Vous souhaitez comprendre l'environnement contractuel des logiciels informatiques et les risques y afférents pour votre entreprise ? Ou vous souhaitez tout simplement vous informer sur le sujet ? Alors soyez les bienvenus ! Votre assistant juridique augmenté QIIRO vous explique ce qu'il est nécessaire de savoir sur l'environnement contractuel des logiciels informatiques. Alors pour être incollable sur le sujet, laissez-vous guider par les développements qui vont suivre.
Le contrat est un écrit destiné à constater l'accord des parties et à faire naître des obligations mutuelles. Le contrat informatique est le plus souvent relatif à des logiciels. Il englobe les logiciels spécifiques développés pour un client, les progiciels standards, les progiciels spécifiques, et d’autres encore. Ce contrat porte sur la phase de création du logiciel, sa cession ou son exploitation. Il est donc susceptible d'intervenir à chaque étape de la vie du logiciel.
Le contrat est un outil qui permet d'assurer la protection du logiciel, en dehors de ses dispositions légales spécifiques. Il est important pour les entreprises utilisatrices d'accorder de l'importance aux contrats informatiques portant sur les logiciels. Il permet de délimiter les droits et responsabilités de l'entreprise. Le manier avec prudence est essentiel puisqu'une simple mauvaise rédaction d'une clause peut faire subir des risques importants à l'entreprise.
Il est nécessaire de prévoir tous les points, même minimes, ainsi que tous les risques pouvant apparaître lors de l'utilisation du logiciel. L'auteur du logiciel ou l'éditeur, qui sont titulaires des droits de propriété intellectuelle du logiciel, décident des conditions dans lesquelles l'entreprise utilisatrice pourra s'en servir. Cela se fait à travers le contrat de licence de logiciel.
Le contrat de licence est un contrat qui lie l'entreprise, installant le logiciel affecté par une licence, et l'éditeur. Ces licences limitent généralement le nombre d'utilisateurs ou le nombre de machines sur lesquelles il est possible d'installer le logiciel.
La multitude de logiciels, de licences et de contrats complexifient la situation. Ainsi, la gestion des licences est un enjeu important pour l'entreprise. La Bibliothèque pour l'infrastructure des technologies de l'information (ITIL) la définit comme « l'ensemble des infrastructures et des processus requis pour la gestion, le contrôle et la protection efficaces des actifs logiciels au sein d'une organisation, à travers toutes les étapes de leur cycle de vie ».
En matière de logiciel, deux types de licence sont majoritairement utilisés dans les contrats de licence : la licence d'utilisateur nommé et la licence processeur.
La première est la licence en vertu de laquelle une personne particulière dispose du droit d'utiliser le logiciel et à partir de n'importe quel ordinateur sur lequel il est installé. Elle est la seule personne agréée à l'utiliser.
La seconde est relative au processeur sur lequel est installé ledit logiciel. À partir de l'installation du logiciel sur une machine, le nombre de licences sera comptabilisé par une formule basée sur le nombre de processeurs de cette machine. Elle est conçue pour être installée sur un poste en particulier et utilise une caractéristique spécifique à ce poste afin de vérifier l'usage de la licence.
Par ailleurs, il existe également la licence flottante. Le logiciel demande alors une licence au serveur de licences centralisé et c'est seulement si une licence est disponible que l'utilisateur est autorisé à utiliser le logiciel pour une durée déterminée. Le serveur retire automatiquement cette licence de la liste des licences disponibles. Lorsque la durée d'utilisation expire, la licence est récupérée par le serveur afin de la mettre à disposition des autres utilisateurs autorisés. Le défaut de disponibilité de licences dans le serveur empêche l'utilisation du logiciel.
Le logiciel shareware signifie littéralement « logiciel en partage ». Le créateur propose de tester le logiciel pendant une durée déterminée variable, pour un nombre de fois limité ou avec des fonctionnalités réduites, moyennant, à son issue, le paiement à son auteur d'une modeste contribution. En effet, après la période d'essai, la contrepartie financière sera nécessaire afin de bénéficier de la version complète du logiciel ou d'en bénéficier de manière continue. Le prix payé doit couvrir les frais de distribution et éventuellement de support technique.
Ce type de logiciel permet de tester les fonctionnalités, de voir les correspondances avec les besoins de l'entreprise et donc de prendre une décision en connaissance de cause. Il peut être livré sans son code source, ce n'est donc pas un logiciel libre. Notons tout de même que lorsque le code source est fourni, cela n'accorde pas automatiquement le droit de le redistribuer puisque la distribution du logiciel n'est pas toujours libre. En effet, le créateur du logiciel peut en limiter les droits de copie et de distribution.
Ce concept de libre-essai est profitable à l'utilisateur puisque cela lui permet d'essayer un grand nombre de logiciels sans les acheter et de sélectionner le plus adapté à l'activité, ou d'utiliser une seule fois un logiciel spécifique pour un besoin unique.
L'utilisation des logiciels libres est courante dans le monde informatique, notamment sur internet mais également dans les entreprises et les administrations (par exemple Open office). Il s’agit de logiciel libre au sens de liberté, et non au sens d’entrée libre. Le logiciel libre est protégé par le droit d’auteur comme tout autre logiciel. Il est souvent gratuit mais son utilisation est parfois payante.
