Conformité des logiciels : en 2014, qui empochera le pactole ?

Quand on ne gagne plus de nouveaux clients, autant faire payer ceux que l’on a déjà. Les éditeurs de logiciels le savent bien. Aussi, en 2014, ils se battront comme jamais pour exploiter le gisement de la conformité. Au même moment, virtualisations, concentrations et relocalisations des systèmes d’information (SI) alimentent toujours plus ce pactole pour les éditeurs. Mais ils ne sont plus les seuls à le convoiter. Afin de contrebalancer leur dessein, d’autres acteurs montent progressivement en puissance. Ainsi, s’engage un passionnant bras de fer, qui – espérons le – donnera tout son sens au software asset management (SAM).

I – La conformité : un pactole nourri par les grandes tendances des SI

A) La partie faible n’est plus ce qu’elle était

Chacun sait que les logiciels sont protégés par le droit d’auteur et que celui-ci a été pensé pour la protection du plus faible. Mais par un curieux revirement de l’histoire, la logique d’ensemble est inversée. En 2014, les grands éditeurs détiennent à la fois droits d’auteur et pouvoir. Ils peuvent donc dicter leur loi : celle des contrats, qu’ils parviennent à imposer pratiquement à tous.

De fait, ils ont identifié de longue date le gisement de la conformité. Les éditeurs de culture anglo-saxonne notamment sont parfaitement rompus aux arcanes contractuelles et au filon de la « compliance », dont ils mesurent toute la portée.

Ainsi, chaque éditeur concocte son cocktail de clauses qui, avec quelque patience, viendra asphyxier le client et rapporter bien plus que la redevance initiale. Les ingrédients sont bien connus. Ils portent notamment sur les conditions de cession des droits, le lieu d’implantation des logiciels, les bénéficiaires, les machines utilisées et les puissances de traitement.

Le tout reposant habilement sur des clauses d’audit, de résiliation et de limitation de durée soigneusement muries.

C’est bien entendu la combinaison de tous ces ingrédients qui en fait la saveur. D’autant qu’une habile politique commerciale permet la plupart du temps de s’affranchir du garde-fou constitué par le contrat-cadre et de changer d’interlocuteurs au fil du temps. Il en est ainsi notamment lorsque sont négociés au coup par coup des documents plus contingents (bons de commandes, contrats d’application, documents dits de transactions, avenants, annexes ou tout autre avatar du même acabit).

B) Les DSI doivent évoluer comme jamais

Chacun constate que le rythme des affaires et les mutations des entreprises s’accélèrent de manière exponentielle. Il n’est guère de directions générales qui ne s’affairent aux évolutions de son périmètre et de ses activités. Toutes pensent fusion, cession, filialisation, spécialisation, mondialisation, sous-traitance, externalisation.

Dans ce contexte, les DSI ont choisi leur credo : virtualisation et alignement du SI avec les métiers.

De sorte qu’elles consacrent d’importants moyens à la « mise en nuage » des ressources de traitements, leur consolidation, voire leur relocalisation et/ou leur sous-traitance.

Nul besoin d’être grand clerc pour réaliser que le cadre contractuel imposé par les éditeurs constitue un formidable carcan lorsque l’entreprise doit se transformer de la sorte.

Qu’ainsi, à plusieurs reprises, le choc sera frontal entre les limites imposées par les contrats de logiciels et les changements souhaités par le management. Et que lorsque ceux-ci n’auront pas été suffisamment anticipés et chiffrés, il faudra en passer par les fourches caudines des éditeurs.

Évidemment, la situation est encore pire lorsque l’entreprise se transforme et évolue en ignorant les contraintes imposées par la conformité. C’est alors par les foudres de la contrefaçon que l’entreprise se trouve rattrapée.

II – L’écosystème de la conformité : les multiples acteurs complémentaires du SAM

Face aux éditeurs, le SAM mobilise toujours plus tant les équipes internes des entreprises que divers prestataires externes en plein essor.

