Contrats informatiques : l’exécution défaillante à l’épreuve de la jurisprudence 2024 – 2025
La jurisprudence rendue en 2024 et 2025 en matière de contrats informatiques offre un corpus particulièrement riche de décisions relatives à l’exécution défaillante. Certaines d’entre elles présentent un caractère structurant, à commencer par l’incontournable arrêt Clamageran, qui précise les conditions dans lesquelles les tiers à un contrat informatique, affectés par une inexécution contractuelle, peuvent se voir opposer les stipulations limitant ou aménageant la responsabilité.
⊕ L’obligation de conseil et d’information du prestataire informatique, figure classique du contentieux informatique, y occupe une place notable. Codifiée lors de la réforme du droit des obligations, cette obligation fait l’objet d’une application particulièrement exigeante par les juridictions, qui en apprécient largement le contenu et la portée. Une décision retient l’attention en ce qu’elle admet l’éviction d’une clause limitative de responsabilité en présence d’un manquement caractérisé au devoir de conseil.
⊕ D’autres décisions s’inscrivent dans des contextes techniques et réglementaires désormais récurrents, tels que les cyberattaques ou les manquements aux exigences de conformité en matière de protection des données. Enfin, divers arrêts reviennent sur des sujets classiques du contentieux informatique, telles que la qualification des obligations de moyens ou de résultat, la portée juridique de la recette ou encore les clauses limitatives de responsabilité, sujet concernant lequel les décisions rendues rappellent, si besoin était, l’importance d’une rédaction contractuelle précise et adaptée.
⊕ Le présent article se propose d’analyser ces décisions, en se concentrant principalement sur la jurisprudence des cours d’appel et de la Cour de cassation rendue sur la période 2024 – 2025. Sans prétendre à l’exhaustivité, il vise à identifier les enseignements qui se dégagent de cette jurisprudence récente, tant sur la caractérisation des manquements contractuels que sur les mécanismes de sanction et de réparation effectivement mobilisés par les juges dans les litiges informatiques.
⊕ À cette fin, l’analyse s’articulera autour de trois axes. La première partie sera consacrée à l’identification des faits constitutifs de l’inexécution ou de la mauvaise exécution dans les contrats informatiques tels que retenus par les juridictions. La deuxième partie analysera les sanctions de l’inexécution, qu’il s’agisse des mécanismes juridiques mis en œuvre ou des modalités de réparation du préjudice. Enfin, une troisième partie reviendra sur plusieurs décisions marquantes aux frontières du contentieux de l’inexécution, portant sur les problématiques connexes mais essentielles pour une bonne appréhension de la matière contractuelle en matière informatique, à savoir la jurisprudence rendue concernant les logiciels libres et la qualification des indemnités de sortie.
NB :Dans le présent article, la notion d’exécution défaillante sera entendue de manière large, recouvrant tant l’inexécution totale que, situations plus fréquentes, les hypothèses d’exécution partielle, non conforme ou impropre à l’usage attendu.
Sommaire :
I- Les faits constitutifs de l’exécution défaillante dans les contrats informatiques
1.1.Le devoir de conseil du prestataire informatique : une obligation rigoureusement appréciée par les juridictions
1.1.1 Le devoir de conseil précontractuel
1.1.2.Le devoir de conseil contractuel
1.2.L’inexécution contractuelle retenue malgré la signature de procès-verbaux de recette ou la mise en production
1.3. Cyberattaques et exécution défaillante
1.4. Obligation de moyens et obligation de résultat : une qualification toujours structurante
1.5. La non-conformité RGPD comme fait constitutif d’inexécution
1.6. L’inexécution écartée faute de preuve suffisante
II– LES SANCTIONS DE L’EXÉCUTION DÉFAILLANTE
2.1.Les mécanismes juridiques mobilisés par les juridictions
2.1.1. L’exécution forcée en nature
2.1.2. L’exception d’inexécution
2.1.3. La résolution du contrat
2.2.La réparation du préjudice à l’épreuve de la rigueur probatoire et des barrières conventionnelles
2.2.1. La preuve du préjudice
2.2.2. L’éviction des clauses limitatives de responsabilité
2.2.3. De l’arrêt Boot Shop à l’arrêt Clamageran : l’opposabilité des limitations de responsabilité aux tiers
2.2.4. L’encadrement effectif de l’indemnisation par les clauses limitatives
III– Décisions marquantes aux frontières du contentieux contractuel informatique
3.1.Le contentieux du logiciel libre
3.1.1.Logiciel libre et devoir d’information
3.1.2.La violation des licences libres et l’action en contrefaçon
3.2.De l’indemnité de résiliation à la clause pénale : le contrôle juridictionnel des mécanismes de sortie
3.2.1.L’indifférence affirmée du juge à la qualification contractuelle retenue par les parties
3.2.2.Un contrôle renforcé du caractère manifestement excessif de l’indemnité
I. LES FAITS CONSTITUTIFS DE L’EXÉCUTION DÉFAILLANTE DANS LES CONTRATS INFORMATIQUES
1.1. Le devoir de conseil du prestataire informatique : une obligation rigoureusement appréciée par les juridictions
1.1.1. Le devoir de conseil précontractuel : l’application exigeante de l’article 1112-1 du code civil aux contrats informatiques
CA Douai, 17 oct. 2024
La jurisprudence rendue en 2024 et 2025 confirme que ce devoir s’impose avec une intensité particulière au prestataire informatique, tenu d’éclairer son cocontractant non seulement sur l’adéquation de la solution proposée aux besoins exprimés, mais également sur ses limites structurelles.
Dans un arrêt remarqué du 17 octobre 2024, la cour d’appel de Douai prononce la nullité du contrat de fourniture de licences et de prestations associées pour vice du consentement, en retenant un manquement caractérisé à l’obligation d’information du prestataire à l’égard d’un client profane (17 oct. 2024, n° 23/01696).
La cour, après avoir visé le devoir d’information de l’article 1112-1 du Code civil et les conditions de l’erreur déterminante de l’article 1130 du même code, rappelle que « Afin de permettre de donner un consentement éclairé, la jurisprudence a imposé un devoir de conseil pesant sur le fournisseur d’un produit complexe, et cela vaut tout spécialement en matière d’informatique (Com.,11 juillet 2006, pourvoi no 04-17.093). Ce devoir de conseil consiste à rechercher une solution qui soit adaptée aux besoins du client et à le mettre en garde contre les difficultés que présente l’implantation et l’exploitation d’un équipement présentant une certaine complexité (Cass. com., 20 juin 2018, n° 17-14.742) ».
La cour relève qu’en l’espèce le prestataire n’avait pas informé son client, avant la conclusion du contrat, du fait que les paramétrages standards seraient insuffisants pour répondre aux besoins exprimés et qu’un développement spécifique serait nécessaire. Elle souligne que le client pouvait « légitimement comprendre » que la solution proposée permettrait d’atteindre l’objectif fonctionnel poursuivi, et que cette erreur était excusable au regard de la technicité du projet.
CA Lyon, le 28 mai 2025
Cette décision illustre une position jurisprudentielle établie selon laquelle le devoir d’information porte non seulement sur les caractéristiques objectives de la solution, mais également sur ce que le client est en droit de comprendre de l’offre, au regard des échanges précontractuels.
Une telle approche est cohérente avec le récent arrêt de principe de la Cour de cassation rendu le 14 mai 2025, aux termes duquel la Cour précise que le devoir d’information précontractuelle « ne porte que sur les informations qui ont un lien direct et nécessaire avec le contenu du contrat ou la qualité des parties, et dont l’importance est déterminante pour le consentement de l’autre partie » (Cass. com., 14 mai 2025, n° 23-17.948, publié au Bulletin).
La rigueur avec laquelle les juridictions apprécient l’étendue du devoir de conseil du prestataire informatique ressort également d’un arrêt rendu par la Cour d’appel de Lyon le 28 mai 2025 (n° 21/08394), dans lequel la cour rappelle que le prestataire, en sa qualité de professionnel d’une solution technique complexe doit se renseigner, en amont de la conclusion du contrat, sur les besoins de son client afin de lui proposer un produit adapté à ceux-ci et ainsi s’assurer de l’adéquation réelle du produit proposé auxdits besoins.
