Pluie numérique

La prévention des risques financiers de la gestion des licences « On Premise » et/ou « SAAS »

Une entreprise sur deux n’a pas les moyens de gérer ses licences logicielles. Avec, à la clef, des risques juridiques et un important gâchis du budget informatique. Les entreprises doivent maîtriser les licences logicielles pour ne pas payer de pénalités aux éditeurs, voire optimiser leurs dépenses de gestion de logiciels. Face à la digitalisation accélérée de tous les pans de l’industrie, beaucoup de solutions se sont développées. Une question fondamentale est tout de même à prendre en compte avant de porter son choix sur un outil : « Comment mettre en place une bonne gestion des licences ? » Elle implique une réflexion en amont sur le mode d’hébergement le mieux adapté aux besoins de l’entreprise et la détermination d’une méthode de gestion des licences de l’entreprise à mettre en place pour optimiser les investissements et limiter le risque financier.

Définitions:

Licence de logicielle: est un contrat par lequel le titulaire des droits d’auteur sur un programme informatique définit avec son cocontractant (exploitant ou utilisateur) les conditions dans lesquelles ce programme peut être utilisé, diffusé ou modifié.

SAAS : « software as a service » est un modèle d’exploitation commerciale des logiciels dans lequel ceux-ci sont installés sur des serveurs distants plutôt que sur la machine de l’utilisateur.

« on premise » : auto-hébergement sur site. Pratique consistant à héberger ses services internet personnels sur ses propres machines, chez soi. Il s’oppose à l’utilisation de services d’hébergements chez un prestataire. Souvent pratiqué par les entreprises, l’auto-hébergement intéresse également le particulier pour diverses raisons. Il permet notamment d’avoir le contrôle et la responsabilité de ses propres données.

 

Mécanisme d’exploitation de la licence de logiciels et cadre légal :

 

Pour pouvoir autoriser des distributeurs à commercialiser des exemplaires du progiciel auprès des utilisateurs finaux l’éditeur informatique doit être investi des droit de propriété intellectuelle correspondants ; ces droits doivent donc être cédés par l’auteur à l’éditeur afin qu’il soit commercialisé et mis à la disposition des utilisateurs finaux.

 

L’enjeux financier du choix d’une solution On-premise ou d’une solution SaaS :

 

L’édition de solution On-premise permet :

  • – d’éviter d’avoir recours à un hébergeur et donc de ne pas payer de frais d’hébergement, les données n’étant pas délocalisées chez un prestataire –  ce qui peut être un impératif pour certaines sociétés ou comptes publics;
  • – un accès aux applicatifs même en cas d’absence de connexion internet.

 

Ce modèle économique est caractérisé par l’achat de licences.

Par exemple, le secteur public fonctionne quasi-exclusivement à parti de licences. Pour le secteur privé, ce sont majoritairement les grands groupes à partir de 10 000 salariés qui choisissent l’on-premise.

Une des raisons étant la manipulation de données sensibles ou stratégiques. Les entreprises préfèrent conserver sur leur serveurs les informations liées à la gestion administrative ou la pie.

 

Pourquoi choisir le Cloud (l’informatique dématérialisé)

 

Parmi les différentes variantes du Cloud, on peut distinguer les contrats d’usage d’application en ligne, anciennement dénommés ASP (« Application service provider ») désormais SaaS (« Software as a service »). Le Software As A Service, est un mode d’hébergement distant du logiciel. Il est alors situé sur le serveur du prestataire éditeur de la solution.

Même si les deux dénominations recouvrent fonctionnellement des réalités très proches, l’évolution de l’une à l’autre marque une évolution technique des applications et des services auxquelles elles donnent accès:

« La différence entre le SaaS et les précédents modèles réside dans le fait que les applications s’appuyant sur le modèle SaaS ont été nativement conçues pour le web. Précédemment, il s’agissait en général d’un front-end web conçu à partir d’applications traditionnelles. De plus, en mode SaaS, l’environnement de production est mutualisé et virtualisé. Par ailleurs, le modèle SaaS est flexible dans la mesure où il permet souvent une plus grande personnalisation des applications offertes, c’est-à-dire la mise en place de solutions sur mesure. »[1]

Parmi les spécificités des contrats SaaS, dans l’ensemble des contrats de cloud computing, on retiendra tout d’abord la nécessité pour le prestataire de négocier, le plus souvent, avec d’autres prestataires et notamment avec celui ou ceux qui détiennent les droits sur les applications hébergées

Le Cloud inclut :
 

  • – la maintenance corrective,
  • – la maintenance évolutive,
  • – l’exploitation du système et la sauvegarde des données.

