CA Paris, ch. com., 14 janvier 2020, n° 19/18332

I FAITS ET PROCÉDURE

1. La société Enigma Software Group USA LLC (ci-après Enigma) et la société Malwarebytes Inc sont deux sociétés américaines respectivement situées en Floride et en Californie qui développent et commercialisent des logiciels de sécurité dans le monde entier.

2. Leurs programmes téléchargeables en ligne sur internet protègent leurs utilisateurs des programmes malveillants et bloquent les virus en les alertant de la présence de logiciels détectés comme tels sur leur ordinateur, leur permettant à leur choix de les supprimer.

3. La société Malwarebytes Limited de droit irlandais est une filiale de la société Malwarebytes Inc qui commercialise les produits dans la zone Europe, Moyen Orient et Afrique incluant la France.

4. En 2016 la société Enigma a découvert que suite à la révision du logiciel Malwarebytes AntiMalware (ci-après MBAM) le programme de la société Malwarebytes Inc bloquait ses propres produits, les logiciels dénommés SpyHunter et RegHunter.

5. Ainsi lorsque l'utilisateur téléchargeait via internet le logiciel MBAM, les logiciels de la société Enigma, SpyHunter et RegHunter, apparaissaient potentiellement indésirables sur l'ordinateur (PUP'S Potentially Unwanted Programs) incitant l'utilisateur à les supprimer ou à ne pas les télécharger.

6. Estimant ce comportement délibérément malintentionné, la société Enigma a introduit en 2016 une procédure aux États Unis contre la société Malwarebytes Inc pour mettre fin à ces agissements et obtenir réparation de son préjudice.

7. La procédure est actuellement pendante devant la cour d'appel de Californie.

8. Par exploit en date du 8 janvier 2018, la société Enigma a fait assigner sur le fondement de l'article 1240 du Code civil la société Malwarebytes Inc et sa filiale irlandaise Malwarebytes Limited à comparaître devant le tribunal de commerce de Paris pour obtenir réparation du préjudice anticoncurrentiel qu'elle estimait subir en France du fait de ces agissements.

9. Le 12 décembre 2018, la société EnigmaSoft Limited (ci-après EnigmaSoft), société de droit irlandais filiale de la société américaine Enigma, est intervenue volontairement à la procédure pour obtenir réparation du préjudice qu'elle estimait subir du fait des mêmes agissements concernant le logiciel Spyhunter 5 lancé sur le marché en juin 2018 et identifié comme potentiellement indésirable par le logiciel MBAM.

10. Au cours de la procédure les sociétés Malwarebytes USA et Malwarebytes Irlande ont soulevé in limine litis l'incompétence du tribunal de commerce de Paris au profit des juridictions américaines et à titre subsidiaire ont soulevé une exception de litispendance au profit de la juridiction américaine saisie en premier lieu du même litige.

11. Par jugement du 19 septembre 2019, le tribunal de commerce de Paris a notamment rejeté les exceptions d'incompétence et de litispendance soulevées par les sociétés Malwarebytes Inc, et Malwarebytes Limited, et les a condamnées in solidum, à verser à la société Enigma Software Group LLC, la somme de 40 000 euros et à la société EnigmaSoft la somme de 20 000 euros au titre de l'article 700 du Code de procédure civile.

12. Les sociétés Malwarebytes ont relevé appel de la décision dans les formes des articles 83 et suivants du Code de procédure civile concernant la compétence et après y avoir été autorisées par ordonnance du 22 octobre 2019, ont fait citer à jour fixe par actes d'huissier du 25 octobre 2019 les sociétés Enigma software group USA LLC et EnigmaSoft pour une audience du 2 décembre 2019 devant la chambre commerciale internationale de la cour d'appel de Paris.

13. La présente procédure est soumise au protocole relatif à la procédure devant la chambre internationale de la cour d'appel de Paris, qui a été accepté par les parties.

