Livre Blanc. Les audits éditeurs en France

Documents pareils
Audits de Conformité Logicielle. Nicolas COURAUD Secrétaire Général du CRAI

Conditions Générales de Vente

Le régime juridique qui est contractuellement attaché aux

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

LA DÉCISION D'URGENCE PROPOS INTRODUCTIFS

CONDITIONS GENERALES DE VENTE

CONTRAT DE FOURNITURE DE SERVICES INFORMATIQUES EN MODE SaaS

CONDITIONS GÉNÉRALES DE VENTE. Les présentes conditions visent à répondre aux impératifs de l article L441-6 du Code de Commerce.

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE

Performance Eléments clés de l étude

Software Asset Management Savoir optimiser vos coûts licensing

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

CHARTE DU CORRESPONDANT MODELE TYPE

Convention de «management fees»: qu en est-il aujourd hui?

Norme comptable internationale 33 Résultat par action

Conditions d'utilisation de la plateforme Défi papiers

Contrat de création d un site web

III.2 Rapport du Président du Conseil

Conditions générales de maintenance des logiciels

LEGAL FLASH I BUREAU DE PARIS

Annexe IV : rapport du Président du Conseil d Administration

CONTRAT DE LICENCE D UTILISATION DU LOGICIEL MORPH M SOUS LA FORME MORPH M PYTHON

La procédure de sauvegarde

LE référentiel des métiers

Contrat d agence commerciale

Délibération n 39 Conseil municipal du 29 juin 2012

Licence d utilisation de l application WINBOOKS ON WEB

Rapport d audit interne

CONDITIONS GENERALES D'UTILISATION OFFRE DE LOCATION -

Décrets, arrêtés, circulaires

Marchés publics de fournitures et services EMISSION DE CARTES D ACHATS ET PRESTATIONS ANNEXES CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.

PROTECTION DES DROITS DU TRADUCTEUR ET DE L INTERPRETE

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Une nouvelle norme mondiale sur la comptabilisation des produits

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Identification, évaluation et gestion des incidents

LICENCE D UTILISATION DU LOGICIEL ACOUBAT SOUND VERSION 7

Quel cadre juridique pour les mesures d investigation informatique?

A. Le contrôle continu

ACTUALITÉS ASSURANCES & RISQUES FINANCIERS

CONTRAT D ASSISTANCE PREMUNIL

G uide M éthodologique

LICENCE SNCF OPEN DATA

Le stationnement irrégulier de véhicules appartenant à la communauté des gens du voyage.

COMPTE RENDU. Atelier-débat avec les futurs clients éligibles. 25 septembre 2002

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

Conditions Générale de «Prestations de services»

L essentiel sur L ASSURANCE VIE. Fonds en euros. Fiscalité. Unités de compte

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

Réussir l externalisation de sa consolidation

NORME IAS 32/39 INSTRUMENTS FINANCIERS

REUTILISATION D'INFORMATIONS PUBLIQUES DETENUES PAR LES ARCHIVES DEPARTEMENTALES DE LA LOIRE REGLEMENT GENERAL

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :

LICENCE SNCF OPEN DATA

CONDITIONS GENERALES D ACHATS FRANCE - ELEVATEUR

Ususphère en quelques mots

ENTRE LES SOUSSIGNÉS :

REGLEMENT DE LA CONSULTATION. Procédure d appel d offres ouvert

Conditions : ces conditions de crédit, ainsi que toute annexe à ces Conditions; CONDITIONS DE CREDIT DE PAYDAY

Garantir une meilleure prestation de services et une expérience utilisateur optimale

CONDITIONS GENERALES DE VENTE DI&MARK- ING

PME Finance 29 avril 2014

LE CONTENU DES MODALITÉS DE SERVICE

Les projets d investissement en PME

Sécurisez vos données. Migrez vos données.

MECANISMES DE COUVERTURE DU RISQUE DE TAUX EN CONTRAT DE PARTENARIAT (CP)

Modèle de cahier des charges CRM

Contrats d assurance vie avec droits acquis

CONTRAT DE MAINTENANCE INTERcom

CODE DE CONDUITE DES AGENTS IMMOBILIERS CHARTE DE DÉONTOLOGIE

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

CONTRAT DE LICENCE DE REUTILISATION DES INFORMATIONS PUBLIQUES MONTPELLIER AGGLOMERATION EN ACCES LIBRE

Bulletin d information statistique

Comment réduire mes impôts tout en diversifiant mon patrimoine?

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

Guide synthétique de la comptabilité des dépenses engagées

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

La Justice et vous. Les acteurs de la Justice. Les institutions. S informer. Justice pratique. Vous êtes victime. Ministère de la Justice

La saisie-contrefaçon Présentation générale

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Continent africain / Evaluation de préjudice Les économistes apportent des réponses à 360 degrés lors des procédures litigieuses

Conditions générales de prestations de services

IFRS 15 Produits des contrats avec les clients. Impacts, défis et actions à entreprendre. Olivia Larmaraud Eric Dard

Norme comptable internationale 7 Tableau des flux de trésorerie

Décrets, arrêtés, circulaires

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

ING Turbos. Faible impact de la volatilité. Evolution simple du prix

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

Assurance et capital-investissement Directive AIFM et utilité de l assurance RC Professionnelle