 
Accessible via une connexion internet, mais aussi utilisable en mode hors connexion chez certains prestataires, pour un usage complet et facilité.

Les solutions hébergées en mode Saas (Cloud) sont largement valorisées aujourd’hui car elles comportent de nombreux avantages.

Le mode Saas offre aux entreprises une grande flexibilité dans l’usage du logiciel. La maintenance, les mises à jour et les performances qui sont entièrement à la charge du prestataire, représentent un gain de temps et d’argent pour le client utilisateur.

Les données sont généralement bien mieux sécurisées chez l’éditeur du logiciel Saas qui en fait son expertise. En effet, l’éditeur possède de nombreux serveurs, puissants sur lesquels ils travaillent chaque jour.

La création de profils utilisateurs est relativement rapide, simple pour un accès fonctionnel immédiatement.

Si un utilisateur perd un de ses appareils, il ne perd aucune donnée puisqu’elles sont toutes stockées sur le serveur distant et non sur l’appareil.

L’hébergeur met souvent un service d’assistance multicanal à disposition ce qui est aussi un plus indéniable pour être dépanné et guidé rapidement en cas de besoin.

En externalisant un logiciel, on se libère de beaucoup de contraintes qui permettent de se concentrer sur d’autres objectifs capitaux pour l’entreprise.

 

Pourquoi choisir le mode On-Premise ?

 

L’hébergement « On premise » est l’acquisition et l’installation du logiciel sur le serveur de l’entreprise. L’achat se fait en “one shot” avec l’acquisition du logiciel ou de licence(s).

Il n’y a pas les avantages de l’hébergement Saas mais son intérêt tire plutôt vers des raisons éthiques, commerciales ou techniques. Il se peut que la solution convoitée ne réponde pas totalement aux exigences et il est important de s’assurer de certains points avant de s’engager comme :
 

  • – Les mesures d’intégration au système informatique de l’entreprise,
  • – La possibilité de personnalisation,
  • – La garantie de sécurité des données,
  • – La gestion de la montée en charge,
  • – Les conditions de changement de version du logiciel,
  • – Les conditions d’un passage éventuel à une solution Saas,
  • – Les conditions de stockage des données (volume, emplacements, accès),
  • – Les conditions du contrat d’abonnement,
  • – La récupération des données en fin de contrat,
  • – Les possibilités de sortie ou la durée d’engagement.

 
Enfin acquérir le logiciel et l’héberger en mode On-premise permet de ne pas dépendre d’un prestataire externe et de ne pas payer de frais réguliers. L’accès sera toujours opérationnel peu importe la connexion internet et les données ne sont pas délocalisées.

Certaines activités nécessitent une haute confidentialité des données comme pour les sociétés ou comptes publics et pour lesquels il est plus sûr de ne pas opter pour un hébergement en mode Cloud.

Dans les grands groupes, on remarque également la présence en interne d’experts en sécurité informatique spécialisés sur les technologie Entreprise resource planing (ERP).[2]

Passer au Saas reviendrait à balayer des savoir-faire pointus et une organisation soigneusement élaboré depuis de nombreuses années. Egalement la spécialisation des données est un critère de choix lorsque des solutions Saas s’avèrent trop standardisées pour traiter correctement les informations.

Enfin, l’On-premises offre les mêmes services et les mêmes performances que le Saas, que ce soit en termes d’accessibilité des données ou de mobilité.

Le choix dépendra de l’activité mais plus précisément du niveau de confidentialité des données. L’élément clé qui guide généralement le choix, c’est l’organisation interne du groupe de travail de l’entreprise et sa culture.