II PRETENTIONS DES PARTIES

14. Aux termes de leurs conclusions d'appel communiquées au soutien de leur requête le 14 octobre 2019, les appelantes demandent à la Cour, au visa des articles 42, 46, 73, 74, 75, 100, 102 et 105 du Code de procédure civile, du Règlement européen n° 1215/2012 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale ainsi que de la jurisprudence de la Cour de Justice de l'Union Européenne, de bien vouloir infirmer le jugement rendu par le tribunal de commerce de Paris du 19 septembre 2019 en toutes ses dispositions et statuant à nouveau, de déclarer incompétent le tribunal de commerce de Paris au profit du Tribunal de Première Instance du District de Californie.

15. A titre subsidiaire, elles demandent en cas de rejet de l'exception d'incompétence, et eu égard à la litispendance de dessaisir le tribunal de commerce de Paris au profit du Tribunal de Première Instance du District Nord de Californie et en tout état de cause de déclarer irrecevable l'intervention volontaire de Enigma Soft limited.

16. Elles ont conclu au rejet de l'ensemble des demandes, fins et prétentions des sociétés Enigma et demandent de les condamner in solidum à leur payer chacune la somme de 50 000 euros au titre de l'article 700 du Code de procédure civile et aux entiers dépens.

17. Aux termes de leurs conclusions en réponse communiquées par voie électronique le 27 novembre 2019, les sociétés Enigma demandent à la cour, au visa de l'article 7 - 2° du Règlement n° 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale (refonte), dit " Règlement Bruxelles I bis " et des articles 46 et 100 du Code de procédure civile, de confirmer le jugement rendu le 19 septembre 2019 par le tribunal de commerce de Paris en toutes ses dispositions et de débouter les sociétés Malwarebytes Inc. et Malwarebytes Limited de l'ensemble de leurs demandes, fins et conclusions.

18. Elles demandent ainsi de renvoyer l'affaire devant le tribunal de commerce de Paris et d'enjoindre aux sociétés Malwarebytes Inc. et Malwarebytes Limited de conclure sur le fond de l'affaire et en tout état de cause de les condamner solidairement à leur verser la somme de 50 000 euros chacune au titre de l'article 700 du Code de procédure civile et aux entiers dépens de la présente instance.

III MOYENS DES PARTIES

19. En substance, les sociétés appelantes Malwarebytes inc et Malwarebytes Ltd (ci-après les sociétés Malwarebytes) contestent l'intervention volontaire de la société EnigmaSoft qui est selon elles une structure d'optimisation fiscale artificiellement attraite dans la procédure pour tenter de justifier la compétence du tribunal de commerce de Paris.

20. Elles mettent en avant que la société EnigmaSoft n'intervient pas dans le développement des softwares litigieux et n'a pas de réelle activité commerciale, en produisant à l'appui de leurs prétentions les investigations menées par le cabinet Deloitte qu'elles ont missionné à cette fin.

21. A l'appui de leur exception d'incompétence, les appelantes font grief au tribunal de ne pas avoir distingué les règles de compétence qui s'appliquent aux sociétés Malwarebytes Inc et Malwarebytes ltd et d'avoir retenu l'existence d'un fait dommageable localisable en France alors que le fait dommageable a trait au développement du logiciel litigieux par la société Malwarebytes inc. localisé aux Etats Unis, de sorte que les juridictions américaines sont compétentes.

22. Elles font observer que les faits dénoncés dans l'assignation ont trait à la révision des critères d'identification de PUP's par la société Malwarebytes Inc le 5 octobre 2016 qui est intervenue à B Y où se situent les développeurs de la société Malwarebytes Inc et que c'est seulement en raison de la nouvelle configuration du logiciel Malwarebytes que les intimées soutiennent être victimes d'actes de dénigrement et de détournement de leurs clients constitutifs d'actes de concurrence déloyale.

23. Elles en déduisent que contrairement à l'analyse du tribunal de commerce, le fait dommageable n'est pas localisé en France mais aux États Unis ce qui ne permet pas de retenir la compétence internationale de la juridiction française.

