L’auteur d’un logiciel est bien fondé à mettre en place des dispositifs techniques destinés à le protéger contre la reproduction non autorisée.
Toutefois, l’installation d’un verrou informatique afin de protéger ses données en accès auprès de ses clients, n’est pas un acte juridiquement neutre.L’éditeur du logiciel peut être condamné sur le terrain du droit commun de la responsabilité lorsque le “verrou informatique” n’a pas pour objet ni pour effet de protéger un logiciel de la reproduction mais d’empêcher les extractions de données de la base constituée par le client final à l’aide dudit logiciel.
Affaire Equasens
Dans cette affaire, la juridiction a retenu que la société Equasens a abusé de son accès à un logiciel de gestion à portail intégré d’un réseau de pharmaciens afin d’y installer un verrou informatique pour protéger sa base de données.
Grâce à un accès au réseau informatique des pharmaciens, la société Equasens a mis en œuvre un dispositif informatique ayant pour effet, non pas d’assurer la maintenance du logiciel de gestion ou le bon fonctionnement du service, mais d’empêcher l’accès de la base de données au logiciel Santé secure de la société Apodis.
Droits du producteur de base de données
La directive 96/9 du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données définit la base de données comme “un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique et individuellement accessibles par des moyens électroniques ou d’une autre manière” (article 1) et son fabricant comme “la personne qui prend l’initiative et assume le risque d’effectuer les investissements” (considérant 41).
S’ils remplissent la condition d’originalité, le choix ou la disposition des éléments de la base de données, bénéficient de la protection par le droit d’auteur (CJUE, 1er mars 2012, C-604/10, Football dataco), étant précisé que “La protection des bases de données par le droit d’auteur prévue par la présente directive ne couvre pas leur contenu et elle est sans préjudice des droits subsistant sur ledit contenu.” (article 3 de la directive).
S’agissant du contenu de la base, la directive 96/9 précitée instaure, au profit du fabricant (devenu producteur dans la transposition en droit français) d’une base de données, un droit sui generis d’empêcher l’extraction et/ou la réutilisation non autorisée de son contenu. L’objet de ce droit est “d’assurer la protection d’un investissement dans l’obtention, la vérification ou la présentation du contenu d’une base de données pour la durée limitée du droit ; que cet investissement peut consister dans la mise en œuvre de moyens financiers et/ou d’emploi du temps, d’efforts et d’énergie” (considérant 39 de la directive).Les dispositions correspondantes sont transposées en droit interne notamment par :
- l’article 341-1 du code de la propriété intellectuelle, qui prévoit : “Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain substantiel” et
- l’article L. 342-1 qui dispose que le producteur de base de données a le droit d’interdire notamment : “l’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit.
Cette protection est indépendante et s’exerce sans préjudice de celles résultant du droit d’auteur ou d’un autre droit sur la base de données ou un de ses éléments constitutifs.”
Les arrêts de la CJCE retiennent la qualité de producteur/fabricant à ceux qui, ayant acquis une base de données constituée par des tiers, justifient de nouveaux investissements substantiels pour la constitution, la vérification et la présentation d’une base de données.
Licéité des mesures techniques de protection
La directive 2009/24 du Parlement européen et du Conseil du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur, modifiant la directive 91/250 du 14 mai 1991, étend à ceux-ci la protection par le droit d’auteur s’ils sont originaux (article 1), interdisant “la reproduction, la traduction, l’adaptation ou la transformation non autorisée de la forme du code sous lequel une copie de programme d’ordinateur a été fournie” (considérant 15 et article 4). Elle définit la notion d’interopérabilité (considérant 10) et prévoit une exception aux droits exclusifs de l’auteur d’interdire la reproduction à celle nécessaire à l’utilisation du programme par son acquéreur légitime (article 5, 1, transposé par l’article L.122-6-1 du code de la propriété intellectuelle), précisant que “L’un des objectifs de cette exception est de permettre l’interconnexion de tous les éléments d’un système informatique, y compris ceux de fabricants différents, afin qu’ils puissent fonctionner ensemble” (considérant 15).
L’article 7, 1, c), de ce texte prévoit que les Etats-membres prennent des mesures appropriées à l’encontre des personnes qui accomplissent notamment l’acte de “mettre en circulation ou détenir à des fins commerciales tout moyen ayant pour seul but de faciliter la suppression non autorisée ou la neutralisation de tout dispositif technique éventuellement mis en place pour protéger un programme d’ordinateur” et sa transposition a été faite par l’article L.122-6-2 du code de la propriété intellectuelle.
