Articles
Décompilation d’un logiciel défaillant : est-ce légal ?
A l’occasion d’une décision du 6 octobre 2021 dans l’affaire C‑13/201 opposant l’éditeur de logiciels TOP SYSTEMS à l’Etat belge, la Cour de Justice de l’Union européenne se prononce pour la première fois sur la décompilation d’un logiciel aux fins de correction d’un bug.
La décompilation, qu’est-ce que c’est ?
Le développeur, lorsqu’il développe un logiciel, utilise un langage de programmation. Le code source qui en résulte est compréhensible par l’être humain qui connaît ce langage, mais n’est pas directement exploitable par la machine. Cette dernière nécessite la transcription sous forme de code objet (programme exécutable dans un format binaire). L’opération permettant le passage d’un code source à un code objet (programme exécutable dans un format binaire) est appelée la compilation.
La décompilation d’un logiciel, à l’inverse, consiste à reconstituer les lignes du code source d’un logiciel à partir d’un code objet, comme si elles avaient été écrites par le développeur lui-même (« reverse engineering »).
Cette opération permet de comprendre les secrets d’un logiciel et de les copier (par exemple en recréant un programme qui agit de manière similaire au logiciel d'origine).
Le risque est donc que celui qui opère la décompilation se substitue à l’auteur ou au détenteur des droits sur le logiciel. Pour cette raison, la plupart des éditeurs de logiciels ne mettent pas à disposition des utilisateurs le code informatique de leurs logiciels.
La décompilation, est-ce légal ?
Selon la Directive dite « Software » (Directive 91/250)2, les programmes d’ordinateur sont protégés par le droit d’auteur en tant qu’œuvres littéraires.
Il en résulte que les titulaires de droits jouissent de droits exclusifs sur un logiciel par rapport aux utilisateurs : seul le titulaire peut autoriser un utilisateur à copier le logiciel, à le faire fonctionner, à procéder à des adaptations, traductions, arrangements ou altérations.
Pour autant, l’utilisateur ayant acquis le logiciel légalement est autorisé à effectuer des opérations de décompilation si cela s’avère nécessaire pour obtenir des informations nécessaires à l’interopérabilité du logiciel avec un autre produit logiciel ou applicatif (Directive 91/250, article 6).
Les enseignements de la décision du 6 octobre 2021
Les faits d’espèce opposaient le SELOR (l’organisme de recrutement de l’administration belge) à la société TOP SYSTEMS, son fournisseur informatique.
La société TOP SYSTEMS reprochait au SELOR d’avoir décompilé les logiciels qu’elle lui avait fournis. Le SELOR, pour sa part, reconnaissait les actes de décompilation et les justifiait par la nécessité de désactiver certaines fonctionnalités défaillantes empêchant le programme de fonctionner.
Dans ce contexte, deux questions préjudicielles étaient posées à la CJUE :
(1) En l’absence d’autorisation de l’éditeur, le recours à la décompilation est-il licite lorsqu’il vise à corriger des erreurs affectant le fonctionnement du programme ?
(2) Et, dans l’affirmative, à quelles conditions ce recours à la décompilation peut-il intervenir ?
En ce qui concerne la première question préjudicielle, la CJUE réaffirme tout d’abord que la décompilation est une forme d'altération du code réservée au titulaire des droits de propriété intellectuelle sur le logiciel.
Pour autant, la Cour indique la décompilation d’un logiciel est licite lorsque l’opération vise à corriger des erreurs affectant son fonctionnement, ce qui peut impliquer de recourir à sa traduction, sa reproduction ou son adaptation.
Cette précision apporte une précision intéressante sur l’interprétation à donner à l’article 5 de la Directive 91/250, lequel prévoit la possibilité pout l’utilisateur légitime d’un logiciel d’en corriger les erreurs sans toutefois viser expressément la possibilité de procéder à des opérations de décompilation (contrairement à l’exception d’interopérabilité qui autorise expressément le recours à la décompilation).
Ainsi, « l’acquéreur légitime d’un programme est en droit de procéder à la décompilation de ce programme afin de corriger les erreurs affectant le fonctionnement de celui-ci » (point 53 de la décision).
Cette pratique a été précisée et encadrée à l’occasion de la réponse à la seconde question préjudicielle.
La CJUE estime que la décompilation d’un programme afin de corriger une erreur ne peut intervenir que sous réserve du respect des conditions suivantes :
- L’existence d’un défaut affectant un programme d’ordinateur occasionnant un dysfonctionnement affectant la possibilité d’utiliser ledit programme d’une manière conforme à sa destination (ce qui exclut d’ailleurs les opérations visant à améliorer le logiciel ou à modifier ses fonctionnalités).
- L’acte de décompilation doit être nécessaire (et pas simplement utile ou commode) pour permettre à l’utilisateur légitime d’utiliser le programme d’une manière conforme à sa destination.
- L’absence de dispositions contractuelles spécifiques régissant les modalités d’exercice de la faculté de décompilation par l’utilisateur légitime. Si l’éditeur du programme ne peut exclure purement et simplement la possibilité de procéder à la correction des erreurs, il peut néanmoins prévoir une procédure destinée à empêcher l’utilisateur légitime de recourir lui-même à la décompilation du programme (par exemple dans le cadre de la maintenance corrective du logiciel à la charge du titulaire des droits sur le programme).
- La décompilation opérée ne doit pas être utilisée à d’autres fins que la correction des erreurs affectant le fonctionnement du programme.
En l’espèce, la CJUE a considéré que le SELOR avait légitimement procédé à la décompilation d’une partie du logiciel dans le but d’en désactiver une fonction défaillante.
***
La décision rendue par la CJUE peut être qualifiée de prudente. Si la Cour valide le principe de la décompilation d’un programme en vue d’en corriger des erreurs, elle veille à encadrer strictement la réalisation des opérations de décompilation.
Les candidats à la décompilation devront faire preuve de prudence au regard des risques induits par cette pratique.
1 Arrêt de la CJUE du 6 octobre 2021, Top System SA contre État belge, Demande de décision préjudicielle
2 Directive 91/250/CEE du Conseil, du 14 mai 1991, concernant la protection juridique des programmes d'ordinateur