 

Les risques juridiques d’une absence ou d’une mauvaise gestion des licences :

 

Comme dans toute externalisation informatique traditionnelle, l’utilisation de services d’un prestataire Cloud se traduit d’une certaine manière par : « un renoncement au contrôle sur son infrastructure ; la perte de la maîtrise directe du système d’information ; une gestion et une exploitation opaques ». [3]

Enfin, les contrats cloud sont, plus encore que beaucoup d’autres contrats de prestation de services en système d’information, des contrats fréquemment internationaux, ce qui implique l’application des règles de droit international privé régissant ces contrats dont l’exécution s’effectue généralement sur un territoire distinct de celui du client, voire du prestataire lui-même.

La première contrainte réside dans le fait que le basculement en mode Cloud oblige l’entreprise à se déposséder de la maîtrise technique de son système d’information et d’accepter que ses données soient hébergées chez le prestataire, ce qui peut parfois inquiéter le management et retarder la prise de décision.

Il est donc nécessaire d’accompagner contractuellement cette « perte de contrôle » par des clauses rigoureuses tant en ce qui concerne l’engagement de confidentialité du prestataire que la possibilité pour le client de faire procéder à sa demande à un audit technique.

Le respect des dispositions protégeant les données personnelles. Il est tout à fait possible que les données ou les applications du client se trouvent partiellement ou totalement stockées dans des centres informatiques (data centers) situés hors de l’Union européenne et dans des pays dont la législation n’accorde pas un niveau de protection suffisant des données personnelles. Le client doit donc obtenir du prestataire une information précise concernant la localisation de ses ressources en réseau et – au minimum – lui imposer une clause par laquelle il s’engage à assurer ses services depuis des centres situés dans l’Union européenne.

Il semble aussi utile que le contrat comporte une clause d’intuitu personae et permette l’identification des éventuels sous-traitants. Ces derniers ayant pour obligation, notamment,

de respecter des consignes de sécurité de l’information et de mettre en place une politique de sécurité interne efficace, notamment afin de ne pas offrir en interne une sécurité des données « inférieure » au niveau d’exigence signifié au prestataire du cloud.

La CNIL recommande également aux clients de ce type de services de « conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise ». [4]

Les spécificités des services de cloud résident d’une part, dans tout ce qui touche au transfert, au traitement et à la conservation des données dont le client abandonne la maîtrise entre les mains du prestataire et, d’autre part, dans le fait que cela se réalise à distance au travers de l’interconnexion de réseaux numériques ouverts.

Si le prestataire utilise des logiciels standards en libre accès sur le marché ou sous licence libre, il n’y aura pas de risque pour le client. En revanche, si les technologies utilisées appartiennent au prestataire de cloud, il conviendra de prévoir une clause relative à la propriété intellectuelle du prestataire.

Par exemple, il conviendra d’inclure dans le contrat, une sous-licence sur les logiciels standards utilisés dans le cadre du cloud et une licence sur le logiciel/ programme/application qui a été créé.

Comme pour les contrats ASP et SAAS, la clause de propriété intellectuelle d’un contrat de cloud doit énumérer précisément les modalités de l’utilisation des applications par le client final, qui se limitent le plus souvent à un droit de « piloter » à distance les fonctionnalités choisies. Toute autre utilisation, non prévue par le contrat constituera une violation des droits de propriété intellectuelle.

Elle doit également préciser que le prestataire n’acquiert, du fait de l’exécution du contrat, aucun droit de propriété intellectuelle sur les données que le client lui transfère et qui sont traitées à distance par les serveurs, et éventuellement les applications, du prestataire.

Enfin, comme pour l’hébergeur – dont l’article 6-I.7 de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) a prévu un régime de responsabilité allégé pour les hébergeurs vis-à-vis des contenus qu’ils hébergent – le contrat de cloud comportera une clause exonérant et garantissant le prestataire contre une condamnation pour contrefaçon en raison du contenu des données appartenant à son client qu’il aurait stocké.

