se retrouvent soumis aux mêmes règles que dans l’édition fermée/propriétaire ;
  • Le dernier est celui de la gestion des contributions : c’est facile pour une société de compter sur les contributions de centaines/milliers de contributeurs, mais cela ne peut se faire sans impliquer une certaine responsabilité en tant qu’éditeur/distributeur du logiciel final. Accessoirement, ça montre l’intérêt pour une entreprise de se reposer sur une communauté organisée sous forme d’association (une diminution du contrôle compensée par une diminution de sa responsabilité).

Philippe : une dernière question, l’utilisation des contributors agreement (on aime ou on n’aime pas…) permet-elle d’éviter ce genre de problème ?

Benjamin : Ce contrat aurait au moins l’avantage d’éviter les contributions anonymes. Le processus est généralement assez formaliste et doit permettre de connaître avec certitude l’identité du contributeur — ce qui permet d’ailleurs parfois de savoir que celui-ci a moins de 16 ans et qu’il est nécessaire d’obtenir aussi l’autorisation de ses parents.

En revanche, l’impact juridique sera faible (quasi inexistant pour un professionnel — justement en transposant la décision rendue contre Fantec –, peut être un peu plus pour un projet communautaire sans but lucratif).

Par ailleurs, le contributors agreement a pour conséquence de renforcer la responsabilité de l’éditeur en termes de garantie d’éviction (qui consiste à garantir qu’on est bien titulaire de droits) puisque la contribution tombera alors directement dans cette garantie (légale) alors qu’elle peut être (au moins partiellement) aménagée contractuellement lorsqu’il en s’agit que d’un composant Open Source utilisé en l’état.

Merci, Benjamin, pour ta contribution à nous éclairer sur cette récente affaire.

Philippe Scoffoni

Je barbote dans la mare informatique depuis 30 ans (premier ordinateur à 16 ans, un ORIC ATMOS) et je travaille à mon compte au travers de ma société Open-DSI. J'accompagne les associations, TPE et PME dans leurs choix et dans la mise en oeuvre se solutions informatiques libres.

3 réponses

  1. rafirafi dit :

    Jugement de loi allemande pour la mise à disposition de la fonctionnalité permettant de récupérer des flux RTMPE « protégés » dans jdownloader.
    Apparemment le code n’était pas vérifié avant inclusion et à intervalle régulier une version de test du logiciel incluant le nouveau code était proposé en téléchargement.
    De là à vouloir utiliser un CLA… ça ne les protégera vraisemblablement pas de ce type de jugement a priori surtout spécifique à l’Allemagne.

  2. Pascal KOTTE dit :

    Cela renforce ma conviction, de créer une Fondation séparée par projet, basée sur le droit Suisse, par exemple Genève, pour rassembler les communautés « open » développeurs et utilisateurs.
    Cela n’empêcherait pas une poursuite juridique, européenne ou autre, mais cela limiterait totalement les risques au seul capital existant et restant dans la fondation. On peut même envisager une simple « association »,
    http://www.kmu.admin.ch/kmu-gruenden/03476/03513/03544/index.html?lang=fr
    Et puis, bon courage pour venir faire les poursuites en Juridiction Suisse… Il faut s’accrocher.
    Je suis rôdé à cet exercice, me contacter au besoin, et je vous recommande aussi
    http://www.free-it-foundation.org/
    Qui est déjà organisée en fondation de droit Suisse, si jamais 🙂

  3. le loi le loi pffff