Depuis plusieurs années, de grands éditeurs de logiciels lancent des audits, parfois agressifs[1], auprès de leurs clients. S’il parait légitime pour l’éditeur de vérifier que son client respecte bien les termes de la licence concédée, il ne doit pour autant pas abuser de ce droit et de sa position d’éditeur pour imposer au licencié des audits agressifs avec des conséquences parfois déraisonnables.
Quelles sont les limites de ces audits ? L’éditeur peut-il exiger l’exécution de scripts ?
L’exécution de scripts est très intrusive ; elle consiste à installer un outil tiers sur le système d’information pour auditer l’usage de logiciels. Cette pratique fait peser un double risque sur la sécurité des systèmes informatiques du licencié tant en termes technique qu’en termes de confidentialité.
Dans un exemple ayant donné lieu à un contentieux ; l’éditeur Oracle a tenté d’obtenir de la société Carrefour qu’elle exécute un script d’audit ; la société Carrefour a refusé d’installer et d’exécuter ces outils de collecte automatisé, qui aurait pu permettre à Oracle de procéder au comptage des licences installées sur les systèmes d’information.
La décision du Tribunal de Grande Instance de Nanterre rendu dans cette affaire le 12 juin 2014[2] apporte un éclairage intéressant sur le périmètre des audits de licence et notamment l’exécution de scripts.
La société Oracle a en effet assigné la société Carrefour afin d’obtenir qu’elle exécute les scripts.
Carrefour a fait valoir qu’elle avait collaboré activement avec Oracle et qu’elle n’avait aucune obligation légale ou contractuelle d’exécuter lesdits scripts, en dehors d’une mission d’expertise qui serait ordonnée par un juge.
Le Tribunal a approuvé ce raisonnement et a refusé à Oracle de contraindre Carrefour à exécuter les scripts sur son système d’information en particulier pour les raisons suivantes :
- aucune disposition contractuelle ou légale n’imposait à Carrefour une telle pratique, cette méthodologie relevant de la seule responsabilité d’un expert désigné par le tribunal ;
- les scripts ne constituent pas une mesure d’instruction légalement admissible au sens des articles 145 du Code de procédure civile et L. 332-1-1 du Code de la propriété intellectuelle.
Aussi, une entreprise n’est pas, a priori, tenue d’exécuter des scripts dans son système d’information si aucune clause contractuelle ne l’y oblige.
Il est donc impératif de bien négocier votre contrat de licence en amont et en particulier les clauses d’audit !
Dans cette clause devront notamment être traités :
- les modalités d’exécution de l’audit : nombre, durée, auditeur, périmètre des informations à transmettre et modalité de transfert ;
- les moyens techniques utilisés pour l’audit ; sachant que dans l’idéal il est préférable de rester sur la mise en place d’un audit déclaratif
- les conséquences de l’audit.
En cas d’audit et dans tous les cas :
- collaborez avec l’éditeur (ou l’auditeur qu’il aura mandaté) pour la réalisation de cet audit et exigez au préalable des garanties de sécurité et confidentialité suffisantes et encadrées.
- n’oubliez pas la Charte de bonnes pratiques publiée par le CIGREF (le club informatique des grandes entreprises françaises) 2011 ; elle prévoit notamment que l’éditeur doit s’abstenir de recourir à des outils de comptage qui impliquent l’exécution de commandes dans le système d’information du client.
En conclusion, il est recommandé de :
- négocier et sécuriser en amont vos contrats de licence et notamment les clauses d’audit afin d’anticiper les problématiques liées à ces processus de comptage de licence et leurs conséquences.
- dès le démarrage d’un audit, de piloter de près l’audit, souvent avec l’aide de spécialistes juridiques et technico-financiers, pour vous assurer de la régularité, légalité et conformité des procédures mises en place mais aussi des conclusions de l’audit avec le contenu le contrat de licence
- et à l’issue de l’audit négocier les demandes formulées par l’éditeur qu’il s’agisse de régularisation de licence ou d’achat de nouvelle licence/nouveaux produits.
[1] TGI Paris, 6 nov. 2014, n° 12/04940, Oracle Corporation, Oracle International Corporation, Oracle France c/ Association nationale pour la formation professionnelle des adultes
[2] TGI Nanterre, ord. Référé, 12 juin 2014