Audits éditeurs: Quels enjeux?

327 vues

Publié le

Association Française des Utilisateurs de Logiciels
Software Asset Management
Licensing
Compliance

Publié dans : Logiciels
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
327
Sur SlideShare
0
Issues des intégrations
0
Intégrations
18
Actions
Partages
0
Téléchargements
12
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Audits éditeurs: Quels enjeux?

  1. 1. 1 AFDUL - Oswald Seidowsky (c) tous droits réservés Audits Editeurs: Quels enjeux? AFDIT 4 Juin 2015
  2. 2. 22 AFDUL - Oswald Seidowsky (c) tous droits réservés AFDUL Présentation L'AFDUL est une plate-forme indépendante française dédiée :  à la diffusion d'informations relatives au Licensing des grands éditeurs de logiciels;  au partage et à l'échange de connaissances et d'expériences concrètes;  à l’organisation de travaux en commun. Indépendance Retours d'expériences Documents standards Formations Licensing éditeurs Bonnes pratiques Informations
  3. 3. 3 AFDUL - Oswald Seidowsky (c) tous droits réservés Sommaire Qu’est-ce qu’un audit éditeur? Rappel du contexte normatif Pourquoi les audits éditeurs se multiplient-ils? Processus standard Quelle durée pour un audit? Caractéristiques juridiques Méthodologie Principales difficultés juridiques La clause d’audit Jurisprudences en matière d’audit éditeurs Régularisation de la non conformité Opportunité de la Cession de Used Soft
  4. 4. 44 AFDUL - Oswald Seidowsky (c) tous droits réservés Périmètre Qu’est-ce qu’un audit éditeur? « Vérification de la conformité des installations et/ou utilisations avec les dispositions contractuelles convenues entre l’utilisateur et l’éditeur. » •A l’initiative de l’éditeur •Un tiers auditeur peut être mandaté •Souvent mise en œuvre d’une clause d’audit •Processus assez variés en fonction de l’éditeur: sur déclaration ou après envoi de données d’installation… A propos de la conformité logicielle 01compliance.fr Définition:
  5. 5. 55 AFDUL - Oswald Seidowsky (c) tous droits réservés Risques Rappel du contexte normatif Contexte juridique Risque financier souvent en Millions d’Euros + Risque de Négociation + Risque de Réputation L’utilisation sans droit d’un logiciel est pénalement sanctionnée en France par le délit de contrefaçon. Aux termes de l’article L335-2 du Code de la Propriété intellectuelle « La contrefaçon est punie de trois ans d'emprisonnement et de 300 000 euros d'amende » Risques opérationnels importants L’utilisation sans droits de logiciels fait peser un risque interruption du service fourni par le Systeme d’Information….. y compris pour les clients de l’utilisateur de logiciel….
  6. 6. 66 AFDUL - Oswald Seidowsky (c) tous droits réservés Données économiques Pourquoi les audits éditeurs se multiplient-ils? Éditeur Chiffre d'affaire mondial 2013 en M$ Microsoft 65,7 Oracle 29,6 IBM 29,1 SAP 18,5 Symantec 6,4 EMC 5,6 HP 4,9 Vmware 4,8 CA 4,2 Salesforce.com 3,8 Autres éditeurs 234,6 Total 407,3 Source Gartner - Mars 2014 Tendance M/L terme du chiffre d’affaire Chiffre d’affaire mondial des principaux éditeurs Editeur Fréquence* IBM 51% Oracle 38% Adobe 36% Microsoft 36% SAP 19% VMware 14% Attachmate 13% Autodesk 11% BMC Software 11% HP 11% *Gartner 2014 Fréquence des audits Panel: 159 entreprises utilisatrices
  7. 7. 77 AFDUL - Oswald Seidowsky (c) tous droits réservés Etapes clés Processus standard Etape 1 Constitution de la base Contractuelle Etape 2 Constitution de la base installation Etape 4 Evaluation de la position de conformité Etape 3 Comparaison des inventaires techniques et contractuels La comparaison permet d’identifier les éventuels écarts entre les bases installées et le « capital » contractuel . Inventaire des installations et des usages au sein de la DSI, le cas échéant grâce à des outils de techniques de discovery. Recherche et consolidation des éléments contractuels et achats. La position de conformité peut faire apparaître des « soldes » créditeurs ou débiteurs en fonction des produits, versions, éditions. Processus Type Juridique Techniq ue Achats Position de Conformité
  8. 8. 88 AFDUL - Oswald Seidowsky (c) tous droits réservés Durée d’un audit Quelle durée? 0 5 10 15 20 25 Rapport de cloture Discussion du rapport Rapport d'analyse de l'éditeur Envoi des données à l'éditeur Consolidation des données Traitement des données techniques Traitement des données contractuelles Accord de Confidentialité Définition du Perimètre juridique Définition du Périmètre produit Premier contact Utilisateur / Auditeur Formation de l'équipe projet Direction générale informée Notification reçue Notification sur la base d’une clause d’Audit le plus souvent Plusieurs « savoir-faire » et compétences sont nécessaires Formalisation des relations à venir entre les parties Photographie données d’installations et droits d’utilisation « Data Crunch » et envoi des données « Discussion » du rapport d’analyse de l’éditeur Evaluation des éventuels écarts de conformité Durées moyennes constatées* * Délais exprimés en jours calendaires
  9. 9. 99 AFDUL - Oswald Seidowsky (c) tous droits réservés Méthodologie Comparaison de données quantitatives 9 Acquis Installé Requis Objectif Définir le capital de droits logiciels de l'utilisateur Exporter les données relatives aux installations Déterminer les usages réels et dé-commissioner si possible et/ou nécessaire Détermination des quantités de licences nécessaires Source(s) Preuves de licences: - Contrats - Commandes - Factures Serveurs et/ou applicatifs (exports de données) Source contractuelle Source Editeur en cours d'audit Calculs d’écarts itératifs Processus standard de conformité
  10. 10. 1010 Caractéristiques juridiques Nombreuses questions AFDUL - Oswald Seidowsky (c) tous droits réservés C’est au moment de l’audit que toutes les questions juridiques les plus importantes se posent dans un contexte contraignant: Contexte de contrainte  Pas de négociation  Mix de sujets techniques et juridiques  Souvent situation de tension Questions posées  Quel est le nombre de licences acquises?  Combien de licences sont installées? Nombre d’utilisateurs?  Droits d’utilisation autorisés? Droits d’utilisation indirects?  Circulation du contrat ou du produit? Que faire des licences inutilisées? Plusieurs Savoir-faire à mobiliser  Techniques  Juridiques  Achats
  11. 11. 1111 Enjeux juridiques Principales difficultés juridiques AFDUL - Oswald Seidowsky (c) tous droits réservés Catégorie Type d'enjeux Gestion du contrat Clause de transfert interdit sans accord Gestion du contrat Clause d'audit Gestion du contrat Clause spécifique en cas de fusion / Acquisition Gestion du contrat Manque de pièce contractuelle Gestion du contrat Document non signé par le client Gestion du contrat Document non signé par l'éditeur Gestion du contrat Document non signé par les deux parties Gestion du contrat Obligaton de tracabilité des installations à la charge du client Périmetre d'utilisation Limitation territoriale du droit d'utilisation Périmetre d'utilisation Limitation de l'environnement hardware et/ou software du droit d'utilisation Périmetre d'utilisation Limitation quantitative du droit d'utilisation Périmetre d'utilisation Limitation à un périmettre organisationnel client du droit d'utilisation Périmetre d'utilisation Limitation territoriale du droit d'installation Périmetre d'utilisation Utilisateurs/bénéficiaires tiers non autorisés
  12. 12. 1212 Enjeux juridiques Où sont les contrats? AFDUL - Oswald Seidowsky (c) tous droits réservés Gestion des contrats, un enjeux stratégique Preuve parfaite de droit à licence? Le contrat de licence, point d’entrée de la conformité informatique Le contrat informatique présente la particularité d'être: -> un document administratif -> un acte juridique -> un support probatoire des droits X 5 éléments :  la proposition commerciale  le contrat  le bon de commande  la facture  la preuve de paiement.
  13. 13. 1313 Enjeux juridiques Comprendre les métriques éditeur AFDUL - Oswald Seidowsky (c) tous droits réservés Nombreux types de métriques Comment calculer? Les termes et conditions des contrats sont souvent complexes et/ou liberticides pour l’utilisateur. De nombreux fournisseurs conjuguent ou associent indivisiblement métriques complexes de licences de logiciels, services de support et mises à jour en une seule proposition contractuelle. Chaque Editeur édicte son propre régime de licence Necessaire de passer des lettres aux chiffres Dissocier en fontion du type de licence Tenir compte des situations techniques (virtualization, puissances machines, types de licences utilisateurs ou CPU …) Metriques Quantitatives Metriques Territoriales Metriques Finalités Metriques Métiers Concurrent User Floating User Licence serveur Named User Licence serveur CPU license Dongle License …
  14. 14. 1414 Enjeux juridiques La clause d’audit AFDUL - Oswald Seidowsky (c) tous droits réservés Obligations stipulées dans la clause d’audit? Obligations d’utiliser les scripts fournis pas l’Editeur? Une clause d'audit est une disposition contractuelle visant à autoriser un éditeur de logiciel à exiger la communication d’informations relatives à l‘installation des produits logiciels concédés. Définition - Communication des données - Conservation de registres de données - Indemnisation au prix catalogue - Remboursement des frais d’audit « Le Client accepte que l'éditeur effectue des audits en vue de vérifier qu'il respecte bien les conditions de la Licence d'Utilisation du Logiciel. Tout audit de ce type se fera aux frais de l'éditeur, nécessitera une notification préalable d'au moins 10 jours et aura lieu pendant les heures ouvrées normales. Si un audit révèle des produits non payés, le Client achètera immédiatement les produits installés et non payés au prix catalogue et remboursera à l'éditeur les coûts raisonnablement engagés pour la réalisation de l'audit. » Exemple