L’auteur d’un logiciel est bien fondé à mettre en place des dispositifs techniques destinés à le protéger contre la reproduction non autorisée. Or, au cas présent, la société Equasens n’explique pas en quoi le logiciel Santé secure réaliserait la reproduction, la traduction, l’adaptation ou la transformation non autorisée de la forme du code du LGPI, et ne forme pas de demande en contrefaçon du logiciel.
De plus, le “verrou informatique” qu’il lui est reproché d’avoir posé n’avait pas pour objet ni pour effet de protéger son logiciel de la reproduction mais d’empêcher les extractions de données de la base constituée par l’officine à l’aide de ce logiciel. Il ne constitue donc pas un dispositif technique mis en place pour protéger un programme d’ordinateur au sens de l’article L.122-6-2 du CPI.
L’objectif d’interopérabilité des logiciels
En toute hypothèse, l’objectif d’interopérabilité des logiciels rappelé au point 25 supra peut être invoqué par toute personne autorisée et non le seul licencié du logiciel.
En effet, la Cour de cassation, au visa de la directive n° 91/250/CEE du 14 mai 1991 a approuvé une cour d’appel d’avoir jugé que “les opérations de migrations de données, réalisées par M. X. et la société Alphapi, habilités à cette fin par les huissiers de justice titulaires de la licence d’utilisation du logiciel “H. Open”, pour récupérer les fichiers de ce programme, s’inscrivaient dans les strictes nécessités de l’interopérabilité autorisée par l’article L. 122-6-1, IV du code de la propriété intellectuelle qui prévoit la nullité de toute stipulation contraire” (1re Civ. 20 octobre 2011, pourvoi n°10-14.069, publié)
Dans le cadre de l’exécution du contrat de cession d’usage du LGPI, la société Equasens a accès à distance au système informatique de l’officine aux fins du “bon fonctionnement du service” (article 6 des conditions générales).
Il n’est pas discuté que, grâce à cet accès, la société Equasens a mis en œuvre, en octobre 2018, un dispositif informatique ayant pour effet, non pas d’assurer la maintenance du LGPI ou le bon fonctionnement du service, mais d’empêcher l’accès de la base de données au logiciel Santé secure de la société Apodis.Il n’est pas plus contesté qu’elle a mis en œuvre cette mesure sans aucune démarche préalable auprès de l’officine.
La matérialité du fait reproché en tant que faute civile est donc établi.
TRIBUNAL
JUDICIAIRE
DE PARIS
■
3ème chambre
2ème section
N° RG 22/03126
N° Portalis 352J-W-B7G-CWMFW
N° MINUTE :
Assignation du :
29 Novembre 2021
JUGEMENT
rendu le 22 Décembre 2023
DEMANDERESSE
S.A.S. APODIS
[Adresse 1]
[Localité 2]
représentée par Maître Nicole DELAY PEUCH, avocat au barreau de PARIS, avocat postulant, vestiaire #A0377
et par Maître Quentin MOUTIER de la SELARL AROBASE, avocat au barreau de TOURS, avocat plaidant,
DÉFENDERESSE
S.A. EQUASENS (anciennement PHARMAGEST INTERACTIVE)
[Adresse 3]
[Localité 4]
représentée par Maître Virginie DOMAIN, avocat au barreau de PARIS, avocat postulant, vestiaire #C2440
et par Maître Anne WILLIE, avocat au barreau de PARIS, avocat plaidant.
Copies délivrées le :
– Maître DELAYPEUCH #A377 (exécutoire)
-Maître DOMAIN #C2440 (ccc)
Décision du 22 Décembre 2023
3ème chambre 2ème section
N° RG 22/03126 – N° Portalis 352J-W-B7G-CWMFW
COMPOSITION DU TRIBUNAL
Madame Irène BENAC, Vice-Présidente
Madame Anne BOUTRON, Vice-présidente
Monsieur Arthur COURILLON-HAVY, Juge
assistés de Monsieur Quentin CURABET, Greffier
DEBATS
A l’audience du 05 Octobre 2023 tenue en audience publique devant Irène BENAC et Arthur COURILLON-HAVY, juges rapporteurs, qui sans opposition des avocats ont tenu seuls l’audience, et après avoir entendu les conseils des parties, en ont rendu compte au Tribunal, conformément aux dispositions de l’article 805 du code de procédure civile.