A) La mobilisation conjointe de nombreux intervenants internes

Plus que toute autre activité, le SAM repose sur une étroite interaction entre les trois directions internes que sont les achats, le juridique et l’informatique.

En effet, dès lors que se noue le lien contractuel, les directions des achats sont concernées au premier chef puisqu’il s’agit de manager la relation avec des fournisseurs comme les autres que sont les éditeurs. De leur côté, les directions juridiques doivent bien entendu veiller à l’équilibre des clauses contractuelles et aux risques nés du fait du contrat. Quant aux directions informatiques, il leur appartient de définir les besoins en termes de licences. Cette mission peut être rendue particulièrement délicate tant par la nature des unités d’œuvre que l’identification même des besoins.

Au fil du temps, la tâche de l’entreprise se complexifie rapidement puisqu’il lui est nécessaire de piloter en permanence la délicate et volatile balance entre les licences acquises et les licences requises.

Et celles-ci vont évoluer toujours plus fréquemment, notamment du fait de la virtualisation des ressources techniques, des changements parmi la population des utilisateurs, des évolutions de la politique de back-up, des concentrations, relocalisations et autres transferts de sites …

Il s’ensuivra de nombreux va et vient entre les trois entités concernées, sans que jamais l’une d’elles puisse raisonnablement prendre le leadership sur les autres.

B) La montée en puissance d’un nouvel écosystème

Ces derniers temps, comme l’on pouvait s’y attendre, les éditeurs se sont faits toujours plus menaçants à l’égard de leurs clients. Ils ont donc brandi les menaces de l’audit, de la résiliation et de la contrefaçon.

Les audits étant généralement prévus par les contrats des éditeurs, certaines sociétés spécialisées n’ont donc pas manqué de proposer leurs services, notamment afin de mesurer l’utilisation réelle des licences puis de la confronter aux prévisions des termes contractuels.

De leur côté, les utilisateurs se sont trouvés confrontés à un nombre croissant de pré-contentieux, de sorte qu’ils ont progressivement commencé à faire appel aux professionnels du droit que sont les avocats. Ainsi, ils ont vite pris conscience de la sévérité du droit français en cas de contrefaçon : la procédure de saisie-contrefaçon mais aussi un mode spécial de calcul du préjudice et une juridiction “inhabituelle” en cas de litiges. En effet, le TC (Tribunal de Commerce) est écarté par la compétence exclusive du TGI (Tribunal de Grande Instance) en matière de droit d’auteur. Sans oublier que le droit pénal lui même vient renforcer le pouvoir de sanction des éditeurs puisqu’il punit la contrefaçon par 3 ans d’emprisonnement et 300.000 euros d’amende pour les personnes physiques (montant multiplié par 5 pour les personnes morales).

Le SAM vient donc constituer une activité en croissance pour la profession d’avocats.

Enfin, conscients des difficultés rencontrées par les entreprises du fait de la conformité, certains éditeurs y ont vu une opportunité. Il ont donc entrepris de développer des applications spécialisées, afin notamment de compléter leurs gammes de logiciels dédiés à l’asset management ou au contract management.

Évidemment, la complexité se déplace alors vers la mise en œuvre, l’implémentation et le pilotage de ce type d’applications. De sorte que diverses sociétés spécialisées commencent à proposer un mix de conseil et de logiciels, souvent qualifié de conseil outillé.

De surcroît, certains spécialistes du sourcing – maîtrisant notamment les arcanes et pratiques des grands éditeurs (Microsoft, IBM, Oracle, CA, BMC, …) – entrent eux aussi dans la compétition. Nul doute qu’ils seront particulièrement pertinents compte tenu des chausse-trappes que renferment les contrats des champions du logiciel.

En définitive, l’étonnant cumul des prérogatives du droit d’auteur et de la puissance économique des éditeurs produit un foisonnant écosystème. C’est ainsi que le SAM vient encore renforcer la dynamique de décloisonnement et de fertilisation croisée entre les métiers des achats, du droit et du conseil IT.