Le recouvrement des créances impayées

Conditions Générales de Vente

Règlement de la Consultation

CONDITIONS GENERALES DE MAINTENANCE DES LOGICIELS

La location de son entreprise

CONDITIONS GÉNÉRALES D UTILISATION

Article 1. Enregistrement d un nom de domaine

PROTOCOLE. Entre le Barreau de Paris, le Tribunal de Commerce et le Greffe. Le Barreau de Paris, représenté par son Bâtonnier en exercice,

POLITIQUE 4.1 PLACEMENTS PRIVÉS

Transcription:

Livre Blanc Les audits éditeurs en France Juillet 2013

Table des matières Avant-propos... 3 1 Cadre juridique... 5 A Le contrat de licence... 5 B La non-conformité... 6 La procédure contractuelle la clause d ajustement... 7 La procédure contractuelle la clause d audit... 7 La procédure judiciaire la procédure de saisie-contrefaçon... 8 C les conséquences de la non-conformité... 8 2 Gérer efficacement les audits éditeurs...10 A Anticiper...10 B Manager un audit...13 L annonce...13 L initialisation...14 La collecte des données...18 Le rapport d audit...19 La conclusion de l audit...21 Conclusion...22 A propos de Elée...23 Juillet 2013 2

Texte rédigé par Maxime Meny Directeur associé - Elée avec le concours de Marc d'haultfoeuille - Avocat associé du cabinet Norton Rose Fulbright et de Benoit Plaine Senior Manager Elée. Avant-propos Les audits éditeurs ne cessent d augmenter avec pour principales conséquences pour les organisations qui les vivent des coûts importants et non prévus et des démarches longues et difficiles. L audit est un droit, nous le verrons. Mais il représente aussi des risques et un changement profond dans les relations entre les éditeurs et leurs clients : Les risques liés aux audits Pourquoi et comment les rapports entre les éditeurs et leurs clients ont évolué en ce sens? L industrie du logiciel reste encore, malgré la dégradation généralisée de la conjoncture économique mondiale, une industrie rentable en croissance. Les éditeurs majeurs affichent encore des taux de croissance de leurs revenus et de leurs résultats bien supérieurs à ceux que connaissent les PIB des pays développés. Certains comme SAP et VM Ware se payent même le luxe de connaître des croissances à deux chiffres sur les derniers exercices, tandis que les leaders historiques comme Microsoft ou IBM croissent encore de 5 % à 10% par an. Bien qu enviables en période de crise, les performances des leaders tendent à se tasser comparées aux tendances des années 90 et 2000. Juillet 2013 3

Les éditeurs sont contraints d augmenter leurs chiffres d affaires pour rémunérer leurs actionnaires et financer des développements technologiques majeurs et des politiques de croissance externe parfois irrationnelles. Ils ne peuvent donc supporter un tassement de leurs ventes et de leurs profits. La croissance mondiale est attendue à 2% en 2013. En Europe, les prévisions montrent que le continent sera en récession (entre - 1% et 0.3% du PIB). Dans le même temps, le top 10 des éditeurs mondiaux annoncent des dividendes en hausse et des programmes de rachats d actions massifs soutenant par la même occasion leurs cours de bourse et les perspectives de gains pour les actionnaires de ces sociétés innovantes de premier plan. Dans un monde où la technologie est désormais partout, on constate, dans les grandes entreprises, un ralentissement relatif des investissements en nouvelles technologies logicielles. Non pas que les budgets informatiques décroissent, ce n est pas encore le cas, mais c est la vitesse d appropriation des innovations qui ralentit. Autrefois pionnières dans le déploiement des nouvelles applications ou matériels de dernière génération, les entreprises se montrent désormais plus prudentes quant à l adoption des nouveautés surtout quand celles-ci sont en ruptures. Pour faire face à ces changements, les éditeurs rivalisent d innovations en matière de produits et de services mais pas uniquement. Au niveau commercial, leurs stratégies évoluent aussi très vite. Depuis quelques années, ils investissent massivement dans un «nouveau canal de vente», les audits. L objet de ce livre blanc est de dresser, dans un premier temps, le cadre juridique des audits logiciels et plus généralement de la conformité, puis, dans un second temps, nous tenterons de mettre en avant quelques bonnes pratiques visant à anticiper les risques de nonconformité et les actions à mettre en œuvre pour gérer les démarches d audits des éditeurs. Ce document s appuie sur l expérience de Elée en matière de gestion des actifs logiciels et de pilotage d audits. Depuis 2001, Elée a accompagné plus de 25 grandes entreprises françaises représentant un montant de dépense logicielle de plus de 1.5 Mds d euros. Juillet 2013 4