Avis a été donné aux parties que le jugement serait rendu par mise à disposition au greffe la 15 Décembre 2023 puis prorogé au 22 Décembre 2023.
JUGEMENT
Prononcé publiquement par mise à disposition au greffe
Contradictoire
En premier ressort
EXPOSÉ DES FAITS ET DE LA PROCÉDURE
La SA Pharmagest interactive, dont la dénomination sociale est devenue Equasens en mai 2022, concède aux pharmaciens qui contractent avec elle l’usage d’un logiciel de gestion d’officine dénommé “logiciel de gestion à portail intégré” (ci-après LGPI) permettant d’accéder à une ou plusieurs bases de données et à un applicatif de gestion des stocks et d’effectuer des commandes de produits pharmaceutiques et de parapharmacie.Ce LGPI est installé dans le système informatique de l’officine, qui y accède à l’aide d’un mot de passe confidentiel, et traite les données saisies en son sein.
La société Apodis offre également des solutions logicielles à destination des professionnels de santé, pharmaciens et laboratoires, notamment une application informatique appelée “Apodis pharma” de gestion commerciale qui procure aux officines des tableaux de bord et outils de suivi des ventes et des stocks ainsi que des outils de prévention des ruptures de d’approvisionnement. L’application Apodis pharma est alimentée avec le consentement du pharmacien par un logiciel nommé “Santé secure” qui extrait les données de vente du système informatique.
Par constat de commissaire de justice des 11 et 12 octobre 2018, la société Apodis a fait constater que la société Pharmagest interactive avait installé un dispositif informatique empêchant le logiciel Santé secure de se connecter au serveur de données d’une pharmacie de [Localité 5], équipée à la fois du LGPI et du logiciel Apodis Pharma.A la suite des échanges entre les parties, la société Pharmagest a proposé à la société Apodis de conclure un “contrat de coopération technique et commerciale” lui donnant accès aux données de toutes les pharmacies équipées du logiciel LGPI via un connecteur, moyennant une licence et une redevance de connexion.
Par acte du 12 mars 2019, la société Apodis a fait assigner la société Pharmagest interactive devant le tribunal de commerce de Tours pour lui faire interdire tout nouveau blocage du logiciel Santé secure et réparer les conséquences dommageables de celui du 10 octobre 2018.Par jugement du 29 octobre 2021, le tribunal de commerce de Tours s’est déclaré incompétent au profit du tribunal judiciaire de Paris, la société Pharmagest interactive ayant soulevé des moyens tirés de ses droits de propriété intellectuelle.
Par constat d’huissier de justice du 23 septembre 2020, la société Apodis a fait constater la chute du nombre de connexions à son logiciel Santé secure dans la semaine du 21 octobre 2019.
Dans ses dernières conclusions signifiées le 7 novembre 2023, la société Apodis demande au tribunal de :- interdire à la société Equasens tout acte ayant pour objet d’entraver ou de fausser le transfert de données traitées par une officine vers la société Apodis, lorsque ladite officine y a consenti, sous astreinte, de 100.000 euros par infraction constatée à compter de la signification du jugement à intervenir ;
– condamner la société Equasens à lui payer la somme de 280.000 euros en réparation des préjudices résultant de la voie de fait commise en octobre 2018 (trouble commercial, atteinte à son image, désorganisation et préjudice moral) ;
– ordonner la publication du jugement;
– condamner la société Equasens aux dépens et à lui payer la somme 44.000 euros en application de l’article 700 du code de procédure civile.
