Audit de licence : savoir s’y préparer et bien réagir

Alors que la clause d’audit de conformité devient systématique dans les contrats de licence de logiciel, la probabilité de sa mise en œuvre est de plus en plus forte. En l’absence d’une telle clause, certains éditeurs n’hésitent pas à mettre en œuvre des procédures de saisie-contrefaçon (1).

Un risque fort dans toute entreprise. Le risque d’un résultat défavorable est loin d’être négligeable. Les métriques prévus au contrat de licence ont parfois mal vieilli et ne sont plus en concordance avec un système d’information qui évolue vite et en profondeur, notamment sous l’effet du clustering ou de virtualisation de serveurs.

Les conséquences de la mise en œuvre d’un tel audit sont souvent très lourdes : les licences surnuméraires détectées sont généralement facturées au tarif public en vigueur, lequel peut être majoré dans certains contrats de 30 à 50%. Certains contrats vont même jusqu’à prévoir des indemnités au titre d’une clause pénale.

A défaut d’accord avec l’éditeur, le licencié récalcitrant encourt une action en contrefaçon ou, a minima, en responsabilité contractuelle (2).

La préparation proactive à un audit de licence. Pour se préparer à un audit, le mécanisme de contrôle s’inscrit dans une démarche S.A.M. (« Software Asset Management ») et comprend :

• le recensement des progiciels installés sur les serveurs puis sur les postes de travail ;
• la vérification des contrats de licence (incluant les logiciels sous licence libre ou « open source ») et de maintenance ;
• la relation avec la facturation, en particulier pour la maintenance ;
• les opérations de régularisation et d’optimisation du parc, y compris la résiliation des contrats de maintenance des progiciels qui ne sont plus utilisés ;
• la régulation interne au moyen d’un dispositif de sensibilisation et de contrôle à l’aide la charte des SI.

Ce mécanisme permet au travers de l’analyse des écarts de procéder aux régularisations nécessaires qui peuvent parfois se traduire par des économies substantielles lorsqu’il en résulte que la maintenance de certains outils obsolètes est toujours en vigueur.

La réponse à l’annonce d’un audit de licence par l’éditeur. Il faut toujours prendre le temps de la réflexion et de l’analyse, surtout s’il s’agit d’exécuter directement des « scripts » fournis.

Les clauses d’audit sont souvent peu détaillées. Il faut donc exiger un délai suffisant avant la mise en œuvre d’un audit et des garanties de sécurité dans le cadre d’un protocole d’audit.

Si l’éditeur refuse d’accorder ces garanties, il appartiendra à l’éditeur de demander une expertise en justice, comme dans cette récente affaire opposant Carrefour à Oracle (3).

De par sa forte expérience dans l’accompagnement de ses clients dans les procédures d’audit, le cabinet est l’interlocuteur privilégié du DSI pour conduire toute étude d’analyse de risques et fournir les préconisations pertinentes à tout audit de licence.

Jean-François Forgeron
Eric Le Quellenec
Lexing Droit Informatique

(1) CPI, art. L. 122-6 et L. 332-1.
(2) TGI Paris, 3ème ch. 1ère sect. 6-11-2014.
(3) TGI Nanterre, 12-6-2014.