Sur le plan juridique, le fait de ne pas respecter les termes de la licence de logiciel peut constituer une contrefaçon sanctionnée par les dispositions du code de la propriété intellectuelle par des dommages et intérêts qui peuvent être lourds.

Par expérience, les éditeurs préfèrent négocier ces sujets. Néanmoins, en cas de litige, la procédure de saisie contrefaçon permet de constituer des éléments de preuve qui permettront au juge de se prononcer sur la violation éventuelle du droit d’auteur. Cette procédure permet d’envoyer chez un supposé contrefacteur un huissier de justice pour compter le nombre de logiciels installés et/ou utilisés. Le recours à cette procédure est rare, mais est toujours possible.

Les risques financiers d’une absence ou d’une mauvaise gestion des licences :

 

Outre le risque financier inhérent au paiement des redevances supplémentaires, éventuellement augmentées de pénalités, l’éditeur peut décider de résilier la licence d’utilisation pour violation des obligations contractuelles, voire même poursuivre l’entreprise contrevenante pour contrefaçon de ses droits de propriété intellectuelle.

La résiliation du contrat de licence peut être extrêmement pénalisante pour l’entreprise dont une partie de l’activité reposerait sur l’utilisation du logiciel en cause, l’obligeant à identifier un logiciel équivalent sur le marché et à migrer les données traitées vers le nouvel outil, souvent dans des délais très brefs.

Par ailleurs, les poursuites judiciaires intentées par l’éditeur contre l’entreprise contrevenante nécessitent la mobilisation de personnels internes et de consultants externes (avocats, experts, etc.), entraînant des coûts importants pour celle-ci.
 

Audit de licences de logiciel : les bonnes pratiques de gestion.

 
Certains contrats comportent, au profit du fournisseur, une clause d’audit de l’utilisation des licences concédées au client. Ces opérations d’audit peuvent être contradictoires mais elles peuvent être également le fait du client lui-même qui met en œuvre des vérifications unilatérales, selon une méthodologie prévue au contrat, et dont il transmettra régulièrement les résultats au fournisseur.

La pratique a néanmoins démontré ces dernière années « une tendance à la multiplication des audits de licences de logiciels par les éditeurs », voir même dans certains cas « à l’occasion d’audit les éditeurs tentent d’élargir leurs recherches pour maximiser les régularisations, ce qui crée un climat de suspicion entre l’éditeur et le client ».[5]

Introduire dans le contrat une clause d’audit permet au client de procéder en cours d’exécution du contrat à des vérifications par un tiers extérieur de la conformité de la prestation aux stipulations contractuelles, et notamment aux engagements de niveau de service, de sécurité et de protection des données.

Le Prestataire et les services qu’il fournit pourront faire l’objet d’audits qui auront notamment pour but de vérifier :

  • – le respect de la convention de niveau de services – SLA (Service Level Agreement) ;
  • – que le Prestataire se conforme aux procédures et aux normes de sécurité définies dans le contrat de prestation de services ;
  • – que le Prestataire respecte les obligations qui lui incombent en vertu du contrat de prestation de services ;
  • – que les moyens et les procédures mis en œuvre par le prestataire sont conformes au plan de gestion des désengagements prévus par le contrat de prestation de services ;
  • – s’assurer que l’ensemble des documents comptables obligatoires et des données à collecter en vertu des lois et règlements applicables existe, est mis à jour conformément aux méthodologies généralement admises et, d’une façon générale, selon des modalités et avec un niveau de détail suffisants pour justifier le calcul des charges liées aux services. Le Prestataire est tenu de conserver tous les documents et pièces justificatives nécessaires pendant la durée du contrat et, au-delà, pendant le délai prévu par les politiques du Client telles qu’elles ont été notifiées au Prestataire ou, à défaut, conformément aux dispositions du contrat de prestation de services et des lois et règlements applicables;
  • – mener des investigations conjointes avec le Prestataire, ou identifier les cas présumés de fraude ou d’erreur comptable significative. »

 

Les clauses indispensables

 

La propriété intellectuelle des éléments appartenant à des tiers

Le prestataire peut avoir recours à des outils de développement, voire intégrer des programmes dont les droits appartiennent à des tiers. Le client doit donc veiller à ce que le prestataire dispose des droits nécessaires à l’utilisation de ces outils et programmes, surtout si tout ou partie des prestations de développement s’effectue chez le client.

