Comment réagir face à un audit de licence ?
La dimension juridique de l'achat informatique est souvent négligée par les DSI. De ce fait, leurs mésaventures peuvent se multiplier, notamment en lien avec les audits de licences. Voici quelques règles et bonnes pratiques dont il faut se souvenir.
PublicitéL'audit : une activité à part entière pour les éditeurs
De nombreuses entreprises sont confrontées à des demandes d'audit de licences. Ces audits peuvent représenter un coût important pour les clients en cas de non-conformité. Avec le temps, les éditeurs se sont sophistiqués et disposent désormais d'équipes de spécialistes. Selon plusieurs sources, les revenus tirés des audits représenteraient près du quart des revenus des principaux éditeurs. Face à une demande d'audit, le client ne doit pas aborder en position de faiblesse ce qui est bien souvent une négociation commerciale.
Comment réagir ?
Un principe, tout d'abord : le droit d'audit n'est pas un droit général des éditeurs, il ne peut découler que du contrat conclu avec les clients. D'où la nécessité de mettre en place très tôt, en amont des premiers échanges écrits, une équipe cohérente. Le principe, le périmètre et les modalités de l'audit sont avant tout un débat juridique ; cette dimension est parfois sous-estimée par les DSI.
Définir le cadre contractuel applicable
La première vérification à effectuer lors d'une notification d'audit est son fondement. C'est à la partie qui se prévaut d'un droit d'en prouver l'existence. La notification d'audit doit mentionner les fondements contractuels dont l'éditeur se prévaut ; l'éditeur doit aussi identifier exactement les licences à auditer, en les rattachant au socle contractuel invoqué. L'exercice est souvent plus complexe que prévu compte tenu de la stratification des couches contractuelles et de la multiplicité des modèles de licensing. Les imprécisions ne sont pas forcément à l'avantage des éditeurs.
Le client est en droit de refuser toutes les demandes de l'éditeur qui ne seraient pas prévues au contrat, dans les limites de la bonne foi. Cette règle s'applique aussi bien au principe de l'audit, qu'à ses modalités (délais, métriques, mise en oeuvre d'outils, etc.). Face à une clause ambigüe ou incomplète, l'éditeur ne peut fixer unilatéralement les règles en visant ses « procédures » internes. Tout le contrat, mais rien que le contrat.
Apprendre de la jurisprudence
Les deux dernières années ont été riches d'enseignement sur le plan juridique : face à des demandes d'audit agressives, parfois abusives, certains clients ont décidé de porter l'affaire au contentieux. Les décisions rendues donnent des illustrations qui intéressent tout le marché.
Par exemple, un tribunal a estimé que l'implantation et l'exécution de scripts de collecte de données dans le système d'information du client n'est possible que si le contrat le prévoit. Et même dans ce cas, le client doit avoir la possibilité de vérifier l'innocuité de ces scripts pour son système informatique.
Par ailleurs, l'audit et les régularisations qui en découlent, ne peuvent porter que sur des licences objet du contrat dont le client a connaissance. Lors d'une affaire récente, les juges ont invalidé une pratique consistant à donner accès à une suite logicielle complète incluant des logiciels n'étant pas compris dans le périmètre de la commande initiale.
Plusieurs décisions rappellent aussi le principe de la prescription des demandes. Une régularisation ne peut pas porter sur des faits prescrits - cinq ans en matière contractuelle. A noter qu'il existe sur ce point des décisions divergentes, en attendant une clarification.
PublicitéUn aspect essentiel : la bonne foi
Dans certains cas, les juges ont retenu la mauvaise foi de l'éditeur. Pour mémoire, lorsqu'un droit est invoqué de mauvaise foi, son bénéficiaire perd la possibilité de l'invoquer en justice... Il ne s'agit donc pas que d'un « argument d'ambiance ».
De nombreux clients ont vécu des situations similaires : audit donnant lieu à une demande de régularisation exorbitante, immédiatement suivie d'un « rabais commercial » substantiel, sous condition de signer le bon de commande en quelques heures - parfois en période de fêtes... Il arrive aussi que l'éditeur lie le rabais à l'attribution d'un nouveau marché.
Ce type de comportement doit être combattu. Il entre potentiellement dans la liste des comportements abusifs relevés par les tribunaux. En pratique, la bonne (ou mauvaise) foi s'apprécie au fil de l'eau dans les discussions. Il est nécessaire de suivre toutes les discussions et d'en conserver des traces écrites, afin de pouvoir remettre en perspective l'historique en cas de besoin.
Faut-il aller au contentieux en cas de désaccord ?
Beaucoup de clients ont une approche négative du contentieux et privilégient « un bon arrangement à un mauvais procès ». Ils craignent d'empoisonner les relations avec les éditeurs au quotidien, et mettent parfois en avant la crainte de mesures de rétorsion par des éditeurs perçus comme incontournables. Ce type de raisonnement les place en position de faiblesse dans la négociation.
D'une part, le contentieux est tout aussi repoussoir pour l'éditeur : risque de non-recouvrement ou de recouvrement effectif différé de plusieurs années, risque de précédent et de réputation... D'autre part, le contentieux n'est jamais une fin en soi : il doit constituer un outil au service de l'objectif, qui reste en toute circonstance de trouver un terrain d'entente mutuel. Dans de très nombreux cas, la menace de contentieux suffit à ramener l'éditeur à une posture de négociation raisonnable.
Une initiative originale : la Charte de bonnes pratiques du Cigref
Le Cigref, une association qui regroupe les grands utilisateurs et acheteurs de ressources IT en France, a publié récemment une charte de bonnes pratiques en matière d'audit de licence. La charte se veut à la recherche d'un compromis équilibré et raisonnable entre le droit - légitime - des éditeurs de vérifier l'usage de leurs logiciels, et les limites que ces droits ne doivent pas dépasser. Même si ce document n'est pas opposable à l'éditeur d'un point de vue contractuel, il représente la position commune de très nombreuses entreprises utilisatrices ; et fixe, par conséquent, un référentiel collectif dans l'approche d'un audit. Il prévoit, par exemple, la nécessité d'un préavis raisonnable avant l'audit, la transparence sur les outils de comptage, la possibilité de discuter les conclusions de l'audit, etc. L'autre intérêt du document est de servir de « boîte à outils » aussi bien à la réception d'une demande d'audit, qu'en amont au stade amont de la négociation contractuelle entre l'éditeur et le client.
En amont : consacrer du temps à la négociation des clauses contractuelles
Dès lors que le contrat de licence est le fondement de toute demande d'audit, les clauses contractuelles méritent une revue approfondie en amont. Cette étape est trop souvent négligée par les clients. Par exemple, prévoir les métriques de comptage des licences, ou encore anticiper la virtualisation, prévoir une cessibilité des licences en intra-groupe ou en cas de cession d'activité, etc. s'avère souvent très utile. Le prix des licences « regularisées » à la suite d'un audit doit aussi, dans la mesure du possible, être négocié à l'avance - le prix public étant souvent sans commune mesure avec le prix remisé effectivement payé au moment de la commande.
Article rédigé par
Benjamin May, Avocat associé, cabinet Aramis Société d'Avocat
Benjamin May, associé et fondateur du cabinet Aramis Avocats, est avocat aux Barreaux de Paris et Bruxelles. Il anime une équipe dédiée au droit des nouvelles technologies.
Il intervient aux côtés des clients et utilisateurs sur des transactions complexes, résolution des litiges, mises en conformité et données personnelles.
En savoir plus sur Aramis Avocats.
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire