Contrat de Licence de Logiciel France

Le contrat de licence de logiciel est, en droit français, l'acte par lequel un éditeur concède un droit d'usage sur un logiciel sans en céder la propriété, régi par les articles L122-6 à L122-6-2 du Code de la propriété intellectuelle.

Le Contrat de Licence de Logiciel en France se distingue d'une simple vente de logiciel : le Licencié n'acquiert pas la propriété du logiciel mais seulement un droit d'usage, soumis aux conditions définies par l'Éditeur. La Cour de cassation (Cass. civ. 1ère, 25 juin 2009, n°07-21.536) a confirmé que la mise à disposition d'un logiciel contre paiement périodique constitue une licence et non une vente. La Cour de Justice de l'UE (CJUE, 3 juillet 2012, affaire Oracle c/ UsedSoft, C-128/11) a quant à elle jugé que la revente d'une licence de logiciel acquise légalement via téléchargement est possible (règle d'épuisement), ce qui a des implications importantes pour les licences perpétuelles.

La licence de logiciel peut prendre plusieurs formes : la licence perpétuelle (droit d'usage permanent moyennant un paiement unique), la licence par abonnement ou SaaS (Software as a Service, accès via Internet sur des serveurs distants), la licence on-premise (installation locale sur les serveurs du Licencié), la licence open source (GNU GPL, MIT, Apache, Licence Publique de l'Union Européenne - EUPL). La CNIL (Commission Nationale de l'Informatique et des Libertés) surveille la conformité des logiciels aux exigences du RGPD (Règlement UE 2016/679) et de la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.

Les droits concédés au Licencié sont strictement délimités par le CPI. L'article L122-6 du CPI accorde à l'Éditeur un droit exclusif sur la reproduction, la traduction, l'adaptation, l'arrangement ou toute autre transformation d'un logiciel, ainsi que sur la reproduction des résultats. Le Licencié n'est autorisé qu'à utiliser le logiciel selon sa destination, à effectuer une copie de sauvegarde (CPI art. L122-6-1), et, sous conditions strictes, à observer le fonctionnement du logiciel pour déterminer les idées et principes qui le sous-tendent (CPI art. L122-6-1 II). La décompilation est autorisée uniquement pour l'interopérabilité (CPI art. L122-6-1 III), dans les limites strictes fixées par la CJUE (arrêts SAS Institute, TopData, Ryanair).

Le Contrat de Licence de Logiciel doit traiter les questions de protection des données personnelles lorsque le logiciel traite de telles données. Lorsque l'Éditeur traite des données personnelles pour le compte du Licencié (Responsable de traitement), il agit en qualité de Sous-traitant au sens de l'article 4 al. 8 du RGPD. Un Contrat de Sous-Traitance RGPD (DPA - Data Processing Agreement), conforme à l'article 28 du RGPD, doit alors être conclu séparément. La CNIL peut prononcer des amendes jusqu'à vingt (20) millions EUR ou quatre (4) % du chiffre d'affaires annuel mondial total en cas de violation du RGPD.

Le Contrat de Licence de Logiciel se distingue du Contrat de Cession de Droits d'Auteur (CPI art. L131-2 à L131-6), qui transfère définitivement les droits patrimoniaux, du Contrat de Prestation de Services d'intégration ou de développement sur mesure (Code civil art. 1710), et du Contrat de Maintenance applicative. Pour les logiciels créés par des salariés dans l'exercice de leurs fonctions, l'article L113-9 du CPI prévoit la dévolution automatique des droits patrimoniaux à l'employeur, sans formalité.

Le Contrat de Licence de Logiciel en France est nécessaire dans toutes les situations où un éditeur de logiciel permet à une entreprise ou à un utilisateur d'accéder à son logiciel et de l'utiliser, en échange d'un paiement ou à titre gratuit, sans céder la propriété des droits d'auteur.

Logiciels d'entreprise (ERP, CRM, comptabilité). Les grandes Entreprises de Services du Numérique (ESN) françaises comme Capgemini (siège à Paris), Atos (siège à Bezons), Sopra Steria (siège à Paris) et leurs concurrents déploient des logiciels d'entreprise (ERP comme SAP, Oracle EBS, Microsoft Dynamics ; CRM comme Salesforce, HubSpot, Zoho) dans les entreprises françaises via des Contrats de Licence de Logiciel. Ces contrats définissent le nombre d'utilisateurs autorisés, les conditions d'hébergement (on-premise ou cloud AWS/Azure/Google Cloud), les engagements de niveau de service (SLA avec disponibilité 99,9 %), et la conformité RGPD.

Logiciels SaaS et abonnements mensuels. Le modèle SaaS (Software as a Service) est dominant dans les start-ups françaises de la French Tech : BlaBlaCar, Doctolib, Qonto, Payfit, Pennylane. Dans ce modèle, l'entreprise cliente (Licencié) accède au logiciel via Internet sur les serveurs de l'Éditeur, sans installation locale. Le Contrat de Licence de Logiciel SaaS précise les conditions d'accès, les niveaux de service, la politique de confidentialité et les conditions de traitement des données personnelles. L'hébergement des données sur des serveurs localisés dans l'UE (RGPD art. 44 à 49) est souvent une exigence des clients sensibles aux questions de souveraineté numérique.

Logiciels embarqués et IoT (Internet des Objets). Les équipementiers automobiles (Valeo, Faurecia, Plastic Omnium), les fabricants d'appareils médicaux et les entreprises de l'industrie 4.0 intègrent des logiciels embarqués dans leurs produits. Le Contrat de Licence de Logiciel embarqué encadre les conditions d'intégration du logiciel dans le matériel, les droits de redistribution avec le matériel, et les responsabilités en cas de défaillance du logiciel intégré.

Logiciels libres et open source. Les licences open source (GNU GPL v3, MIT, Apache 2.0, BSD, Licence Publique de l'Union Européenne - EUPL) permettent l'utilisation, la modification et la redistribution du code source sous certaines conditions. Pour les entreprises françaises utilisant des composants open source dans leurs produits commerciaux, la conformité avec les obligations de copyleft (GNU GPL) ou de réciprocité (EUPL) est essentielle pour éviter des litiges de propriété intellectuelle. La SILL (Socle Interministériel de Logiciels Libres) recommandée par la DINUM (Direction Interministérielle du Numérique) liste les logiciels open source préconisés pour l'administration française.

Logiciels de sécurité et cybersécurité. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) délivre des qualifications de sécurité aux logiciels qui respectent les exigences techniques de sécurité. Les entreprises opérant des Opérateurs d'Importance Vitale (OIV) ou des Opérateurs de Services Essentiels (OSE) selon la Directive NIS2 (Directive UE 2022/2555 transposée en France) doivent utiliser des logiciels qualifiés ANSSI. Le Contrat de Licence de Logiciel pour les OIV et OSE doit préciser les certifications, les mécanismes d'audit de sécurité et les SLA renforcés.

Le Contrat de Licence de Logiciel en France comprend des éléments essentiels qui définissent l'étendue des droits concédés, les obligations de l'Éditeur et du Licencié, et les mécanismes de protection des données personnelles.

Identification précise du logiciel et des droits de l'Éditeur. Décrire le logiciel avec précision : dénomination commerciale, numéro de version, fonctionnalités principales (ex : logiciel de gestion de la paye, ERP, CRM, logiciel de comptabilité). Préciser que le logiciel est protégé par le droit d'auteur (CPI art. L112-2 13°) dès sa création sans formalité de dépôt, et que l'Éditeur est le seul et unique propriétaire des droits patrimoniaux. Pour les logiciels créés par des salariés de l'Éditeur dans l'exercice de leurs fonctions, rappeler la dévolution automatique à l'Éditeur (CPI art. L113-9).

Type de licence et nombre d'utilisateurs. Préciser le type de licence : perpétuelle (droit d'usage permanent), abonnement annuel ou mensuel, SaaS (accès via Internet), on-premise (installation locale), open source (code source fourni). Définir le nombre d'utilisateurs autorisés (utilisateur unique, multi-postes illimités au sein de l'entité, utilisateurs nommés sur liste nominative, utilisateurs simultanés). L'article L122-6-1 du CPI autorise la copie de sauvegarde mais interdit toute autre reproduction non autorisée.

Droits concédés et restrictions d'usage. Énumérer les droits accordés (installation, chargement, exécution, affichage) et les restrictions strictes (interdiction de décompilation sauf interopérabilité, interdiction de modification sans autorisation, interdiction de redistribution à des tiers, interdiction de rétro-ingénierie). La CJUE (arrêt Oracle c/ UsedSoft du 3 juillet 2012, C-128/11) a établi que la revente d'une licence perpétuelle acquise légalement via téléchargement peut constituer un épuisement du droit de distribution, ce qui peut permettre la revente de « licences d'occasion ».