1 Cadre juridique A Le contrat de licence Le logiciel, tout comme sa documentation, est une œuvre de l esprit protégeable par le droit d auteur. Son ou ses auteurs demeurent titulaires de droits (droit de reproduction, d adaptation, de traduction, de modification et de mise sur le marché.). Dans ce contexte l auteur du progiciel peut décider de l étendue des droits qu il accepte de consentir à ses licenciés. L éditeur peut donc prévoir dans le contrat de licence : des limites au droit d utilisation concédé (nombres d utilisateurs, de puissance machine, de sites, d entités, de pays, de machines ou d environnements d installation de versions, de modules, d usage direct ou indirect du produit,...) des limites au droit de modification, d adaptation et de traduction du progiciel, l éditeur ayant le droit de se réserver la correction des erreurs et de ne pas autoriser ses licenciés à traduire le logiciel par exemple Pour être valide, le contrat de licence doit également préciser la durée (durée déterminée ou durée légale de protection des droits d auteur) de la licence consentie. Le contrat précise aussi si les licences sont ou non transférables et si des tiers (infogérants, consultants, etc., agissant pour le compte du client) peuvent accéder au logiciel. L éditeur ne peut en revanche interdire au licencié certains actes, comme, sous certaines conditions, la réalisation d une copie de sauvegarde et la décompilation du logiciel à des fins d interopérabilité (il peut toutefois encadrer ce droit en imposant au licencié de lui demander préalablement les informations nécessaires à cette interopérabilité). Juillet 2013 5

B La non-conformité Sans que cette définition ne soit exhaustive, la non-conformité se définit le plus souvent comme un usage ou une installation de licences (les licences requises) supérieur aux nombres ou aux types de droits acquis (les licences acquises). La balance de la conformité En pratique, une société se retrouve généralement en situation de non-conformité de manière non intentionnelle, souvent pour les raisons suivantes : Complexification dans le temps des contrats applicables Définitions et métriques complexes. Variabilité des environnements techniques et/ou organisationnels Méconnaissance des termes contractuels applicables Méconnaissance de la qualification juridique de certains actes Pour autant, dans les cas précités, l acte de contrefaçon est constitué. Par exemple : Une licence non utilisée mais non désinstallée demeure un acte de reproduction du progiciel et restera comptabilisée en tant que licence «activée» La copie d un logiciel sur un CD-ROM autre que la copie de sauvegarde est un acte de reproduction du progiciel. Installer le logiciel sur différents environnements ou sur une nouvelle machine, peut constituer un acte excédant les termes de la licence, lorsque cette licence n autorise l installation du progiciel que dans un environnement déterminé ou sur une machine ou type de machine déterminé(e) Juillet 2013 6

A l inverse, et cette situation n est pas incompatible avec le fait d être, pour certains produits en situation de non-conformité, une société peut se retrouver en situation de «sousutilisation» : Non déploiement de licences acquises et maintenues achat de licences à chaque nouvelle version alors que leur fourniture est comprise dans la redevance de maintenance; retrait d un pays sans possibilité de «réaffecter» les droits acquis Les éditeurs ont, légitimement, le droit de s assurer que leurs clients sont en situation de conformité. Pour ce faire, ils peuvent soit opter pour des procédures contractuelles, soit pour des procédures judiciaires. La procédure contractuelle la clause d ajustement Il s agit de la démarche la moins agressive afin de prévenir ou régler un différend entre un éditeur et un client. Les clauses d ajustement reposent sur la coopération, la transparence et la confiance entre l éditeur et son client. Ce type de clauses oblige le client sur la base d une déclaration sur l honneur semestrielle ou annuelle à déterminer le nombre exact de licences utilisées et à ajuster le contrat et les redevances versées en conséquence. Exemple de clause d ajustement : A chaque date anniversaire du contrat, le Client adressera à l éditeur une mise à jour des différents paramètres (exemple : zone géographique, type de structure, domaine fonctionnel, utilisation du produit, nombre d utilisateurs ou tout changement dans l utilisation des produits. L exercice d une telle clause peut être assortie de l obligation, pour le client, de déployer une solution d inventaire de l éditeur. Sa mise en place nécessite une collaboration forte entre les deux parties et un investissement significatif de la part du client pour le paramétrage et la mise en œuvre. La procédure contractuelle la clause d audit Les contrats de licence contiennent généralement une clause d audit par laquelle l éditeur se réserve le droit, dans les conditions définies contractuellement, de vérifier les conditions d installation ou d utilisation du logiciel sous licence. Juillet 2013 7

Aux termes de ces clauses, en cas de constat d une non-conformité dans les conditions d usage, le Client devra non seulement acquérir les licences manquantes (parfois au prix en vigueur et non au prix négocié dans le contrat de licence), mais peut également être amené à devoir rembourser les frais d audit payés par l éditeur. Il convient de souligner que cette régularisation a également un impact sur les montants dus au titre de la maintenance (nouvelles maintenances mais aussi arriérés de maintenance auxquels peuvent s ajouter des pénalités). Il importe de vérifier, lors de la conclusion du contrat, que la clause d audit est claire et limitée (périmètre de l audit, information préalable du Client, demandes raisonnables de l éditeur /absence de perturbation de l activité du Client, conséquences par rapport au prix et au paiement des licences, délai de régularisation, montant de la régularisation, ). La procédure judiciaire la procédure de saisie-contrefaçon L éditeur peut, sur requête auprès du Président du Tribunal de Grande Instance compétent, demander à ce qu il soit procédé à une saisie-description du ou des logiciel(s) présumé(s) contrefaisant(s). Cette procédure consiste à dresser une liste des logiciels installés et peut également donner lieu à la réalisation d une copie sur des supports vierges du ou des logiciel(s) contrefaisant(s). Le commissaire ou l huissier peut se faire accompagner d un expert. Le Président du Tribunal de Grande Instance peut également ordonner la saisie-réelle des progiciels contrefaisants. L éditeur doit assigner son client devant le tribunal compétent dans les 20 jours ouvrables ou les 31 jours civils si ce délai est plus long, à compter de la date de l ordonnance (et non pas de la saisie). C les conséquences de la non-conformité Une fois la non-conformité matérialisée, plusieurs voies existent pour résoudre cette situation : Accord amiable : régularisation des licences et de la redevance de maintenance (associée ou non à la résiliation), dans les conditions définies au contrat de licence. Cette résiliation entraîne l obligation pour le licencié de cesser toute utilisation des progiciels et les restituer à l éditeur ou en détruire toute copie. Juillet 2013 8