Son créateur donne accès au code source et permet à quiconque de le copier, modifier et distribuer, techniquement et légalement. Le logiciel libre est celui dont le code source peut être librement exécuté et modifié par des utilisateurs. Ces derniers ont, dans ce cas, l'obligation de faire bénéficier les autres utilisateurs des modifications et améliorations, notamment en communiquant les codes sources correspondants. Le fait de partager le code source d’un logiciel et d’en permettre la modification est vu comme la meilleure méthode pour concevoir un logiciel performant. On peut également le qualifier de logiciel « ouvert ». Cette dénomination illustre davantage sa situation réelle, à savoir celle d'un logiciel dont le code source est mis à la disposition de tous. Toutefois, un tel logiciel n'est pas susceptible d'appropriation ou de réservation.
Il est possible d'utiliser le logiciel autant de fois que l'utilisateur le souhaite et de l’installer sur un nombre illimité de postes. Les utilisateurs ont la liberté d'exécuter (sans restriction de temps, de lieu, de motif, de personne, etc.), de copier, de distribuer, de modifier et d'améliorer les logiciels libres. Ainsi, l'usage, le développement et la distribution sont permis par les logiciels libres. Quelle que soit la manière dont l'utilisateur s’est procuré le logiciel, il a toujours la liberté de le copier et de le modifier, sous réserve qu'il respecte les conditions de la licence libre le régissant.
Le principal intérêt de ce contrat est d'énumérer et de clarifier les droits sur le logiciel concédés à l'utilisateur dans les limites et conditions imposées. Le non-respect entraîne la condamnation de l'utilisateur.
Le concepteur du logiciel étant titulaire des droits patrimoniaux, il possède un droit exclusif de propriété lui permettant de fixer librement les modalités d'exploitation de son logiciel. Le droit d'exploitation appartenant au créateur du logiciel comprend le droit d'effectuer et d'autoriser la reproduction, la traduction, l'adaptation, l'arrangement, et la mise sur le marché. La reproduction, la traduction, l'adaptation et l'arrangement conformément à la destination du logiciel ne nécessitent cependant pas l'autorisation de l'auteur lorsqu'ils sont nécessaires pour permettre l'utilisation du logiciel par la personne ayant le droit de l'utiliser ou pour corriger les erreurs. En effet, le créateur ne peut pas s'opposer aux modifications apportées par l'utilisateur légitime permettant une utilisation du progiciel conforme à sa destination. Il ne peut pas non plus exercer son droit de retrait et de repentir, sauf disposition contraire.
L'éditeur, lors de la conclusion d'un contrat de licence, fournit au client une clé d'activation qui va permettre l'installation opérationnelle du logiciel sur le poste informatique. Cette clé d'activation est un procédé permettant d'empêcher l'utilisateur d'installer le logiciel sur de multiples postes. Il peut arriver parfois que l'utilisateur souhaite changer de poste du fait d'une défaillance par exemple. Le prestataire est alors dans l'obligation de fournir une nouvelle clé d'activation à l'utilisateur car l'obligation de mise à disposition du progiciel pèse sur lui.
Il est également possible pour l'éditeur de vérifier le nombre de logiciels installés lui appartenant au sein d'une entreprise pour vérifier si le nombre de licences correspond à ce qui est prévu au contrat de licence. Par exemple, dans le cas d'une licence flottante, si l'entreprise a l'autorisation d'installer le logiciel sur X postes de travail mais qu'elle l'installe sur X+1 postes de travail, une alerte permettra à l'éditeur d'intervenir soit pour effectuer un devis pour l'installation supplémentaire effectuée, soit pour agir en justice contre l'entreprise.
En effet, si l'entreprise a utilisé plus de licences que celles auxquelles elle a droit, elle pourra être poursuivie en contrefaçon pour dépassement de licence.
Le titulaire du logiciel pouvant se réserver certains droits par le biais d'un contrat de licence, il serait judicieux d'analyser les hypothèses dans lesquelles l'utilisateur peut, sans autorisation du titulaire, réaliser certains actes sur le logiciel.
L'utilisateur doit disposer des codes sources du logiciel afin de pouvoir corriger les erreurs. Il peut soit se les faire remettre par le créateur ou l'éditeur de logiciel, soit les obtenir par lui-même dans le cadre de son droit de décompilation. Le code source permet de comprendre le contenu, l'architecture et le fonctionnement d'un logiciel. Dans le cadre d'un contrat de licence, le prestataire est dans l'obligation de délivrer et de garantir la chose de façon conforme à sa documentation et dans sa totalité avec ses accessoires.
Cependant, concernant le progiciel, le code source n'est pas un accessoire (contrairement au logiciel spécifique). Donc le contrat de licence ne permet pas l'accès aux codes sources. Dans le cadre d'un logiciel spécifique, l'accès aux codes sources ne permet pas de faire en sorte que le logiciel possède de nouvelles fonctionnalités. Il permettra uniquement d'octroyer un droit d'adaptation aux besoins contractuellement prévus avec le créateur ou le fournisseur du logiciel. L'utilisateur possède un droit d'analyse sur le logiciel afin d'en comprendre le fonctionnement et les fonctionnalités et d'améliorer ses performances. Ce droit ne permet pas d'avoir accès aux codes sources.
Il a également la possibilité de réaliser certains actes pour permettre l'utilisation du logiciel, conformément à sa destination, c'est-à-dire conformément aux fonctionnalités voulues par l'auteur.
Dans le cadre de son droit de décompilation, l'utilisateur pourra avoir accès aux codes sources en démontant le logiciel en arrivant à son point de départ. Cependant, c'est un droit très encadré et qui est soumis à des conditions très strictes telles que la condition d'organiser l'interopérabilité du logiciel avec d'autres applications informatiques. Il est donc strictement interdit d'obtenir ces informations pour qu'un logiciel semblable soit élaboré. Ainsi, la correction des erreurs permettant l'interopérabilité peut être réalisée par l'utilisateur sans autorisation de l'auteur du logiciel. Cependant, ce dernier peut se réserver le droit de correction contractuellement.
La maintenance vise à corriger toute anomalie de fonctionnement du logiciel, à assister l'utilisateur, à l'informer de toute modification apportée en lui remettant toute documentation nécessaire, à effectuer la révision du logiciel (adaptation, développement, etc). La maintenance corrective désigne la correction des anomalies de fonctionnement. La maintenance évolutive concerne les autres prestations permettant l'adaptation du logiciel aux besoins de l'utilisateur, et l'évolution, en fonction d'une modification de la configuration du système ou d'un changement de la réglementation concernant les logiciels.
Parmi les risques de mauvais usage des licences, le risque financier est le plus important. Lorsque la licence n'est pas conforme, l'entreprise devra acheter des licences conformes à l'usage des logiciels. Si la détection de cette non-conformité a lieu lors d'un audit interne, elle a la possibilité de corriger ses usages en respectant les limitations prévues par la licence. Cependant, lorsque la non-conformité est détectée lors d'un audit externe (par l'éditeur), elle doit impérativement régulariser sa situation, et cela sans possibilité de corriger ses usages.
La régularisation aura lieu à un prix d'acquisition non négociable. Il existe également un risque pour l'entreprise de payer au-delà de ses besoins et usages. Une partie assez importante des dépenses logicielles en entreprise concernent des logiciels non utilisés selon les analyses de l’International Data Corporation (IDC).
Le mauvais usage de licence entraîne également un risque juridique. L'utilisation du logiciel non conforme aux conditions de la licence est illicite. Selon un principe du droit d'auteur, tout ce qui n'est pas autorisé est interdit (sauf quelques exceptions). Si un doute existe, l'auteur ou l'éditeur sera toujours dans une situation plus favorable.
Si l'entreprise ne respecte pas les stipulations du contrat de licence ou effectue des opérations non conformes à la licence, ces actes seront qualifiés de contrefaçon et seront passibles de sanctions tant pénales que civiles. En effet, la contrefaçon est sanctionnée pénalement par trois ans d'emprisonnement et 300 000 euros d'amende. Et si le délit est commis par une personne morale, l'amende sera égale au quintuple de celui prévu pour les personnes physiques.
Au plan civil, le Code de la propriété intellectuelle permet à une entreprise condamnée pour contrefaçon de droit d'auteur d’être amenée à payer des dommages et intérêts. Ainsi, l'auteur ou l'éditeur peut exiger, devant les tribunaux, une réparation de son préjudice et demander des dommages et intérêts. Lorsque la mauvaise utilisation de licences s'accompagne d'une divulgation publique, l'entreprise subit une atteinte à son image et à sa réputation. Une action en justice pour défaut de conformité rendue publique et communiquée dans la presse entraîne généralement une remise en cause de l'intégrité de l'entreprise par ses clients, ses fournisseurs et par le marché.
Comme nous l’avons vu précédemment, la licence est un droit limité et le logiciel ne peut être utilisé que selon les termes du contrat et ce qui n'est pas expressément autorisé est interdit. La phase pré-contractuelle au contrat de licence est donc très importante puisqu'il y a des enjeux financiers, stratégiques et techniques pour l'entreprise utilisatrice. Cette dernière doit savoir exactement à quoi elle s'engage et l'étendue de ses droits, notamment concernant l'exclusivité ou non de l'auteur ou du fournisseur du logiciel sur la maintenance.
Les clauses du contrat doivent être minutieusement appréciées par les parties. L'entreprise doit porter une attention particulière aux droits qui lui sont concédés : la durée de la licence, le droit de correction des erreurs, le droit de décompilation, les garanties, le devoir d'information du fournisseur du logiciel, les limitations de responsabilité, la garantie d'éviction et le prix.
Il est important pour l'entreprise utilisatrice de procéder à un inventaire de son parc de licence. Elle doit être organisée et doit maîtriser l'installation et l'utilisation des logiciels dans son établissement afin de ne pas dépasser ses droits. Le fournisseur du logiciel peut se réserver le droit de faire réaliser un audit permettant de comptabiliser les licences acquises pour s'assurer de la régularité des installations par rapport aux droits réellement acquis.
Il s'agit d'une clause d'audit insérée dans le contrat de licence. Si l'utilisateur dépasse les droits qui lui avaient été initialement concédés et ne respecte pas les licences qu'il a acquis, il surexploite la licence d'utilisation et peut être coupable d'un délit de contrefaçon. Cependant, il est toujours possible de solutionner cette problématique et de permettre aux parties de trouver un accord afin de repartir sur de nouvelles bases. La surexploitation du contrat de licence peut être régularisée si le fournisseur du logiciel accepte d'éviter de rompre les liens contractuels qui sont parfois entretenus depuis plusieurs années en vertu desquels les données de l'entreprise sont stockées, traitées, etc. L'utilisateur peut alors se voir proposer un montant relatif à cette régularisation qui est généralement très élevé. S'engagent également des négociations permettant la signature d'un nouveau contrat et d'avenants prévoyant les règles de comptabilisation des licences. Tout cela est un coût pour l'entreprise mais également une perte de temps.