Accès au code source et accord de séquestre (escrow). Pour les logiciels critiques (ERP, logiciels bancaires, logiciels médicaux), un accord de séquestre (escrow) avec un tiers de confiance spécialisé (Bibliothèque Nationale de France via le dépôt légal de logiciels, Iron Mountain, Bibliosource) est vivement recommandé. Le séquestre garantit que le Licencié peut accéder au code source si l'Éditeur cesse son activité, dépose le bilan ou ne maintient plus le logiciel. Le Tribunal de commerce de Paris a plusieurs fois imposé la production du code source séquestré dans des procédures de liquidation judiciaire d'éditeurs.

Conditions financières et TVA. Préciser le mode de rémunération : licence perpétuelle (paiement unique), abonnement annuel ou mensuel, redevance par utilisateur, redevance par volume de données traitées. La TVA applicable aux logiciels est de 20 % (taux normal, CGI art. 278). Préciser les conditions de renouvellement automatique et les modalités de résiliation (Code de la consommation art. L215-1 pour les abonnements B2C ; liberté contractuelle B2B). Le modèle gratuit disponible sur forms-legal.com couvre les principales structures de rémunération utilisées par les éditeurs de logiciels français.

RGPD et Contrat de Sous-Traitance. Lorsque le logiciel traite des données personnelles pour le compte du Licencié (Responsable de traitement), l'article 28 du RGPD impose la conclusion d'un Contrat de Sous-Traitance (DPA - Data Processing Agreement). Ce contrat définit l'objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées, les obligations et droits du Responsable, et les mesures de sécurité du Sous-traitant (RGPD art. 32). La CNIL recommande de consulter le Contrat de Sous-Traitance RGPD (DPA) disponible sur forms-legal.com pour compléter le dossier contractuel.

Niveaux de service (SLA) et maintenance. Pour les logiciels en mode SaaS ou cloud, préciser les engagements de disponibilité (ex : 99,9 % de disponibilité mensuelle, soit moins de 8,7 heures d'indisponibilité par an), les délais de résolution des incidents (critiques, majeurs, mineurs), les plages de maintenance préventive et les pénalités en cas de non-respect des SLA. Définir si la maintenance corrective (correction des bugs) et la maintenance évolutive (nouvelles versions, mises à jour de sécurité) sont incluses dans le prix de la licence ou facturées séparément.

Rédiger un Contrat de Licence de Logiciel en France conforme aux exigences du Code de la propriété intellectuelle et du RGPD nécessite le respect des étapes suivantes.

Étape 1 - Identification des parties et du logiciel. Mentionner la dénomination sociale exacte, la forme juridique et le numéro SIREN de chaque partie (obligatoire Code de commerce art. R123-237). Vérifier les représentants habilités via le Kbis (infogreffe.fr ou Guichet unique INPI). Identifier le logiciel avec précision : dénomination commerciale, numéro de version, fonctionnalités principales, type de licence (SaaS, on-premise, perpétuelle, open source).

Étape 2 - Définition des droits concédés et restrictions. Préciser de façon exhaustive les droits accordés au Licencié (installation, chargement, exécution, affichage) et les restrictions strictes (interdiction de copie sauf sauvegarde CPI art. L122-6-1, interdiction de décompilation sauf interopérabilité CPI art. L122-6-1 III, interdiction de redistribution). Préciser le nombre d'utilisateurs autorisés et le mode d'accès.

Étape 3 - Structuration des conditions financières et de la TVA. Définir le mode de rémunération (licence perpétuelle, abonnement mensuel ou annuel, redevance par utilisateur ou par volume). Préciser les montants HT, le taux de TVA applicable (20 %, CGI art. 278), les conditions de renouvellement automatique et les modalités de résiliation. Prévoir une clause sur les hausses tarifaires annuelles (plafonnées à l'indice Syntec ou à l'IPC INSEE selon les usages du secteur).

Étape 4 - Vérification de la conformité RGPD. Vérifier si le logiciel traite des données personnelles pour le compte du Licencié. Si oui, conclure un Contrat de Sous-Traitance RGPD (DPA) conforme à l'article 28 du RGPD. Le DPA doit préciser l'objet et la durée du traitement, la nature et la finalité, le type de données, les catégories de personnes concernées, les obligations et droits du Responsable. La CNIL fournit des modèles de DPA sur cnil.fr.

Étape 5 - Clauses de propriété intellectuelle et droits sur les améliorations. Rappeler que l'Éditeur conserve la propriété exclusive de tous les droits de propriété intellectuelle sur le logiciel. Préciser les droits sur les configurations, paramétrisations et personnalisations effectuées par le Licencié : s'agit-il d'œuvres dérivées appartenant au Licencié ou à l'Éditeur ? Pour les développements spécifiques réalisés à la demande du Licencié, préciser si les droits sont cédés (CPI art. L131-3) ou restent avec l'Éditeur.