Action civile (action devant le Tribunal de Grande Instance) : prescription quinquennale / Sanctions civiles: dommages et intérêts en réparation du préjudice subi : «Pour fixer les dommages et intérêts, la juridiction prend en considération les conséquences économiques négatives, dont le manque à gagner, subies par la partie lésée, les bénéfices réalisés par l auteur de l atteinte aux droits et le préjudice moral causé au titulaire de ces droits du fait de l atteinte. Toutefois, la juridiction peut, à titre d alternative et sur demande de la partie lésée, allouer à titre de dommages et intérêts une somme forfaitaire qui ne peut être inférieure au montant des redevances ou droits qui auraient été dus si l auteur de l atteinte avait demandé l autorisation d utiliser le droit auquel il a porté atteinte.» Action pénale: prescription triennale / Sanctions pénales: 3 ans d emprisonnement et 300.000 euros d amende pour les personnes physiques (montant multiplié par 5 pour les personnes morales). La juridiction civile ou pénale peut aussi ordonner toute mesure appropriée de publicité du jugement, aux frais de l auteur de la contrefaçon. Comme nous venons de le voir, l audit de conformité est un droit pour l éditeur et les conséquences en cas de non-respect du droit d auteur peuvent être très préjudiciables pour les entreprises et leurs dirigeants. L objectif sera, pour l entreprise, de veiller à contrôler son parc logiciel et ses contrats pour encadrer les risques de non-conformité. Pour ce faire, les organisations doivent pouvoir anticiper et se structurer pour faire face aux demandes d audits qui pourraient légitimement émaner des éditeurs. Juillet 2013 9

2 Gérer efficacement les audits éditeurs A Anticiper Il existe des signes annonciateurs d un audit et ces signes peuvent être observés par plusieurs acteurs de l entreprise dans leurs relations quotidiennes avec les éditeurs. Le 1 er signe est le revenu que l éditeur fait ou espère faire Les performances des éditeurs de logiciels sont analysées par les investisseurs à l aune de deux critères, la vente de licences et les revenus de maintenances. La vente de nouvelles licences est l élément le plus important pour démontrer la valeur d un éditeur. C est l objectif principal. C est aussi un indicateur avancé des performances futures en ce sens où les licences vendues génèreront des revenus stables et durables. Les achats de nouvelles licences sont un indicateur crucial et il convient de le surveiller. Les éditeurs sont extrêmement vigilants dès lors qu un client ralentit son rythme d achat de nouvelles licences ou lorsque ses dépenses baissent sur une période donnée. Ces signaux représentant un risque pour l éditeur (économique, technologique, d image ). Il en va de même pour les arrêts de maintenance. Pour endiguer cette baisse de revenu, l éditeur commencera, le plus souvent, par renforcer son effort commercial afin de promouvoir ses offres. Il pourra aussi commencer à se questionner sur la conformité de son client. S il n achète plus c est peut-être qu il continue d utiliser les produits sans les acquérir ou qu il a décidé d investir dans des technologies autres (concurrence de nouveaux acteurs, logiciel libre). L évolution de la dépense avec les principaux éditeurs est donc un critère à suivre et à analyser. Bien que la corrélation ne soit pas avérée mathématiquement, nous constatons que les éditeurs peuvent avoir tendance à orienter leurs audits vers des clients qui contraignent voire réduisent leurs dépenses. Rares sont ceux qui lancent un audit chez un client qui investit régulièrement ou qui s intéresse aux produits «score card» (i.e. les nouveautés qu ils souhaitent vendre en priorité comme les Appliance par exemple.) Juillet 2013 10

Le 2 nd indicateur : les contrats Depuis plus de 20 ans, les éditeurs ont déployé des stratégies commerciales visant à proposer au client des contrats longs et globaux. Economiquement, ces contrats obéissent à un mécanisme simple : les remises consenties sur les maintenances et les achats futurs dépendent des nouveaux achats de licences réalisés en début de contrat. Plus le client investira et s engagera dans la durée, plus les prix unitaires baisseront. Ce mécanisme entraine de nombreux effets pervers dont les principaux sont la hausse inéluctable des coûts et l accumulation de produits non utilisés. Acquises, parfois à des prix proches de zéro sous couvert de winback ou de promesse de valeur, ces licences vont s accumuler et faire gonfler les redevances de maintenance et rendre le pilotage encore plus complexe. Un client qui décide de sortir de ce mécanisme attirera l attention de l éditeur qui n aura pas d autre choix que d essayer de le convaincre, et ce, en utilisant tous les moyens possibles à tous les niveaux de l entreprise pour poursuivre dans le modèle du contrat dît «boule de neige». En sortir peut renforcer le risque d audit. Le plus souvent, l éditeur attendra quelques mois à l issue du non renouvellement avant de l envisager. Entre temps, celui-ci aura vraisemblablement remplacé l équipe commerciale historique laissant place à de nouveaux commerciaux, suivis de près par les équipes d audits. Le 3 ème indicateur, l appel d offres perdu ou le changement technologique Là aussi c est un évènement de nature commerciale qui peut précipiter le risque d audit. Les clients qui lancent des consultations dont les enjeux se mesurent en millions ou dizaines de millions d euros (changement d ERP, de système de messagerie, de système comptable ) sont souvent très exposés. Solliciter le marché et lui donner de nombreuses informations (volumes, projections ) pour ces projets d ampleurs créent de nombreuses attentes chez les éditeurs et les intégrateurs. Les parties lésées peuvent avoir tendance à essayer de récupérer ce qu elles n ont pas gagné ou qu elles ont perdu (cas de switch ou de win back) via le canal audit. Juillet 2013 11