Par ailleurs, il existe la problématique du contrat de licence dans le cadre de la virtualisation de serveur au sein d'une entreprise. La virtualisation de serveur permet de faire fonctionner simultanément plusieurs serveurs virtuels sur un seul serveur physique. Cela permet une meilleure utilisation de la capacité de chaque serveur par une mise en commun de leur capacité, et est une source forte d'économie et d'investissement. Il est possible d'exécuter sur un seul serveur physique plusieurs systèmes d'exploitation et applications dépendantes de ces systèmes d'exploitation. L'entreprise n'est donc plus obligée d'installer un système dédié par ordinateur ou serveur.
Cependant, avec la virtualisation, le nombre de licences acquises peut s'avérer très inférieur au nombre de licences exploitées, puisqu'au regard du contrat de licence, l'entreprise doit obtenir une licence pour tous les cœurs des processeurs des serveurs. En effet, un processeur peut être composé de plusieurs cœurs et le nombre de licences à acquérir peut donc s'avérer important au regard du nombre de cœurs composant les processeurs installés sur le serveur et au regard des règles de comptabilisation des licences (métriques) convenues par les parties. Il s'agit d'un coût important pour l'entreprise utilisatrice dans cette situation.
Lorsqu'une entreprise commande un logiciel à un prestataire, il faut distinguer le cas où la commande concerne un logiciel non spécifique ou un progiciel, de celui où la commande concerne un logiciel spécifique. En effet, les intérêts en jeu et les droits diffèrent en fonction du cas. La nature même du progiciel est d'être fourni à plusieurs utilisateurs. Ainsi, son auteur ou son éditeur conservera les droits de propriété intellectuelle et veillera à garder le monopole d'exploitation. Les utilisateurs n'ont donc aucun droit à revendiquer sur un progiciel ou un logiciel non spécifique. Il n'en va pas de même pour un logiciel spécifique. Il y a un intérêt pour l'entreprise pour laquelle est développé le logiciel sur mesure de se faire transmettre les droits. Cette opposition entre le logiciel et le progiciel reste à nuancer. En effet, un concepteur d'un logiciel spécifique cherchera à le commercialiser sous la forme d'un progiciel par la suite. Il est possible pour l'entreprise bénéficiaire du logiciel spécifique d'interdire au concepteur cette commercialisation par une clause d'exclusivité à son profit, d'où l'importance du contrat dans le monde informatique. Le concepteur peut également réutiliser des éléments qu'il assemble différemment. Il est possible que l'entreprise acquéreur d'un progiciel sollicite des adaptations pour ses besoins spécifiques.
L'objet du contrat de développement est particulier. Il s'agit de la création d'un logiciel par un prestataire à partir des besoins exprimés par le client. L'entreprise fait appel à une société spécialisée en développement informatique. La détermination des besoins de l'entreprise auxquels le logiciel développé devra répondre et l'attribution des droits de propriété intellectuelle sont les points essentiels auxquels une attention particulière doit être portée.
Le contrat de développement est un contrat par lequel une entreprise sollicite un logiciel spécifique dédié à ses besoins personnels et adapté à son activité. Elle va, pour cela, rédiger un cahier des charges où elle inscrit tous ses besoins qu'elle va soumettre au prestataire. Ce dernier va ensuite développer un logiciel correspondant au cahier des charges. Notons que dans un contrat de licence classique, le référentiel pour s'assurer de la conformité du produit est la documentation décrivant le logiciel, alors que dans un contrat de développement, ce référentiel est le cahier des charges.
L'entreprise souhaite s'approprier du logiciel développé. Elle doit donc analyser chaque étape du développement. Il s'agit d'un véritable transfert de connaissances. Plusieurs étapes existent dans le contrat de développement. Tout d'abord, le client transmet au prestataire le cahier des charges. Le prestataire étudie la faisabilité technique du logiciel et identifie les contraintes pouvant être rencontrées. Il écrit des spécifications, c'est-à-dire une traduction technique du cahier des charges qu'il fait valider par le client. Ces spécifications doivent être claires, complètes et précises quant aux objectifs. Une fois que les parties se sont mis d'accord, le prestataire développe le logiciel, suite à la construction de l'architecture du logiciel. Depuis quelques années, il existe également une autre méthode nommée « méthode agile » où l'entreprise et le prestataire collaborent étroitement afin de développer le logiciel ensemble. Cependant, il est plus complexe de mettre en cause la responsabilité du prestataire dans cette situation puisqu'il pourra se prévaloir du fait que le client était à ses côtés tout le long du développement du logiciel.
Le risque pour l'entreprise est un problème d'interprétation du contrat. En effet, la plupart des contentieux en matière de contrat de développement est lié à une mauvaise interprétation du contrat. Dès lors, il est important de prendre le temps de bien définir les termes essentiels qui seront utilisés dans le contrat.
Au niveau des modalités d'exécution, il est prévu que le prestataire est responsable du choix des personnes composant l'équipe qui va développer le logiciel. L'entreprise prendra ainsi un risque si elle souhaite prendre une personne de l'équipe. Il s'agira d'un contrat de mise à disposition du personnel et l'entreprise ne pourra pas engager la responsabilité du prestataire en cas de problème. Ou alors, il faut mettre en place des dispositions prévoyant que les personnes mises à disposition de l'entreprise sont sous l'autorité hiérarchique du prestataire, notamment lorsque l'équipe de développement doit réaliser des prestations chez l'entreprise.
