Faire face aux audits de licences

Publié le 18/03/2013 - CIO Online - E. Papin

Le DSI a certes des obligations à respecter vis-à-vis des éditeurs. Mais il a aussi des droits, ce qu’il est bon de rappeler.

Tous les DSI sont un jour confrontés à une notification d’audit de licences reçue de tel ou tel éditeur d’un progiciel utilisé par l’entreprise.

Ces audits peuvent prendre plusieurs formes : réponse à des simples demandes d’information, demande de l’éditeur d’utiliser des systèmes automatiques de comptabilisation de licence, voire une visite de l’entreprise par l’éditeur ou un auditeur délégué par lui. Dans les situations extrêmes, et également les plus rares, l’audit peut prendre des formes coercitives, sur autorisation du juge et en présence d’experts techniques et d’huissiers de justice.

Les risques financiers et juridiques qui peuvent découler pour une entreprise de telles opérations d’audit peuvent être lourds. Aucun de ces audits n’est anodin. Leur déroulement doit donc être suivi avec discernement.

Ce qui est obligatoire

Faut-il le rappeler, le strict respect par une entreprise des termes des licences d’utilisation des progiciels qu’elle utilise est une obligation tant contractuelle que légale. En effet, le non-respect par un client de sa licence est constitutif du délit de contrefaçon prévu par le code de la propriété intellectuelle. La contrefaçon est un délit pénal, susceptible de donner lieu à des condamnations allant jusqu’à 300 000 euros d’amende et 3 ans d’emprisonnement, sans compter les dommages et intérêts qui pourraient être dus à l’éditeur.

Si les actions pénales sont rarissimes, les actions pour contrefaçon devant les tribunaux civils sont elles beaucoup plus fréquentes. L’éditeur saisira le tribunal de grande instance pour demander l’arrêt de l’utilisation du logiciel et des dommages et intérêt à raison de l’usage non-autorisé de son produit.

La contrefaçon n’est pas réservée aux cas extrêmes dans lesquels une entreprise utilise un progiciel sans aucun accord de l’éditeur. Toute violation des termes de la licence sera constitutive du délit de contrefaçon et engage donc la responsabilité de l’entreprise à l’origine de cette violation. Par exemple, l’installation du progiciel sur des matériels supplémentaires alors que la licence prévoyait une limitation en nombre de serveurs ; l’utilisation du logiciel par un nombre d’utilisateurs supérieur au nombre prévu dans la licence ; l’usage de modules du logiciel non-acquis, etc.

Le plus souvent, les éditeurs de logiciel se réservent contractuellement le droit de procéder ou de faire procéder à des audits du parc de leurs logiciels utilisés par leurs clients. C’est donc une obligation contractuelle pour le client que de se conformer à la demande d’audit qui est faite par l’éditeur. S’il s’y refusait, le client engagerait sa responsabilité contractuelle vis-à-vis de l’éditeur. De surcroît, le refus de mettre en oeuvre la clause d’audit peut donner à penser que l’usage que fait le client des logiciels n’est pas en conformité avec les termes de sa licence. La situation permettra à l’éditeur d’obtenir de façon judiciaire des moyens d’investigation coercitifs dans les systèmes de l’utilisateur.

Même en l’absence de stipulations contractuelles leur conférant ce droit d’audit, les éditeurs disposent de la possibilité, sur le fondement du Code de la propriété intellectuelle, de procéder à des saisies-contrefaçon pour procéder aux mêmes vérifications. Lorsqu’un éditeur demande donc à réaliser un audit, le client peut difficilement s’y soustraire. Pour autant, l’utilisateur du logiciel n’entre pas dans le règne de l’arbitraire.

Ce qui est possible

En dépit du dispositif légal rappelé ci-dessus, l’utilisateur n’est pas – et de loin – pieds et poings liés par toutes les prétentions émises par l’éditeur avant, pendant et au terme de l’audit.

Si la licence oblige l’utilisateur, elle oblige également l’éditeur, il peut-être bon de le rappeler. Or, lors de la signature du contrat de licence, les parties sont convenues d’un périmètre d’usage déterminé pour le logiciel acquis. L’éditeur ne peut décider unilatéralement de changer les règles du jeu. Il en est ainsi, par exemple, lorsque la licence prévoit des règles de décompte des utilisateurs. Ces règles, qui fixent l’engagement réciproque des parties, ne peuvent être modifiées unilatéralement pas l’éditeur. Cette modification insidieuse se constate parfois dans les audits lorsque, au terme des opérations, l’éditeur présente un bilan d’usage du progiciel basé sur ses nouvelles règles de comptabilisation et non sur les règles initialement acceptées par le client dans la licence.

