L’audit logiciel est un événement souvent inquiétant pour les clients des éditeurs de logiciels. Il est en effet vécu comme une sanction dès lors qu’il risque de démontrer des manquements organisationnels et représente un coût humain et financier conséquent pour l’entreprise.
En réalité, l’audit peut représenter un outil intéressant pour le client, lui permettant de mieux gérer son parc logiciel, et peut même être effectuée à la demande du client.
Si la clause d’audit figure depuis longtemps au sein des contrats d’acquisition de licences de logiciels, cette procédure est en plein développement, les éditeurs recherchant de nouveaux revenus.
Ceux-ci ont longtemps fait preuve de tolérance quant à l’usage de leurs licences, mais sont désormais plus attentifs au respect des contrats par leurs clients.
C’est la raison pour laquelle la procédure d’audit est à la croisée des chemins de la direction informatique et du service juridique : le juriste va analyser les contrats et les droits accordés, et le service informatique s’assurer que l’usage correspond.
Quelques bonnes pratiques permettent de transformer ce moment désagréable en un véritable atout pour la gestion du parc informatique.
En quoi consiste l’audit logiciel ?
L’audit logiciel est une enquête, menée par l’éditeur de logiciel, dont l’objet est de vérifier l’adéquation entre l’usage réel des licences acquises par un client et les droits accordés par les contrats.
Lors de cette enquête, l’éditeur va soit demander à son client de lui fournir un relevé des installations de ses logiciels, soit se rendre lui-même sur le site du client afin d’obtenir directement ces informations sur le système d’information du client.
L’impact financier et juridique (par exemple en matière de confidentialité, d’étendue des droits et de responsabilités) de cet audit sur l’entreprise du client est tel qu’il est fondamental d’y prêter une attention particulière, dès l’achat des licences.
Encadrer le périmètre de l’audit dès la contractualisation
Les audits sont en général prévus par les contrats de licence proposés par les éditeurs. Les clauses proposées sont souvent particulièrement larges, ce qui permettra à l’éditeur de disposer d’un périmètre d’action étendu.
Le client, par le biais de son service juridique, devra donc négocier une réduction du périmètre, dans la mesure du possible, afin de limiter à l’essentiel son obligation de fournir des informations.
Le point-clef de cette clause porte sur l’étendue des informations qui pourront être demandées par l’éditeur. Il est nécessaire de les énoncer de manière limitative afin d’éviter que celui-ci puisse demander accès à des informations n’ayant pas de lien direct avec l’audit. Plus précisément, il pourra s’agir des commandes de licences, de l’inventaire des installations, du renouvellement du support, du nombre d’employés, extraits du registre des postes de travail ou serveurs, …
En outre, la charge humaine est conséquente, en ce qu’il sera nécessaire de suivre l’audit côté client (réunions, courriers, mails) et d’effectuer les manipulations techniques demandées par l’éditeur sur les postes informatiques.
Il est donc intéressant de cadrer la durée de l’audit dans le temps, par exemple pour une durée de trois mois, afin de disposer d’une prévisibilité quant aux ressources humaines à allouer et qu’il soit possible d’y mettre fin sur un fondement contractuel s’il dure trop longtemps.
Il pourra être également utile de prévoir une formule de calcul de coût des licences et du support supplémentaires, en cas de dépassement de l’usage autorisé. Cela permettra d’éviter les désaccords sur le prix appliqué à chaque licence et limite le potentiel contentieux au mode de comptage.
D’une manière générale, le client devra s’assurer de ne pas être tenu contractuellement de fournir des informations sans lien aucun avec l’audit et qui relèvent du secret d’affaires, par exemple sur son fonctionnement interne hors gestion du parc informatique (informations financières de l’entreprise, stratégie commerciale, organisation interne, …)
Plus largement, il convient également d’énoncer clairement les métriques d’usage des licences, afin que celles-ci soient les plus appropriées au futur usage, et puissent laisser une certaine latitude d’utilisation au client.
Le coût de l’audit doit aussi être partagé entre les parties, celui-ci ayant vocation à bénéficier aux deux parties.