Au niveau des outils utilisés par le prestataire pour le développement du logiciel, l'entreprise doit les vérifier. Il est important qu'elle puisse bénéficier d'une licence sur ses outils (s’ils appartiennent au prestataire), puisque lorsqu'elle souhaitera faire de la maintenance, elle en aura besoin. Elle doit donc bénéficier des droits nécessaires à l'utilisation des outils pour ne pas avoir de problème par la suite.
L'obligation de conseil du prestataire est beaucoup plus large que dans un contrat de licence classique. En effet, dans un contrat de développement, le produit n'existant pas, le prestataire doit nécessairement conseiller, informer, mettre en garde, prévenir, alerter l'entreprise sur les limites et les risques du logiciel. Il s'agit d'une obligation ayant un périmètre variable puisque plus l'entreprise est impliquée dans le projet, moins l'obligation de conseil s'impose au prestataire. Tout dépend de la qualité du client, s'il est averti ou non. C'est donc du cas par cas, et cette problématique fait souvent l'objet de contentieux.
Le prestataire a l’obligation de respecter le cahier des charges, le budget et les délais. Le risque pour l'entreprise est que si elle n'impose pas au prestataire une obligation de résultat concernant le respect de cet ensemble dans le contrat, l'obligation deviendra une obligation de moyen. Le prestataire a également une obligation de stabilité des équipes (au moins du chef de projet). L'entreprise a une obligation de coopération. Elle doit donner les informations qui sont nécessaires au développeur. Cela permet à l'entreprise de valider, au fur et à mesure du développement, le logiciel. Elle a également une obligation de paiement.
Le manquement des parties à leurs obligations engendre la mise en jeu de la responsabilité ou à l'atténuation de la responsabilité de l'autre partie. C'est le cas notamment lorsque le prestataire qui a été défaillant dans le développement va démontrer que l'entreprise n'a pas coopéré, et ainsi sa responsabilité sera minimisée.
Une fois le logiciel développé dans son intégralité, le prestataire procède à la livraison. Il y a 2 étapes importantes :
Le risque pour l'entreprise est que des anomalies présentes dans le logiciel affectent de manière conséquente la date de livraison. Elle subit ainsi une perte de temps et/ou un retard dans son activité, puisque la commande d'un logiciel de ce type peut demander plusieurs mois de préparation. Souvent le développement du logiciel est important pour l'entreprise. Le logiciel développé peut, par exemple, être une version plus récente d’une version antérieure devenue obsolète, tel qu'un progiciel qui n'a plus de prestation de maintenance. Tout retard dans le développement du logiciel sera donc préjudiciable car l'entreprise se retrouvera sans outil pour gérer son activité dépendante de ce logiciel. Ainsi, si le prestataire ne respecte pas les délais prévus dans le contrat, un préjudice économique important peut être causé à l'entreprise. Il existe un risque également de vices cachés. L'entreprise peut découvrir des anomalies après avoir validé le logiciel. Ou si le logiciel a été développé avec des méthodes obsolètes par le prestataire, l'entreprise ne pourra pas l'adapter et le modifier en fonction de ses besoins.
La question de savoir à qui appartient le logiciel peut être source de contentieux. Obtenir la propriété afin de se garantir contre toute réutilisation par un tiers, notamment un concurrent, et avoir toute liberté sur l'exploitation et la maintenance du logiciel sont des raisons qui amènent à recourir au contrat de développement.
En effet, l'entreprise ayant recours à un contrat de développement souhaite généralement être indépendante du prestataire afin de faire évoluer le logiciel comme elle le souhaite et également d'avoir un logiciel unique et original. Pour disposer du logiciel, elle doit devenir propriétaire du logiciel. Il est donc important de prévoir une clause de cession des droits de propriété intellectuelle. A défaut, l'entreprise risque de ne pas pouvoir réaliser ses souhaits puisqu'elle ne possédera qu'une licence. En l'absence de toute clause, c'est le régime commun des droits d'auteur qui s'applique. Ainsi, c'est le prestataire qui demeure le propriétaire du logiciel en l'absence de toute stipulation contraire, même si l'entreprise a commandé le développement du logiciel. Le Code de la propriété intellectuelle est favorable au prestataire en attribuant les droits à l'auteur originel puisque dans le cadre du contrat de développement, c'est bien le prestataire qui conçoit entièrement le logiciel. Seuls les aménagements contractuels permettent de modifier cette situation.
La clause doit être rédigée soigneusement et prévoir tous les points essentiels qui permettront à l'entreprise de profiter pleinement du logiciel par la transmission des droits d'auteur. Elle doit être conforme à l'article L.131-3 du Code de la propriété intellectuelle et donc chacun des droits cédés doit faire l'objet d'une mention distincte dans l'acte de cession. Le domaine d'exploitation doit être délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée. La clause doit prévoir que toutes les versions, tous les projets, tous les développements, les codes sources, les codes objets, la documentation. Tout ce qui a été abandonné est cédé à l'entreprise. Ainsi, lors de l'utilisation du logiciel, si l'entreprise dépasse ses droits en termes de destination par exemple, elle pourra voir sa responsabilité engagée par le prestataire. Il est important de prévoir que le logiciel est utilisé pour l'entreprise elle-même mais également pour ses prestataires, ses clients. Plus la clause sera large à ce niveau-là, moins l'entreprise sera confrontée à un risque de voir sa responsabilité engagée pour dépassement de ses droits.
La transmission des droits de propriété intellectuelle évite le risque de ne plus pouvoir maintenir le logiciel lorsque le prestataire devient défaillant et permet de faire assurer la maintenance par une société tierce que la société prestataire.
