Audit de licence : savoir s’y préparer et bien réagir

Audit de licence : savoir s'y préparer et bien réagirAlors que la clause d’audit de conformité devient systématique dans les contrats de licence de logiciel, la probabilité de sa mise en œuvre est de plus en plus forte. En l’absence d’une telle clause, certains éditeurs n’hésitent pas à mettre en œuvre des procédures de saisie-contrefaçon (1).

Un risque fort dans toute entreprise. Le risque d’un résultat défavorable est loin d’être négligeable. Les métriques prévus au contrat de licence ont parfois mal vieilli et ne sont plus en concordance avec un système d’information qui évolue vite et en profondeur, notamment sous l’effet du clustering ou de virtualisation de serveurs.

Les conséquences de la mise en œuvre d’un tel audit sont souvent très lourdes : les licences surnuméraires détectées sont généralement facturées au tarif public en vigueur, lequel peut être majoré dans certains contrats de 30 à 50%. Certains contrats vont même jusqu’à prévoir des indemnités au titre d’une clause pénale.

A défaut d’accord avec l’éditeur, le licencié récalcitrant encourt une action en contrefaçon ou, a minima, en responsabilité contractuelle (2).

La préparation proactive à un audit de licence. Pour se préparer à un audit, le mécanisme de contrôle s’inscrit dans une démarche S.A.M. (« Software Asset Management ») et comprend :

  • le recensement des progiciels installés sur les serveurs puis sur les postes de travail ;
  • la vérification des contrats de licence (incluant les logiciels sous licence libre ou « open source ») et de maintenance ;
  • la relation avec la facturation, en particulier pour la maintenance ;
  • les opérations de régularisation et d’optimisation du parc, y compris la résiliation des contrats de maintenance des progiciels qui ne sont plus utilisés ;
  • la régulation interne au moyen d’un dispositif de sensibilisation et de contrôle à l’aide la charte des SI.

Ce mécanisme permet au travers de l’analyse des écarts de procéder aux régularisations nécessaires qui peuvent parfois se traduire par des économies substantielles lorsqu’il en résulte que la maintenance de certains outils obsolètes est toujours en vigueur.

La réponse à l’annonce d’un audit de licence par l’éditeur. Il faut toujours prendre le temps de la réflexion et de l’analyse, surtout s’il s’agit d’exécuter directement des « scripts » fournis.

Les clauses d’audit sont souvent peu détaillées. Il faut donc exiger un délai suffisant avant la mise en œuvre d’un audit et des garanties de sécurité dans le cadre d’un protocole d’audit.

Si l’éditeur refuse d’accorder ces garanties, il appartiendra à l’éditeur de demander une expertise en justice, comme dans cette récente affaire opposant Carrefour à Oracle (3).

De par sa forte expérience dans l’accompagnement de ses clients dans les procédures d’audit, le cabinet est l’interlocuteur privilégié du DSI pour conduire toute étude d’analyse de risques et fournir les préconisations pertinentes à tout audit de licence.

Jean-François Forgeron
Eric Le Quellenec
Lexing Droit Informatique

(1) CPI, art. L. 122-6 et L. 332-1.
(2) TGI Paris, 3ème ch. 1ère sect. 6-11-2014.
(3) TGI Nanterre, 12-6-2014.




Logiciels : limites du droit d’audit et qualification des écarts

Logiciels : limites du droit d’audit et qualification des écartsAprès avoir diligenté plusieurs audits, un célèbre éditeur de produits logiciels s’est vu rejeter par les titulaires de licences les demandes de régularisation qui en ont découlé.

Il a donc décidé de porter les affaires en justice, considérant que ses clients outrepassaient leurs droits acquis en vertu des contrats de licences en vigueur.

C’est dans ce contexte que deux décisions sont venues remettre en question sans ménagement certaines pratiques en matière d’audit contractuel de licences.

La première décision (1), rendue en référé, apporte de précieux enseignements relatifs aux outils de mesure des utilisations d’un logiciel licencié par un client.

Outils de mesure. Le juge rejette la demande de l’éditeur visant à ordonner, sous astreinte, l’exécution de scripts sur le système d’information du client en considérant que les pouvoirs dont il dispose en vertu des articles 145 du Code de procédure civile et L.332-1-1 du Code de la propriété intellectuelle ne lui permettent pas d’ordonner une telle mesure.