24. Elles ajoutent que la société irlandaise Malwarebytes Ltd qui n'intervient en rien dans la conception du logiciel et la révision litigieuse du programme MBAM n'est pas un défendeur sérieux et que son domicile ne peut fonder la compétence des juridictions françaises.

25. En outre elles exposent que le lieu de commercialisation du logiciel litigieux sur internet ne permet pas non plus de retenir l'existence d'un fait dommageable en France, s'agissant de produits essentiellement distribués sur le territoire américain disponibles sur le site www.malwarebytes.com qui n'est pas spécialement destiné au public français, en citant à l'appui de leur prétention la jurisprudence établie de la Cour de cassation ( n° 06-20230 louis Vuitton c. Google Z et Google France).

26. Elles prétendent également qu'en application de la jurisprudence européenne en matière de dénigrement de la personne morale, le tribunal compétent est outre le tribunal du domicile de la victime du dénigrement, la juridiction du pays où son activité économique est prépondérante, ce qui n'est pas le cas de la France pour la société Enigma Ltd (aff. C -194/16 - 17 octobre 2017).

27. A titre subsidiaire elles opposent l'exception de litispendance en faisant valoir que la société mère Enigma a introduit antérieurement au présent litige une action identique aux États Unis en responsabilité sous la loi américaine, contre la société américaine Malwarebytes reposant sur les mêmes faits de révision du logiciel Malwarebytes de mise en quarantaine de ses logiciels lorsque les utilisateurs téléchargent le programme litigieux.

28. Elles exposent que cette procédure est pendante devant le Tribunal de Première Instance du District Nord de Californie et que le litige ouvert aux États Unis vise les faits de commercialisation dans le monde entier des produits par la société Enigma et tend à la réparation de son préjudice qui comprend nécessairement celui subi en France.

29. En réponse les sociétés Enigma soutiennent que la société EnigmaSoft Ldt a une réelle activité commerciale et qu'elle est recevable à agir pour demander réparation de son préjudice distinct sur le territoire français.

30. Sur l'exception d'incompétence, elles répliquent que le tribunal a justement statué au regard des dispositions européennes et françaises à l'égard des deux sociétés Malwarebytes en retenant la compétence internationale des juridictions françaises sur le critère de localisation du fait dommageable, dès lors que c'est l'interférence du logiciel Malwarebytes avec leurs logiciels SpyHunter par les utilisateurs français qui a lieu en France lorsqu'ils téléchargent le produit en ligne, qui est le fait dommageable à partir duquel elles recherchent la responsabilité des sociétés Malwarebytes et Malwarebytes limited sur le fondement de l'article 1240 du Code civil.

31. Elles font valoir qu'il est de jurisprudence constante que la localisation du préjudice en France suffit à fonder la compétence internationale des juridictions françaises, peu important que ce préjudice découle d'un fait générateur localisé à l'étranger.

32. Elles soutiennent ainsi que la circonstance selon laquelle le logiciel Malwarebytes a été révisé aux Etats Unis est indifférente.

IV MOTIFS DE LA DECISION

Sur la recevabilité de l'intervention volontaire de la société ESL Irlande devant le tribunal de commerce

33. Selon l'article 329 du Code de procédure civile " l'intervention est principale lorsqu'elle élève une prétention au profit de celui qui la forme. Elle n'est recevable que si son auteur a le droit d'agir relativement à cette prétention. "

34. En l'espèce il ressort de la procédure que la société EnigmaSoft Ltd a régularisé des conclusions d'intervention volontaire devant le tribunal de commerce de Paris à l'audience du 12 décembre 2018 au terme desquelles elle demande notamment sur le fondement de l'article 1240 du Code civil, de condamner les sociétés Malwarebytes à lui verser la somme de 200 000 euros en réparation du préjudice subi du fait de l'interférence du logiciel MBAM avec le logiciel Spyhunter 5, s'agissant selon elle d'agissements anti concurrentiels identiques à ceux reprochés par la société Enigma à l'égard de ses programmes.