Ainsi, en matière de contrat de développement, les risques sont réduits. Diverses garanties permettent à l'entreprise de minimiser les risques, notamment les garanties contractuelles qui sont la garantie de fonctionnement (entre 3 et 12 mois), la garantie d’anti-virus (le prestataire s’engage à ce qu’il n’y ait pas de virus dans le produit), la garantie de bonne intégration du logiciel dans le système de l'entreprise, la garantie d’adaptabilité (le logiciel doit pouvoir évoluer). Cependant, le risque 0 n'existe pas et c'est également le cas pour le contrat de développement.
Le progiciel de gestion intégrée (PGI) ou l'Enterprise Resource Planning (ERP) est un système d'information composé de plusieurs applications qui nécessitent une intégration. Le paramétrage est nécessaire pour l'adapter aux besoins de l'entreprise. Ainsi, le PGI comprend des prestations d'intégration incluant un paramétrage important et des interfaces et développements spécifiques. Tous les systèmes informatisés étant intégrés, le PGI permet de suivre l'activité dans l'ensemble des processus de l'entreprise. Il gère notamment la comptabilité, la finance, les ressources humaines, la production, la vente, l'achat et la logistique. Toutes les activités clés d'une entreprise sont couvertes par l'ensemble. Le PGI permet l'unicité de l'information. Une information déposée par le biais d'un module sera accessible par tous les autres modules. Cela permet de centraliser les données et d'harmoniser les métiers. Il a pour finalité une gestion interactive de tous les métiers à travers la centralisation, le partage, l'analyse et la consolidation des informations. L'impact d'une opération dans l'entreprise peut ainsi être répercuté sans ressaisie et en temps réel sur toutes les activités pouvant en dépendre. Il y a ainsi une amélioration de la réactivité.
Il est possible de définir le PGI comme étant des progiciels pour lesquels un certain nombre de développements sur mesure sont nécessaires. Il va permettre le remplacement de logiciels métiers qui ne sont pas communicants entre eux par une solution fondée sur une base de données unique. Les logiciels métiers vont ainsi interagir exclusivement avec la base de données centrale et vont contenir des automatismes qui vont répercuter des éléments sur les autres éléments du système. Il unifie les outils de Back-office (outils invisibles des clients et partenaires) et de Front-office (outils visibles des clients et partenaires), ainsi que les systèmes opérationnels, de pilotage, décisionnel et stratégique.
L'installation de ce produit peut être complexe et s'étaler sur une longue période, puisque le PGI gère toute l'entreprise, dans la multiplicité de ses aspects. Cependant, elle permet à une entreprise de faire des économies par rapport au développement d'un logiciel spécifique et d'améliorer sa performance globale. Elle gagne en qualité et délai.
Plusieurs étapes composent un projet de PGI :
L'entreprise a une implication importante. Elle doit collaborer auprès du prestataire afin que l'intégration du progiciel dans le système d'information de l'entreprise se réalise avec succès. Il est important qu'elle rédige son cahier des charges où ces besoins seront exprimés de manière claire et précise. À défaut, s'ils sont mal ou insuffisamment exprimés, le risque pour l'entreprise est de se retrouver avec un PGI mal adapté, voire non adapté, à ses besoins et à son activité. L'entreprise doit donc être diligente.
Si le PGI contribue à résoudre de nombreux enjeux pour l'entreprise, il existe tout de même de nombreux inconvénients et risques.
Il y a une lourdeur dans son installation et son utilisation. Il est difficile et long à mettre en place, et rigide et délicat à modifier. Il y a un risque pour l'entreprise que les coûts et délais de mise en œuvre soient dépassés. Par ailleurs, la maintenance continue ainsi que la bonne connaissance des processus de l'entreprise sont nécessaires. À défaut, le projet risque d'être inefficace. Il existe également un risque d'inadaptation et de difficulté d'appropriation par le personnel de l'entreprise. L'entreprise devient dépendante du PGI et de l'éditeur. Ainsi, si le PGI s'arrête, l'entreprise est bloquée.
Il est possible également que le PGI ne répondent pas à tous les besoins, ou au contraire qu'il fasse des choses qui ne correspondent pas aux besoins. Les besoins manquants sont alors gérés en dehors du PGI mais devront rester cohérents avec ce dernier. Un risque de travail supplémentaire d'architecture fonctionnelle, et donc un risque de coût supplémentaire et de délai, apparaît. Les fonctions en trop du PGI obligent l'entreprise à traiter les redondances qui en résultent.
Il y a également une remise en cause des processus existants, puisque adapter l'entreprise au PGI est moins coûteux qu’adapter le PGI à l'entreprise. En effet, le PGI fournit ses propres solutions qui ne sont pas forcément identiques aux solutions existantes. Par ailleurs, l'éditeur peut ne pas faire les mêmes choix que l'entreprise au niveau des logiciels système. L'entreprise sera alors contrainte de se plier aux choix faits pour le PGI ou à gérer en parallèle plusieurs produits.
Les versions successives sont une illustration de la lourdeur de son installation et de son utilisation. Il est nécessaire de faire l'inventaire de ce qui est proposé dans la nouvelle version, évaluer les coûts des travaux de reconception puisqu'il faudra refaire des paramétrages, évaluer les effets et les impacts du changement de version. L'entreprise doit prendre toutes les précautions nécessaires. Il est important qu'elle étudie la faisabilité du projet et la capacité de l'éditeur à l'accompagner.
D'autres contrats informatiques permettent l'externalisation du système informatique et font naître des nouvelles notions à maîtriser.
