Les bonnes résolutions juridiques du DSI pour 2013

Publié le 21/01/2013 - CIO Online - E. Papin

Janvier est le mois propice pour prendre de bonnes résolutions, formaliser ses bonnes intentions. Et essayer de les respecter ensuite.
Tribune écrite en collaboration avec Justine Sinibaldi, avocate du Cabinet Feral-Schuhl / Sainte-Marie

Le début d’année est propice à la remise à plat de ses pratiques et c’est aussi l’occasion de prendre des bonnes résolutions. Pour que le droit ne soit plus perçu comme une contrainte mais comme un atout, le responsable informatique doit anticiper les problématiques juridiques. Voici quelques bonnes résolutions juridiques à prendre pour l’année 2013.

Vérifier l’état de son parc de licences

Au premier chef des bonnes résolutions du DSI, doit figurer la vérification de l’état de son parc de licences. En effet, les audits de licence de logiciel se multiplient et les risques financiers et juridiques qui peuvent en découler pour une entreprise peuvent être très lourds. La réduction des coûts est un leitmotiv ; il est donc d’autant plus dommageable de devoir verser des centaines de milliers d’euros, voire des millions, parce que l’on est en non-conformité avec ses licences acquises sans le savoir.

Le plus souvent, les éditeurs de logiciel se réservent contractuellement le droit de procéder ou de faire procéder à des audits du parc des logiciels utilisés par leurs clients. Toutefois, même en l’absence de stipulations contractuelles leur conférant ce droit, les éditeurs disposent de la possibilité, au fondement du Code de la propriété intellectuelle, de procéder à des saisies-contrefaçon pour procéder aux mêmes vérifications. Lorsqu’un éditeur demande donc à réaliser un tel audit, il n’existe pas d’échappatoire. Mieux vaut donc anticiper que de devoir négocier des régularisations sous la pression.

Etre en conformité avec les licences des logiciels composant son parc applicatif nécessite une gestion rigoureuse de ses documents contractuels. Si les choses sont simples au début, c’est avec le temps que cette gestion se complique. Lors de l’acquisition initiale d’un progiciel, le périmètre d’utilisation des droits acquis est délimité. Au fils du temps, des droits d’utilisation complémentaires (utilisateurs, serveurs, CPU, etc.) peuvent être commandés, parfois par simple bon de commandes ou sur facture. Dans le cadre de la maintenance évolutive, des nouvelles versions du progiciel vont être installées, qui répondent parfois à des noms commerciaux différents et des modalités de tarifications différentes. L’acquisition ou la sortie de filiales du périmètre d’un groupe de société peut également venir compliquer les choses. Sur une décennie d’usage d’un produit ou d’une gamme de produits, le dispositif contractuel peut devenir particulièrement complexe, voir inexploitable.

C’est pourquoi il est préférable de vérifier régulièrement et en interne l’état de son parc de licences, plutôt que d’être contraint de le faire à la suite d’un audit diligenté par l’éditeur. Cette vérification consiste à contrôler le périmètre d’utilisation de ses logiciels, mais aussi à répertorier l’ensemble de la documentation contractuelle applicable. Il s’agit aussi d’un travail juridique, sur lequel une assistance peut-être nécessaire au regard de la complexité grandissante des accords de licence et des méthodes de calcul des redevances (nombre d’utilisateurs associés à des catégories d’utilisateurs, cas d’accès indirect, conséquences de la virtualisation…). Au final, il faudrait soit régulariser son usage par rapport aux droits acquis, soit acquérir les droits en rapport avec son usage…

Enfin, une bonne gestion contractuelle et un bon suivi du déploiement de son parc de logiciels permet au DSI d’être mieux armé en cas d’audit. Elle lui assurera une bonne connaissance des droits qu’ils a acquis et lui permettra de vérifier que les prétentions émises par l’éditeur au terme de l’audit sont fondées.