La cour estime qu’il résulte des éléments produits « que la société Cisa a fourni un progiciel à la société Sodifalux sans vérifier, au préalable, l’adéquation de son produit aux besoins du client. Le fait que les conditions générales du contrat excluait ‘la confection des jeux d’essai spécifiques au client’ est sans effet sur l’obligation précontractuelle du prestataire informatique, de conseiller une solution informatique adaptée aux besoins de son client avant que celui-ci ne s’engage. De plus, le fait que l’ERP soit paramétrable ne signifiait pas pour autant qu’il répondrait nécessairement aux attentes de la société Sodifalux et qu’il serait compatible avec les méthodes de travail de celle-ci. Or, la société Cisa ne justifie pas avoir préalablement recherché quelles étaient ces méthodes de travail ni avoir, en conséquence, attiré l’attention de la société Sodifalux sur les changements de pratiques qu’impliquerait l’utilisation de son progiciel par rapport à l’outil existant ».
La cour prononce dans ce contexte la nullité du contrat au motif que le manquement à l’obligation précontractuelle d’information et de conseil avait entraîné l’erreur de la société Sodifalux.
On retrouve une application de cette rigueur dans l’arrêt rendu par la cour d’appel de Rouen le 5 juin 2025 (n° 24/00139).
• Analyser activement les besoins : mener une véritable analyse des besoins, formaliser les investigations (ateliers, audit, questionnaire) et en conserver la trace écrite.
• Documenter les limites de la solution : identifier et signaler explicitement les limites du standard et les développements nécessaires.
• Alerter sur les impacts organisationnels au regard des méthodes de travail du client et des adaptations internes requises.
• Sécuriser la preuve de l’information délivrée : tracer la communication des présentations délivrées, des comptes rendus, des réserves.
1.1.2 Le devoir de conseil contractuel : une obligation renforcée tout au long de l’exécution du projet
Au-delà de la phase précontractuelle, les décisions rendues en 2024 et 2025 confirment, si besoin était, que le devoir de conseil irrigue l’ensemble de l’exécution du contrat informatique. Le prestataire demeure tenu d’alerter son client sur les risques, insuffisances ou incohérences affectant le projet, y compris lorsque ces difficultés apparaissent en cours de déploiement.
CA Rennes, 19 novembre 2024
Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes (n° 23/04627) retient la responsabilité contractuelle du prestataire informatique pour manquement à son obligation d’information et de conseil, à la suite d’une cyberattaque ayant entraîné le chiffrement complet du système d’information du client. La cour juge qu’il appartenait au prestataire, s’il estimait les besoins exprimés imprécis, de solliciter des compléments, voire de conseiller expressément sur l’architecture nécessaire à la sécurisation des données, et de signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées.
Concernant la présence d’un service informatique interne, utilisé comme argument par le prestataire pour tenter de se soustraire à ses obligations d’information et de conseil en matière de sécurité, la cour souligne que celui-ci était constitué de trois personnes « qui ne pouvaient se voir attribuer les mêmes compétences expertales que celles qui sont revendiquées par la société MISMO qui s’affiche spécialiste en matière de cybersécurité ».
CA Rouen, 5 juin 2025
On retrouve une application de la rigueur avec laquelle les tribunaux apprécient l’obligation de conseil du prestataire dans l’arrêt de la cour d’appel de Rouen le 5 juin 2025 (n° 24/00139), qui n’hésite pas à qualifier le prestataire, lorsqu’il a affaire à un client peu expérimenté, de « débiteur d’une obligation de conseil renforcée ».
Dans cette affaire, la cour confirme le jugement de première instance en ce qu’il avait prononcé la résolution du contrat aux torts exclusifs du prestataire au motif en particulier que « Il appartenait à la SAS Webaxys, avant de proposer sa solution informatique, d’établir quels étaient les besoins effectifs de la SAS Editions [F] à [F] et le simple fait qu’il puisse exister un litige sur le caractère essentiel ou pas du service de transfert de fichiers démontre que la SAS Webaxys n’a pas satisfait à cette obligation ».
Si les frontières entre les manquements précontractuels et contractuels à l’obligation de conseil sont ténues, la jurisprudence rendue en 2024 et 2025 met en évidence que cette obligation, appréhendée comme une exigence continue pesant sur le prestataire informatique, est une source de risques importante pour ce dernier, dont l’exposition contentieuse pourrait être sensiblement accrue si la solution retenue par la cour d’appel de Paris dans son arrêt du 10 janvier 2025 (commenté dans le présent article) devait s’inscrire dans une dynamique jurisprudentielle plus large.
L’intensité de ce devoir, conjuguée aux conséquences particulièrement lourdes attachées à son non-respect, impose au prestataire une vigilance accrue tant lors de la formation du contrat que tout au long de son exécution.
N.B. : L’obligation de collaboration du client : un contrepoids rarement exonératoire
Si les juridictions rappellent de manière constante que le devoir de conseil du prestataire a pour corollaire une obligation de collaboration du client, lequel doit fournir les informations nécessaires à l’analyse de ses besoins, notamment par l’établissement d’un cahier des charges, l’examen de la jurisprudence récente démontre que cette obligation est rarement retenue comme exonératoire.
Dans l’arrêt du 17 octobre 2024 (déjà cité), la cour d’appel de Douai écarte ainsi l’argument tiré de l’absence de cahier des charges. Le défaut de formalisation imputable au client ne saurait, dans le contexte de ce litige, neutraliser le manquement du prestataire à son obligation de conseil auquel il appartenait le cas échéant d’émettre des réserves ou de solliciter des précisions.
• Exercer un devoir d’alerte continu : signaler en cours d’exécution les risques techniques, insuffisances d’architecture ou failles de sécurité identifiées.
• Formaliser les réserves en cas d’imprécision : solliciter des précisions sur les besoins et tracer les alertes émises.
• Assumer un rôle d’architecte technique : lorsque le prestataire fait état d’une expertise spécifique (cybersécurité, ERP, SaaS, etc.), il doit conseiller activement sur les choix structurants (architecture, sauvegardes, sécurité).
• Tracer les alertes en cours de projet : conserver la preuve des recommandations formulées, des arbitrages proposés et des refus éventuels du client.
1.2 L’inexécution contractuelle retenue malgré la signature de procès-verbaux de recette ou la mise en production
CA Paris,22 mars 2024
Plusieurs décisions récentes rappellent avec constance que la signature d’un procès-verbal de recette ne constitue ni un quitus général ni un obstacle automatique à la reconnaissance ultérieure d’une inexécution contractuelle.
Dans un arrêt du 22 mars 2024, la cour d’appel de Paris (Pôle 5, chambre 11, n° 21/16505) retient la responsabilité contractuelle de l’intégrateur, la société Prodware, pour manquement à son obligation de délivrance conforme, en dépit de l’existence d’un procès-verbal de recette. La cour relève que ce document, comportant des réserves substantielles et signé sans qu’il soit justifié de la réalisation des phases de tests prévues, ne pouvait valoir acceptation définitive de la solution, et ce même si les dysfonctionnements concernés n’avaient pas été recensés de façon exhaustive dans le procès-verbal de recette. Elle souligne en outre que les dysfonctionnements pouvaient être établis par tous moyens, indépendamment de la recette.
La Cour rejette également l’argumentation de la société Prodware basée sur le fait que le client avait réglé les factures et utilisé la solution logicielle au motif que la société cliente explique « de façon plausible, qu’elle a été contrainte de s’en servir, malgré ses dysfonctionnements, pour éviter de cesser toute activité, faute de disposer d’une solution de remplacement ».
CA Versailles , 5 mars 2024
Dans la même logique, dans une décision rendue le 5 mars 2025, la cour d’appel de Versailles (Chambre commerciale 3-1, n° 22/06503) retient que la signature d’un procès-verbal de réception ne saurait en aucune façon exonérer le prestataire dès lors que le rapport d’audit du code source du site internet concerné ainsi que la note technique établie par un sachant démontrent clairement que le site était impropre à une mise en production et que les anomalies affectant des fonctionnalités basiques du logiciel caractérisent la faute du prestataire dans l’exécution de ses obligations. Pour parvenir à cette conclusion, la Cour relève en outre que la procédure de recette contractuellement prévue n’avait pas été respectée.