Afin de comprendre le contrat de licence SaaS, il est important de comprendre le terme de « Cloud computing ».
Le Cloud computing (ou l'informatique dans les nuages) est un système informatique. C’est l'accès via un réseau de télécommunications, à la demande et en libre service, à des ressources informatiques partagées configurables (définition du National Institute of Standards and Technology (NIST)). Ce sont des ressources informatiques virtualisées et mutualisées entre plusieurs utilisateurs. L'infrastructure informatique est donc délocalisée. Il s'agit d'externalisation. Ce processus consiste à utiliser la puissance de calcul et de stockage de serveurs informatiques distants à travers un réseau.
Cette technique permet de disposer de capacités de stockage et de puissance informatique sans avoir matériellement l'infrastructure correspondante. Il a ainsi l'accès à distance des données et des applications, fournies par un prestataire. Les transferts s'effectuent par le biais d'internet. Cela permet à l'entreprise d'alléger sa charge en matière de gestion du système informatique de ses données. Elle est, par ce fait, concentrée sur le cœur de son métier. Cependant, il est important de noter que ce système présente de gros risques. Le Cloud peut aboutir à une diminution du niveau de protection des données, comme nous le verrons par la suite.
Les entreprises possèdent leurs propres serveurs et elles peuvent également avoir recours au Cloud computing pour héberger leurs données. Ainsi, les serveurs internes de l'entreprise et les serveurs externes des prestataires en cloud peuvent faire l'objet, l'un aussi bien que l'autre, de cyberattaques.
Les trois types de services offerts sont Software as a Service (SaaS), Platform as a Service (PaaS) et Infrastructure as a Service (IaaS). Il est possible de les définir en fonction des rôles et des usages des entreprises utilisatrices et des fournisseurs. Dans le cas de IaaS, il s'agit d'une infrastructure virtuelle sur laquelle l'entreprise pourra héberger les systèmes d'exploitation des serveurs et des logiciels applicatifs. Dans le cas du PaaS, il s'agit d'une plate-forme d'exécution de logiciels et d'applications, sur laquelle l'entreprise pourra installer, configurer et utiliser les applications voulues. Dans le cas du SaaS, le cloud permet de rendre accessible une application aux utilisateurs comme un service. Ces 3 types de services sont déployés selon quatre modèles : le Cloud privé internalisé, le Cloud privé externalisé, le Cloud public (le service est partagé et mutualisé entre de nombreux clients) et le Cloud hybride (partiellement dans un Cloud public et dans un Cloud privé).
Face à ce système qui vise à réduire les coûts de stockage des données, il faut s'interroger sur les risques que fait courir le Cloud sur les données numériques qui représente un patrimoine important de l'entreprise. Le recours à ce système peut comporter des dangers pour la sécurité des données immatérielles de l'entreprise. En effet, l'accès aux données et aux applications étant permis par la mutualisation des serveurs et par la délocalisation de ces derniers, le risque se trouve amplifié.
Par ailleurs, la nécessité d'une connexion sécurisée et d'une authentification des utilisateurs pour accéder au service entraîne des problèmes de gestion des identifiants et des responsabilités y afférentes telles que les accès non autorisés, la perte ou le vol d'identifiants, la démission ou le licenciement, le niveau d'habilitation,...
Il y a également le risque de perte de données. Il est important de l'anticiper avec une procédure de sauvegarde adaptée telle que le stockage dans les espaces privés, en local, etc. Par ailleurs, le nombre de serveurs et leurs délocalisations entraînent des risques au regard de la confidentialité des données. En effet, il existe des risques de fuite et d'atteinte à l'intégrité des données.
Un danger au niveau de la continuité du service existe. Il y a des fragilités au niveau de la pérennité du fournisseur du Cloud. En effet, le Cloud computing ne permet pas de donner la garantie que donnent les investissements en machine et en logiciels spécifiques de l'entreprise. Ces derniers peuvent permettre d'assurer un minimum l'avenir de l'infrastructure informatique de l'entreprise. Le Cloud computing s'apparentant à un service, le risque lié à la qualité du service effectué par le prestataire existe.
Des problématiques existent en matière de Cloud computing. En effet, les données ne sont plus conservées dans l'entreprise. Cette dernière ne maîtrise plus ses données qui sont stockées sur des serveurs distants administrés par un tiers. Cependant, elle en conserve la responsabilité. Par ailleurs, une contrainte apparaît : une connexion en ligne est nécessaire afin d'accéder à ses données. Le lieu de stockage est également une problématique à laquelle il faut porter une attention particulière. Le problème de sécurité générale du système informatique de l'entreprise apparaît. Sans l'externalisation, l'entreprise peut par exemple mettre une partie de son système sans aucune connexion à Internet afin d'en conserver la confidentialité. Mais avec l'externalisation, elle doit connecter son système à Internet, ce qui l'expose à une risque d'attaque.
La Commission Nationale de l'Informatique et des Libertés (CNIL) est intervenue en 2011 afin de guider les entreprises et a rappelé « qu'avant tout engagement commercial, l'organisme souhaitant recourir à une prestation d'externalisation devra mener une réflexion spécifique », notamment pour identifier clairement les données et les traitements qui passeront dans le Cloud, pour choisir un prestataire présentant des garanties suffisantes, etc. Elle a aussi mis à disposition des modèles de clauses contractuelles qui peuvent être insérées dans les contrats de services de Cloud computing. L'ACPR a également publié un rapport d'analyses et de synthèses sur les risques associés au Cloud. Ce guide est à destination du secteur de la banque et de l'assurance.