L’audit ne doit en effet pas être considéré comme une sanction. Il peut également être intéressant de prévoir des audits de manière régulière, si cela est envisageable au niveau opérationnel, afin d’améliorer la gestion du parc de logiciels (en prévoyant par exemple des rachats de licences non utilisées ou la possibilité de convertir les métriques (licence par poste, par processeur, par puissance de calcul, …) selon les besoins. Dans ce cas, il peut être prévu contractuellement qu’un audit aura lieu tous les ans ou tous les deux ans.
Le suivi régulier par une cellule juridico-informatique
Les entreprises sont de plus en plus nombreuses à créer une cellule dite de software asset management, en lien direct avec le service juridique.
Cette cellule a vocation à suivre les acquisitions de licence et de maintenance, ainsi que leur usage, tout en jouant le rôle de liaison avec l’éditeur pour les audits logiciels.
Ce spécialiste a donc vocation à effectuer des inventaires réguliers des installations sur les postes et les serveurs, et à centraliser les achats de licences.
Il sera un intermédiaire privilégié avec les éditeurs dès lors qu’il peut fournir des informations de manière rapide et efficace. Le service juridique ou un avocat peut également remplir ce rôle.
Ce responsable aura un rôle proactif en interne, afin d’informer les opérationnels des usages des licences autorisés par les contrats (pas d’installation sans vérification des licences disponibles, désinstallation en cas de non-usage, respect des métriques).
Comment réagir lors d’un audit ?
Lors de la réception de la demande d’audit, le premier réflexe ne doit pas être de procéder à une désinstallation des logiciels sur les postes non autorisés. L’éditeur considérerait cela comme de la mauvaise foi et provoque en général l’application d’un barème maximal pour la facturation des licences de régularisation.
A l’inverse, il convient d’échanger avec l’éditeur, ou son auditeur externe, pour comprendre ce qui est attendu de l’audit.
La cellule d’audit, entre juridique et DSI, doit ensuite rechercher les contrats concernés, afin de disposer de toutes les informations en amont.
A la suite de cet échange, il est conseillé de mettre en place une charte d’audit entre les deux parties, qui va encadrer à la fois la manière dont les manipulations sur les systèmes seront effectuées (remontée d’information sans présence sur site, remontée des informations en présence de l’auditeur, manipulations directes sur le système informatique, …) mais également la confidentialité des échanges, les responsabilités respectives et la procédure d’audit en général (forme du rapport, procédure de contestation, …).
Il sera bien entendu nécessaire de fournir les informations de manière complète dans des délais convenus préalablement, mais l’audit ne saurait dépasser le cadre prévu à la fois dans le contrat et la charte. Des échanges réguliers doivent faire le point sur l’avancée de l’audit ainsi que les éléments restant à remonter.
Les échanges doivent tous être consignés par écrit afin d’assurer leur traçabilité en cas de futur contentieux.
Si l’auditeur ou un tiers mandaté procède lui-même à l’audit sur site, il est nécessaire, afin de garantir la confidentialité et la sécurité du système, de prévoir qu’un membre de la société l’accompagnera et effectuera les manipulations sur le système.
A l’issue de l’audit, l’éditeur va en général transmettre un rapport d’audit au client pour validation et remarques. Ce rapport inclut le montant des régularisations proposées ainsi que des propositions d’amélioration de la gestion des installations. Le client peut s’y opposer et faire part de ses réserves.
Cette étape, menée de bonne foi et de concert, peut permettre au client d’identifier des points à améliorer dans sa gestion de parc, et lui permettre de renforcer son partenariat avec l’éditeur pour négocier de futures acquisitions de manière avantageuse. Pour l’éditeur, un audit mené de manière raisonnable et sans régularisation abusive pourra fidéliser son client.
En cas de divergence, une négociation pourra être menée pour atteindre un accord quant au montant des régularisations.
Toutefois, en l’absence de compromis, les éditeurs pourront toujours se replier vers une procédure judiciaire, les dépassements d’usage étant susceptibles de constituer une contrefaçon.
Les clients doivent donc s’y préparer avec soin, en prenant les mesures nécessaires afin de protéger leurs intérêts juridiques et financiers en amont.