Marion Chatelain et Alban Theys, deux membres de la communauté d’experts de Beijaflore, cabinet de conseil en management, se penchent sur l’audit éditeur : comment en minimiser l’impact financier, sur la réputation de l’entreprise et sur les équipes informatiques ?
De nombreuses actions en justice d’éditeurs logiciels contre leurs clients, aboutissant à des régularisations et des amendes se chiffrant en millions d’euros, ont été rapportées ces derniers mois. Ce phénomène est le résultat d’une tendance croissante des éditeurs à faire valoir leurs droits en ayant recours à des audits sur l’utilisation de leurs logiciels en entreprise. D’après le BSA (Business Software Alliance) en 2013, une cinquantaine d’entreprises françaises ont payé au total 1,3 M€ suite à des actions judiciaires, en augmentation de 30 % par rapport à 2012.
Dans un contexte économique incertain, les audits permettent notamment aux éditeurs de renforcer leur chiffre d’affaires, en baisse depuis plusieurs années du fait de la réduction des ventes de software. Certains éditeurs se sont d’ailleurs dotés de départements dédiés à cette activité. Pour les entreprises, au-delà de l’impact financier, déjà non négligeable, ces litiges entament leur réputation vis-à-vis de leurs actionnaires et de leurs clients. Ils peuvent également entraîner des audits de la part d’autres éditeurs. Enfin, l’impact opérationnel pour les équipes informatiques n’est pas neutre, tant un audit formel peut fortement perturber, sinon entraver leurs activités. En effet, effectuer les inventaires des installations, rassembler les preuves d’achats, analyser et recouper les sources d’informations deviennent alors la priorité, au détriment de la gestion de la production informatique.
Pour se protéger, ou du moins pour minimiser l’impact d’un audit, quelques bonnes pratiques doivent être mises en œuvre :
– Tout contrat signé avec un éditeur (ou presque) contient, à sa demande, des clauses d’audit. Cette contrainte éditeur peut être utilisée à l’avantage des entreprises pour encadrer les modalités d’un audit : délai de notification, choix de l’auditeur, fréquence… Ces clauses peuvent également permettre de définir les conditions de résolution du litige, en négociant, par exemple des prix de régularisation en cas de non-conformité avérée.
– Les éditeurs connaissent très bien le patrimoine logiciel de leurs clients. En effet, leurs consultants, commerciaux et équipes techniques accompagnent les entreprises dans le déploiement et le support de leurs solutions et collectent ainsi une grande quantité d’informations sur les installations. Ces informations doivent donc se limiter au minimum nécessaire afin que celles-ci ne soient pas réutilisées contre l’entreprise. La bonne pratique est de faire signer systématiquement une clause de confidentialité à tout intervenant extérieur.
– Une fois une demande d’audit reçue, il est indispensable de définir conjointement avec l’éditeur le protocole de l’audit, à savoir son périmètre, sa durée, la méthode d’inventaire, le choix de l’auditeur (qui peut être l’éditeur lui-même ou l’un de ses partenaires) et les documents de référence qui devront être fournis. Cela permet d’éviter les litiges durant le déroulement de l’audit, qui pourraient entraîner des recours en justice longs, coûteux et fastidieux.
Mais la meilleure solution pour se prémunir d’un audit reste la mise en place d’un véritable SAM (Software Asset Management ou gestion des actifs logiciels). En effet, l’amélioration de la maîtrise du parc logiciel de l’entreprise, et la veille active sur les règles de licensing, permettent de réduire son exposition à un audit, le gain potentiel pour l’éditeur s’en trouvant fortement réduit. Et dans le cas où l’audit se produit, l’entreprise est alors mieux préparée dans sa démarche avec l’éditeur, tout en maîtrisant ses impacts opérationnels, grâce à la centralisation des preuves d’achats, la maîtrise de son parc, et l’implication de son équipe SAM.
Le SAM contribue en outre aux enjeux actuels des entreprises de contrôle de leurs assets, par la mise en place de processus robustes et pérennes de conformité (processus d’inventaire, de gestion de la demande, de décommissionnement…), et de réduction des coûts grâce à l’optimisation des achats software – assurance de ne plus disposer de licences inutilisées, conseil sur les modalités d’acquisition (produit, métrique mesurable, support), vision consolidée et avisée en vue d’économies d’échelle et de marges de négociations.
La première étape de mise en œuvre du SAM est de mesurer le niveau de maturité de l’entreprise sur chacun des sujets concernés. Elle permet alors de:
- construire une cartographie des risques
- définir les efforts et les prioriser
- élaborer la trajectoire, souvent par une approche itérative et ciblée.
La mise en place du SAM est un projet d’ampleur, qui doit être mené à l’échelle de toute l’entreprise. Elle doit être accompagnée d’un fort sponsoring de haut niveau, et d’un plan de communication et de sensibilisation auprès de tous les collaborateurs de l’entreprise. Bien conduit, les premiers bénéfices de ce déploiement sont perceptibles entre 6 et 18 mois, selon le contexte et la maturité de l’entreprise.
Du fait de l’évolution régulière des contraintes légales, des règles de licensing de la part des éditeurs, et des besoins internes à l’entreprise, l’amélioration continue et la veille seront définies dès le début du projet en termes de gouvernance, de pilotage, d’information et de mesures. Dans ce cadre, l’entreprise peut alors développer une relation d’égal à égal avec l’éditeur, en s’affranchissant de toute pression d’audit, et ainsi élaborer un véritable partenariat