CA Bordeaux, 11 juin 2025
La même position est adoptée par la cour d’appel de Bordeaux dans un litige concernant le développement d’un site Internet en contravention avec la réglementation sur la protection des données personnelles. Dans cette affaire (4e ch. com., 11 juin 2025, n° 23/02206, commenté plus bas), la cour, qui retient la responsabilité du prestataire, précise que celui-ci « ne peut davantage invoquer le fait que le site a donné lieu à la signature d’un procès-verbal de livraison et de conformité, le 19 novembre 2019, alors que la non-conformité relative à la réglementation sur la protection des données n’était pas apparente pour la société Agrilene, et que ce procès-verbal ne pouvait caractériser la mise au point effective et complète du site Internet ».
Cette position trouve logiquement sa limite lorsque le client est défaillant dans la production des manquements ou non conformités. Ainsi la cour d’appel de Bordeaux, 5 mars 2024, (N° 22/00731) rappelle que la signature d’un procès-verbal de conformité, lorsqu’il n’est suivi d’aucune réclamation, peut valablement participer au prononcé de la résolution du contrat aux torts du client.
• Ne pas assimiler la signature d’un procès-verbal de recette à une validation définitive de la conformité : en présence d’anomalies substantielles ou d’une impropriété à la mise en production, la responsabilité contractuelle peut être retenue malgré la signature du PV.
• S’assurer du strict respect du processus contractuel de recette : veiller à la réalisation effective des phases de tests prévues, à la formalisation des réserves et à leur levée documentée conformément à la clause.
• Conserver la preuve des corrections apportées et des validations obtenues : la charge probatoire sera déterminante en cas de contestation ultérieure.
1.3. Cyberattaques : la responsabilité du prestataire conditionnée par l’étendue de ses engagements contractuels
Les contentieux liés aux cyberattaques se sont multipliés en 2024–2025, dans un contexte de recrudescence des incidents de sécurité affectant les systèmes d’information. Face à ces litiges, les quelques exemples envisagés ci-après illustrent le fait que les juridictions se montrent particulièrement attentives au périmètre des obligations contractuelles, considérant que la prise en compte du risque cyber s’impose au prestataire dès lors qu’elle est inhérente ou étroitement liée à la prestation confiée.
CA Versailles , 26 mars 2024
Dans un arrêt du 26 mars 2024, la cour d’appel de Versailles (n° 21/02906) retient la responsabilité contractuelle d’un prestataire informatique après une cyberattaque ayant entraîné une perte de données au sein d’un cabinet d’expertise comptable et de commissariat aux comptes, tout en procédant à une analyse fine de l’imputabilité, écartant certains griefs lorsque l’intervention d’un tiers ne permettait pas d’attribuer avec certitude la cause du sinistre au prestataire assigné. La cour met à la charge du prestataire, aux termes de cette analyse, plusieurs manquements précis : l’absence de mise en œuvre de la sauvegarde distante prévue, des dysfonctionnements persistants de la messagerie et surtout un défaut de sécurité résultant soit de l’absence d’installation de l’antivirus sur la totalité des postes soit d’un défaut de paramétrage suffisant pour empêcher sa suppression.
CA Rennes, 19 novembre 2024
Dans un arrêt du 19 novembre 2024, la cour d’appel de Rennes ( n° 23/04627) adopte une approche complémentaire en retenant un manquement au devoir d’information et de conseil dans le cadre d’un contentieux survenu à la suite d’une cyberattaque par rançonlogiciel ayant entraîné le chiffrement complet du système d’information du client. Elle juge que le prestataire, présenté comme expert, a manqué à son obligation d’informer clairement son client de la nécessité d’adapter le système de sauvegarde afin de garantir la restauration des données en cas de sinistre, faisant ainsi perdre à la société cliente une chance d’éviter le sinistre. La cour souligne que la circonstance que ces défaillances n’aient pas été détectées lors du recettage ne saurait exonérer le prestataire.
CA Lyon, 19 novembre 2024
À l’inverse, la cour d’appel de Lyon (2 mai 2024, n° 21/07309) refuse de retenir la responsabilité du prestataire à la suite d’une cyberattaque ayant trouvé son origine dans un logiciel tiers utilisé par ledit prestataire pour intervenir sur le réseau informatique de son client. La cour relève que le contrat litigieux portait uniquement sur une maintenance préventive, aucun service de sécurité ou d’antivirus ou de sauvegarde de données n’ayant été souscrit auprès dudit prestataire.
• Définir précisément le périmètre de vos engagements en matière de sécurité : distinguer clairement sauvegardes, supervision, maintenance, gestion des incidents, etc.
• Formaliser les alertes en cas de vulnérabilité identifiée : si l’architecture du client apparaît insuffisamment sécurisée, émettre des recommandations écrites et tracer les arbitrages.
• Conserver la preuve des corrections apportées et des validations obtenues : la charge probatoire sera déterminante en cas de contestation ultérieure.
• Vérifier que le contrat identifie clairement le rôle du prestataire en matière de cybersécurité : : maintenance technique et sécurisation du système d’information par exemple ne se confondent pas.
1.4. Obligation de moyens et obligation de résultat : une qualification toujours structurante
La distinction entre obligation de moyens et obligation de résultat demeure un point d’ancrage central du contentieux informatique.
CA Lyon,6 juin 2024
Dans un arrêt du 6 juin 2024, la cour d’appel de Lyon, n° 20/06586 rappelle, à l’occasion d’un projet ERP complexe, que le prestataire n’était tenu que d’une obligation de moyens, faute d’engagement contractuel clair sur un résultat déterminé. En l’absence de preuve d’un manquement aux diligences attendues, la responsabilité contractuelle du prestataire est écartée.
CA Douai, 19 septembre 2024
De même, la cour d’appel de Douai (12 septembre 2024, n° 22/03214), dans l’un des multiples contentieux faisant suite à l’incendie subi par OVH en 2021, refuse, après avoir rappelé que l’obligation principale d’OVH se limitait à la mise à disposition de serveurs conformes aux caractéristiques convenues dans le cadre d’une obligation de moyens, de mettre à la charge ce prestataire une obligation de résultat quant à la préservation des données, en l’absence de stipulation expresse relative aux sauvegardes.
• Qualifier explicitement la nature de vos obligations : indiquer clairement dans le contrat si vous êtes tenu d’une obligation de moyens ou de résultat pour chacun des principaux engagements.
• Ne pas laisser supposer un engagement de résultat implicite : éviter les formulations commerciales ou techniques pouvant être interprétées comme la garantie d’un résultat déterminé.
• Délimiter clairement les prestations souscrites : si aucune prestation de sauvegarde ou de sécurisation n’est prévue, le contrat doit l’indiquer expressément afin d’éviter toute extension de responsabilité.
• S’assurer que les résultats attendus sont contractuellement garantis : : à défaut de stipulation expresse, la preuve d’un manquement sera plus difficile à rapporter.
1.5. Quand la non-conformité RGPD emporte la résolution du contrat informatique
CA Aix-en-Provence
Certaines décisions récentes mettent en lumière des inexécutions liées à la non-conformité des prestations aux exigences de protection des données.
Dans un arrêt rendu en 2025, la cour d’appel de Bordeaux (11 juin 2025, n° 23/02206) admet la résolution d’un contrat portant sur la réalisation et l’exploitation d’un site internet, aux torts du prestataire, au motif que des manquements persistants aux règles relatives aux cookies et au recueil du consentement n’avaient pas été corrigés. La juridiction retient à cet égard un manquement à l’obligation de délivrance conforme, conforté par la position du prestataire qui affirmait, en réponse au courrier recommandé faisant état de la non-conformité du site à la réglementation sur la protection des données à caractère personnel, que ledit site respectait cette réglementation, alors que les procès-verbaux de l’huissier de justice mandaté par le client démontraient le contraire.
Notons que la mention contractuelle d’une obligation de moyens ne permet pas au prestataire en l’espèce d’échapper à la responsabilité, la cour estimant que « L’intimée ne peut utilement prétendre qu’elle n’était tenue à cet égard qu’à une obligation de moyens alors qu’il s’agit seulement de l’exécution d’une prestation technique pour laquelle elle disposait de la compétence nécessaire en qualité de spécialiste ».
Cette approche s’inscrit dans la continuité des arrêts rendus dans des affaires similaires, notamment l’arrêt du 13 mai 2025 rendu par la même cour d’appel de Bordeaux ( n° 23/02044).
• Intégrer les exigences RGPD dans la conception technique : lorsqu’une prestation porte sur la création ou l’exploitation d’un site, la conformité aux règles relatives aux cookies, au consentement et à la protection des données relève de la délivrance conforme.