Ce schéma s observe aussi dès lors qu une entreprise décide de prendre un virage majeur sur une ou plusieurs technologies visibles, exemple : Changements de bases de données, passage à des solutions libres, unification de la messagerie dans ces cas aussi les fournisseurs déçus peuvent être tentés de compenser les pertes futures. Autre signal, les précédents en termes d audit. Un client qui aurait eu à régulariser sa situation avec un éditeur sera naturellement plus exposé. Le marché du logiciel étant petit, il n est pas rare que ce genre d évènement soit rapidement connu de tous. L existence de contrats anciens, proposant des termes et des métriques favorables comme par exemple des utilisateurs concurrents ou des licences à l employé peuvent, être des déclencheurs. La mesure de ces métriques n est pas chose aisée. De plus celles-ci ne permettent pas de générer autant de revenus que les nouvelles métriques, basées, le plus souvent sur la puissance machine. Enfin, beaucoup de Groupes ont connu un audit global d un éditeur après que plusieurs de ses filiales aient subi le même processus à un niveau local. Les éditeurs peuvent parfois mettre en œuvre des démarches non coordonnées en matière de lutte contre la nonconformité. Cela commence par un audit d une petite filiale sur un pays périphérique avant de se terminer par un audit général. Les signes avant-coureurs sont donc nombreux mais ce ne sont que des indicateurs. La probabilité de survenance d un audit n est pas précisément définie au regard de tel ou tel évènement. Le risque d audit est un des éléments qui doit pousser les entreprises à la vigilance en termes de gestions des actifs logiciels mais ce n est pas le seul. Conscients de la tension que génère un audit, les éditeurs ont tendance à réduire l intervalle de temps entre deux audits et n hésitent plus à pousser leurs clients à installer leurs propres outils d inventaires. La mise en œuvre d une organisation et de processus outillés est une réponse pour s assurer qu à tout moment l entreprise ne court aucun risque de non-conformité qui ne soit connu et maîtrisé. Avant cela, il peut être intéressant de commencer à se structurer en mettant en œuvre des pratiques visant à anticiper et piloter les audits. Juillet 2013 12

B Manager un audit Même s il est possible d anticiper ou de prévenir les audits, il est nécessaire de se préparer à cette éventualité quasi certaine. On peut résumer un processus d audit éditeur en 5 grandes étapes : L annonce Dans un premier temps, l éditeur informera oralement son client de sa volonté d initier un audit. Cette annonce se fera le plus souvent via le commercial en charge du compte, ou son management. Cette annonce orale sera suivie très vite d un écrit formel. Dans le cas où la relation client éditeur est dégradée ou inexistante, l éditeur notifiera directement la mise en œuvre de la procédure d audit par courrier. Qu elle soit orale ou écrite, l annonce ne doit pas être sous-estimée car pour l éditeur elle s apparente au coup d envoi d une procédure très formalisée au sein de son organisation. Pour le client, il est donc déterminant de prendre la mesure d une telle information et de s organiser pour y répondre de manière appropriée. Il est recommandé de rassembler au plus vite les différents fonctions de l entreprise qui seront ou pourront être concernées par l audit (équipes techniques, fonctionnelles, juristes, audit interne, département achats.). Très rapidement, les contrats devront être identifiés puis analysés et partagés avec chacun des contributeurs afin notamment de vérifier si l éditeur est en droit de demander un audit et si des termes existent dans les différents documents pour encadrer cette procédure. Les risques et enjeux devront aussi faire l objet d une première estimation. Juillet 2013 13

