Orange a violé la licence GPL : exposé des faits
Un litige allé jusqu’en cassation voit Orange condamné pour avoir violé la licence GNU GPL v2 dans le cadre d’un projet d’État.
La licence GNU GPL v2, incompatible avec le droit français ? Orange a tenté de le faire valoir dans le cadre d’un litige avec Entr’Ouvert.
Cette société coopérative de production créée en 2002 a pour activité le service informatique. Dans ce cadre de son accompagnement des collectivités locales et des administrations, elle a notamment conçu LASSO (Liberty Alliance Single Sign On). Ce logiciel permet de mettre en place un système d’authentification unique. Elle l’exploite depuis 2004 et le diffuse soit sous licence GPL, soit sous licence commerciale en cas d’utilisation incompatible avec la première option.
Fin 2005, l’ADAE (Agence pour le gouvernement de l’administration électronique) avait lancé un appel d’offres. Objet : le développement du portail mon.service-public.fr, qui allait être exploité de 2009 à 2016 – et que nous appellerons MSP. Orange avait remporté un lot. Il s’agissait de fournir une solution de gestion d’identités et des moyens d’interface, au moyen d’une plate-forme logicielle nommée IDMP (Identity Management Platform). Celle-ci embarquait LASSO dans sa version GPL.
Estimant que l’usage de LASSO dans le cadre de MPL n’était pas conforme aux stipulations de GPL, Entr’Ouvert avait fait assigner Orange devant le TGI de Paris en 2011. Avec deux griefs : contrefaçon de droits d’auteur et parasitisme.
Le verdict était tombé en 2019. Orange l’avait emporté.
En 2021, la Cour d’appel avait confirmé une partie du jugement, mais condamné Orange à 150 000 € d’amende sur le fondement de la concurrence parasitaire.
Insatisfait, Entr’Ouvert s’était pourvu en cassation. Celle-ci avait affirmé, en 2022, que la société coopérative était recevable à agir en contrefaçon.
La juridiction de renvoi (cour d’appel de Paris) a statué ce 14 février 2024. Elle a effectivement conclu à des actes de contrefaçon et a infligé à Orange 500 000 € d’amende à ce titre. S’y ajoutent 150 000 € au titre du préjudice moral… et la même somme, déjà réglée, pour la concurrence parasitaire.
Orange niait le caractère original de LASSO
Pour en arriver là, Entr’Ouvert a dû caractériser l’originalité de la bibliothèque LASSO. Un trait avéré autant dans la composition que dans l’architecture et dans l’expression, a jugé la Cour d’appel. Cette dernière a, en particulier, noté la capacité de l’éditeur à proposer une API de « moyen niveau » qui « suit le flux ‘métier’ des échanges ». Celle-ci « se distingue de certains des concepts complexes du standard SAML, au travers d’objets simples et génériques (login/logout/session/identité), simplifiant ainsi le travail d’intégration pour les non-spécialistes du domaine. »
La cour s’est aussi appuyée sur les attestations de deux développeurs d’Entr’Ouvert, tendant à prouver que LASSO était bien le résultat de choix arbitraires et non de la simple implémentation de normes. Par exemple :
– Choix de ne pas intégrer de couche transport dans la bibliothèque (l’applicatif gère l’envoi des requêtes SOAP)
– Mise en œuvre de liaisons natives vers des langages de haut niveau
– Définition d’une bibliothèque interne de macro pour la gestion mémoire
Selon Orange, le fait que LASSO ait fait l’objet d’une certification de conformité au protocole SAML 2.0 impliquait un « bridage ». Ce qui remettrait en cause son originalité . La cour n’a pas retenu cet argument.
GPL, une licence « à l’américaine » ?
Concernant la contrefaçon, Entr’Ouvert pointait la violation de quatre articles du contrat de licence GPL :
– Modification de LASSO sans communiquer d’avis, ni de dates, ni en concédant IDMP à titre gratuit (article 2)
– Distribution après modification, sans communiquer l’intégralité du code source et sans proposer à un tiers une copie intégrale dudit code (article 3)
– Incompatibilité de cette licence gratuite avec l’environnement propriétaire d’IDMP (articles 4 et 10)
Orange dénonçait plusieurs éléments à propos de la licence GPL v2. D’une part, sa rédaction sur la base du droit américain, contredisant certains principes d’ordre public du droit de la propriété intellectuelle française. De l’autre, des références à des notions inconnues du droit français. Et des ambiguïtés, de sorte qu’il faudrait l’interpréter selon les principes du Code civil.
La Cour a estimé que l’opérateur « ne [précisait] pas les stipulations concernées [et n’en tirait] aucune demande dans le dispositif de [ses] conclusions ». En d’autres termes, elle n’était pas en mesure d’examiner davantage cette requête.
Sur la violation de l’article 2
Cet article impose notamment la concession à titre gratuit, comme un tout, de tout ouvrage fondé sur un logiciel sous licence GPL v2.
Orange faisait valoir l’indépendance d’IDMP et de LASSO au sens de la licence GPLv2. Le rapport d’expertise n’a pas donné la même impression à la Cour d’appel. D’après lui, LASSO représente 57 % de la plate-forme IMDP. Les liens sont « multiples et profonds ». Une dépendance « transversale » qui « débute dès la conception du code source pour se poursuivre lors de la précompilation, de la compilation et de l’usage […] ». Orange n’a, par ailleurs, jamais distribué les différents logiciels intégrés dans IDMP comme des « œuvres distinctes ». L’expert a, en outre, mis en évidence de nombreuses modifications du code source de LASSO pour le rendre utilisable dans IDMP.
Sur le non-respect de l’article 3
Cet article concerne la fourniture du code source des programmes dérivés.
Entre autres arguments, Orange avait fait valoir sa qualité de prestataire n’utilisant pas directement le logiciel modifié. Rien ne l’obligeait ainsi à publier le code source, expliquait-il.
La cour a considéré qu’il appartenait à l’opérateur de se rapprocher d’Entr’Ouvert afin de faire préciser ce point. Le contrat de licence l’invitait d’ailleurs à se rapprocher de l’éditeur en cas de questions quant au respect de son contenu. C’est sans compter les propositions commerciales qu’Entr’Ouvert a pu lui adresser : elle « permettaient d’écarter tout doute ».
Sur le non-respect des articles 4 et 10
L’article 4 stipule qu’on ne peut « copier, modifier, concéder en sous-licence, ou distribuer le Programme sauf tel qu’expressément prévu par la présente licence ». À ce sujet, la cour reprend ses constats antérieurs.
L’article 10 impose de demander à l’auteur l’autorisation pour incorporer des parties d’un programme GPL dans d’autres programmes libres dont les conditions de distribution sont différentes.
Sur ce point, il y a bien eu « incorporation », juge la cour. Elle se réfère au rapport d’expertise : « LASSO est encapsulé dans IDMP via ‘libwassup’ et via ‘liberty-agent’ ». De surcroît, Orange qualifie lui-même IDMP d’« environnement propriétaire » dans son code source (échantillon saisi en 2011).
Une proposition commerciale de janvier 2005 est également entrée en ligne de compte. Setlib, filiale d’Orange avait pour mission de fournir un système d’authentification « Liberty-enabled » dans le cadre du projet MSP. Elle avait émis le besoin d’une licence d’utilisation de LASSO en environnement propriétaire non compatible avec GPL. Orange savait donc, dès l’origine, que l’implémentation prévue n’était pas compatible avec la licence GNU GPL.
Illustration © monsitj – Adobe Stock
Sur le même thème
Voir tous les articles Actualités