Les éditeurs de logiciels doivent-ils être tenus responsables des vulnérabilités des produits qu’ils commercialisent ?

Les contrats de licence des logiciels contiennent de nombreuses clauses permettant aux éditeurs de s’exonérer de toute responsabilité lorsque des vulnérabilités sont détectées au sein de leurs produits.

Les contrats de licence des logiciels contiennent de nombreuses clauses permettant aux éditeurs de s’exonérer de toute responsabilité lorsque des vulnérabilités sont détectées au sein de leurs produits. La législation devrait-elle donc évoluer pour engager davantage leur responsabilité et les inciter ainsi à renforcer la sécurité de leurs applications ?
Ces questions sont particulièrement intéressantes et propices à un débat passionné entre fournisseurs et utilisateurs de technologies…

Lorsque vous investissez dans un produit logiciel, une lecture attentive du contrat de licence utilisateur s’impose. Vous y découvrirez sans doute une multitude de clauses permettant aux éditeurs de ne pas engager leur responsabilité en cas de dommage collatéral, direct ou indirect pouvant découler de l’utilisation (ou de la mauvaise utilisation) du produit logiciel. Mais cette volonté de s’exonérer de toute responsabilité est-elle légitime et équitable ?

Les produits logiciels ne sont pas des biens tangibles. En tant que tels, ils échappent donc à la législation qui s’applique généralement à la commercialisation de biens matériels et au fait  qu’ils soient destinés à une utilisation spécifique. Cependant, la plupart des actes de piratages informatiques compromettant les entreprises, passe par l’exploitation d’une faille dans une application ou un système d’exploitation, ce qui entraîne généralement des pertes financières.
A première vue, faire retomber la responsabilité sur les éditeurs semble être la meilleure solution : s’ils sont tenus pour légalement responsable de la qualité de leurs produits, ils renforceront naturellement la sécurité de leurs applications. Il s’agit, in fine, de réduire le nombre de vulnérabilités afin de créer un environnement propice à des logiciels toujours plus robustes. En l’occurrence, cette idée n’est pas nouvelle.
La preuve : revenons sur les conclusions d’un rapport publié en 2006 par le comité Science et Technologie de la Chambre des Lords au Royaume-Uni et dont la portée se veut européenne (8.15):

Nous recommandons au gouvernement d’explorer, à l’échelle européenne, l’introduction du principe de la responsabilité des fournisseurs du secteur informatique. À court terme, nous recommandons que cette responsabilité incombe aux fournisseurs (éditeurs de logiciels et équipementiers) lorsqu’une négligence peut être démontrée, quels que soient les termes du contrat de licence utilisateur. Sur le long terme, lorsque le secteur aura gagné en maturité, il est souhaitable qu’un cadre plus exhaustif en matière de responsabilité des fournisseurs et de protection du consommateur soit introduit ».

On est cependant en droit de s’interroger sur les conséquences de ces propositions et sur les dispositions ayant éventuellement déjà été prises à ce sujet.
Il est évident que de telles mesures auraient un impact sur le coût de développement des logiciels. La quasi-impossibilité de créer un logiciel invulnérable obligera les fournisseurs à contracter des assurances professionnelles onéreuses pour s’immuniser contre les inévitables litiges à venir. Bref, la facture s’annonce salée et sera indéniablement répercutée sur le client. Un client qui sera, par ailleurs, parfois tenté de ne plus mettre en œuvre certaines règles de base de sécurité, puisqu’au final, c’est le fournisseur qui sera tenu responsable en cas de piratage. Notons aussi que ces mesures pourraient bien sonner le glas du logiciel libre.
Une autre conséquence involontaire pourrait être tout aussi onéreuse pour le client final. Que se passe-t-il lorsqu’un fournisseur lance un produit mis à jour qui comble des failles identifiées sur une version précédente ? Cette version précédente ne serait plus assurée en matière de vulnérabilités ? Le client est-il obligé d’investir dans des mises à jour onéreuses (et parfois non nécessaires d’un point de vue fonctionnel) - pour continuer à être protégé juridiquement ?
Où en sommes-nous exactement aujourd’hui ? Que valent vraiment ces contrats de licence utilisateurs ? Une nouvelle réglementation est-elle nécessaire, et sera-t-elle efficace ? Puisque nous ne sommes pas forcément des experts sur le sujet, le plus simple est de s’en remettre à l’opinion d’un avocat spécialiste de la question qui explique :
Si, par négligence, un éditeur  expose son logiciel à des vulnérabilités, notamment à cause d’un défaut dans le logiciel ou du non-respect des meilleures pratiques en vigueur, la réglementation en cours peut le tenir pour responsable de l’ensemble des conséquences. Des clauses d’exonération stipulées dans le contrat de licence utilisateur peuvent limiter la responsabilité du fournisseur, mais la validité de ces clauses doit être examinée au cas par cas. »
Il est néanmoins important de garder à l’esprit que la grande majorité des actes de piratage a pour origine une vulnérabilité pour laquelle l’éditeur propose déjà un patch correctif ! Dans le cas de biens tangibles, comme d’une voiture par exemple, le fournisseur est tenu d’effectuer un rappel en cas de défaillance, pour effectuer les changements et réparations nécessaires. Au final, la différence avec le monde du logiciel est minime.
Car si vous ne répondez pas à l’appel du constructeur automobile, ou que, en matière logicielle, vous n’installez pas les patchs proposés par votre fournisseur, qui sera le vrai coupable ?

Autour du même sujet