A ce sujet, il est recommandé de rassembler certaines données clefs : L ensemble des contrats ou quasi contrats (cadre, avenants, bons de commandes..) La dépense éditeur (par produit, pays, en licences, services ) L historique des achats La cartographie des usages (quels produits utilisés à quels endroits de l entreprise ) Les projets en cours, les Proof Of Concept Les appels d offres Il peut être opportun d identifier les équipes de l éditeur (consultants, experts techniques ) et celles de ses partenaires intégrateurs ou distributeurs (rémunérés par les éditeurs) présentes au sein de l entreprise et être vigilant quant aux données dont ils disposent car ces derniers possèdent souvent des informations très détaillées susceptibles d alimenter la confusion. Aussi, il est toujours utile à ce stade de s enquérir de la santé de l éditeur et des actions de même nature qu il peut mener auprès d autres sociétés ( ). Dès l annonce d un audit, l élément déterminant est de mettre en œuvre une gouvernance pour piloter la procédure. Tous les éléments d informations qui entrent et qui sortent de l entreprise pendant ce processus seront contrôlés systématiquement : Aucun chiffre, aucune donnée, ne doit être transmis vers l éditeur sans que les impacts aient été mesurés. Aucun courrier ou mail ne doit être envoyé à l éditeur sans vérification ou validation Tous les contacts avec l éditeur doivent être sous contrôle de cette gouvernance A ce stade, le client a la possibilité de discuter de la forme que prendra l audit (vérification conjointe, ajustement, audit au sens du contrat ) et de négocier potentiellement sa portée voir son report. L initialisation Les discussions n ont pas permis d éloigner l audit et la procédure va donc commencer d un point de vue opérationnel. Sauf à ce que le contrat détaille clairement le processus d audit, ce qui est rarement le cas, le client a la possibilité de discuter du processus proposé par l éditeur ou les auditeurs externes qu il aura mandatés. Juillet 2013 14

L entreprise a la capacité de se faire accompagner par un conseil extérieur dans cette procédure. L éditeur devra prévenir le client s il confie la mise en œuvre de l audit à un tiers. L initialisation de l audit passe le plus souvent par une réunion de lancement lors de laquelle l éditeur présentera sa démarche et définira le périmètre de l audit (les produits et contrats, les territoires et entités, la méthodologie, les outils, les équipes et le calendrier ). Tous ces éléments semblent s imposer au client hors il n en est rien. Le client a le droit (et le devoir) de discuter et de clarifier chacun de ces points. Le 1 er point à discuter concerne les contrats entrant dans le périmètre de l audit. L éditeur doit impérativement détailler les contrats entrant dans l audit et pourra, à la demande du client, les lui fournir. Il peut arriver que certains éditeurs restent assez flous sur le sujet des contrats, à dessein, ou non. Dans tous les cas l éditeur doit lister les contrats objet de l audit par écrit. Si l audit porte sur plusieurs contrats, le client pourra discuter du nombre de contrats que l éditeur souhaite d intégrer dans le périmètre et proposer d en écarter certains sous réserves de pouvoir justifier cette demande. Le 2 nd point à discuter porte sur les produits Les licences et les maintenances objets de l audit doivent être listées avec la plus grande précision. Avant de commencer l inventaire, le client doit s assurer qu il maîtrise cette liste et qu il est en mesure d en comptabiliser les usages. Pour ce faire, il ne faut pas hésiter à demander à l éditeur de fournir les documents et explications nécessaires à la bonne marche de l audit comme (sans que cette liste ne soit exhaustive) : Les listes de produits Les fiches produits (techniques, fonctionnelles...) Les métriques (définitions détaillées et l historique des métriques par produits) Les évolutions des produits (par exemple les rebundling, repackaging de produits, l historique des versions) Les règles de licensing détaillées... Demander un reporting détaillé en plus des contrats «papier» est recommandé. Juillet 2013 15

L éditeur doit par ailleurs se tenir à disposition de son client et lui fournir toutes informations que ce dernier jugera utile pendant toute la durée de l audit. Le 3 ème point de vigilance concerne les entités et les territoires concernés Là encore les entités et territoires qui entrent dans le périmètre de l audit seront définis et écrits. Nous recommandons aussi que ceux qui sont hors périmètre soient aussi formalisés par écrit pour éviter toutes ambiguïtés. Ces notions de périmètre entités doivent être considérées au niveau des droits et au niveau des usages, certaines entités d un Groupe pouvant acquérir des droits pour le compte d autres entités. Par droits, nous entendons les licences (droits d usages concédés, quels que soient le type et les canaux de vente) et les maintenances acquises par les sociétés concernées par l audit. Ces droits doivent être listés par entité et par contrat. Pour les usages il est important de clarifier où seront mesurés les usages et si l on intègre le Groupe, les Filiales, les prestataires externes (cas de partenaires qui hébergent des licences détenues par le client). Il est possible de discuter avec l éditeur des entités et territoires afin de définir un périmètre clair dans lequel l audit pourra se dérouler facilement et efficacement. Le 4 ème point de vigilance concerne la méthodologie et les outils Tous les éditeurs disposent d outils ou de scripts permettant de réaliser les audits en un temps record. Mais rares sont ceux qui acceptent de prendre des engagements quant aux conséquences de l usage de ces outils dans les environnements du client. Un éditeur peut proposer un outil, mais dans ce cas, il doit engager sa responsabilité quant à l usage de celui-ci (en cas de dysfonctionnement, perte de données par exemple). Sauf disposition contractuelle précisant que le client a accepté l usage de telle ou telle solution pour la mise en œuvre d un audit, aucune entreprise ou administration ne peut se voir imposer l usage d une solution logicielle au sein de son Système d Information. Leur mise en œuvre, si elle est acceptée par le client, doit nécessairement passer par une série de tests, pilotes et obtenir la validation des équipes compétentes pour vérifier si les outils de l éditeur se bornent à comptabiliser ses seules licences et si elles sont sans conséquence sur l exploitation. Juillet 2013 16