Intégrer le juridique dès la phase d’appel d’offres

La négociation d’un contrat avec un éditeur ou un prestataire de services n’est pas une simple formalité destinée à clôturer une longue phase d’appel d’offres et acter d’une négociation d’ores et déjà terminée. On voit encore souvent des clients qui lancent un processus d’appel d’offres très organisé, avec des « RFP » détaillées, des oraux et ateliers avec les candidats, une négociation commerciale acharnée et qui n’ont pas anticipé l’étape de la contractualisation. Parfois même l’étape de la négociation du contrat n’est même pas prévue dans le calendrier de la consultation. Dans ces situations, le client a perdu tout avantage dans la négociation puisqu’il est contraint par la pression d’un projet qui doit démarrer et un prestataire qui se sait déjà retenu. Or aucune des options qui s’offrent alors au client n’est à son avantage : devoir signer un contrat proposé par le prestataire sans le négocier ou démarrer un projet sans contrat signé.

Négliger la phase de contractualisation réduira ainsi à néant le travail réalisé en appel d’offres et les concessions obtenues des candidats. Le contrat doit être la concrétisation de tous les engagements obtenus en amont. Il s’agit d’une étape essentielle et qui, en tant que telle, doit être préparée. Le juridique doit là encore venir au soutien des exigences techniques, opérationnelles et financières du DSI et lui garantir la réalité des engagements pris par le candidat retenu.

Il est donc indispensable d’intégrer le juridique dès le lancement de l’appel d’offres, notamment par l’établissement de prérequis juridiques, adaptés au projet, qui seront intégrés au cahier des charges. Les candidats devront prendre position sur ces prérequis et il sera tenu compte de leurs réponses pour évaluer les offres reçues.

Ensuite, il est également utile de ne sélectionner le candidat qu’une fois le contrat négocié, en maintenant jusqu’à la décision finale deux candidats en « short-list ». La mise en concurrence dans ces négociations contractuelles peut ainsi permettre d’obtenir des engagements juridiques plus importants.

Assurer un suivi juridique du projet

Le contrat est primordial, mais il n’est pas tout. Lorsqu’un prestataire a été sélectionné, un contrat signé et que le projet commence, le contrat ne doit pas être oublié. Il reste le référentiel de la relation entre le prestataire et son client, jusqu’à la recette définitive. L’inflation des écrits à laquelle on assiste dans la gestion des projets (compte rendu de comités, supports des présentations faites lors des comités, e-mails, etc.) ne doit pas faire oublier que tous ces documents produits dans le cours du projet peuvent engager les parties. En cas de contentieux, ils seront une source précieuse d’information, à charge ou à décharge.

Il est donc nécessaire de prévoir un suivi juridique de ses projets, pour en limiter les risques. Ainsi, ce suivi peut consister à ne valider aucun compte rendu majeur sans une relecture par un juriste. Les comptes rendus acceptés par le client peuvent parfois entériner des écarts importants avec les engagements contractuels, voir des dérapages de calendrier, de périmètre et donc de budget sur lesquels il ne sera pas toujours possible de revenir.

Le suivi juridique du projet, c’est également associer le juridique à la rédaction ou à la validation de certains documents qui, bien qu’étant opérationnels, peuvent être impactant, tels que le PAQ, un plan de réversibilité mais également les procès-verbaux de recette… Là encore, une telle revue permet de s’assurer de la cohérence avec les contrats négociés et d’éviter des dérapages contractuels insidieux.

Enfin, il s’agit de gérer les difficultés et différends pouvant naître dans le cadre du projet et de suivre la mise en oeuvre des procédures d’escalade, revoir les échanges entre les parties et définir une stratégie précontentieuse. La vision du juridique donnera un éclairage indispensable au DSI dans la négociation de ces différends et peut constituer un véritable atout pour sortir d’une situation de crise.

