Livrer du code sans pratiquer le développement sécurisé ni contrôler la présence de vulnérabilités engage la responsabilité juridique du prestataire (TAE Paris, 8 avril 2026 : 500 000 €).
Illustration
Un développeur contractuellement tenu de “mettre en place une politique de développement sécurisée dûment documentée” livre du code contenant des vulnérabilités graves, découvertes après déploiement chez les clients. Le Tribunal des Activités Économiques de Paris le condamne à 500 000 € de dommages-intérêts.
Ce que ça change
- La sécurité by design n’est plus une recommandation : c’est une obligation contractuelle exécutoire
- L’absence de SAST, revue de code ou contrôle de vulnérabilités devient un risque juridique documenté
- Une clause “dev sécurisé” sans justification crée une exposition directe en cas d’incident