Si le client, pour des raisons qui lui sont propres et qu il n est nullement obligé d expliquer à l éditeur, décide de ne pas déployer ces outils, il devra cependant s assurer qu il est en mesure de collecter les données exigées pour justifier de sa conformité. Pour ce faire, il est recommandé de vérifier si des solutions de type discovery ou IT Asset Management existent en interne et qu elles permettent, le cas échéant, de satisfaire à l ensemble des données demandées par le fournisseur. L éditeur et le client doivent définir ensemble les formats et modèles de données qui seront nécessaires à l audit (nom de serveurs, architectures, applications, utilisateurs ). À ce moment le client peut demander que certaines données soient anonymisées. L éditeur doit présenter au client les documents de restitution «rapport d audit» ou «base de données d inventaires» qu il attend et expliquer chacun des champs si nécessaires. C est sur la base de ces documents partagés et validés par les deux parties que seront réalisés les inventaires. Pas sur les rapports sortant des outils que souhaitent imposer le vendeur. A noter que les éditeurs ont une forte propension à remettre en cause les inventaires clients lorsque leurs outils ne sont pas utilisés, ce pourquoi nous insistons sur le fait qu il est déterminant de définir les modèles de données en amont des inventaires et de s assurer que les inventaires seront acceptés dès lors qu ils respectent ces modèles. 5 ème point, les aspects financiers L éditeur doit préciser par écrit les conditions commerciales applicables en cas de non-conformité (prix du contrat ou non, niveaux de remises, liste de prix applicables, pénalités éventuelles, rétroactivité.). Ne pas le faire peut vous exposer à des conditions très dégradées, cela met aussi l éditeur dans une position de force au moment du rapport car il dispose de tous les leviers en cas de non-conformité avérée. Enfin, le calendrier détaillé de l audit devra être défini conjointement et faire l objet d une acceptation formelle des parties. Nous recommandons d intégrer l ensemble des points listés ci-dessus, et peut être d autres, dans un document cadre validé par l éditeur et le client. Juillet 2013 17

La collecte des données La collecte des données est le cœur de l audit, c est aussi la phase la plus complexe d un point de vue opérationnel. Pour que cette phase ne devienne pas chronophage, l organisation et la mobilisation des ressources adaptées sont des facteurs clefs de succès. Sauf à ce qu une équipe dédiée à la gestion des actifs logiciels existe, dont le pilotage des audits est l une des missions, nous recommandons de mettre en œuvre une organisation projet très structurée pour piloter l audit. Cette organisation sera d autant plus efficace qu elle sera composée d une équipe projet resserrée intégrée dans un schéma de gouvernance avec pour missions (synthèse) : D identifier chacun des contributeurs au sein du Groupe et des filiales (équipes IT en charge des remontées d informations, experts ) De coordonner les travaux de collecte de données au sein de l organisation De manager la relation avec l éditeur et son auditeur le cas échéant pendant toute la procédure D assurer un suivi documenté des travaux et des échanges avec l éditeur D informer la gouvernance interne de l avancée des travaux, des points bloquants, des alertes Il est important que le chef de projet et l équipe fassent des points réguliers en interne et surtout avec l éditeur, mais c est au client de fixer le rythme et le calendrier des échanges. Enfin, l équipe projet devra contrôler les contacts qui seront pris par l éditeur au sein de l entreprise et veiller à ce qu aucune donnée intermédiaire ne soit transmise avant le terme de la collecte. La gestion du calendrier est un élément clef de l audit. Il n est pas rare de voir des procédures s étaler ou au contraire s accélérer vers une échéance propre à l éditeur (fin de trimestre ou d année fiscale) faute d avoir été correctement encadrée avec pour conséquence des coûts importants et une tension organisationnelle forte. Juillet 2013 18

Au terme de la collecte, le client dispose d une vision détaillée de son inventaire logiciels et de ses contrats. C est à ce moment, et seulement à celui-là, qu il transmettra à l éditeur des données complètes en ayant au préalable : Vérifié la pertinence et la complétude des données au regard des modèles et formats définis Validé celles-ci avec chacun des différents contributeurs internes leur fiabilité Analysé les impacts Le point déterminant de la collecte nous l avons vu est de pouvoir disposer de la vision la plus fine possible et d évaluer, avant que l éditeur ne produise son rapport, les conséquences de l audit en matière de conformité et les enjeux financiers et contractuels associés (situation de non-conformité ou de sur conformité, actions à mettre en œuvre, impacts financiers et contractuels associés). Dans le même temps, il est intéressant de profiter de la mobilisation interne pour identifier les projets d achats de licences hors audit, et pourquoi pas de les geler le temps nécessaire. Ces investissements pourront, le cas échéant, être intégrés dans la négociation au moment de la conclusion de l audit. Le rapport d audit Sur la base des données d inventaires envoyées par le client et après une série d analyses (et d interprétations), l éditeur produira son rapport d audit. Ce document établira la vision de l éditeur sur la situation du client et conclura sur la situation en matière de conformité. Généralement le rapport est présenté au client comme définitif mais ce dernier garde la possibilité de le commenter voir le contester, ce qui peut être nécessaire car les conclusions de ce document serviront comme point de base à la négociation. Nous recommandons à nos clients de ne jamais accepter le 1er rapport d audit sans prendre le temps nécessaire à l analyse exhaustive de son contenu et de la méthode. Juillet 2013 19

