La face cachée des audits des éditeurs de logiciels Audit logiciel : ce que dit la loi



Entretien avec Christiane Féral-Schuhl et Olivia Luzi, avocats associés au sein du cabinet Féral-Schuhl / Sainte-Marie.

JDN. Quels sont les droits des éditeurs vis-à-vis des audits réalisés dans les locaux des entreprises ? 

olivia luzi et christiane féral-schuhl, avocats associés au sein du cabinet
Olivia Luzi et Christiane Féral-Schuhl, avocats associés au sein du cabinet Féral-Schuhl / Sainte Marie. Christiane Féral-Schuhl est aussi ancien Bâtonnier de Paris. © Féral-Schuhl / Sainte Marie

Christiane Féral-Schuhl. En pratique, il est assez rare que les audits se fassent 'sur place' : généralement les éditeurs demandent aux entreprises de remplir des questionnaires déclaratifs et de passer des scripts de l'éditeur qui remontent un certain nombre d'informations sur le paramétrage des machines sur lesquelles sont installés les logiciels soumis à licence. Sauf stipulation contractuelle contraire, une entreprise n'est pas tenue d'exécuter des scripts – qu'elle ne maîtrise pas – sur son environnement.

Est-on obligé de les laisser entrer dans les locaux, expertiser les serveurs, les PC des salariés ?

Christiane Féral-Schuhl. Tout dépend de la manière dont est rédigée la clause d'audit. Il faut d'abord vérifier que le contrat de licence permet bien à l'éditeur de réaliser un audit, et dans l'affirmative sous quelles conditions (préavis, durée, périmètre, prise en charge des coûts d'audit).

"Seul un encadrement contractuel de l'audit permettra de fixer des limites"

Pour cela, il est nécessaire d'anticiper les conditions de mise en œuvre de l'audit au moment de la négociation du contrat de licence. Seul un encadrement contractuel de l'audit permettra de fixer des limites dans son exercice (informations à fournir...) : une prise de conscience des clients-utilisateurs est indispensable !

Quels documents est-il en droit d'exiger ?

Olivia Luzi. Tous documents en rapport avec le périmètre de l'audit : justificatifs des commandes de licences, factures de renouvellement du support, justificatifs du nombre d'employés (lorsque la licence est concédée pour un certain nombre d'employés par exemple), copies d'écrans de consoles d'administration de serveurs afin de justifier du paramétrage de ceux-ci... Mais c'est normalement à l'éditeur de fournir la copie des contrats de licences sur lesquels il s'appuie, ce qui devrait être un préalable aux opérations d'audit.

Un employeur est-il responsable des logiciels qui sont éventuellement installés par les salariés ?

"Nous constatons un écart entre le montant des prétentions des éditeurs et le montant de la régularisation éventuelle qui sera payée"

Olivia Luzi. Effectivement, l'employeur est responsable. Il incombe à ce dernier de mener une politique interne pour restreindre la faculté des employés à télécharger des logiciels non autorisés par l'entreprise sur leur poste de travail afin d'éviter d'éventuelles déconvenues (le téléchargement d'un logiciel sans autorisation peut constituer un acte de contrefaçon).

L'entreprise peut-elle contester les conclusions de l'audit ?

Christiane Féral-Schuhl. Oui, et ce d'autant plus que les règles de licences sont généralement complexes et mal rédigées, suscitant des difficultés d'interprétation et donc ouvrant droit à des contestations possibles. Lorsque nous accompagnons nos clients dans ces processus d'audit, il est extrêmement rare que nous ne trouvions pas d'éléments de contestation dans le rapport. Nous constatons également un écart énorme entre le montant annoncé des prétentions des éditeurs et le montant de la régularisation éventuelle qui sera payée, pour autant que les parties soient d'accord sur celle-ci. Il faut savoir que les audits de 'compliance' sont souvent utilisés comme un levier de négociation commerciale entre l'éditeur et son client.

L'éditeur peut-il désinstaller un logiciel s'il considère que la licence n'est pas valide ?

Olivia Luzi. Il ne peut le faire lui-même sans autorisation du juge et/ou injonction de celui-ci. En revanche, l'éditeur peut menacer de suspendre ou résilier le contrat de licence et de support, à ses risques et périls. Il est rare que les éditeurs de logiciels prennent ce risque si leur client-utilisateur a émis une contestation sérieuse sur les conclusions du rapport d'audit, car ils exposeraient leur responsabilité si une telle suspension / résiliation venait à nuire à la continuité de fonctionnement de l'entreprise de leur client.