Il conviendra, bien entendu, que le client dispose également des droits pour utiliser les programmes tiers qui pourront soit être concédés directement par les titulaires, soit être concédés via le prestataire par le biais d’une licence OEM[6]

Il est également nécessaire que la compatibilité de ces programmes avec l’ensemble du système et avec les besoins et attentes du client soit vérifiée.

La liberté d’exploiter librement le système livré, dans les limites des licences concédées et la compatibilité des programmes avec l’ensemble du système informatique du client doivent faire l’objet de clauses spécifiques dans la clause de garantie.

La clause de réversibilité

Il est important qu’en cas d’échec, le client puisse rapidement se retrouver dans une situation lui permettant de poursuivre le projet avec un autre prestataire, ou, exceptionnellement, reprendre son activité avec ses anciens outils, débarrassés des ajouts ou extensions (progiciels, bases de données, interfaces et autres) devenus inutiles du fait du non-aboutissement du projet. La clause de réversibilité devra donc prévoir les conditions dans lesquelles le prestataire doit permettre la reprise du projet.

Il est ainsi nécessaire de prévoir des audits réguliers de la part du client afin de vérifier que les conditions permettant la mise en œuvre éventuelle des opérations de réversibilité sont bien respectées. Ces clauses d’audit dépendent des caractéristiques de chaque projet.
 

La méthode de gestion des licences de logicielles en 4 étapes :

 

Répertorier les logiciels

Au cours de cette étape, il convient de dresser l’inventaire de tous les logiciels installés sur les terminaux, stations de travail, serveurs et autres équipements au sein de l’entreprise et consigner cette information dans un rapport de gestion.

Dans des contextes de fusions successives, ou après un rachat d’entreprise en redressement judiciaire, l’inventaire détaillé des matériels n’est pas immédiatement disponible. Il faut parfois procéder à un nouvel inventaire physique qui peut être chronophage.

Comparer les logiciels installés aux licences existantes

Dès que les logiciels installés sur les ordinateurs de l’entreprises sont identifiés avec précisions, il convient de rechercher les données relatives aux licences et les comparer aux logiciels installés.

Définir une politique et des procédures

Lorsque les logiciels existant dans l’entreprises ont été déterminés ainsi que leurs lieux d’installation, il convient d’élaborer une politique et des procédures que les utilisateurs devront suivre pour veiller à la bonne gestion des logiciels. Les différentes rubriques de cette politique et de ces procédures peuvent être, par exemple, l’acquisition, la mise en œuvre, l’utilisation et la restauration de logiciels.

Elaborer un plan de gestion des licences accompagné de la documentation appropriée

La dernière étape comprend la mise en place d’un plan de gestion durable des logiciels.

La réponse à la problématique doit passer par l’usage de solutions d’automatisation de la gestion des ressources disponibles et utilisées, de redistribution des licences, ainsi que d’audit et de reporting, afin d’optimiser les coûts et réduire les risques de non- conformité.

Pour aller plus loin…. Contactez le Cabinet Levrel

[1] Syntec, Guide contractuel SaaS, 2010

[2] Equivalent français de PGI Progiciel de Gestion Intégré

[3] Syntec Numérique, Livre blanc Sécurité du Cloud Computing, 2010, p. 8

[4] CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing, 25 juin 2012. Groupe art. 29, Avis n°5/2012 sur l’informatique en nuage , adopté le 1er juillet 2012 ( WP 196)

[5] CIGRE, Audit de licences – Charte de bonne conduite, oct 2011

[6] OEM Original Equipement Manufacturer. En français FEO Fabricant d’Equipement d’origine. Les logicil sous licence OEM sont vendus à un prix inférieur par le fabricant du matériel informatique. Le certificat de licence est alors collé au matériel, symbole de leur indivisibilité.