• Ne pas se retrancher derrière une obligation de moyens de principe : lorsqu’il s’agit de la mise en œuvre d’une prestation technique relevant de votre expertise, le juge peut écarter cette qualification.
• Réagir immédiatement aux alertes de non-conformité : en cas de mise en demeure, vérifier concrètement la conformité et documenter les corrections apportées.
• Éviter toute affirmation non vérifiée de conformité : contester une non-conformité sans audit préalable peut aggraver l’exposition contentieuse.
• Faire constater techniquement les non-conformités : les constats d’huissier ou audits techniques sont souvent déterminants pour caractériser l’inexécution.
1.6 L’inexécution écartée faute de preuve suffisante des manquements allégués
Enfin, la jurisprudence rappelle avec constance que le contentieux de l’inexécution des contrats informatiques demeure avant tout un contentieux de la preuve.
CA Nancy,17 janvier 2024
La cour d’appel de Nancy le 17 janvier 2024,( n° 22/02669) rejette ainsi les demandes d’un client qui se fondait principalement sur des attestations internes, en l’absence d’expertise, avis technique ou constat extérieur venant corroborer ces éléments.
On notera que la cour souligne que la société cliente « ne justifie pas qu’elle aurait au préalable mis en demeure la société Pharmagest Interactive de remédier aux désordres allégués avant de lui notifier la résolution des contrats par LRAR » et qu’elle « n’invoque enfin aucune circonstance dont il résulterait qu’une telle mise en demeure préalable aurait été vaine ».
CA Lyon,6 juin 2024
De même, la cour d’appel de Lyon (6 juin 2024 – déjà citée) souligne que l’existence de difficultés techniques ne suffit pas à caractériser une inexécution contractuelle, dès lors que le client n’apporte pas la preuve de manquements imputables au prestataire.
• Tracer systématiquement l’exécution des diligences : conserver comptes rendus, tickets, rapports d’intervention et échanges techniques permettant d’établir les actions menées.
• Réagir aux griefs par des éléments techniques objectivés : en cas de contestation, produire audits, analyses ou expertises démontrant l’absence de manquement imputable.
• Sécuriser la phase précontentieuse : la mise en demeure, les réponses circonstanciées et les propositions correctives constituent des pièces déterminantes en cas de litige.
• Objectiver les manquements allégués : : attestations internes ou appréciations subjectives ne suffisent pas ; constats, expertises et preuves techniques sont décisifs.
II. LES SANCTIONS DE L’EXÉCUTION DÉFAILLANTE
2.1. Les mécanismes juridiques mobilisés par les juridictions
2.1.1 L’exécution forcée : la force obligatoire du contrat face aux évolutions stratégiques du fournisseur
L’exécution forcée en nature demeure peu fréquente en matière de contrats informatiques, mais une décision rendue en référé en 2024 en offre une illustration particulièrement marquante.
Par une ordonnance de référé du 19 juillet 2024, le tribunal de commerce de Paris, statuant dans l’affaire VMware, dans le contexte des suites de son acquisition par Broadcom, ordonne l’exécution forcée d’un contrat de licence informatique conclu dans le cadre d’un programme de licences d’entreprise globale.
Le fournisseur refusait d’honorer une commande additionnelle de licences perpétuelles, en invoquant un changement de stratégie commerciale consistant à abandonner ce modèle au profit d’offres par abonnement.
La juridiction relève que le contrat en cours ne comportait aucune stipulation contractuelle permettant à VMware de mettre fin de façon anticipée au contrat en cours ou à la seule clause de condition d’achat supplémentaire, et juge que le changement de politique commerciale ne saurait lui permettre de se soustraire à ses engagements contractuels. Elle ordonne en conséquence l’exécution forcée de la clause contractuelle litigieuse, sous astreinte.
• Anticiper contractuellement les évolutions stratégiques : prévoir des clauses permettant l’arrêt d’un modèle (licence perpétuelle, on-premise, etc.) ou la transition vers une nouvelle offre.
• Encadrer les droits d’extension ou d’achat additionnel : si le contrat prévoit des commandes complémentaires, en définir précisément la durée, les conditions et les limites.
• Mesurer le risque contentieux en cas de refus d’exécution : un changement de politique commerciale ne constitue pas un motif légitime d’inexécution.
S’assurer de la cohérence de la chaîne contractuelle : lorsqu’un prestataire dépend lui-même d’un éditeur ou d’un fournisseur tiers, il doit vérifier que ses propres engagements envers ses clients sont parfaitement alignés avec ceux dont il bénéficie en amont.
2.1.2 L’exception d’inexécution : un mécanisme de suspension strictement encadré
CA Toulouse, 17 décembre 2024
L’exception d’inexécution constitue un moyen de défense fréquemment invoqué par les clients confrontés à des prestations informatiques défaillantes.
Dans un arrêt du 17 décembre 2024, la cour d’appel de Toulouse ( n° 23/00046), juge que la gravité des dysfonctionnements affectant plusieurs progiciels justifie le refus de paiement opposé par le client sur le fondement de l’article 1219 du Code civil.
La cour retient, au vu d’un faisceau d’éléments probatoires (mails, journal d’assistance, constats d’huissier, analyse d’un expert près la cour d’appel requis à titre privé par le client), que les dysfonctionnements récurrents rendaient l’utilisation des logiciels très difficile, voire impossible, caractérisant un manquement à l’obligation de délivrance conforme.
La juridiction statue donc de la façon suivante : « La récurrence des dysfonctionnements constatés, l’impossibilité pour la cliente de poursuivre normalement ses activités professionnelles ainsi que la nécessité pour elle in fine de changer toute sa solution informatique établissent la gravité des manquements reprochés à l’intimé et justifient, au sens de l’article 1219 du code civil, que l’appelante lui oppose l’exception d’inexécution. La Sarl l’Orée Verte Immobilier donc est déchargée de son obligation de payer les 20 factures présentées par la Sas Septéo pour un montant de 16 572,22 euros ainsi que les pénalités de retard et l’indemnité forfaitaire de 720 euros ».
La cour relève toutefois que la société cliente n’a « jamais sollicité la résolution mais seulement la résiliation du contrat, prétention dont elle s’est désistée par ailleurs en appel » et en déduit que celle-ci « n’est pas fondée, sur sa seule prétention à l’exception d’inexécution, à demander le remboursement des sommes versées en cours d’exécution (…) ». Toutefois, la jurisprudence récente rappelle également que le recours à l’exception d’inexécution suppose une appréciation rigoureuse du comportement des deux parties et peut se retourner contre le client lorsqu’il est lui-même à l’origine des difficultés du projet. En ce sens, la cour d’appel de Paris, par un arrêt du 28 mars 2025 (n° 22/17649), refuse de faire droit aux griefs d’un client ayant suspendu le paiement des factures dans le cadre d’un projet d’implémentation d’un ERP SAP, alors même qu’il invoquait des retards et des manquements du prestataire.
Pour retenir que le prestataire avait satisfait à son obligation de moyens, la cour prend en considération, d’une part, le contexte du projet, marqué par la présence, côté client, d’un service informatique et d’un assistant à maîtrise d’ouvrage, révélant un niveau d’information suffisant sur les contraintes liées à l’adoption d’une solution SAP, et, d’autre part, l’attitude du prestataire au cours du projet, lequel a poursuivi l’exécution des prestations malgré le règlement tardif de l’acompte et formulé des propositions destinées à tenir compte des contraintes techniques de l’existant.
La cour confirme ainsi le jugement ayant retenu que la résiliation du contrat était intervenue aux torts exclusifs du client, illustrant le risque, pour ce dernier, de voir la suspension des paiements non seulement écartée, mais également prise en compte par le juge dans l’appréciation de l’origine des difficultés ayant conduit à la rupture du contrat.
• Réagir immédiatement à toute suspension de paiement : contester formellement l’exception d’inexécution si les manquements allégués ne présentent pas un caractère de gravité suffisant.
• Documenter les diligences accomplies et les propositions correctives : la démonstration d’une exécution conforme ou de solutions de remédiation peut neutraliser la suspension.
• Mettre en évidence les manquements du client : retards de paiement, défaut de collaboration, modifications unilatérales du périmètre peuvent priver l’exception d’inexécution de fondement.
