Juridique

Achat IT : une complexité juridique qui ne doit pas faire oublier l'essentiel

Retrouvez cet article dans le CIO FOCUS n°140 !

Maîtriser le service aux utilisateurs

ITSM, sourcing, licencing et sécurité sont les quatre thèmes étudiés lors de la Matinée Stratégique Maîtriser le service aux utilisateurs organisée par CIO le 17 mai 2017.Outre l'expertise de l'avocat Etienne Papin, la conférence a permis d'entendre les témoignages de : Bpifrance, l'ESSEC, le...

Découvrir

---

Lors de la Matinée Stratégique CIO « Maîtriser le service aux utilisateurs : ITSM, sourcing, licencing, sécurité » organisée le 17 mai 2017 à Paris, Etienne Papin a détaillé les enjeux juridiques actuels de l'achat IT.

Publicité« Enjeux et risques juridiques dans l'acquisition et la gestion de ressources IT », tel était le thème de l'intervention d'Etienne Papin, avocat associé du cabinet Feral-Schuhl / Sainte-Marie, lors de la Matinée Stratégique CIO organisée le 17 mai 2017 à Paris. Qu'il s'agisse d'acheter de la prestation, des logiciels ou du SaaS, l'achat IT est plus risqué aujourd'hui que jamais. De récentes affaires comme Diageo ou AB InBev sont là pour le prouver. « Ce qui se dégage lorsque l'on fait le bilan des consultations opérées dans notre cabinet ces dernières années, c'est la complexité bien plus élevée aujourd'hui qu'auparavant des relations contractuelles dans l'IT » a constaté Etienne Papin.
Il a insisté : « il y a dix ans, j'aurais dit : le maître-mot de votre relation avec vos fournisseurs, c'est le contrat. Faites collaborer en équipe acheteurs, juristes, métiers et IT pour négocier des contrats permettant de répondre aux besoins. Je le pense toujours. Mais il faut reconnaître que les choses sont aujourd'hui très complexifiées pour deux raisons. » La première est le caractère dominant de certains acteurs qui imposent de ce fait leurs conditions. On en peut plus parler, dans ces conditions, de négociation. « SAP, Oracle et Microsoft, par exemple, sont des fournisseurs incontournables et, même quand vous êtes un très grand groupe, très gros acheteur, ils sont les auteurs uniques du contenu du contrat » a pointé Etienne Papin. Bien entendu, la deuxième raison est l'arrivée du cloud. Car, à côté de l'apparente flexibilité opérationnelle, il y a de vraies difficultés juridiques et des risques considérables qui sont souvent pris dans la relation fournisseurs. A cela s'ajoute une troisième problématique : la sécurité des données n'est plus seulement une contrainte opérationnelle mais une véritable obligation juridique. Et le RGPD renforce d'ailleurs cette obligation avec de vraies sanctions à la clé.

Les licences : le grand trouble

Avec certains petits éditeurs, les acheteurs peuvent encore avoir une relation normale client-fournisseur. Mais, avec les très gros, ce n'est plus le cas. « Avec ceux-ci, vous subissez la règle posée par l'éditeur et certaines licences sont clairement illisibles, incompréhensibles et non-négociables » a ainsi soulevé Etienne Papin. Il a ajouté : « je ne sais pas si quelqu'un a déjà lu les 97 pages du SAP Software user Rights auxquelles s'ajoutent 7 pages de conditions générales et plusieurs pages de bons de commande... » 97 pages de définitions, de ce qui est possible ou interdit... « Cette complexité est voulue par les éditeurs » a dénoncé Etienne Papin. Plus la règle est compliquée, plus l'audit pourra facilement aboutir à des manquements et donc des redressements. Bien sûr, le droit des pratiques abusives peut être invoquée en théorie. Mais, selon Etienne Papin, à ce jour, aucun client des grands acteurs technologiques n'a eu un tel recours.
Mais ce n'est pas tout. Etienne Papin a constaté : « en général, les entreprises achètent des licences environ deux ans avant leur usage effectif en production, le temps de paramétrer l'outil, et, une fois que le déploiement est lancé, elles s'aperçoivent qu'elles n'ont pas acquis les licences adéquates. » Il faut alors en acheter d'autres en plus. Sans oublier que les licences changent régulièrement. A chaque achat de modules viennent donc s'ajouter de nouvelles licences, différentes des précédentes, ajoutant donc de la complexité. Et cette complexité est bien une nouveauté. Etienne Papin s'est souvenu : « il y a une quinzaine d'années, on négociait des licences qui tenaient dans un volume raisonnable de pages et qui étaient claires. » Cette complexité n'est pas obligatoire. « Une licence pourrait, si on en avait l'envie, tenir en deux pages avec une définition simple des métriques » a soutenu Etienne Papin.

PublicitéLes pièges se referment

A cela s'ajoutent de nouvelles difficultés telles que des technologies qui n'existaient pas lors de la conclusion de la licence initiale. Typiquement, c'est le cas de la virtualisation. Et, dès lors, il est facile au fournisseur d'expliquer que le cas n'était pas prévu, donc que l'entreprise cliente est en dépassement. Etienne Papin a cependant insisté : « vous n'êtes pas sans défense dans ce cas. »
L'interdiction des accès indirects posée par SAP, par exemple, enfreint le droit à l'interopérabilité fixé dans la Loi. Or, bien entendu, la Loi est supérieure au contrat, fut-il de licence. « Mon message est clair : si vous n'utilisez pas le droit des pratiques abusives, vous avez tout de même d'autres moyens pour vous opposer aux exigences des éditeurs » a plaidé Etienne Papin. Dans le cas d'un audit de licences, l'entreprise est dans une situation proche de celle d'un contrôle fiscal avec l'arrivée d'un externe qui veut repartir avec un chèque. Il existe évidemment des bonnes pratiques, des « règles de survie ». Et, déjà, de se faire assister d'un avocat dès le départ, dès la notification. Cette assistance permettra de rappeler quelques règles basiques à l'éditeur, notamment ses obligations propres, et la nécessité qu'un contrat soit exécuté de bonne foi.

Le cloud : les entreprises dans le brouillard

Face aux errements des éditeurs classiques, le cloud est-il une porte de sortie ? Certainement pas. Les contrats ne sont pas plus négociés. Même moins. Et, dans certains cas, les acheteurs se contentent de cliquer pour signifier leur accord d'un contrat qu'ils n'ont même pas parcouru. « Si vous faites l'expérience de vouloir imprimer le contrat, vous vous retrouver avec un catalogue invraisemblable, totalement incompréhensible » a pointé Etienne Papin. Bizarrement, le contrat fixe en général ce que le prestataire ne fait pas, ce que le client doit faire mais rarement ce que le prestataire fait... Or, dans un contrat de prestation, c'est normalement ce dernier point l'essentiel.
Le contrat est en général placé sous le régime d'un droit étranger. Les niveaux de service sont définis avec de telles exclusions que, au final, il n'en reste pas grand'chose. Et si les pénalités restent malgré tout dues, elles prennent en général la forme d'un avoir sur l'avenir. Comme la négociation est impossible, il est donc essentiel de s'assurer que l'on puisse résilier le contrat rapidement avec une réversibilité effective démontrée. Et il faut se souvenir qu'aucune clause contractuelle ne peut protéger de la disparition d'un fournisseur. Et l'usage d'API gratuites de certains grands services (comme une cartographie en ligne par exemple) n'est en général pas protégé contractuellement et peut donc s'arrêter du jour au lendemain. Avec la nécessité de migrer en situation de crise.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article