35. Il ressort de deux attestations du consultant en comptabilité et du CEO de la société Enigma Ltd, que les éléments comptables recensés par le cabinet Deloitte à partir des publications ne remettent pas en cause, que la société Enigmasoft Ltd est bien propriétaire du logiciel qu'elle a développé sur une période de 18 mois avant de le mettre en vente au public le 22 juin 2018, ce qui contredit les allégations des appelantes selon lesquelles elle n'aurait été créée que pour des raisons fiscales.

36. Il est établi par ailleurs qu'elle demande réparation de son propre préjudice pour le lancement d'un logiciel distinct Spyhunter 5 qui apparaît être un nouveau produit qu'elle commercialise.

37. Le lien entre l'intervention volontaire de la société EnigmaSoft limited et les prétentions initiales formulées par la société Enigma en première instance n'est pas contesté, s'agissant de faits d'interférences identiques avec leurs logiciels en matière de détection de PUP's par le logiciel de sécurité Malwarebytes sur internet.

38. Il en résulte que la société EnigmaSoft limited se prévaut d'un droit propre en réparation de son préjudice qu'elle est seule habilitée à exercer de sorte que son intervention est recevable.

39. La décision sera confirmée de ce chef.

Sur la compétence internationale du tribunal de commerce de Paris

40. Il est acquis que s'appliquent, en l'espèce, en ce qui concerne la société américaine Malwarebytes Inc, les dispositions de l'article 46 du Code de procédure civile qui énoncent que :

" Le demandeur peut saisir à son choix, outre la juridiction du lieu où demeure le défendeur : en matière délictuelle, la juridiction du lieu du fait dommageable ou celle dans le ressort de laquelle le dommage a été subi ";

41. En ce qui concerne la société irlandaise Malwarebytes, a vocation à s'appliquer l'article 7. 2 du Règlement (UE) N° 1215/2012 du Parlement Européen et du Conseil du 12 décembre 2012 (dit Règlement Bruxelles 1bis) concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale en ce qui concerne la société irlandaise Malwarebytes, qui est libellé comme suit :

" Une personne domiciliée sur le territoire d'un État membre peut être attraite dans un autre État membre : en matière délictuelle ou quasi délictuelle, devant la juridiction du lieu où le fait dommageable s'est produit ou risque de se produire ; "

42. Si le tribunal n'a pas formellement distingué dans son jugement l'analyse de la compétence des juridictions françaises à l'endroit des sociétés américaine et irlandaise Malwarebytes, il a statué sur le fondement du chef français et du chef européen de compétence au visa des textes précités qui désignent " la juridiction du lieu où le fait dommageable s'est produit ou risque de se produire " (libellé du règlement Bruxelles I bis) ou celle " du lieu du fait dommageable ou celle dans le ressort de laquelle le dommage a été subi " (article 46 du Code de procédure civile) qui reviennent au même.

43. Selon la jurisprudence de la CJUE (et notamment l'arrêt Melzer C-228/11, point 25), l'expression " lieu où le fait dommageable s'est produit " figurant à l'article 5, point 3, du règlement n° 44/2001, devenu l'article 7 ( 2) du Règlement Bruxelles I bis, vise à la fois le lieu de la matérialisation du dommage et le lieu de l'événement causal qui est à l'origine de ce dommage, de sorte que le défendeur peut être attrait, au choix du demandeur, devant le tribunal de l'un ou de l'autre de ces deux lieux.

44. Il a ainsi été jugé en matière de concurrence déloyale que " L'article 5, point 3, du règlement (CE) n° 44/2001, [devenu article 7 ( 2) du règlement Bruxelles I bis] doit être interprété, aux fins d'attribuer la compétence judiciaire conférée par cette disposition pour connaître d'une action en responsabilité pour violation de l'interdiction de vente en dehors d'un réseau de distribution sélective résultant de l'offre, sur des sites Internet opérant dans différents États membres, de produits faisant l'objet dudit réseau, en ce sens que le lieu où le dommage s'est produit doit être considéré comme étant le territoire de l'État membre qui protège ladite interdiction de vente au moyen de l'action en question, territoire sur lequel le demandeur prétend avoir subi une réduction de ses ventes " ( CJUE 21 décembre 2016aff C-618/15 Concurrence Sarl)