Par ailleurs, l’évolution des technologies informatiques engendre des circonstances d’utilisation du progiciel qui n’étaient anticipées ni par l’éditeur, ni par l’utilisateur. Pour autant, ces évolutions ne sont pas nécessairement à l’origine d’une faute du client dans le respect de sa licence. C’est typiquement le cas pour l’évolution des puissances processeurs. Lorsqu’un logiciel a été acheté pour un usage sur des serveurs d’une certaine puissance processeur, lors de l’évolution de son infrastructure informatique, le client va être conduit à faire l’acquisition de serveurs qui ont une puissance bien supérieure. Les serveurs de la puissance processeur prévue à la licence ne sont tout simplement plus disponibles sur le marché. Pour autant, l’utilisateur doit pouvoir continuer à utiliser le progiciel qu’il a licitement acquis.

Les situations comme celle-ci sont aussi variées que les licences d’utilisation et les cas d’usage des progiciels. Elles doivent être à chaque fois scrupuleusement étudiées et mises en perspective avec les termes de la licence conclue pour déterminer si la demande de régularisation que pourra émettre un éditeur au terme de son audit repose sur des fondements contractuels exacts, ou au contraire discutables.

En toute hypothèse, un accompagnement juridique est indispensable dès la réception d’une notification d’audit ou d’une simple demande d’information sur l’usage fait des logiciels. Trop de clients saisissent leur conseil alors que les opérations d’audit ont déjà été menées et que l’éditeur leur présente la facture de régularisation des licences et de la maintenance. Les relations avec l’éditeur au moment où s’engage une procédure d’audit de même que son déroulement exigent un pilotage précis. Toute déclaration et tout écrit, même un courrier électronique, pourraient être préjudiciables à l’entreprise dans le déroulement de l’audit ou dans son dénouement.

Ce qu’il faut faire

L’anticipation au moment de l’appel d’offres et de la négociation du contrat de licence est le maître mot. La négociation des contrats de licence, même avec les éditeurs les plus importants, est possible à condition d’être préparée suffisamment tôt. Le contrat permettra d’anticiper un certain nombre d’hypothèses qui, faute de précision contractuelle, pose ensuite problème pendant les audits.

Ainsi, le transfert des licences à une autre entité de son groupe, dans le cadre d’une restructuration, s’il n’est pas anticipé contractuellement, sera relevé par l’éditeur a posteriori dans le cadre d’un audit et donnera lieu à une demande de régularisation, moyennant finance. Les modalités de décompte des droits d’usage ; les définitions d’utilisateurs, de CPU, de serveurs, etc. doivent être précises, simples et compréhensibles par tous. La complexité souvent rencontrée dans les licences sur ces points n’a rien d’obligatoire et elle doit être combattue par les DSI et les directions des achats. Un dispositif contractuel clair et anticipant les situations futures est un gage de tranquillité pendant les audits.

Etre en conformité avec les licences des logiciels composant son parc applicatif nécessite ensuite une gestion rigoureuse de ses documents contractuels. Au fil du temps, des droits d’utilisation complémentaires (utilisateurs, serveurs, CPU, etc.) peuvent être commandés, parfois par simple bon de commande ou sur facture. Dans le cadre de la maintenance évolutive, des nouvelles versions du progiciel vont être installées, qui répondent parfois à des noms commerciaux différents et des modalités de tarifications différentes. Les changements de forme sociale de l’entreprise et les restructurations intra-groupe peuvent venir également compliquer les choses. Sur une décennie d’usage d’un produit ou d’une gamme de produits, le dispositif contractuel peut devenir particulièrement complexe, voir inexploitable.

C’est pourquoi il est préférable de vérifier régulièrement l’état de son parc de licences, plutôt que d’être contraint de le faire à la suite d’un audit diligenté par l’éditeur. Cette vérification consiste à contrôler le périmètre d’utilisation de ses logiciels, mais aussi à répertorier l’ensemble de la documentation contractuelle applicable. Il s’agit d’un travail autant technique que juridique.

Enfin, l’audit lui-même doit être suivi de manière précise par l’entreprise. Il impose, avant tout chose, et préalablement à tout retour d’information vers l’éditeur, de réaliser son propre état des lieux, en réunissant toute la documentation contractuelle pertinente et en effectuant la comptabilisation précise de l’usage réel du produit. Le temps donné à l’entreprise pour procéder à cet état des lieux est limité. Quelques semaines au plus. Il faudra donc être réactif, et plus le travail en amont aura été effectué, plus cela sera simple.

Autres publications