Les audits de licence : comment y répondre ?
8 octobre 2020.
Les éditeurs de logiciels lancent régulièrement des audits, parfois agressifs, auprès de leurs clients. S’il parait légitime pour l’éditeur de vérifier que son client respecte bien les termes de la licence concédée, il ne doit pour autant pas abuser de ce droit et de sa position d’éditeur pour imposer au licencié des audits avec des conséquences parfois déraisonnables.
Quelles sont les limites de ces audits ? L’éditeur peut-il exiger l’exécution de scripts ?
L’exécution de scripts est très intrusive ; elle consiste à installer un outil tiers sur le système d’information pour auditer l’usage de logiciels. Cette pratique fait peser un double risque sur la sécurité des systèmes informatiques du licencié tant en termes technique qu’en termes de confidentialité.
Dans un exemple ayant donné lieu à un contentieux ; l’éditeur Oracle a tenté d’obtenir de la société Carrefour qu’elle exécute un script d’audit ; la société Carrefour a refusé d’installer et d’exécuter ces outils de collecte automatisé, qui aurait pu permettre à Oracle de procéder au comptage des licences installées sur les systèmes d’information.
La décision du Tribunal de Grande Instance de Nanterre rendu dans cette affaire en 2014 (1) apporte un éclairage intéressant sur le périmètre des audits de licence et notamment l’exécution de scripts.
La société Oracle a en effet assigné la société Carrefour afin d’obtenir qu’elle exécute les scripts.
Carrefour a fait valoir qu’elle avait collaboré activement avec Oracle et qu’elle n’avait aucune obligation légale ou contractuelle d’exécuter lesdits scripts, en dehors d’une mission d’expertise qui serait ordonnée par un juge.
Le Tribunal a approuvé ce raisonnement et a refusé à Oracle de contraindre Carrefour à exécuter les scripts sur son système d’information en particulier pour les raisons suivantes :
- aucune disposition contractuelle ou légale n’imposait à Carrefour une telle pratique, cette méthodologie relevant de la seule responsabilité d’un expert désigné par le tribunal ;
- les scripts ne constituent pas une mesure d’instruction légalement admissible au sens des articles 145 du Code de procédure civile et L. 332-1-1 du Code de la propriété intellectuelle.
Aussi, une entreprise n’est pas, a priori, tenue d’exécuter des scripts dans son système d’information si aucune clause contractuelle ne l’y oblige.
Qu’en est-il des licences dites « d’accès indirects » ?
Retour sur la jurisprudence Diageo:
Certains éditeurs tentent d’imposer le paiement d’une redevance considérable au titre d’accès qualifiés « d’indirects » pour tout accès aux fonctionnalités des progiciels de l’éditeur ou aux données traitées par ceux-ci, par le biais d’une plateforme ou d’une application tierce telles que les applications CRM, BI, RH, Digitale ou encore en matière d’e-commerce.
En 2016, dans une décision très médiatique, DIAGEO/SAP[3], les juges de la Haute Cour de justice Anglaise, en interprétant les différentes définitions contractuelles, en déduisent que les clients finaux n’entrent pas dans le périmètre des licences qui ont été payées par DIAGEO et ont ainsi estimé que l’accès par des utilisateurs tiers, par le biais d’applications tierces, ouvrait droit à 64 millions d’euros de licences supplémentaires.
Cette décision est dépourvue d’effet jurisprudentiel en France et devrait avoir une issue différente en France compte tenu notamment du droit applicable en matière de propriété intellectuelle, à la propriété des données et des règles d’interprétations des contrats en droit français.
Les “usages indirects” ont-ils un fondement juridique ?
Le concept:
La société SAP a développé une notion appelée « accès indirect » qui interpelle et crée de nombreux questionnements, notamment dans le cadre d’audits de licences.
Cette notion d’« accès indirects » est définie comme suit par la société SAP « « Indirect Access occurs when humans, or any device or systems indirectly use the ERP system via a non SAP intermediary software between the users and the SAP ERP system, such as a non SAP front-end, a custom solution, or a third-party application » (Indirect Access Guide for SAP Installed Base Customers » avril 2018. page 3)
Les enjeux :
A l’occasion d’audit de licences, il n’est pas rare que la société SAP justifie la nécessité d’achat de licences complémentaires sur le fondement de ces accès indirects.