45. La Cour de Justice de l'Union Européenne (CJUE) a également dit pour droit dans une affaire concernant une demande de réparation d'un préjudice allégué par une compagnie aérienne lituanienne contre une compagnie aérienne et un aéroport letton du fait notamment d'un abus de position dominante (CJUE C-27/17 du 5 juillet 2018 FlyLAL), que " L'article 5, point 3, du règlement CE 44/2001 du Conseil, du 22 décembre 2000 [devenu article 7 ( 2) du règlement Bruxelles I bis], concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale, doit être interprété en ce sens que, dans le cadre d'une action en réparation d'un préjudice causé par des comportements anticoncurrentiels, le " lieu où le fait dommageable s'est produit " vise, dans une situation telle que celle en cause au principal, notamment le lieu de la matérialisation d'un manque à gagner consistant en une perte de ventes, c'est-à- dire le lieu du marché affecté par lesdits comportements au sein duquel la victime prétend avoir subi ces pertes. ".

46. La CJUE retient dans cet arrêt que lorsque le marché affecté par le comportement anticoncurrentiel se trouve dans l'Etat membre sur le territoire duquel le dommage allégué est prétendument survenu, il y a lieu de considérer que le lieu de matérialisation du dommage, aux fins de l'application de l'article 5 point 3, du règlement CE 44/2001 se trouve dans cet État membre. (point 40)

47. Enfin, dans une affaire rendue en matière d'entente au sens de l'article 101 TFUE (CJUE 29 juillet 2019 Tibor Trans, C-451/18) la CJUE confirme ce critère de rattachement et juge que le dommage allégué s'entend de surcoûts payés en raison des prix artificiellement élevés et qu'il se matérialise au lieu du marché affecté par l'infraction visée, à savoir le lieu où les prix du marché ont été faussés, au sein duquel la victime prétend avoir subi ce préjudice.

48. En l'espèce les sociétés appelantes contestent l'existence d'un fait dommageable localisé en France en faisant valoir que le litige porte sur des actes commis aux États Unis, à savoir la révision du programme du logiciel en Californie et concernent des produits essentiellement distribués sur le territoire américain. Il ressort cependant de la procédure que les faits incriminés par les sociétés Enigma sont ceux qu'elles ont fait constater par procès-verbal d'huissier à Paris, qui rapportent que lorsque l'utilisateur en France qui a téléchargé et installé les logiciels Spyhunter 4 ou 5 lance une analyse de son ordinateur avec le logiciel MBAM, leurs logiciels sont identifiés comme une menace et qualifiés de " programme potentiellement indésirable " (PUP) automatiquement placés en quarantaine par le logiciel MBAM, tel que cela ressort des procès-verbaux de constat d'huissier dressés à Paris les 17 novembre 2017 et 26 septembre 2018.

49. Les sociétés Enigma considèrent dans leur assignation qu'il s'agit d'actes anticoncurrentiels constitutifs d'actes de dénigrement, détournement de clientèle en ce qu'ils l'empêchent d'exécuter leurs obligations vis à vis des utilisateurs français qui s'en sont plaints et aux nouveaux d'installer et d'utiliser ses logiciels en France.

50. Ce comportement occasionne selon elles, une perte d'exploitation sur le marché français avec un effet d'éviction et de dénigrement sur ce territoire, ayant provoqué une chute des ventes en France repérable dans sa comptabilité et lui cause un préjudice d'image et de réputation.

51. En l'occurrence les demandes formulées par les sociétés Enigma sont limitées à la réparation du préjudice subi en France et aux mesures adéquates de réparation et de prévention de tout nouveau dommage sur ce territoire seulement.