Expertise judiciaire. En revanche, et compte tenu de la probabilité démontrée d’un écart entre le nombre de licences acquises et leur utilisation réelle, la demande d’expertise judiciaire de l’éditeur est considérée comme légitime et donc accueillie. Il appartiendra le cas échant à l’expert désigné par le tribunal d’inviter le client à passer ces scripts, après avoir pris les précautions nécessaires pour garantir la continuité de fonctionnement du système d’information de l’audité, et la confidentialité des informations recueillies non indispensables à sa mission.

Obligation de coopération. Le tribunal affirme également que l’éditeur ne démontrait, ni même alléguait l’existence d’une obligation contractuelle d’exécution de ces outils informatiques de collecte d’information. Il n’en faut pas moins pour apercevoir dans cette décision les premiers contours d’un principe de continuité du système d’information et de confidentialité des données stratégiques comme limite à l’obligation contractuelle de coopérer à un audit…

Dans la seconde affaire (2), ce même éditeur a, suite à plusieurs audits et tentatives de rapprochement amiable infructueuses, assigné son client sur le terrain notamment de la contrefaçon. Il sollicitait dans ce cadre la condamnation de ce dernier à lui verser plus de 10 millions d’euros pour utilisation non autorisée de logiciels et de services de support associés.

Propriété matérielle et incorporelle. La juridiction, statuant au fond, relève tout d’abord que le logiciel en question avait été livré par l’éditeur suite à la commande d’une solution globale par le client. Après avoir préféré la qualification contractuelle à celle de contrefaçon, le tribunal conclut, aux termes d’une motivation surprenante (3), que l’éditeur ne pouvait pas légitimement soutenir que le logiciel n’était pas inclu dans le périmètre du contrat de licence et rejette ses demandes.

L’utilisation d’un logiciel hors du périmètre du contrat ne peut donc faire l’objet d’une action en contrefaçon, mais seulement d’une action en responsabilité contractuelle. Cependant, le tribunal mentionne explicitement le fait que l’éditeur ne soutenait pas que le client ait « utilisé un logiciel cracké ou implanté seul un logiciel non fourni », ni même que le nombre de licences ne correspondait pas au nombre d’utilisateurs effectifs du logiciel. Dans ces hypothèses, la question majeure de la qualification de contrefaçon ou de manquement contractuel reste donc entière…

Abus de droit d’audit. Le tribunal affirme enfin que la pratique consistant à multiplier des audits à des fins de pression commerciale fait dégénérer ce droit en abus sans pour autant condamner l’éditeur, faute pour le client de démontrer le préjudice en découlant.
La décision fait l’objet d’un appel.

L’issue de l’expertise diligentée dans le cadre de la première décision ainsi que les suites de l’appel interjeté de la seconde devront donc être suivis de très près.

Encadrement et pilotage des audits. Les procédures d’audits mettent à rude épreuve les rapports commerciaux et contractuels clients/fournisseurs.

C’est pourquoi une attention toute particulière doit être prêtée à la définition en amont du cadre et des modalités de mis en œuvre de ces procédures afin de garantir, tant la protection des actifs immatériels de l’éditeur que la préservation des intérêts légitimes des clients audités.

Ainsi, les clauses d’audit insérées dans les contrats de licence préciseront dans la mesure du possible :

  • la fréquence des audits pouvant être diligentés ;
  • les outils susceptibles d’être utilisés lors de l’audit ;
  • les engagements de confidentialité ;
  • les limites de l’audit tenant notamment à l’absence de perturbation excessive du fonctionnement normal de l’entreprise auditée.

Enfin, une approche collaborative, formalisée par l’acceptation conjointe d’un accord en démarrage d’audit, facilitera d’autant son déroulement qu’elle déterminera un phasage technico-juridique précis de celui-ci (inventaire contractuel, référentiel des métriques, réalisation des mesures, analyse conjointe des résultats puis clôture de l’audit).

Marie Soulez
Nicolas Dubospertus
Lexing Contentieux Propriété intellectuelle

(1) TGI Nanterre réf. 12-6-2014, Oracle Corp., Oracle France c/ Carrefour Org. et Systèmes Gpe.
(2) TGI Paris 3e ch. 1e sect. 6-11-2014, Oracle Corp., Oracle Fce c/ AFPA.
(3) Lire un précédent Post du 6-2-2015.




Audit de licences Oracle et action en contrefaçon

Audit de licences Oracle et action en contrefaçonLe TGI de Paris a rendu sa réponse concernant le conflit qui opposait l’AFPA à la société Oracle sur l’audit de licences lancé par l’éditeur : l’utilisation d’un logiciel hors du périmètre des droits cédés ne peut faire l’objet d’une action en contrefaçon, mais seulement d’une action en responsabilité contractuelle.