Étape 6 - SLA et garanties de service. Pour les logiciels SaaS et cloud, définir les engagements de disponibilité (uptime), les délais de résolution des incidents, les plages de maintenance et les pénalités en cas de non-respect des SLA. Préciser si la maintenance corrective et évolutive est incluse dans le prix de la licence ou facturée séparément.

Étape 7 - Clauses de confidentialité et secret des affaires. Insérer une clause de confidentialité conforme à l'article 1112-2 du Code civil et à la loi n°2018-670 du 30 juillet 2018 sur le secret des affaires (CPI art. L151-1 à L154-1). Préciser les obligations de confidentialité concernant le code source, les algorithmes, les données clients et les informations techniques échangées.

Étape 8 - Signature et archivage. Établir deux exemplaires originaux datés et signés avec mention manuscrite « Lu et approuvé ». La signature électronique qualifiée (prestataires agréés eIDAS : Docusign, Yousign, Universign) a la même valeur probante (Code civil art. 1367). Archiver l'original au moins cinq (5) ans après l'expiration du contrat. Pour les contrats SaaS à enjeux élevés, consulter un avocat spécialisé en droit du numérique inscrit au Barreau.

Le Contrat de Licence de Logiciel en France est soumis à un ensemble de prescriptions légales issues du Code de la propriété intellectuelle, du RGPD et de la Loi Informatique et Libertés, du droit des contrats, et des réglementations sectorielles applicables.

Protection du logiciel par le droit d'auteur. Le logiciel est protégé par le droit d'auteur dès sa création, sans formalité de dépôt, à condition d'être original (CPI art. L111-1 et L112-2 13°). La durée de protection est la vie de l'auteur augmentée de soixante-dix (70) ans (CPI art. L123-1), ou soixante-dix (70) ans à compter de la mise à disposition pour les logiciels d'auteurs personnes morales. Pour les logiciels créés par des salariés dans l'exercice de leurs fonctions, les droits patrimoniaux appartiennent à l'Éditeur-employeur sans formalité (CPI art. L113-9).

Droits du Licencié selon le CPI. L'article L122-6-1 du CPI prévoit les droits minimaux du Licencié : droit d'effectuer une copie de sauvegarde (indispensable pour l'intégrité du logiciel), droit d'observer le fonctionnement du logiciel pour en déterminer les idées et principes qui le sous-tendent, et droit de décompilation dans les limites strictes de l'interopérabilité (CPI art. L122-6-1 III). Ces droits sont d'ordre public et ne peuvent être contractuellement supprimés (CPI art. L122-6-1 dernier alinéa). L'interdiction contractuelle de la copie de sauvegarde est donc nulle.

Epuisement et revente de licences (CJUE Oracle c/ UsedSoft). La Cour de Justice de l'UE (CJUE, 3 juillet 2012, Oracle c/ UsedSoft, C-128/11) a jugé que la règle d'épuisement du droit de distribution s'applique aux logiciels acquis par téléchargement : un utilisateur ayant légalement acquis une licence perpétuelle peut la revendre à un tiers, même si le contrat de licence interdit la cession. Cette jurisprudence s'applique aux licences perpétuelles mais pas aux licences par abonnement (SaaS).

RGPD et conformité des logiciels. Lorsque le logiciel traite des données personnelles, l'Éditeur agissant comme Sous-traitant est tenu aux obligations de l'article 28 du RGPD. Les logiciels doivent intégrer les principes de Privacy by Design (RGPD art. 25 - protection des données dès la conception) et Privacy by Default. La CNIL fournit des référentiels techniques (RGPD, cookies, biométrie). Les manquements au RGPD peuvent entraîner des amendes jusqu'à 20 millions EUR ou 4 % du CA annuel mondial (RGPD art. 83).

NIS2 et cybersécurité pour les logiciels critiques. La Directive UE 2022/2555 (NIS2), transposée en France par ordonnance, impose des exigences de cybersécurité renforcées pour les logiciels utilisés par les Opérateurs d'Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE). L'ANSSI délivre des qualifications de sécurité aux logiciels répondant aux exigences de sécurité définies dans les référentiels ANSSI. Le Cyber Resilience Act (CRA, Règlement UE 2024/2847) impose aux éditeurs de logiciels des obligations de sécurité tout au long du cycle de vie du produit, avec des sanctions jusqu'à 15 millions EUR ou 2,5 % du CA mondial.