Chartes informatiques à l’heure des smartphones et du web 2.0

Les smartphones estompent les frontières entre vies professionnelle et personnelle. Le Web 2.0 donne à chacun de puissants moyens d’expression en dehors de l’entreprise. De nouvelles règles du jeu s’imposent. La charte informatique a vocation à rassembler ces règles. Mais quel peut être son contenu ? Quelle est son effectivité juridique ? Comment la mettre en œuvre ?

Le contenu d’une charte informatique est hybride par nature. Il a évolué pour passer d’une vision technique à une approche éthique, ayant pour socle la loyauté.

La première génération de chartes informatiques faisait la part belle aux directives techniques destinées à protéger l’intégrité du système informatique. Elles interdisaient notamment les modifications des configurations des logiciels de sécurité, les manipulations anormales du matériel ou l’introduction de logiciels tiers, voir parasites tels que virus ou chevaux de Troie. À cette époque, tout était simple : il suffisait d’interdire dans le but de protéger des ressources techniques.
Internet et le Web 2.0 ont rendu nécessaire l’adjonction de nouvelles règles.
Des notions complexes sont apparues. Il s’agit notamment des « sites Internet présentant un lien direct et nécessaire avec l’activité professionnelle », des « opinions personnelles susceptibles de porter préjudice à l’entreprise », de « l’usage à titre personnel dans le cadre des nécessités de la vie courante » ou de la « parfaite correction à l’égard de ses interlocuteurs dans les échanges électroniques ».
Toutes ces nouvelles règles ont en commun leur caractère flou. Elles rendent délicat le tracé de la frontière entre ce qui est permis et ce qui est interdit. En définitive, leur principal dénominateur commun est de reposer sur le critère de la loyauté. Celle du salarié mais aussi celle de l’employeur.
Malheureusement, la loyauté ne se mesure pas ! En fait, elle est devenue l’un des principaux standards juridiques d’aujourd’hui. Seul le juge peut trancher et dire si un comportement est déloyal ou loyal. Il convient donc de s’interroger sur les enjeux sous-jacents.
Le premier enjeu porte sur la qualification de la faute. Aux termes de l’article L.1222-1 du Code du Travail, « Le contrat de travail est exécuté de bonne foi ». La méconnaissance d’une obligation édictée par la charte informatique peut être analysée comme un défaut de loyauté. Elle est donc de nature à justifier la rupture du contrat de travail au tort du salarié.
Le second enjeu porte sur l’opposabilité de la preuve. Pour pouvoir être opposée à un adversaire, une preuve doit avoir été obtenue de manière loyale. La jurisprudence est constante pour rappeler ce principe. Le cadre légal impose d’ailleurs que tout dispositif de surveillance soit porté préalablement à la connaissance des salariés (Art. L.1222-4 du Code du travail). La charte informatique peut constituer avantageusement le support d’une telle information, notamment en faisant connaître les prérogatives de surveillance des administrateurs de réseaux.
Le troisième enjeu porte sur la responsabilité civile ou pénale de l’entreprise. A défaut de prévenir les utilisateurs du caractère illicite de certains comportements, celle-ci peut voir sa responsabilité engagée. Il en est ainsi notamment lorsque sont méconnus les droits de propriété intellectuelle des tiers ou stockées des informations pour le compte de tiers, notamment sur des forums ouverts au public. Là encore, la charte informatique permet d’informer les salariés quant à la ligne jaune à ne pas franchir.
La charte informatique a donc vocation à être connue de tous. Sa mise en œuvre loyale impose l’information et la consultation du CHSCT, du CE et de chaque salarié individuellement.
Partie intégrante du règlement intérieur, elle doit aussi satisfaire le critère de la proportionnalité des restrictions imposées aux salariés, conformément à l’article L.1321-3 du Code du travail prohibant « les dispositions apportant aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir et proportionnées au but recherché ».
En définitive, si la charte informatique doit être profondément remaniée à l’heure où vies professionnelle et personnelle se chevauchent, le critère de la loyauté en constitue la boussole. Il faut cependant garder à l’esprit que seul le juge pourra finalement dire où se trouve le nord !