  15. 15. 1515 Enjeux juridiques Jurisprudences en matière d’audit éditeurs AFDUL - Oswald Seidowsky (c) tous droits réservés Carrefour refuse d’exécuter les outils de collecte que l’éditeur lui demandait de mettre en œuvre pour recenser les licences installées Arguments: - absence d’obligation contractuelle - risque sur la sécurité de ses systèmes informatiques Les scripts ne constituent pas des mesures d’instruction énumérées par l’article 145 du code de procédure civile. Toutefois le tribunal désigne un collège de deux experts afin notamment qu’ils dressent l’inventaire des licences acquises par Carrefour et de leur utilisation pour vérifier les déclarations du groupe Carrefour. A cet effet, les experts peuvent : • procéder ou procéder « par l’une ou les parties à la mise en œuvre de tout outil de mesure automatisé qui s’avèrerait utile à leur mission. » • procéder à l’analyse comparative du nombre de licences acquises et celui des licences utilisées par les sociétés concernées du groupe Carrefour, • se rendre en tous lieux utiles à l’accomplissement de leur mission pour procéder à toutes vérifications nécessaires, en France et à l’étranger 12 juin 2014 TGI Nanterre Ordonnance de référé Oracle / Carrefour
  16. 16. 1616 Enjeux juridiques Jurisprudences en matière d’audit éditeurs AFDUL - Oswald Seidowsky (c) tous droits réservés « la société Oracle Corporation et la société Oracle International Corporation irrecevables et mal fondées en leurs demandes formées à l’encontre de l’AFPA. » Dans le contexte d’un appel d’offre Oracle déclenche un audit en vue de « passer en revue les droits d’utilisation de ses produits par l’AFPA afin de lui permettre d’obtenir une vision plus claire du niveau d’utilisation des produits Oracle et partant de leur optimisation ». Oracle assigne en contrefaçon et demande à l’AFPA : - 4 millions d’euros à titre d’indemnité forfaitaire pour la reproduction non autorisée du logiciel Purchasing par 885 utilisateurs; - 9,5 millions d’euros pour l’utilisation non autorisée des services de support technique et des mises à jour du même logiciel. Pour les juges, il ne s’agit pas d’une affaire de contrefaçon « l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel. ». L’AFPA accuse Oracle d’avoir utilisé abusivement les audits contractuels pour exercer une pression commerciale Oracle a fait appel du jugement. 06 novembre 2014 TGI Paris Jugement Oracle AFPA / Sopra
  17. 17. 1717 Enjeux juridiques Régularisation de la non conformité AFDUL - Oswald Seidowsky (c) tous droits réservés Questions : Pour les produits logiciels, quel est le montant de l’indemnisation en cas de non conformité? Quelle est la teneur du vrai préjudice subi? Par exemple : peut on parler de perte de vente et de maintenance ? Par exemple pour des licences installées mais non utilisées? Cas Legalement/Contractuellement Equité Exemple Utilisation Payant Payant Création et utilisation d'un compte Accès uniquement Payant Discutable Simple création de compte Usages indirects Payant Discutable Accès indirects Rappel du principe juridique: La réparation du préjudice subi en cas de non paiement d'un produit doit couvrir = son prix d’achat/fabrication (damnum emergens) + le bénéfice qu’un commerçant aurait pu retirer en revendant le produit s’il avait été vendu (lucrum cessans)
  18. 18. 1818 Enjeux juridiques Opportunité de la Cession de Used Soft AFDUL - Oswald Seidowsky (c) tous droits réservés Avantages de la vente des UsedSoft Avantages de l’acquisition de UsedSoft Vendre les logiciels non utilisés suite à une migration, une fusion de SI par exemple Acquérir des versions qui ne sont plus commercialisées Financer des projets d’investissements en revendant les anciens logiciels Acquérir des logiciels ou maintenir sa conformité à prix réduit Un Editeur de logiciels ne peut s’opposer à la revente de ses licences « d’occasion » 3 juillet 2012 CJUE Oracle / UsedSoft « Les articles 4, paragraphe 2, et 5, paragraphe 1, de la directive 2009/24 doivent être interprétés en ce sens que, en cas de revente d’une licence d’utilisation emportant la revente d’une copie d’un programme d’ordinateur […] le second acquéreur de ladite licence ainsi que tout acquéreur ultérieur de cette dernière pourront se prévaloir de l’épuisement du droit de distribution prévu à l’article 4, paragraphe 2, de cette directive et, partant, pourront être considérés comme des acquéreurs légitimes d’une copie d’un programme d’ordinateur, […] »
  19. 19. 1919 AFDUL - Oswald Seidowsky (c) tous droits réservés Fin

×