En 2002, l’AFPA (Association Nationale pour la Formation Professionnelle des Adultes) a attribué un marché de fourniture de services informatiques à la société Sopra Group, elle-même prestataire agréée de la société Oracle. En 2005, à la fin du marché, la société Oracle reprend l’ensemble des contrats et organise un premier audit de licences, puis un second, qui révèle, selon Oracle, que l’AFPA utilise 885 licences du logiciel Purchasing non compris dans le « pack » logiciel objet du marché de 2002. Les sociétés Oracle Corporation, Oracle International Corporation et Oracle France assignent l’AFPA pour contrefaçon de logiciel.

L’AFPA fait remarquer que le logiciel Purcahsing est bien compris dans la suite logicielle objet du contrat de 2002, et si tel n’est pas le cas, le contrat a néanmoins été exécuté de bonne foi par elle puisque le logiciel Purchasing a été installé sur son système par la société Sopra, intégrateur mandaté par Oracle, et appelée en garantie par l’AFPA.

Le tribunal juge que le litige entre les parties ressort exclusivement du champ de la responsabilité contractuelle et déclare les sociétés Oracle Corporation et Oracle International irrecevables pour défaut d’intérêt à agir, ainsi qu’Oracle France, les demandes de cette dernière étant prescrites (1).

Le Tribunal retient que l’AFPA n’a pas réalisé elle-même l’installation du module litigieux, et qu’Oracle ne soutient pas que le module litigieux ait été « cracké ». En cela, le tribunal se place visiblement dans le sillon de jurisprudences récentes en matière de licence de logiciels, qui considèrent qu’il n’y a pas atteinte au droit d’auteur, mais simple non-respect d’une obligation contractuelle de ne pas faire, lorsque l’utilisateur légitime d’un logiciel procède à une modification du périmètre d’utilisation de celui-ci sans l’accord de l’éditeur.

Cette solution n’est pas entièrement satisfaisante en l’espèce, dans la mesure où les contrats de licence ne semblent pas faire référence au module Purchasing, empêchant par conséquent de considérer l’AFPA comme un utilisateur légitime de ce module. En l’espèce le reproche adressé par Oracle à son client semble plus tenir à l’utilisation sans licence d’un module qu’à un dépassement de la capacité d’utilisation.

La motivation du Tribunal, à propos du droit d’utilisation du module Purchasing par l’AFPA, peut surprendre, dès lors qu’il estime que l’installation du module Purchasing sur le système de l’AFPA signifie que cette dernière dispose des droits pour l’utiliser. Une telle approche est difficilement conciliable avec les dispositions de l’article L122-7 du Code de la propriété intellectuelle (2) ou encore de celles de l’article L111-3 (3). L’assimilation de la livraison du module litigieux au transfert d’un droit d’utilisation sur celui-ci reviendrait alors à créer une présomption de cession pour les licences de logiciels marquant ainsi une singularité supplémentaire pour cette catégorie d’œuvre.

En pratique, la majorité des logiciels de type « ERP » sont fournis avec l’intégralité des modules sans que les droits d’utilisation soient concédés pour tous les modules livrés. Aussi, le tribunal n’a-t-il pas simplement voulu sanctionner le comportement abusif d’Oracle, qui a fait pression sur son licencié en réalisant un audit de licences peu avant le renouvellement du marché afin d’en obtenir l’attribution.

Oracle n’ayant pas été retenu, elle a d’ailleurs notifié à l’AFPA les conclusions de l’audit de licences et initié par là-même le présent litige. La portée de la présente décision est à relativiser et la position de la Cour d’appel de Paris sera analysée avec beaucoup d’attention.

Un contrat de licence, tout particulièrement lorsqu’il porte sur des produits ou services informatiques complexes, doit envisager avec précision l’ensemble des droits cédés, ainsi que le périmètre d’utilisation.

Benoit de Roquefeuil
Martin Leny
Lexing Contentieux informatique

(1) TGI Paris, 3ème ch. 1ère sect. 6-11-2014
(2) Démembrement du droit d’exploitation et interprétation stricte des cessions de droits.
(3) Selon cet article, la propriété incorporelle est indépendante de la propriété de l’objet matériel.




Cnil : bilan des audits de l’opération Internet Sweep Day

CnilLa Cnil a commenté cet été les résultats de l’audit effectué en mai dernier de 250 sites internet régulièrement fréquentés par les internautes français portant sur l’information délivrée aux internautes (1). Cet audit a été réalisé dans le cadre de l’« Internet Sweep Day », en français, la « Journée de balayage de l’internet », première opération internationale d’audit coordonnée des autorités membres du Global Privacy Enforcement Network (GPEN). Pour rappel, le GPEN a été créé en 2007 en vue de renforcer la protection de la vie privée dans un contexte mondial.