• Mesurer la gravité des manquements avant toute suspension : l’exception d’inexécution suppose une inexécution suffisamment sérieuse et objectivée ; à défaut, la suspension peut être jugée fautive.
2.1.3 La résolution du contrat : la sanction centrale de l’inexécution grave
CA Rennes, 12 novembre 2024
La résolution du contrat demeure la sanction la plus radicale – et la plus fréquente – en cas d’inexécution grave, en particulier lorsque le projet est privé de toute utilité économique.
Dans un arrêt du 12 novembre 2024, la cour d’appel de Rennes ( n° 23/03039) prononce la résolution d’un contrat de développement informatique aux torts exclusifs du prestataire.
La cour relève que les prestations prévues au contrat n’ont pas été exécutées conformément aux engagements souscrits. Elle constate notamment que les lots contractuels ont été livrés de manière incomplète, que plusieurs fonctionnalités présentaient des anomalies non corrigées malgré les phases de recette, et que le prestataire n’établissait pas avoir livré une solution exploitable par le client.
La cour retient également un manquement au devoir de conseil, en relevant que l’architecture technique retenue, fondée sur une version spécifique de Microsoft Business Central, s’est révélée inadaptée aux besoins du client, sans que le prestataire ne se soit assuré, en amont, de la faisabilité technique de la solution proposée.
L’ensemble de ces éléments caractérise, selon la cour, une inexécution suffisamment grave pour justifier la résolution du contrat, laquelle est imputée exclusivement au prestataire.
Sur le plan des conséquences financières, la cour condamne le prestataire à restituer les sommes versées par le client, soit 751 477,20 € TTC, faute pour le prestataire de démontrer que les prestations réalisées avaient trouvé une utilité pour le client au sens de l’article 1229 du code civil.
2.2. La réparation du préjudice à l’épreuve de la rigueur probatoire et des barrières conventionnelles
La jurisprudence rendue en 2024 et 2025 illustre avec constance le fait que lorsque la responsabilité contractuelle du prestataire est retenue, l’indemnisation demeure non seulement subordonnée à une démonstration rigoureuse du préjudice et de son lien de causalité avec les manquements invoqués mais également de sa compatibilité avec les stipulations contractuelles, au premier rang desquelles figurent les clauses limitatives de responsabilité.
Toutefois, ce cadre classique connaît des bouleversements majeurs. Alors que la Cour d’appel de Paris, par un arrêt remarqué du 10 janvier 2025, pourrait ouvrir une voie vers l’éviction de ces clauses en cas de manquement contractuel au devoir de conseil, la Chambre commerciale de la Cour de cassation, dans une décision cardinale du 3 juillet 2024, vient redéfinir les équilibres en rendant ces limitations opposables aux tiers.
2.2.1 La preuve du préjudice : une étape incontournable à toute réparation
Un premier ensemble de décisions rappelle que la démonstration de l’inexécution ne suffit pas, à elle seule, à ouvrir droit à indemnisation. Les juridictions analysent avec exigence la preuve de l’existence, de la réalité et du quantum du préjudice.
CA Toulouse, 27 février 2024
Dans l’arrêt du 27 février 2024 de la cour d’appel de Toulouse (commenté plus bas), opposant la Sarl Timegene à la Sarl [T], relatif à la fourniture d’une application informatique non conforme aux engagements contractuels, la cour d’appel de Toulouse, après avoir prononcé la résolution du contrat aux torts exclusifs du prestataire, examine les conséquences indemnitaires de cette inexécution.
La juridiction rappelle d’abord que la résolution du contrat « implique de remettre les parties dans l’état dans lequel elles se trouvaient avant sa conclusion ». Elle condamne ainsi la société prestataire à restituer l’intégralité des sommes perçues, avec intérêts au taux de trois fois le taux d’intérêt légal à compter du 7 mars 2017.
En revanche, la Cour rejette la quasi-totalité des demandes indemnitaires formulées par la société Timegene, qui revendiquait un préjudice de près de 1,4 million d’euros au titre du manque à gagner. Elle lui alloue uniquement une somme de 10 000 euros au titre de la perte de chance.
Retenant que l’inexécution avait privé le client de la possibilité d’exploiter un logiciel fonctionnel, elle estime cependant qu’« il ne peut en être tiré avec certitude la conséquence, en l’absence de toute antériorité d’exploitation de ladite application inédite jusqu’alors, de la perte de revenus tirés de celle-ci, et encore moins de revenus constamment exponentiels pour les trois premières années d’exploitation ».
La cour relève que les préjudices allégués – notamment des pertes d’exploitation et des surcoûts internes – n’étaient étayés par aucun élément objectif permettant d’en apprécier la réalité ni l’imputabilité directe aux manquements du prestataire.
CA Bordeaux, 2 décembre 2024
Cette rigueur probatoire se retrouve dans l’arrêt de la cour d’appel de Bordeaux du 2 décembre 2024 ( n° 22/05370), qui confirme la condamnation d’un prestataire informatique pour manquement à son devoir de conseil, mais rejette la demande de réparation du préjudice d’exploitation faute de lien certain avec le retard d’installation, ainsi que dans celui de la cour d’appel d’Amiens le 22 février 2024 (chambre économique, n° 21/04655) dans lequel la cour écarte les demandes au motif que des estimations internes ou des projections non corroborées par des éléments comptables ne permettent pas d’établir l’existence d’un préjudice indemnisable avec suffisamment de certitude.
• Soumettre le quantum du préjudice à une analyse rigoureuse : la démonstration de l’inexécution ne dispense pas le client d’établir la réalité et le montant de son dommage.
• Exiger la preuve du lien de causalité direct : pertes d’exploitation, manque à gagner ou surcoûts internes doivent être strictement imputables aux manquements retenus.
• Vérifier la solidité des projections financières : les estimations internes ou scénarios hypothétiques peuvent être écartés en l’absence d’éléments comptables objectivés.
• Distinguer restitution et indemnisation : la résolution entraîne une remise en état, mais les demandes complémentaires supposent une preuve autonome et rigoureuse.
• Anticiper la preuve du préjudice dès la phase précontentieuse : constats, expertises, pièces comptables et éléments chiffrés sont indispensables pour éviter une indemnisation symbolique.
2.2.2. L’éviction de la clause limitative : entre caractère dérisoire et périmètre d’application
L’indemnisation dérisoire comme cause de nullité
CA Amiens, 22 février 2024
La Cour d’appel d’Amiens, dans son arrêt du 22 février 2024, rappelle avec fermeté que la validité d’une telle clause est conditionnée par le maintien d’une indemnisation réelle.
Dans cette affaire, la combinaison de plusieurs stipulations aboutissait à une exclusion quasi-totale des préjudices prévisibles.
La Cour écarte ces stipulations en jugeant que : « Si une clause limitative de responsabilité est valable dès lors que l’indemnisation n’est pas dérisoire et que peut être considéré comme non dérisoire une limitation au montant du contrat, en l’espèce, l’article 4, qui exclut l’indemnisation de tout préjudice indirect telles les pertes de données, perte d’exploitation, perte de marge et/ou de bénéfices, frais financiers directs et perte d’image de marque, associé à l’article 3, qui n’indemnise que les dommages matériels directs, caractérise une volonté du fournisseur d’indemniser de façon dérisoire le client en cas de manquement grave de sorte que ces clauses ne sont pas valables ».
CA Paris, 10 janvier 2025
Une évolution notable pourrait se dessiner avec l’arrêt de la cour d’appel de Paris du 10 janvier 2025 ( n° 22/11677) dans lequel le juge utilise une technique d’interprétation stricte pour neutraliser la limitation de responsabilité. Le prestataire invoquait l’article « Responsabilité de PayPlug » de ses conditions générales de vente qui couvrait de nombreuses hypothèses.
Or, la Cour estime qu’au regard des manquements retenus, ces limitations sont inapplicables et écarte en conséquence l’application des stipulations contractuelles limitatives de responsabilité du prestataire :
« La responsabilité de la société PayPlug est ici recherchée non en sa qualité de prestataire de services de paiement au sens du code monétaire et financier mais en en tant que fournisseur d’une interface de programmation pour l’utilisation de laquelle elle a continué à donner des conseils à son client en cours d’exécution du contrat.