Pour ce faire, plusieurs échanges et séances de travail sont souvent nécessaires afin de : Faire préciser les données d inventaires retenues par l éditeur en l état et celles qu il a interprétées Faire le point sur les droits (licences acquises) et maintenances qu il a retenus Exiger que soient formalisés dans le rapport : les définitions des métriques, les règles de licensing, les produits retenus (quels modules, quelles versions, fonctionnalités.) et les règles qui leurs sont applicables, les calculs Demander à l éditeur d expliquer sa méthode d analyse Généralement, le principal point de désaccord porte sur l interprétation des données faites par l éditeur. Parfois pris par le temps, et les autres audits, les équipes en charge de la conformité peuvent faire des traductions rapides et partielles des inventaires client. Les éditeurs ont une tendance à appliquer des règles de calcul basiques alors même que le client dispose de droits contractuels plus complexes. Dès lors que certaines données manquent ou sont remontées partiellement (quelques fichiers utilisateurs ou un élément de l infrastructure manquants), ils n hésitent pas à conclure que l inventaire n est pas complet voire que le client est incapable de le réaliser. Dans ce cas, certains auront une tendance naturelle à prendre des positions très tranchées comme mettre tout le parc dans une métrique unique ou considérer que l inventaire est nul et non avenu avec pour conséquence l obligation pour le client d acheter beaucoup plus de licences. A ce stade, l éditeur est entre l auditeur et le commercial. Il peut avoir tendance à mettre fortement en cause l inventaire pour pousser le client vers une résolution commerciale basée sur ses propres hypothèses de calculs et objectifs commerciaux. Ces risques peuvent être anticipés dès la phase d initialisation en définissant précisément les données attendues (produits, métriques, modèles, format ) et les documents de restitution. La gestion ferme du processus de collecte en interne permet aussi de limiter ces risques notamment en accompagnant les filiales dans les tâches d inventaires (formation, explication), en vérifiant la complétude des données Au terme de ce processus contradictoire, le rapport d audit définitif sera finalisé. Nous recommandons de ne jamais valider un rapport si des différends persistent entre les analyses des deux parties. Juillet 2013 20

La conclusion de l audit La fin de cette procédure se matérialise, en cas d écarts, par une négociation avec l éditeur. Si le rapport n est pas validé, les parties devront soit s entendre commercialement et conclure un accord, soit poursuivre l audit, soit en dernier ressort suivre une voie plus dure (contentieux, arbitrage, cf. partie 1). Quand le rapport aura été validé par les deux parties, les discussions commerciales porteront sur les quantités et montants des licences à régulariser si la non-conformité est avérée, d où l importance de définir dès l initialisation les conditions commerciales applicables. Si des projets d achats ont été identifiés pendant l audit, il sera déterminant de les intégrer à la négociation pour bénéficier de meilleures conditions ou de contreparties de la part de l éditeur. On peut imaginer de conditionner ces achats à la bonne fin de l audit. La conclusion «positive» d un audit peut être une opportunité pour remettre de l ordre dans certains contrats en arrêtant des maintenances inutilisées, en réalisant des conversions de produits ou de métriques, ou en revoyant certains aspects juridiques (simplification, nouveau contrat, nouvelles clauses, durée, clause d audit,.). Attention néanmoins à ne pas perdre les acquis historiques (contrats, métriques qui présentent un avantage). Juillet 2013 21

Conclusion Les audits, légitimes d un point de vu contractuel, sont en forte croissance et cette tendance n est pas prête de s infléchir à court terme. Pour y faire face, les clients ont donc intérêt à se préparer et s organiser afin que l audit ne soit qu un évènement et non un drame. Maîtriser les relations avec les éditeurs clefs (déploiement, dépendance, dépense, tendance ), connaître son parc licences (inventaires réguliers) sont deux éléments clefs pour anticiper voire prévenir les audits. En cas d audit, l élément clef est la méthode et le cadre de l audit. Un client gérera d autant mieux la procédure dès lors qu il saura : Maîtriser le calendrier et valider la méthode avant le lancement Mettre en place un dispositif solide (projet, organisation, gouvernance, formation, coordination en interne) Gérer la communication des données vers l éditeur (Ne communiquer aucune donnée sans en avoir validé la pertinence et analysé les impacts) La mise en œuvre de ces recommandations nécessite une prise de conscience globale au sein de l entreprise et un investissement pour créer un dispositif opérationnel de gestion des actifs logiciels doté d une expertise solide sur tous les domaines des logiciels (produits, techniques, financiers, juridiques). Cet investissement, de l ordre de 2 à 4% de la dépense logicielle que l on souhaite mettre sous contrôle, permettra de générer des gains de l ordre de 10 à 20% (coûts évités, économies). Il permettra également de maîtriser le cycle de vie de ses actifs et de piloter plus efficacement les relations techniques et commerciales avec les éditeurs Fin du document Juillet 2013 22

A propos de Elée Elée est une société de conseil dédiée à l assistance managériale et opérationnelle des responsables des systèmes d'information. Elée intervient au travers de trois activités : Fiabilité et temps de réponse des applications et systèmes critiques Maîtrise et Optimisation des actifs logiciels Alignement des technologies réseaux La spécificité d Elée réside dans un traitement efficient des données du système d information dans le but d optimiser les actifs et les systèmes informatiques. Juillet 2013 23

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back