Au total, près de 19 autorités compétentes en matière de protection des données personnelles ont évalué 2180 sites Internet ou applications les plus visités.

Les résultats de cette enquête montrent l’insuffisance, voire parfois l’absence, d’une information claire des internautes sur les conditions de traitement de leurs données personnelles.

Ainsi, au niveau mondial, il a été constaté que plus de 20 % des sites Internet et applications mobiles audités (50 % pour les seules applications mobiles) ne délivrent aucune information à leurs visiteurs relative à la politique de protection des données personnelles. En outre, les mentions d’informations délivrées par les autres sites sont apparues incomplètes, peu accessibles et peu compréhensibles.

Du point de vue national, il a été constaté que moins de 10% des sites web audités ne fournissaient pas d’information sur leur politique de protection des données. Pour autant, lorsque qu’elle est fournie, cette information n’est ni facilement accessible (pour près de la moitié des sites et applications mobiles concernés), ni suffisamment claire et compréhensible (pour près d’un tiers des sites audités).

Le constat de la Cnil n’est toutefois pas entièrement négatif. En effet, de bonnes pratiques ont pu être constatées sur certains sites, notamment l’existence de questions/réponses (FAQ), l’organisation thématiques de l’information, ou encore l’indication de points de contacts en charge de répondre spécifiquement aux interrogations relatives à la protection des données personnelles.

Les constats effectués par la Cnil doivent encourager les éditeurs de sites internet et d’applications mobiles à s’assurer du niveau de conformité de leur politique d’information concernant la protection des données.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique

(1) Cnil, Rubrique Actualité, article du 13-8-2013




La Cnil audite les 250 plus gros sites internet

cnilDans un communiqué de presse du 6 mai 2013, la Cnil a annoncé qu’elle effectuait, depuis ses bureaux, un audit des 250 plus importants sites internet.

Ces audits s’inscrivent dans le cadre de l’ « Internet Sweep Day », en français, la « Journée de balayage de l’internet » qui semble porter sur l’information des consommateurs sur le traitement de leurs données à caractère personnel.

Une vingtaine d’autorités mondiales équivalentes à la Cnil, membres du Global Privacy Enforcement Network (GPEN), vont auditer ce jour des sites internet. Il s’agit de la première action commune du GPEN. Pour rappel, le GPEN a été créé, en 2007, en vue de renforcer la protection de la vie privée dans un contexte mondial.

Les audits menés par la Cnil porteront sur l’information des internautes concernant :

  • les données collectées ;
  • la finalité de la collecte ;
  • la communication des données à des tiers ;
  • l’exercice du droit d’opposition.

La Cnil précise que ces audits pourront donner lieu à des missions de contrôle et à l’ouverture de procédures de sanction en cas de constatation de graves manquements à la loi Informatique et libertés. Elle annonce, par ailleurs, qu’un compte rendu sera prochainement publié.

Dans ce contexte, les éditeurs de sites auraient tout intérêt à procéder à ce même type d’audit afin de vérifier la conformité de leur site sur ces points.

Céline Avignon
Caroline Macé
Lexing Droit Marketing électronique




Label CNIL pour l’audit « Lexing® audit informatique et libertés »

Label CNILApres avoir obtenu le label CNIL « Lexing® formation informatique et libertés » pour son catalogue de formations informatique et libertés, le cabinet a obtenu le label CNIL pour sa procédure d’audit « Lexing® audit informatique et libertés » publié au Journal officiel du 7 novembre 2012.

Notre méthodologie Lexing® audit Informatique et libertés, résultat d’une expertise unique de plus de 30 ans dans le domaine Informatique et libertés, comprend :

    – des outils de conduite de projets Informatique et libertés performants ;
    – l’ensemble des documents d’analyse ;
    – les guides de mise en œuvre de ces documents ;
    – les synopsis de mise en concordance des processus légaux avec les processus réels réalisés par l’entreprise ;
    – un plan d’assurance qualité projet Informatique et libertés ;
    – un plan de route commun précisant, tout au long du projet, les tâches à réaliser ;
    – des questionnaires d’audit permettant d’identifier de manière structurée et selon une grille d’analyse les écarts à la réglementation Informatique et libertés ;
    – la rédaction d’un rapport d’audit comprenant notamment une appréciation générale de la situation, les écarts constatés, les stratégies proposées, le calendrier associé et une rosace de complétude.

Cnil 9 octobre 2012.