L’article 24.2 des conditions générales de vente relatif à la limitation de la responsabilité de PayPlug n’est donc pas applicable. (…) Enfin l’exonération prévue à l’article 24.1 « au titre de tous dommages ou préjudices indirects ou immatériels qui pourraient résulter de l’inexécution ou de l’exécution défectueuse des services prévus aux présentes CGV par PayPlug » ne trouve pas davantage à s’appliquer dans la mesure où c’est bien un défaut d’information et de conseil qui est reproché à PayPlug et non une défaillance de son interface ».
Si cette décision peut suggérer que les clauses limitatives de responsabilité, souvent rédigées pour couvrir des défaillances techniques, peuvent être déclarées inapplicables lorsque la faute retenue est un manquement à une obligation intellectuelle (conseil, mise en garde), jugée extérieure au périmètre de la limitation conventionnelle, il paraît toutefois approprié d’accueillir cette interprétation avec prudence : la sévérité des juges pourrait ici être corrélée à la persistance du prestataire dans des préconisations inadaptées alors que le risque de fraude était déjà avéré.
• Veiller à ce que la limitation ne rende pas l’indemnisation dérisoire : la combinaison d’exclusions (préjudices indirects, pertes d’exploitation, etc.) ne doit pas aboutir à vider de sa substance l’engagement contractuel.
• Définir précisément le périmètre d’application de la clause : s’assurer qu’elle couvre l’ensemble des prestations réalisées, y compris les obligations connexes.
• Anticiper le risque d’interprétation stricte : en cas de manquement au devoir de conseil, le juge peut considérer que la clause ne s’applique pas si sa rédaction vise principalement les défaillances techniques.
• Analyser la combinaison des clauses : même valables en principe, les limitations peuvent être écartées si elles conduisent à une indemnisation illusoire ou si elles ne couvrent pas le manquement retenu.
2.2.3 De l’arrêt Boot Shop à l’arrêt Clamageran : l’encadrement contractuel des actions des tiers
Le contentieux informatique se caractérise souvent par une pluralité d’acteurs où des tiers au contrat subissent les conséquences d’une exécution défaillante. Se pose alors la question de l’opposabilité aux tiers des limitations de responsabilité stipulées au contrat.
Jusque récemment, la jurisprudence issue de l’arrêt Boot Shop (Cour de cassation, Assemblée plénière, 6 octobre 2006, 05-13.255), confirmée par l’arrêt Bois Rouge (Cour de cassation, Assemblée plénière, 13 janvier 2020, 17-19.963), créait une situation d’asymétrie : le tiers pouvait invoquer un manquement contractuel sur le fondement délictuel pour obtenir réparation, sans que le prestataire ne puisse lui opposer les plafonds de responsabilité prévus au contrat. Cette asymétrie conduisait les praticiens à aménager contractuellement, au profit du prestataire, la gestion du risque lié aux actions de tiers, le plus souvent par la mise en place de mécanismes de garantie à la charge du client, seule partie à laquelle les stipulations contractuelles étaient opposables de façon certaine.
Cass.com., 3 juillet 2024
L’arrêt Clamageran, rendu par la chambre commerciale de la Cour de cassation le 3 juillet 2024 (n° 21-14.947), met fin à cette situation, aux termes d’une motivation claire et justifiée :
« Pour ne pas déjouer les prévisions du débiteur, qui s’est engagé en considération de l’économie générale du contrat et ne pas conférer au tiers qui invoque le contrat une position plus avantageuse que celle dont peut se prévaloir le créancier lui-même, le tiers à un contrat qui invoque, sur le fondement de la responsabilité délictuelle, un manquement contractuel qui lui a causé un dommage peut se voir opposer les conditions et limites de la responsabilité qui s’appliquent dans les relations entre les contractants ».
Cette décision constitue un véritable changement de paradigme. Elle assure au prestataire une prévisibilité économique : son exposition financière est désormais plafonnée au montant négocié, quel que soit le demandeur (cocontractant ou tiers).
Cass.com., 17 décembre 2025
Cette solution a été étendue, comme on pouvait légitimement s’y attendre, par un arrêt de la même chambre de la Cour de cassation du 17 décembre 2025 (chambre commerciale, n° 24-20.154). La Haute juridiction y confirme que l’opposabilité au tiers ne se limite pas aux seuls plafonds indemnitaires, mais s’étend également à certaines clauses annexes, telles que les clauses de forclusion, de prescription aménagée ou de conciliation préalable, dès lors qu’elles participent de l’encadrement contractuel de la responsabilité.
La Cour casse donc et annule l’arrêt rendu le 8 juin 2023 par la cour d’appel d’Aix-en-Provence, aux termes de l’attendu suivant :
« Vu l’article 1240 du code civil (…) Pour rejeter les fins de non-recevoir tirées de la forclusion, de la prescription, du défaut de tentative de conciliation préalable, fondées sur le non-respect de clauses de la lettre de mission, l’arrêt retient que les clauses de la lettre de mission signée entre la société France comptabilité et la société VPS ne peuvent être opposées à M. [S] qui ne s’y est pas obligé à titre personnel. En statuant ainsi, la cour d’appel à violé le texte susvisé ».
Désormais, le tiers qui se prévaut du contrat doit en accepter la « loi » interne, y compris mécanismes procéduraux qu’il institue.
• Considérer la clause limitative comme un outil structurant de gestion du risque : cette clause demeure un pilier de l’équilibre économique du contrat, en particulier dans les projets à forte exposition technique ou financière.
• Rédiger la clause en anticipant les actions de tiers : le plafond indemnitaire et les mécanismes d’encadrement de la responsabilité doivent être formulés de manière suffisamment claire et générale pour être opposables, y compris en cas d’action fondée sur un manquement contractuel invoqué par un tiers.
• Veiller à la lisibilité du plafond et de son périmètre : le montant, les exclusions et les conditions d’application doivent être compréhensibles et cohérents afin de limiter les risques d’interprétation restrictive par le juge, en ce compris en cas d’action de tiers.
• L’invocation d’un manquement contractuel peut emporter application des conditions et limites prévues au contrat : l’action délictuelle ne garantit plus, à elle seule, un contournement des mécanismes conventionnels d’encadrement de la responsabilité.
2.2.4. L’indemnisation du préjudice neutralisée ou marginalisée par le jeu des clauses limitatives
Lorsque les clauses limitatives de responsabilité franchissent les tests de validité et d’opposabilité, elles définissent le cadre de la réparation. La jurisprudence de 2024 et 2025 illustre la manière dont les clauses limitatives de responsabilité, une fois déclarées applicables, encadrent strictement les préjudices indemnisables ainsi que le quantum des dommages et intérêts, tout en faisant une application rigoureuse de leurs modalités de calcul.
La neutralisation par la qualification de « dommages indirects »
CA Toulouse, 17 décembre 2024
L’arrêt de la cour d’appel de Toulouse du 17 décembre 2024 (L’Orée Verte) constitue une illustration caractéristique de cette situation.
Malgré la reconnaissance de manquements imputables au prestataire, et après avoir rappelé que « Les clauses prévues en l’espèce n’interdisent ni l’engagement de la responsabilité de la Sas Septéo, ni l’indemnisation du préjudice subi par la cliente mais limitent celle-ci aux préjudices directs et prévisibles (…) », la cour refuse toutefois d’indemniser les préjudices économiques invoqués.
La cour relève l’absence d’éléments probants permettant d’établir la réalité et l’évaluation des préjudices invoqués, mais elle retient surtout que ceux-ci relèvent, en tout état de cause, de chefs de préjudice contractuellement exclus en tant que dommages indirects, notamment la perte de clients et la perte de chiffre d’affaires :
« Outre que la Sarl l’Orée Verte Immobilier ne produit aucun élément de nature à attester de ces divers préjudices et encore moins des montants demandés, la cour constate qu’il s’agit uniquement de chefs de préjudices contractuellement exclus de toute indemnisation comme entrant dans la liste des préjudices indirects non pris en charge par la Sas Septéo ».
L’application du plafond par année contractuelle
CA Paris, 27 novembre 2025
L’arrêt de la cour d’appel de Paris du 27 novembre 2025 (n° 24/14708) (rendu sur renvoi après cassation) apporte une illustration intéressante de la mise en œuvre d’un plafond de responsabilité dans un contrat de services informatiques. Dans cette affaire opposant la société FMGC à la société ADP Europe, la cour valide l’application du plafond de responsabilité mais en fait une application qui n’est pas sans conséquence pour le prestataire.