Elle fait valoir que :- la société Equasens a commis une faute si grossière qu’elle constitue une voie de fait en lui interdisant par des moyens illicites l’accès aux données des pharmacies utilisant son LGPI au lieu de recourir aux voies de droit qui lui étaient ouvertes (cf CA Paris 24 septembre 2015, 2014/17586) ;
– le blocage du site est dirigé exclusivement contre elle et est illicite en ce qu’il nécessite l’intrusion sur le système automatisé de données des pharmaciens à des fins autres que celles prévues aux contrats avec les officines, ce qui constitue le délit d’entrave au fonctionnement de ce système prévu à l’article 323-2 du code pénal ;
– ce faisant, la société Equasens ne pouvait se prévaloir d’aucun motif légitime en ce que la certification LAD est sans lien avec la possibilité d’une extraction par Santé secure, qui fonctionne en lecture seule et ne peut altérer les données tandis que la qualité de responsable du traitement au sens du RGPD revient aux pharmaciens eux-mêmes, qui ont donné leur accord à l’extraction de leurs données ;
– ces données ne sont pas des données de santé mais des informations commerciales et des statistiques de vente et la société Equasens n’a aucune objection à les délivrer contre paiement et cette seule motivation est à l’origine du blocage et non des problèmes de sécurité prétendument démontrés par un rapport d’analyse privé réalisé en 2020, deux ans plus tard ;
– la volonté de nuire par cette mesure de blocage est évidente ;
– la société Equasens n’a aucun droit de propriété intellectuelle sur les données, ni la structure de la base de données ;
– en toute hypothèse, il n’y aurait aucune contrefaçon puisqu’elle ne fait qu’extraire des données brutes de la base, informations non protégeables par le droit d’auteur et qui n’appartiennent pas à la société Equasens, sans reproduire de quelque façon que ce soit la structure de la base ou le logiciel et, encore le ferait-elle, le principe d’interopérabilité, admis par la Cour de cassation (1re Civ. 20 octobre 2011, pourvoi n°10-14.069), le lui permettrait ;
– le droit des producteurs de bases de données consacré par les articles L. 341-1 et suivants du code de la propriété intellectuelle ne bénéficie pas à la société Equasens qui n’héberge ni ne stocke les données et ne les fournit pas plus, n’étant qu’éditeur du LGPI et n’apportant aucune plus-value auxdites données ;
– seuls les pharmaciens pourraient prétendre être de tels producteurs de bases de données ;
– les autres moyens d’extraction invoqués par la société Equasens (CSV et Dump) ne permettent pas l’interopérabilité entre le LGPI et les autres applications des officines ;
– son modèle économique repose sur sa capacité à extraire les données et son préjudice consiste dans le trouble commercial qu’elle subit pour assurer ses services, l’atteinte à son image du fait des défaillances techniques consécutives, les coûts de recherche des causes de dysfonctionnement de Santé secure dans 552 pharmacies et la perte des données de certaines d’entre elles qui n’utilisent plus l’application.
Dans ses dernières conclusions signifiées le 14 décembre 2022, la société Equasens demande au tribunal de débouter la société Apodis de l’ensemble de ses demandes et de la condamner aux dépens et à lui payer la somme de 30.000 euros au titre de l’article 700 du code de procédure civile.
Elle fait valoir que :- le LGPI est une création intellectuelle au sens de la directive 2009/24 du 23 avril 2009 sur la protection des programmes d’ordinateurs et ce texte l’autorise à mettre en place un dispositif de sécurisation empêchant tout accès non autorisé au LGPI et interdit à la société Apodis (article 7, c, et article L. 122-6-2 du code de la propriété intellectuelle) de le neutraliser ;
– la base de données intégrée au LGPI résulte d’un investissement substantiel de sa part, au sens retenu par la CJCE par quatre arrêts du 9 novembre 2004, même si elle n’est pas propriétaire des données, de sorte que la récupération de données dans la base est une extraction illicite (Com., 5 octobre 2022, pourvoi n°21-16.307) ;
– la société Apodis cherche à accéder avec son logiciel hacker Santé secure à l’ensemble des tables de la base de données et copier non pas les données brutes mais les données structurées par la base ;
– ses droits de propriété intellectuelle sur le LGPI la rendent légitime à mettre en œuvre des mesures techniques de protection de celui-ci tandis que le société Equasens est mal fondée à les contourner ;
– la société Apodis est mal fondée à invoquer l’interopérabilité dès lors que cette obligation ne porte que sur les logiciels et non les bases de données, qu’elle ne doit pas porter atteinte à l’exploitation normale du logiciel et que seule la personne ayant le droit d’utiliser le logiciel en question peut s’en prévaloir ;
– le règlement 2018/1807 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne n’est pas applicable ici ;
– l’interopérabilité des données de santé envisagée par l’article 1470-5 du code de la santé publique ne concerne que les logiciels des professionnels de santé et seulement pour coordonner les parcours de soins ;
– elle est responsable civilement et pénalement de la sécurité de son LGPI, dont la société Apodis extrait des données personnelles sensibles (identification du patient, n° INSEE, médecin traitant, produits commandés) et les exporte, à l’égard des officines cocontractantes et du public ;
– le logiciel Santé secure ne fonctionne pas en lecture seule et menace l’intégrité des données et du LGPI ;
– la société Apodis a déjà connu un incident de sécurité majeur en octobre 2020 ;
– le refus qu’elle oppose à l’accès de la société Apodis est parfaitement justifié, sachant qu’elle développe parallèlement des extracteurs sûrs pour un coût raisonnable.