Loi de programmation militaire et cloud souverain. Pour les marchés publics et les administrations françaises, la politique de cloud de confiance (SecNumCloud ANSSI) impose l'hébergement des données sensibles sur des services cloud qualifiés hébergés en France par des opérateurs français (OVHcloud, Thales/S3ns, Outscale). Le Contrat de Licence de Logiciel doit préciser la localisation des données en France ou dans l'UE pour se conformer à ces exigences.

Consommation de logiciels et protection des utilisateurs particuliers. Pour les contrats B2C avec des particuliers, le Code de la consommation (loi n°2020-105 du 3 février 2020 sur la loi Agec et art. L111-1 du Code de la consommation) impose des obligations d'information renforcées sur les fonctionnalités du logiciel, son interopérabilité, et les mises à jour de sécurité. La durée minimale des mises à jour de sécurité doit être communiquée au consommateur avant l'achat.

Le Contrat de Licence de Logiciel en France est source d'erreurs récurrentes qui peuvent exposer l'Éditeur à des litiges et le Licencié à des restrictions injustifiées ou à des risques de conformité RGPD.

Erreur 1 - Clauses interdisant la copie de sauvegarde. L'article L122-6-1 du Code de la propriété intellectuelle garantit au Licencié le droit d'effectuer une copie de sauvegarde, indispensable pour l'intégrité du logiciel. Cette disposition est d'ordre public et une clause contractuelle interdisant la copie de sauvegarde est nulle de plein droit. Bonne pratique : ne pas inclure de clause interdisant la copie de sauvegarde ; se limiter à interdire la reproduction à d'autres fins.

Erreur 2 - Absence de Contrat de Sous-Traitance RGPD (DPA). Lorsque le logiciel traite des données personnelles pour le compte du Licencié (Responsable de traitement), l'article 28 du RGPD impose la conclusion d'un DPA. L'absence de DPA expose le Responsable et le Sous-traitant à des amendes CNIL. Bonne pratique : conclure systématiquement un DPA conforme à l'article 28 du RGPD, en référence au Contrat de Sous-Traitance RGPD disponible sur forms-legal.com.

Erreur 3 - Absence de clause sur la localisation des données hébergées. Sans précision contractuelle, le Licencié ne sait pas où sont hébergées ses données. Pour les données sensibles ou les marchés publics, l'hébergement hors UE peut être interdit par le RGPD (absence de base légale pour le transfert hors UE, RGPD art. 44 à 49). Bonne pratique : préciser explicitement la localisation des serveurs d'hébergement (France, UE, pays tiers avec décision d'adéquation ou CCT).

Erreur 4 - SLA imprécis ou absence de pénalités. Un SLA vague sans pénalités contractuelles est inopposable en cas de défaillance de service. Bonne pratique : préciser les taux de disponibilité garantis (ex : 99,9 % mensuel), les délais de résolution des incidents par niveau de criticité, et les mécanismes de calcul et de paiement des pénalités (crédits de service ou remboursement).

Erreur 5 - Clauses abusives de résiliation unilatérale. Des clauses permettant à l'Éditeur de résilier la licence sans préavis pour des motifs vagues ou imprécis peuvent être qualifiées d'abusives (Code civil art. 1171 pour les contrats d'adhésion) ou de déséquilibre significatif (Code de commerce art. L442-1 pour les relations commerciales). Bonne pratique : prévoir des conditions de résiliation symétriques, un préavis raisonnable (usuel 3 mois B2B), et une procédure de mise en demeure avant résiliation.

Erreur 6 - Oubli de la clause d'épuisement et de revente (licences perpétuelles). Pour les licences perpétuelles acquises via téléchargement, la jurisprudence CJUE Oracle c/ UsedSoft (3 juillet 2012, C-128/11) reconnaît la revente de la licence d'occasion. Les éditeurs souhaitant limiter cette revente doivent opter pour des licences par abonnement (SaaS) ou inclure des mécanismes techniques de contrôle. Bonne pratique : préciser si la licence est perpétuelle ou par abonnement, et anticiper les conséquences de la jurisprudence UsedSoft.

Erreur 7 - Non-conformité au Cyber Resilience Act (CRA). Le Règlement UE 2024/2847 (Cyber Resilience Act) impose depuis 2024 aux éditeurs de logiciels (produits avec éléments numériques vendus dans l'UE) des obligations de cybersécurité : évaluation des risques, déclaration de conformité CE, notification des vulnérabilités activement exploitées à l'ENISA dans les 24 heures. Les sanctions atteignent 15 millions EUR ou 2,5 % du CA mondial. Bonne pratique : intégrer les exigences CRA dans les processus de développement logiciel et dans les Contrats de Licence de Logiciel dès 2024.