Les conditions générales du contrat « Limitation de responsabilité » stipulaient que « (…) au cas où la responsabilité d’ADP serait engagée au titre du présent contrat, sur quelque fondement que ce soit, il est convenu que l’indemnisation cumulée qui pourrait être réclamée à ADP au titre d’une année civile en vertu du présent contrat pour les dommages directs subis par le client, sera limitée à six (6) fois le montant moyen de la redevance mensuelle calculée sur la base du coût mensuel visé à l’article « Budget d’exploitation ‘ Services Zadig Vision » de l’annexe « conditions financières » payé ou dû par le client à ADP pendant ladite année civile ». Or, la Cour relève que « le dommage a duré 15 mois », couvrant ainsi deux années contractuelles distinctes.
En retenant que le dommage s’était étendu sur deux années contractuelles distinctes, la cour fait une application cumulative du plafond de responsabilité, conduisant à la condamnation du prestataire au paiement d’une indemnité globale d’environ 30 000 euros. Si ce montant demeure sensiblement inférieur à la perte financière établie par le client, évaluée à 95 000 euros, la décision illustre néanmoins les conséquences potentiellement lourdes d’une rédaction du plafond indexée sur l’année contractuelle, en ce qu’elle expose le prestataire à un cumul des plafonds lorsque le dommage se prolonge dans le temps.
• Structurer l’exclusion autour des catégories de risques économiques identifiés : plutôt que de se limiter à une qualification formelle de “dommages indirects”, viser expressément les postes de préjudice sensibles (perte de chiffre d’affaires, perte d’exploitation, perte de données, atteinte à l’image, etc.) en les excluant de manière autonome.
• Vérifier la cohérence entre exclusion et plafond : la combinaison des deux mécanismes doit être lisible et ne pas fragiliser la clause au regard de son équilibre global.
• Soigner la rédaction des plafonds indexés dans le temps : lorsque le plafond est fixé “par année contractuelle” ou “par année civile”, anticiper le risque de cumul en cas de dommage continu ou prolongé.
• Analyser les scénarios de sinistre récurrents : un dommage s’étendant sur plusieurs périodes peut mécaniquement multiplier les plafonds applicables si la clause ne borne pas explicitement le cumul.
• Examiner attentivement la qualification des préjudices : la reconnaissance d’un manquement ne garantit pas l’indemnisation si le dommage entre dans une catégorie contractuellement exclue ou plafonnée.
III.DÉCISIONS MARQUANTES AUX FRONTIÈRES DU CONTENTIEUX CONTRACTUEL INFORMATIQUE
Longtemps marginales, la jurisprudence relative aux logiciels libres s’est enrichie de plusieurs arrêts significatifs ces dernières années, traduisant l’entrée de ces problématiques dans le contentieux informatique de droit commun. Cette évolution semble accompagner l’usage désormais massif de composants open source dans les projets informatiques, dont les enjeux juridiques se cristallisent progressivement devant les juridictions. Parmi ces décisions, certaines retiennent particulièrement l’attention, tant par l’affirmation des exigences pesant sur le devoir de conseil du prestataire intégrant des logiciels sous licence libre que par la clarification, attendue, des conditions dans lesquelles la violation d’une licence libre peut fonder une action en contrefaçon.
3.1. Le contentieux du logiciel libre
3.1.1 Logiciel libre et devoir d’information
CA Toulouse, 27 février 2024
L’arrêt rendu par la cour d’appel de Toulouse le 27 février 2024 (n° 21/01022 ) constitue une décision de référence en matière de devoir d’information du prestataire informatique lorsqu’il recourt à des logiciels libres, dans le cadre d’un projet de développement applicatif complexe.
Dans cette affaire qui opposait la SARL Timegene à son prestataire, la Sarl [T], concernant la livraison d’une application informatique non conforme aux engagements contractuels et au cahier des charges, la cour d’appel de Toulouse, après avoir noté que « la prestation à laquelle la Sarl [T] s’était engagée était particulièrement complexe et que le contrat initial est très lacunaire quant à la description précise de celle-ci » et en dépit de certains comportement du client tel que celui consistant à se soustraire à des tests en refusant notamment d’utiliser l’outil collaboratif mis à sa disposition par l’intimée ou en s’y rendant mais sans faire retour de ses observations, retient néanmoins la responsabilité contractuelle de la Sarl [T] pour non-conformité de la prestation et prononce la résolution du contrat à ses torts exclusifs sur le fondement de l’ancien article 1184 du Code civil.
Parmi les manquements caractérisés, la cour identifie expressément un grief tenant à l’usage de logiciels libres, formulé en des termes particulièrement explicites :
« Il est constant qu’au terme de son devoir d’information, le prestataire qui fournit un logiciel comportant des éléments empruntés de logiciels libres est tenu d’en informer son client, notamment de la nature de licence spécifique sur ces développements et de communiquer les licences associées ».
Ce manquement n’est pas présenté comme la cause unique de la résolution, mais il est intégré au faisceau d’indices caractérisant l’inexécution contractuelle globale du prestataire.
La décision s’inscrit dans la continuité de la jurisprudence relative au devoir d’information du prestataire informatique, mais elle présente un intérêt particulier en ce qu’elle individualise clairement l’usage de composants open source comme une information juridiquement déterminante, indépendamment de toute discussion sur leur qualité technique.
Les décisions rendues en 2024 s’inscrivent dans la continuité de la clarification opérée par la Cour de cassation sur le fondement de l’action ouverte en cas de non-respect des licences de logiciels libres, en confirmant que de tels manquements sont susceptibles de relever du droit de la contrefaçon, conformément aux principes dégagés par la jurisprudence européenne, sans que l’existence d’un lien contractuel fasse obstacle à l’action du titulaire des droits.
Cette évolution trouve son expression la plus aboutie dans l’arrêt rendu le 14 février 2024 par la cour d’appel de Paris, statuant sur renvoi après cassation dans le litige opposant la société Entr’Ouvert à la société Orange.
La cour de renvoi déclare recevable l’action en contrefaçon engagée par l’éditeur du logiciel libre, alors même que les sociétés étaient liées par un contrat de licence. Elle rappelle que la violation des clauses essentielles de la licence GNU-GPL (notamment en cas de modification et de distribution non conformes) constitue une atteinte aux droits patrimoniaux d’auteur, ouvrant droit à l’action en contrefaçon.
La solution adoptée par la Cour d’appel de Paris s’inscrit dans le droit fil de l’arrêt de la Cour de cassation, 1re chambre civile, 5 octobre 2022 (n° 21-15.386), rendu dans cette même affaire.
La Cour de cassation avait alors censuré l’arrêt d’appel en énonçant le principe essentiel suivant : « Dans le cas d’une atteinte portée à ses droits d’auteur, le titulaire, ne bénéficiant pas des garanties prévues aux articles 7 et 13 de la directive 2004/48/CE s’il agit sur le fondement de la responsabilité contractuelle de droit commun, est recevable à agir en contrefaçon. »
Autrement dit, l’action contractuelle ne saurait priver le titulaire des garanties renforcées du droit de la propriété intellectuelle. Cette exigence d’effectivité du droit d’auteur justifie que l’action en contrefaçon demeure ouverte, y compris en présence d’un lien contractuel.
La décision du 14 février 2024 s’inscrit dans un mouvement jurisprudentiel désormais stabilisé.
Dès le 8 décembre 2023, la cour d’appel de Paris (n° 21/19696) avait d’ailleurs fait application des principes dégagés par la Cour de cassation en 2022, en admettant la recevabilité d’une action en contrefaçon fondée sur le non-respect des limites contractuelles d’une licence logicielle.
CA Paris, 27 Janvier 2025
Plus récemment, la cour d’appel de Bordeaux, par un arrêt du 27 janvier 2025 (n° 20/03220), a confirmé que l’utilisation d’un logiciel libre en violation des conditions de licence peut caractériser une atteinte aux droits d’auteur, indépendamment de toute qualification strictement contractuelle.
En consacrant la possibilité pour le titulaire des droits d’agir sur le fondement de la contrefaçon en cas de non-respect des termes de la licence, y compris en présence d’un lien contractuel, les juridictions modifient sensiblement l’économie du risque juridique supporté par les utilisateurs de logiciels libres. Ceux-ci s’exposent désormais à un régime de responsabilité distinct et plus sévère, tant au regard des outils procéduraux mobilisables, tels que la saisie contrefaçon, que des modalités d’évaluation du préjudice.
