Interview croisée entre le CIGREF et le cabinet Aramis Avocats
Audits de licences – Charte de bonnes pratiques
Audits de licences – Charte de bonnes pratiques
Le cabinet Aramis Avocats par la voix de Benjamin May, associé et fondateur, et Sophie Bouteiller, Directrice de mission, Responsable des partenariats au CIGREF commentent un sujet hautement épineux au cœur de l’actualité IT et des préoccupations de la DSI.
Quel est le constat des grandes entreprises en matière d’audits de licences ?
Sophie Bouteiller : Les grandes entreprises sont confrontées depuis quelques années à un accroissement jugé massif des audits de licences par les éditeurs de logiciels. Le CIGREF s’est interrogé : s’agit-il d’une situation classique et normale en matière d’audits, ou bien assistons-nous au développement et à l’instauration de nouvelles pratiques de la part des fournisseurs ? Les observations du CIGREF, tirées de plusieurs enquêtes récentes auprès de ses entreprises membres, sont de deux ordres :
– Il existe un durcissement des pratiques des éditeurs durant les audits, associé à une finalité commerciale de ceux-ci ;
– Face à la complexité croissante des contrats et à des pratiques agressives des éditeurs, les entreprises s’organisent pour gérer le risque de non-conformité logicielle, devenu quasi-permanent.
Le CIGREF a pris l’initiative de travailler avec quelques entreprises membres sur le sujet et, accompagné d’un avocat, a élaboré une charte de bonnes pratiques en matière d’audits de licences. L’objectif de cette démarche est de faciliter la conduite des audits et les discussions entre les entreprises et les éditeurs de logiciels.
Benjamin May : Nous faisons le même constat. Fait nouveau depuis quelques années, beaucoup d’entreprises clientes nous sollicitent pour les accompagner dans des situations litigieuses avec les éditeurs. Dans de nombreux cas, l’approche de l’audit n’est pas rigoureuse d’un point de vue juridique, ni du côté du client, ni du côté de l’éditeur. L’audit tourne à une négociation purement commerciale avec un éditeur qui « fait feu de tout bois » pour se placer en situation de force et s’en servir comme monnaie d’échange pour vendre de nouveaux services en contrepartie d’une renonciation à une partie des conclusions de l’audit. L’audit est pourtant un mécanisme contractuel, qui doit, à ce titre, suivre scrupuleusement les principes du contrat. Les clients sous-estiment souvent cette approche juridique qui peut leur éviter des réintégrations indues.
Comment s’organisent les grandes entreprises pour gérer les audits de licences ?
SB : L’ingénierie contractuelle en matière de licensing complexifie la gestion du contrat pour les clients : difficulté de lisibilité des règles, problème de prévisibilité, risque de non-conformité permanente. Les audits de licences consomment ainsi de plus en plus de ressources (humaines, financières, temporelles). C’est notamment pour mieux cadrer les audits et limiter cette consommation de ressources que le CIGREF promeut l’usage de la Charte, laquelle pose quelques principes généraux qui, selon les grandes entreprises, devraient présider à tout audit de licences de logiciels. Le CIGREF a noté par ailleurs que le Software Asset Management (SAM) tend à s’imposer comme une pratique de plus en plus incontournable au sein de l’entreprise, ceci afin de gérer, puis d’optimiser, un parc de licences et de postes de travail de plus en plus hétérogène et complexe. S’organiser et s’outiller pour contrôler les engagements pris, éviter les pénalités et la fraude, réduire les coûts, rationnaliser les dépenses et optimiser les négociations avec les éditeurs devient fondamental. Parallèlement à cette organisation interne, qui mobilise également de plus en plus souvent les juristes et les contrôleurs de gestion, le recours à des cabinets d’avocats spécialisés, très en amont de l’audit (dès réception de la lettre de notification), pour accompagner le client sur les plans juridique et contractuel, est une pratique qui tend à se systématiser dans les grandes entreprises utilisatrices.
BM : Il y a effectivement deux axes d’attentions : en amont, avec la nécessité de bien négocier les contrats qui, tôt ou tard, serviront de socle à l’audit. Sur ce plan, on note que les éditeurs ont tendance à superposer les couches contractuelles, ce qui nuit à la lisibilité de l’ensemble. En aval, pour garantir que les audits ne deviennent pas abusifs. Ce qui implique une grande vigilance sur les métriques, les outils de comptages et les unités d’œuvre, les modalités d’accès aux SI du client, etc. La Charte du CIGREF contient, sur ces deux axes, une « boîte à outils » qui peut être utile pour les entreprises.
Sur quels leviers les entreprises peuvent-elles agir pour régler efficacement et durablement le sujet des audits de licences ?
SB : L’audit est un droit légitime des éditeurs, mais les entreprises ne peuvent pas continuer à mobiliser autant de ressources dans la gestion des multiples audits de licences auxquels elles sont confrontées chaque année. Les entreprises sont désormais en risque quasi permanent de non-conformité logicielle, du fait même des changements unilatéraux des politiques de licensing chez les fournisseurs. Pour cette raison, et pour permettre aux DSI – et aux fournisseurs – de mobiliser leurs ressources sur les sujets qui créent de la valeur pour leurs entreprises, le CIGREF continuera d’agir dans ce domaine à travers deux leviers :
– Dans la suite de la consultation ouverte en octobre 2015, un dialogue entre le CIGREF et plusieurs éditeurs s’est engagé dans une logique collaborative. Ce dialogue est l’occasion d’adapter la Charte et d’en publier une version finale, également portée à la connaissance du collège Editeurs de Syntec numérique.
– En complément de cette Charte librement téléchargeable sur son site, le CIGREF tient à disposition des entreprises membres les synthèses des discussions avec les éditeurs, et fait la promotion de l’ensemble de ces éléments auprès de ces dernières afin qu’elles disposent de toutes les informations utiles dans leurs négociations avec les éditeurs.
BM : Il y a eu, en France, plusieurs décisions de justice récentes relatives aux éditeurs dont le fil conducteur est l’obligation de bonne foi. Lorsqu’une entreprise constate qu’un éditeur n’agit pas de bonne foi – en communiquant des résultats d’audit surévalués pendant une période creuse, par exemple durant les fêtes de fin d’année, avec un ultimatum pour obtenir un paiement immédiat en contrepartie d’un discount ; ou encore, en conditionnant la remise au fait de remporter un appel d’offres en cours, il existe des outils juridiques pour résister. La séquence actuelle permet aux entreprises de contester les audits abusifs, à condition de bâtir au fur et à mesure un dossier démontrant les mauvaises pratiques des éditeurs.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.