Elle n’a pas conclu sur les demandes de réparation.
L’ordonnance de clôture a été rendue le 2 février 2023.
MOTIVATION
I . Sur la faute
L’article 1240 du code civil dispose : “Tout fait quelconque de l’homme qui cause à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer.”
L’article 323-2 du code pénal dispose : “Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150.000 € d’amende.”
Les conditions générales du contrat de cession d’usage du LGPI liant les officines à la société Equasens prévoient “L’utilisateur autorise en outre expressément Pharmagest interactive à collecter certaines données traitées par le système informatique de l’officine de la pharmacie. Ces données, qui seront stockées sur support informatique par Pharmagest interactive à des fins uniquement statistiques et ne seront croisées à aucun autre fichier, consistent en des renseignements sur les produits vendus par l’officine, le volume, le type de transaction, le prix de vente et d’achat.”
Il en résulte que le pharmacien cocontractant n’octroie aucune exclusivité à la société Equasens : il conserve la propriété des données et la faculté d’en disposer, ainsi qu’il l’a fait en contractant avec la société Apodis pour obtenir d’autres services que ceux procurés par le LGPI.
Dans le cadre de l’exécution du contrat de cession d’usage du LGPI, la société Equasens a accès à distance au système informatique de l’officine aux fins du “bon fonctionnement du service” (article 6 des conditions générales).
Il n’est pas discuté que, grâce à cet accès, la société Equasens a mis en œuvre, en octobre 2018, un dispositif informatique ayant pour effet, non pas d’assurer la maintenance du LGPI ou le bon fonctionnement du service, mais d’empêcher l’accès de la base de données au logiciel Santé secure de la société Apodis.Il n’est pas plus contesté qu’elle a mis en œuvre cette mesure sans aucune démarche préalable auprès de l’officine.
La matérialité du fait reproché en tant que faute civile est donc établi.
En revanche, il n’est pas établi que ce dispositif aurait provoqué des dysfonctionnements du système de traitement automatisé de données de la société Apodis, au sens de l’article 323-2 du code pénal.
II . Sur les faits justificatifs opposés par la société Equasens
1 . Sur le droit sui generis du producteur de base de données de s’opposer à des extractions
La directive 96/9 du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données définit la base de données comme “un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique et individuellement accessibles par des moyens électroniques ou d’une autre manière” (article 1) et son fabricant comme “la personne qui prend l’initiative et assume le risque d’effectuer les investissements” (considérant 41).
S’ils remplissent la condition d’originalité, le choix ou la disposition des éléments de la base de données, bénéficient de la protection par le droit d’auteur (CJUE, 1er mars 2012, C-604/10, Football dataco), étant précisé que “La protection des bases de données par le droit d’auteur prévue par la présente directive ne couvre pas leur contenu et elle est sans préjudice des droits subsistant sur ledit contenu.” (article 3 de la directive).
S’agissant du contenu de la base, la directive 96/9 précitée instaure, au profit du fabricant (devenu producteur dans la transposition en droit français) d’une base de données, un droit sui generis d’empêcher l’extraction et/ou la réutilisation non autorisée de son contenu. L’objet de ce droit est “d’assurer la protection d’un investissement dans l’obtention, la vérification ou la présentation du contenu d’une base de données pour la durée limitée du droit ; que cet investissement peut consister dans la mise en œuvre de moyens financiers et/ou d’emploi du temps, d’efforts et d’énergie” (considérant 39 de la directive).Les dispositions correspondantes sont transposées en droit interne notamment par :
– l’article 341-1 du code de la propriété intellectuelle, qui prévoit : “Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain substantiel” et
– l’article L. 342-1 qui dispose que le producteur de base de données a le droit d’interdire notamment : “l’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit.
Cette protection est indépendante et s’exerce sans préjudice de celles résultant du droit d’auteur ou d’un autre droit sur la base de données ou un de ses éléments constitutifs.”
Les quatre arrêts de la CJCE et celui de la Cour de cassation que cite la société Equasens (point 9) retiennent la qualité de producteur/fabricant à ceux qui, ayant acquis une base de données constituée par des tiers, justifient de nouveaux investissements substantiels pour la constitution, la vérification et la présentation d’une base de données.
La société Equasens soutient avoir réalisé des investissements conséquents pour la création – ici la structuration et la mise en relation des très nombreuses tables adaptées aux besoins des officines – et la maintenance de la base de données Oracle incluse dans le LGPI, mais elle n’allègue ni ne démontre en avoir réalisé pour la constitution ni le renouvellement de son contenu. Au contraire, la collecte et le stockage sont exclusivement réalisés par chaque officine et les conditions générales du contrat de cession d’usage versées aux dossier ne font mention d’aucune prestation de vérification par la société Equasens.
Celle-ci n’a pas la qualité de fabricant/producteur de la base de données.
La société Equasens est donc éventuellement titulaire de droits d’auteur sur la structure de la base de données, à supposer que le choix et la disposition des données soient originaux, mais elle est mal fondée à opposer à la société Apodis le droit sui generis du fabricant/producteur de base de données d’interdire l’extraction de données de la base.
2 . Sur la licéité des mesures techniques de protection
La directive 2009/24 du Parlement européen et du Conseil du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur, modifiant la directive 91/250 du 14 mai 1991, étend à ceux-ci la protection par le droit d’auteur s’ils sont originaux (article 1), interdisant “la reproduction, la traduction, l’adaptation ou la transformation non autorisée de la forme du code sous lequel une copie de programme d’ordinateur a été fournie” (considérant 15 et article 4). Elle définit la notion d’interopérabilité (considérant 10) et prévoit une exception aux droits exclusifs de l’auteur d’interdire la reproduction à celle nécessaire à l’utilisation du programme par son acquéreur légitime (article 5, 1, transposé par l’article L.122-6-1 du code de la propriété intellectuelle), précisant que “L’un des objectifs de cette exception est de permettre l’interconnexion de tous les éléments d’un système informatique, y compris ceux de fabricants différents, afin qu’ils puissent fonctionner ensemble” (considérant 15).
L’article 7, 1, c), de ce texte prévoit que les Etats-membres prennent des mesures appropriées à l’encontre des personnes qui accomplissent notamment l’acte de “mettre en circulation ou détenir à des fins commerciales tout moyen ayant pour seul but de faciliter la suppression non autorisée ou la neutralisation de tout dispositif technique éventuellement mis en place pour protéger un programme d’ordinateur” et sa transposition a été faite par l’article L.122-6-2 du code de la propriété intellectuelle.
Il s’évince de ces textes que l’auteur d’un logiciel est bien fondé à mettre en place des dispositifs techniques destinés à le protéger contre la reproduction non autorisée.
Au cas présent, la société Equasens n’explique pas en quoi le logiciel Santé secure réaliserait la reproduction, la traduction, l’adaptation ou la transformation non autorisée de la forme du code du LGPI, et ne forme pas de demande en contrefaçon du logiciel.
De plus, le “verrou informatique” qu’il lui est reproché d’avoir posé en octobre 2018 n’avait pas pour objet ni pour effet de protéger son logiciel de la reproduction mais d’empêcher les extractions de données de la base constituée par l’officine à l’aide de ce logiciel. Il ne constitue donc pas un dispositif technique mis en place pour protéger un programme d’ordinateur au sens de l’article L.122-6-2 précité.
Les textes ainsi invoqués par la société Equasens ne sont donc pas susceptibles de légitimer la mise en place du dispositif interdisant l’accès de la société Apodis aux données des pharmacies utilisant son LGPI.
En toute hypothèse, l’objectif d’interopérabilité des logiciels rappelé au point 25 supra peut être invoqué par toute personne autorisée et non le seul licencié du logiciel.En effet, la société Apodis rappelle à juste titre que la Cour de cassation, au visa de la directive n° 91/250/CEE du 14 mai 1991 concernant la protection juridique des programmes d’ordinateur, désormais codifiée par la directive n° 2009/24/CE du 23 avril 2009, a approuvé une cour d’appel d’avoir jugé que “les opérations de migrations de données, réalisées par M. X. et la société Alphapi, habilités à cette fin par les huissiers de justice titulaires de la licence d’utilisation du logiciel “H. Open”, pour récupérer les fichiers de ce programme, s’inscrivaient dans les strictes nécessités de l’interopérabilité autorisée par l’article L. 122-6-1, IV du code de la propriété intellectuelle qui prévoit la nullité de toute stipulation contraire” (1re Civ. 20 octobre 2011, pourvoi n°10-14.069, publié).