Or, cette notion soulève un certain nombre d’interrogations notamment :
- sa validité juridique au regard des dispositions impératives du droit français et européen,
- son opposabilité aux clients SAP.
L’ analyse inédite d’ITLAWAvocats :
La notion d’accès indirect est une notion propre à SAP qui en a défini les règles.
Or, le droit français dispose de règles impératives, auxquelles il est impossible de déroger, qui prévoient un certain nombre de droits au bénéfice des licenciés.
Au regard de ces règles légales, la politique de licensing des accès indirects est-elle opposable au licencié ?
Pour répondre à cette question, ITLAWAvocats s’interroge sur les points suivants :
- Existe-t-il-un texte légal qui interdit ou limite la notion d’accès indirect ?
- Ces « accès indirects » sont-ils prévus dans le contrat ?
- Comment interpréter son contrat ? quels documents prendre en compte ? dans quel ordre hiérarchique ?
- Comment s’intègre la nouvelle métrique de l’éditeur sur le modèle du « Digital Access » ?
Outre ces questions relatives aux pratiques de l’éditeur SAP, ITLAW Avocats recommande de s’interroger aussi sur les pratiques des intégrateurs. En effet, les intégrateurs n’ont-ils pas aussi leur rôle à jouer dans le développement d’interfaces qui engendre des « accès indirects » ? Comment encadrer contractuellement ce point et gérer ce risque avec son intégrateur ?
Autant de questions auxquelles le cabinet ITLAW Avocats répond dans la note de perspective publiée par l’USF et que vous pouvez télécharger ici:
- SAP : usages indirects et interopérabilité : Une analyse des fondements juridiques
Chaque éditeur a développé sa propre ligne d’argumentaire.
Nous préparons un prochain article sur les particularités des audits de Microsoft, IBM et d’Oracle.
Le meilleur moyen de répondre à un audit est de l’avoir anticipé !
Il est donc impératif de bien négocier son contrat de licence en amont, sans oublier les clauses d’audit, dans laquelle il faut notamment penser à traiter les sujets suivants :
- les modalités d’exécution de l’audit : nombre, durée, auditeur, périmètre des informations à transmettre et modalité de transfert;
- les moyens techniques utilisés pour l’audit ;
- les conséquences de l’audit.
En conclusion, nous recommandons de :
- négocier et sécuriser en amont vos contrats de licence et notamment les clauses d’audit afin d’anticiper les problématiques liées à ces processus de comptage de licence et leurs conséquences.
- dès le démarrage d’un audit, de piloter de près l’audit, souvent avec l’aide de spécialistes juridiques et technico-financiers, pour vous assurer de la régularité, légalité et conformité des procédures mises en place mais aussi des conclusions de l’audit avec le contenu le contrat de licence
- et à l’issue de l’audit négocier les demandes formulées par l’éditeur qu’il s’agisse de régularisation de licence ou d’achat de nouvelle licence/nouveaux produits
- travailler sur un audit préventif est également une méthode efficace pour vous préparer à un audit réel de vos éditeurs. Nous l’avons constaté en ayant accompagné nombreux de nos clients dans la réalisation de tels audits préventifs , cette méthode permet de réaliser des économies considérables.
Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats, expert Contrats IT , négociations et licensing
ITLAW Avocats mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la réponse à un audit de licence et aussi pour réaliser un audit préventif.
Pour approfondir :
- Audit de licence ou comment les éditeurs abusent de leurs droits d’auteurs
- SAP : usages indirects et interopérabilité : Une analyse des fondements juridiques
- Audit de conformité des licences : ne vous laisser pas effrayer par les éditeurs : ils n’ont pas toujours raison !
(1) TGI Nanterre, ord. Référé, 12 juin 2014
et aussi : TGI Paris, 6 nov. 2014, n° 12/04940, Oracle Corporation, Oracle International Corporation, Oracle France c/ Association nationale pour la formation professionnelle des adultes