52. Il n'est par ailleurs pas contesté que le logiciel Malwarebytes litigieux qui est téléchargeable en ligne sur le site internet Malwarebytes, n'est pas seulement commercialisé aux États Unis mais aussi et précisément en France par l'intermédiaire de la société irlandaise Malwarebytes Ltd qui est un concurrent de la société Enigma sur ce marché et constitue bien un défendeur sérieux.

53. Il est en outre établi par les pièces produites que la société Malwarebytes cible le marché français et met à disposition des utilisateurs un site internet en langue française " fr.malwarebytes.com " à partir duquel ils peuvent à l'aide d'instructions en français procéder au téléchargement et à l'installation d'une version française des logiciels et obtenir des informations en français de sorte qu'il s'agit bien d'un site destiné au public français.

54. La société américaine Malwarebytes Inc ne peut sérieusement prétendre qu'elle est étrangère à la commercialisation en France du produit alors qu'il ressort de la page web francophone du site " fr.malwarebytes.com " qu'elle apparaît comme interlocuteur au pied de la page d'accueil d'où il résulte que sa présence dans la cause est justifiée.

55. En conséquence, s'il est exact que la révision du logiciel Malwarebytes conçu à B Y constitue l'un des faits générateurs localisé aux Etats Unis, ayant contribué au dommage allégué par les sociétés Enigma, le dommage qu'elles ont subi se caractérise par la perte subie sur le marché français du fait de la commercialisation en France du logiciel Malwarebytes ce qui autorise les sociétés Enigma à choisir la juridiction française internationalement compétente au regard des articles 46 du Code de procédure civile et 7.2 du règlement (UE) N° 1215/2012 dit Bruxelles 1 bis.

56. Il convient en conséquence de confirmer ce chef de décision.

Sur l'exception de litispendance internationale

57. L'article 100 du Code de procédure civile énonce que si le même litige est pendant devant deux juridictions de même degré également compétentes pour en connaître, la juridiction saisie en second lieu doit se dessaisir au profit de l'autre si l'une des parties le demande. A défaut, elle peut le faire d'office.

58. L'exception de litispendance peut être invoquée en raison de l'instance engagée devant un tribunal étranger également compétent et suppose pour être accueillie une identité de litige c'est-à- dire une triple identité de parties, d'objet et de cause.

59. Il ressort de la procédure que les parties dans les deux instances initiées aux Etats Unis puis en France ne sont pas les mêmes dès lors que les sociétés EnigmaSoft Ltd et Malwarebytes Limited sont absentes dans la procédure américaine et que contrairement à ce que prétendent les appelantes, leur présence dans la procédure française pour les motifs retenus précédemment n'est ni fictive ni artificielle.

60. De plus les appelantes reconnaissent que les fondements juridiques des deux procédures sont distincts et soutiennent seulement à partir de suppositions que dans le cadre de la procédure américaine la juridiction californienne statuera sur le préjudice mondial incluant sans ambiguïté celui subi en France ce qui est insuffisant pour répondre aux exigences d'identité de cause et d'objet nécessaires au succès de leur prétention.

61. L'exception de litispendance sera en conséquence rejetée et la décision du tribunal sera confirmée de ce chef.

Sur les frais et dépens

62. Il y a lieu de condamner les sociétés Malwarebytes parties perdantes, aux dépens de l'appel.

63. En outre, elles doivent être condamnées in solidum à verser aux sociétés Enigma qui ont dû exposer des frais irrépétibles pour faire valoir leurs droits, une indemnité au titre de l'article 700 du Code de procédure civile qu'il est équitable de fixer à la somme de 20 000 euros.

Par Ces Motifs, 1. Confirme le jugement du tribunal de commerce de Paris en date du 19 septembre 2019 en toute ses dispositions ; Y ajoutant : 2. Condamne in solidum les sociétés à payer aux sociétés Enigma Software Group USA LLC et EnigmaSoft Limited la somme globale de 20 000 euros au titre de l'article 700 du Code de procédure civile ; 3. Condamne in solidum les sociétés Malwarebytes Inc et Malwarebytes Limited aux dépens.