3 . Sur les risques d’atteinte à la sécurité du programme LGPI ou des données
La société Equasens soutient que le logiciel Santé secure extrait et exporte des données personnelles sensibles, s’appuyant sur un rapport de M. [Y], expert informatique, du 18 juin 2020. Elle affirme que ce logiciel constitue une menace pour l’intégrité du LGPI et des données qui s’y trouvent enregistrées, s’appuyant sur une étude de M. [O], expert en systèmes d’informations, du 9 avril 2019 et sur diverses pièces attestant d’une importante fuite de données personnelles provenant des serveurs de la société Apodis en octobre 2020.
La société Apodis soutient que l’extraction de données de la base des pharmacies se fait en “lecture seule” sans reproduction ni intrusion dans le LGPI.Cette affirmation est corroborée par un rapport de M. [M], expert informatique, réalisé aux fins de constat le 20 mars 2019, indiquant : “Pour fournir ces services, le portail ‘Apodis pharma’ nécessite la mise en place d’un outil de synchronisation installé par le pharmacien lui-même sur son serveur, appelé ‘Santé Secure’. Cet outil logiciel se contente de lire les données nécessaires au fonctionnement du portail sur le serveur de données du pharmacien pour les envoyer de manière cryptée au Portail ‘Apodis pharma’” et n’est aucunement démentie par le rapport de M. [Y].
Ce dernier conclut en effet seulement : “II a été constaté que ce logiciel se connectait à cette base de données via l’utilisation d’un login et mot de passe spécifique à Pharmagest. De plus, des données sont alors récupérées et stockées de manière récurrente dans un fichier situé clans le répertoire du logiciel sur le poste de la pharmacie. Il a pu être observé également des échanges réseaux entre ce même logiciel qui change de nom régulièrement ‘sante-secure’ et des serveurs externes à la pharmacie. Les données ainsi recueillies comprennent des identités ainsi que des
noms de produits et d’autre part, le volume de ces données reste important (I7 Mo) en sachant que seul du texte est échangé”.
Quant à l’étude de M. [O] du 9 avril 2019, versée en intégralité par la demanderesse (sa pièce 2-6 d), la société Equasens n’en produisant qu’un court extrait (sa pièce 13), elle a été réalisée dans le cadre d’un contentieux entre un pharmacien licencié du LGPI et la société Equasens.Il y est dit que la position de la société Equasens de refuser au pharmacien la communication de codes d’accès administrateur de la base Oracle de l’application LGPI se comprenait afin de ne pas “dévoiler le modèle de données confidentiel de son application LGPI, ni permettre à un tiers de librement interagir de façon risquée dans les tables de la base de données de son application” mais ajoutait immédiatement “il n’en demeure pas moins que Pharmagest ne permet pas, non plus, d’actionner des interfaces(API) permettant l’interopérabilité de son système d’information avec d’autres applications.”, et concluait :
“Les extractions proposées dans LGPI ne permettent donc pas de traiter le besoin d’interopérabilité ‘au fil de l’eau’ entre l’application LGPI et les outils informatiques imaginés par la Pharmacie du centre. En l’état, elle ne permet pas la mise en œuvre d’interfaces (API) entre l’application LGPI et ses logiciels informatiques.”
Ainsi, le rapport de M. [Y], qui porte sur le fonctionnement de Santé secure, ne signale aucune menace à l’intégrité du LGPI ni aux données qu’il permet d’enregistrer.L’étude de M. [O] évoque clairement une interaction “risquée” avec les tables de la base de données du LGPI en cas de remise au licencié des codes d’accès administrateur de la base Oracle de l’application LGPI. Or, il n’est aucunement question ici d’une telle communication.
Ces éléments ne démontrent donc pas la menace alléguée pour l’intégrité du LGPI ni pour les données qu’il permet d’enregistrer et il n’est pas expliqué par la société Equasens ses affirmations (p 31 de ses conclusions) selon lesquelles l’extracteur qu’elle a proposé à la société Equasens moyennant un coût de 180.000 euros par mois assurerait mieux que le logiciel Santé secure la sécurité des flux de données.