Le non-respect des conditions de licence est ainsi susceptible de faire basculer le litige du terrain contractuel vers celui de la contrefaçon, avec l’ensemble des conséquences procédurales et indemnitaires attachées au droit de la propriété intellectuelle, indépendamment de la nature libre ou propriétaire du logiciel concerné.
• Mettre en place une politique interne de conformité open source : revue des licences, validation juridique en amont des projets, sensibilisation des équipes techniques.
• Identifier et tracer les composants open source intégrés : tenir un inventaire précis des briques utilisées (nature, version, licence applicable).
• Informer expressément le client de l’usage de logiciels libres : communiquer la nature des licences concernées et leurs principales obligations (copyleft, obligations de redistribution, etc.).
• Vérifier la compatibilité des licences avec le projet : certaines licences peuvent imposer des contraintes incompatibles avec le modèle économique ou les engagements contractuels souscrits.
• Exiger une transparence complète sur les composants open source utilisés : la nature des licences applicables peut avoir un impact sur l’exploitation, la maintenance et la valorisation du logiciel.
• Vérifier la conformité effective aux obligations de licence : l’existence d’un contrat avec le prestataire ne fait pas obstacle à une action en contrefaçon du titulaire des droits.
• Identifier les risques liés aux licences à fort copyleft : une mauvaise maîtrise de ces licences peut conduire à une obligation de divulgation du code source, susceptible d’affecter le caractère propriétaire des logiciels et, par voie de conséquence, de diminuer significativement la valeur patrimoniale de l’entreprise.
3.2. De l’indemnité de résiliation à la clause pénale : analyse jurisprudentielle d’un mécanisme de verrouillage contractuel
Les décisions rendues récemment en matière de contrats informatiques témoignent d’une approche pragmatique des juridictions face aux clauses financières organisant la sortie anticipée du contrat.
Qu’elles soient présentées comme des « indemnités de résiliation », des « frais de sortie » ou des « pénalités contractuelles », ces stipulations font l’objet, dans la majorité des cas, d’une requalification en clauses pénales, entraînant l’application du pouvoir de modération prévu par l’article 1231-5 du code civil, et plus rarement d’une qualification en clauses de dédit, lesquelles offrent à un contractant la faculté de se libérer de ses engagements moyennant le paiement d’une indemnité forfaitaire insusceptible de révision judiciaire.
3.2.1 L’indifférence affirmée du juge à la qualification contractuelle retenue par les parties
Les décisions récentes réaffirment, de manière particulièrement explicite, le principe selon lequel le juge n’est pas lié par la qualification donnée à la clause par le contrat.
CA Paris, 14 novembre 2025
Cette solution ressort avec force de l’arrêt rendu par la Cour d’appel de Paris le 14 novembre 2025 (n° 23/10750), dans une affaire relative à un contrat de prestations de services téléphoniques conclu pour une durée de 63 mois. La clause litigieuse prévoyait qu’en cas de résiliation anticipée par le client, celui-ci serait redevable « d’une indemnité de résiliation correspondant à 110% du montant global des redevance restant à courir jusqu’au terme du contrat », tout en précisant expressément que cette indemnité « ne saurait s’analyser en une clause pénale » mais constituait une faculté offerte au client de mettre fin de manière anticipée à ses engagements contractuels.
La cour écarte sans ambiguïté cette qualification contractuelle. Après avoir rappelé qu’elle tient de l’article 12 du code de procédure civile le pouvoir de restituer aux stipulations leur exacte qualification, elle relève que l’indemnité prévue avait pour objet de contraindre le client à exécuter le contrat jusqu’à son terme, en sanctionnant financièrement la rupture anticipée. Elle en déduit que la clause présente un caractère comminatoire, caractéristique de la clause pénale, et non une clause de dédit, peu important que le contrat la présente comme une simple faculté de sortie.
CA Toulouse, 9 septembre 2025,n° 23/10750,
Cette approche se retrouve également dans l’arrêt rendu par la Cour d’appel de Toulouse le 9 septembre 2025 (n° 23/02197), relatif à un contrat de maintenance informatique conclu pour cinq ans. La clause imposait au client, en cas de résiliation anticipée, le paiement de 95 % des redevances restant dues jusqu’à la fin du contrat. Là encore, la cour retient que la clause, qui vise à indemniser forfaitairement le prestataire du préjudice résultant de l’inexécution de l’engagement de durée, constitue une clause pénale, et non une clause de dédit, ouvrant la voie à son contrôle judiciaire.
3.2.2 Un contrôle renforcé du caractère manifestement excessif de l’indemnité
La requalification en clause pénale emporte une conséquence centrale, que les décisions de 2024 et 2025 exploitent pleinement : le pouvoir de modération du juge, exercé de manière concrète et circonstanciée.
CA Paris, 14 novembre 2025
Dans l’arrêt précité du 14 novembre 2025, la cour d’appel de Paris confirme la réduction opérée par les premiers juges, lesquels avaient diminué de manière significative une indemnité initialement fixée à près de 80 000 euros HT pour la porter à un montant de près de 55 000 euros TTC, se fondant notamment pour ce faire sur la possibilité pour le prestataire de redéployer ses moyens humains et techniques auprès d’autres clients.
CA Toulouse, 9 septembre 2025
Un raisonnement comparable est retenu par la cour d’appel de Toulouse dans son arrêt du 9 septembre 2025 (n° 23/02197), qui qualifie de manifestement excessive l’indemnité réclamée par le prestataire, correspondant à 95 % des sommes restant dues jusqu’au terme du contrat. La cour relève que cette indemnité contraignait le client à acquitter la quasi-totalité du prix d’une prestation qui ne serait plus exécutée, sans que le prestataire ne justifie d’un préjudice distinct de la seule perte des loyers, alors même qu’aucune contrepartie ne serait plus fournie.
Tenant compte, d’une part, de la nature de la prestation, dont l’essentiel consistait en la mise à disposition du logiciel métier exécutée dès le début du contrat, le solde des obligations se limitant principalement à des prestations de maintenance, et, d’autre part, du fait que le contrat avait été résilié quatre années avant son terme, la cour réduit l’indemnité à hauteur de 60 % des sommes restant dues jusqu’à l’échéance contractuelle.
Le contentieux relatif aux indemnités de résiliation anticipée dans les contrats informatiques entre en résonance avec les orientations retenues par le législateur européen dans le Data Act (Règlement (UE) 2023/2854 du 13 décembre 2023), lequel organise, au-delà des enjeux de portabilité des données, les conditions du changement de prestataire et de la réversibilité des services.
Tandis que le législateur européen organise, en amont, les conditions économiques du changement de prestataire afin de prévenir les mécanismes de verrouillage excessifs, le juge civil intervient, en aval, pour neutraliser les clauses qui, sous couvert d’indemnisation, tendent à rendre la faculté de sortie économiquement dissuasive, voire purement théorique.
• Ne pas se reposer exclusivement sur la qualification contractuelle retenue : l’intitulé d’« indemnité de résiliation » ou de « frais de sortie » ne fait pas obstacle à une requalification en clause pénale si la clause a pour fonction de sanctionner l’inexécution d’un engagement de durée.
• En cas de clause susceptible d’être qualifiée de clause pénale, justifier économiquement le montant de l’indemnité : le niveau retenu doit pouvoir être corrélé à un préjudice plausible (investissements initiaux, amortissement, coûts non récupérables), sous peine d’être modéré.
• Intégrer les exigences du Data Act dans les mécanismes de sortie : les clauses d’indemnité de résiliation et de frais de migration doivent être compatibles avec les obligations européennes relatives au changement de prestataire et à la réversibilité des services. Une indemnité économiquement dissuasive pourrait être fragilisée si elle entre en contradiction avec les principes de portabilité et de facilitation du changement de fournisseur consacrés par le Règlement (UE) 2023/2854.
Notre équipe vous accompagne dans la sécurisation juridique de vos contrats informatiques et la gestion des situations d’exécution défaillante, afin de maîtriser les risques contentieux et d’assurer la pérennité de vos projets IT.
Marion Depadt Bels
Avocat associé
IT – IP – DATA
Augustin Robert
Avocat associé
Contentieux des Affaires
Dimitri Chakarian
Avocat
Contentieux des Affaires