Surveiller la santé financière de vos fournisseurs

Autre recommandation dans un contexte économique difficile : surveiller la santé financière de ses prestataires et fournisseurs peut s’avérer crucial. En effet, la défaillance d’un fournisseur d’une solution applicative essentielle dans votre système d’information peut bloquer votre activité le temps de trouver et de mettre en oeuvre une solution de remplacement. Or, parfois ces solutions n’existent pas et faire développer une nouvelle solution ou racheter le fournisseur afin de récupérer sa solution applicative n’est pas toujours envisageable. C’est pourquoi l’anticipation des risques de défaillance de ses fournisseurs peut permettre au DSI de mettre en place en amont les solutions contractuelles et opérationnelles permettant, autant que faire se peut, de limiter les conséquences de la liquidation judiciaire d’un fournisseur (définition d’un plan de réversibilité, conséquences de la fin du contrat, dépôt des codes sources…).

Anticiper le passage au Sepa

Cette année, ce sont également les conséquences du passage au Sepa qu’il convient d’anticiper. En effet, à compter du 1erfévrier 2014, les virements et prélèvements « Sepa » (Single Euro Payments Area – espace unique de paiement en euros) remplaceront leurs équivalents nationaux.

A ce titre, les entreprises doivent prendre certaines mesures et notamment organiser la génération des virements et prélèvements Sepa et mettre à jour l’ensemble des interfaces et applications affectées par cette mise en conformité. Les logiciels de gestion et de paie sont notamment concernés. Il conviendra en particulier, dans toutes ces applications d’utilisation des coordonnées bancaires internationales que sont l’IBAN et le BIC en lieu et place de l’actuel RIB, y compris pour les paiements nationaux.

Si la DSI doit être impliquée dans la mise en place des évolutions nécessaires à la migration Sepa, celle-ci constitue en réalité un véritable projet d’entreprise, touchant à la comptabilité, la trésorerie, le commercial, le juridique, les RH etc.

Anticiper le passage au Sepa, c’est éviter de devoir modifier son système d’information et de paiement dans la précipitation, voire de risquer sa paralysie.

Se mettre en conformité avec le RGS

Les personnes publiques (administration, collectivités locales, etc.) sont soumises, depuis le 6 mai 2010, au Référentiel Général de Sécurité (RGS). Le RGS fixe les règles que doivent respecter les fonctions des systèmes d’information des personnes publiques contribuant à la sécurité des informations échangées par voie électronique.

L’objectif du RGS n’est pas d’imposer une technologie, une architecture, ou une solution technique. En revanche, lorsqu’une personne publique juge nécessaire de mettre en oeuvre des fonctions de sécurité de son système d’information, à l’issue d’une analyse de risques obligatoire, elle doit alors respecter les règles du RGS.

Or, il reste aux DSI de ces personnes publiques, moins de quatre mois pour se mettre en conformité. En effet, la mise en conformité des systèmes d’information des autorités administrative avec le RGS est encadrée par l’article 14 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu’entre les autorités administratives. Cet article prévoit que les systèmes d’information existant à la date de publication du RGS sont mis en conformité avec celui-ci dans un délai de trois ans à compter de cette date. Le RGS ayant été publié par arrêté du 18 mai 2010, il reste jusqu’au 18 mai de cette année pour se mettre en conformité.

Préserver la sécurité des données personnelles

Dernier chantier à faire figurer parmi les bonnes résolutions juridiques du DSI pour 2013 : gérer les risques d’atteinte aux données à caractère personnel présentes dans son système d’information. En effet, tout responsable d’un traitement de données à caractère personnel à l’obligation de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » (art. 34 de la Loi n°78-17 du 6 janvier 1978 modifiée dite loi Informatique et Libertés). C’est en outre un moyen de préserver le patrimoine informationnel de son entreprise. Pour ce faire, le DSI peut mener une étude de risques et, ainsi que la Cnil le propose, employer la méthode EBIOS (expression des besoins et identification des objectifs de sécurité) publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). En fonction des risques identifiés, de leur gravité et de leur vraisemblance, le DSI pourra définir un dispositif de protection adapté et proportionné.

Autres publications