La société Equasens ne démontre pas plus sa responsabilité à l’égard des tiers quant aux éventuelles fuites de données personnelles incluses dans la base de données par le pharmacien, qui a la qualité de responsable du traitement des données personnelles au sens du règlement 2016/679 du 27 avril 2016 dit RGPD.
En toute hypothèse, le moyen tiré par la société Equasens des risques de déperdition des données extraites est démenti par le fait qu’elle ne voyait aucun inconvénient, dans sa proposition de contrat du 16 décembre 2018, à y donner accès à la société Apodis moyennant paiement sans exiger de quelconque précaution sur les conditions de stockage et de protection de ces données.
Dès lors, les impératifs de sécurité allégués par la société Equasens ne justifiaient pas la mise en œuvre du dispositif de blocage qui lui est reproché.
Dans ces conditions, le tribunal retient quela société Equasens a abusé de son accès au LGPI donné en licence pour monnayer et/ou se réserver une exclusivité de l’accès aux données enregistrées sur le logiciel des pharmaciens licenciés du LGPI que le contrat ne lui accorde pas et empêcher l’interopérabilité des différentes solutions logicielles que ceux-ci ont choisies (en l’espèce LGPI et Apodis pharma), sans motif légitime, ce qui caractérise une faute engageant sa responsabilité.
III. Sur la réparation
La société Apodis est bien fondée à demander qu’il soit enjoint à la société Equasens de ne pas mettre en œuvre sur le LGPI de dispositif technique ayantpour effet d’entraver ou de fausser le transfert de données traitées par une officine vers la société Apodis, lorsque ladite officine y a consenti.Les circonstances de la cause justifient d’assortir cette condamnation d’une astreinte.
La société Apodis demande réparation d’un trouble commercial, d’une atteinte à son image, d’une désorganisation et d’un préjudice moral consécutifs au blocage d’octobre 2018.
A l’appui de ses demandes d’un total de 280.000 euros, elle verse une vingtaine de messages reçus de pharmacies s’étant plaintes de l’absence de transmissions de données pendant des durées diverses en octobre et novembre 2019 et la preuve par procès-verbal de constat d’huissier de justice du 23 septembre 2020 de ce que 552 pharmacies ont connu une chute des données transmises durant la semaine du 21 octobre 2019 (les flux reprenant à l’identique la semaine suivante).
Outre qu’ils sont insuffisants à caractériser l’existence d’un préjudice matériel, ces éléments de preuve sont sans rapport avec la mesure de blocage d’octobre 2018. Il y a donc lieu de rejeter les demandes de dommages et intérêts qui ne sont formées qu’à titre de réparation des préjudices résultant de ce seul fait d’octobre 2018 et qui ne sont justifiées que par ceux-ci.
En revanche, l’existence d’un préjudice moral résultant du procédé utilisé est établie et sera réparé par la somme de 5.000 euros à titre de dommages et intérêts et les mesures de publication du jugement demandées.
IV . Sur les autres demandes
La société Equasens, qui succombe, est condamnée aux dépens de l’instance et l’équité justifie de la condamner à payer à la société Apodis la somme de 15.000 euros au titre de l’article 700 du code de procédure civile.La nature et l’ancienneté de l’affaire justifient de prononcer l’exécution provisoire du jugement, sauf s’agissant des mesures de publication.
Dispositif
PAR CES MOTIFS
Le tribunal,
Interdit à la société Equasens de commettre ou participer à la commission de tout acte, de quelque nature que ce soit, ayant pour effet d’entraver ou de fausser le transfert de données traitées par une officine vers la société Apodis, lorsque ladite officine y a consenti, sous astreinte de 3.000 euros par infraction constatée à compter de la signification du jugement à intervenir et pendant 180 jours ;
Condamne la société Equasens à payer à la société Apodis la somme de 5.000 euros à titre de dommages et intérêts ;
Ordonne la publication du jugement à intervenir dans trois médias de presse écrite dédiés aux pharmaciens, aux frais de la société Equasens dans la limite de 4.000 euros par publication ;
Condamne la société Equasens aux dépens de l’instance ;
Condamne la société Equasens à payer à la société Apodis la somme de 15.000 euros en application de l’article 700 du code de procédure civile ;
Ordonne l’exécution provisoire sauf s’agissant de la publication du jugement.
Fait et jugé à Paris le 22 Décembre 2023
Le GreffierLa Présidente
Quentin CURABET Irène BENAC