Le SaaS est une offre de services Cloud. Le prestataire de service met à disposition un logiciel en tant qu'application accessible à distance comme un service par le biais d'internet. Ce n'est pas sous la forme d'un logiciel que le client installe en interne sur ses serveurs. L'entreprise ne paie pas pour posséder le logiciel mais paie pour l'utiliser. Il y a la fourniture d'un service (l'accès aux composants de l'application SaaS). L'entreprise n'a plus à se soucier ni des mises à jour de logiciel qui sont réalisées dans le Cloud par le fournisseur de services, ni de la plate-forme, ni du matériel qui sont mutualisés avec d'autres entreprises. Il s'agit d'un logiciel déployé en tant que service hébergé et livré aux utilisateurs via internet. L'utilisateur aura un contrôle limité sur le déploiement et la gestion de l'application. L'entreprise n'aura qu'une responsabilité partagée sur les données.
Par conséquent, les utilisateurs n'ont aucun contrôle sur l'infrastructure du Cloud concernant les aspects techniques (stockages, réseaux, serveurs,...) ou les aspects fonctionnels (version de l'application,...).
L'ASP (Application Service Provider) a préparé le terrain pour le SaaS. L'entreprise n'installe plus de logiciels mais loue l'accès aux logiciels installés sur les serveurs distants d'un prestataire de services. Le SaaS possède le même concept mais en plus avancé. Il y a une plus grande élasticité. En effet, il y a la possibilité d'ajouter de nouveaux utilisateurs ou de nouveaux services. Le SaaS propose une seule instance de logiciel qui évolue indépendamment des utilisateurs de ce service. Aujourd'hui, le SaaS est la forme du Cloud la plus répandue en France. Les principales applications de ce modèle sont la vidéoconférence, le travail collaboratif, les e-mails, les communications unifiées, la gestion des relations clients et la gestion des ressources humaines. L'un des principaux acteurs de cette catégorie est Microsoft avec Office 365.
A l'heure où les entreprises commencent à migrer leurs données stratégiques (ce que les analystes nomment « les bijoux de familles ») vers le nuage et donc à complètement transformer leurs applications et la manière dont elles stockent et partagent, les cyber risques sont les premières préoccupations.
Un inventaire des menaces et une analyse de risques préalablement à tout projet informatique permet de mieux appréhender, pour l'entreprise, le contexte d'utilisation du système d'information mis en œuvre. Malgré les nombreux avantages que confère ce système, la concentration accrue des données et le transfert de certaines responsabilités sont sources de risques. Il y a les risques spécifiques liés aux aspects organisationnels, techniques et juridiques du Cloud et les risques qui ne sont pas spécifiques au Cloud mais qui se retrouvent dans tous les projets informatiques. Le niveau du risque peut varier de façon significative selon l'architecture du Cloud.
Les risques liés à l'utilisation d'un SaaS sont nombreux. Il y a tout d'abord un risque de perte de maîtrise et/ou de gouvernance qui est très élevé. Le recours à une prestation de Cloud se traduit par un renoncement au contrôle sur l'infrastructure de l'entreprise, par la perte de la maîtrise directe du système d'information et par une gestion et une exploitation opaques. Ce sont les conséquences logiques d'une externalisation informatique. Cet environnement empêche les responsables informatiques de voir où sont vraiment les données. Il y a un manque de visibilité complet sur l'ensemble des données. Les pannes qui peuvent intervenir dans le Cloud sont un obstacle majeur à la protection des données pour les entreprises, puisqu'elles ne peuvent avoir aucune visibilité et capacité à agir. Elles sont dépendantes du fournisseur de services.
Par ailleurs, pour accéder à ses propres logiciels, il faut impérativement une connexion internet. Ainsi, dès lors qu'un problème de connexion apparaît (même s'il s'agit d'une situation rare), l'accès aux logiciels ne sera pas possible.
Les services fournis par le biais de Cloud peuvent créer de nouvelles problématiques dont certaines ne sont pas encore comprises. En effet, les entreprises, en adoptant ce système, doivent s'adapter au fait que la gestion des données n'est plus directement sous leur contrôle. Il existe un risque sur la confidentialité, l'intégrité, la disponibilité et la traçabilité des données. Le risque sur les données devrait être l'une des préoccupations majeures des entreprises voulant mettre en œuvre des solutions du type Cloud.
L'entreprise est juridiquement responsable de ses données. L'utilisation des données, ainsi que tout ce qui concerne leur conformité aux obligations juridiques sont sous sa responsabilité. Il est essentiel pour l'entreprise d'être vigilant au niveau de la sécurité des données, notamment le fait qu'elle soit bien abordée au niveau des accords avec le fournisseur, ou de ne pas mettre les données confidentielles qui donnent la valeur de l'entreprise.
La perte de données dans le SaaS et dans le Cloud plus généralement peuvent provenir d'une cause autre que des attaques malveillantes. Il est tout à fait possible que le fournisseur les supprime accidentellement ou qu'un incendie ou un tremblement de terre entraînent la perte définitive des données. Il est donc important que l'entreprise prenne des mesures adéquates, concernant la sauvegarde des données.
L'offre en tant que service du SaaS peut être proposée sans être modifiée substantiellement par rapport au matériel disponible sur le marché. Cependant, il est nécessaire que l'offre proposée par le fournisseur soit adaptée à une architecture multi clients et possède de solides propriétés. À défaut, elle peut être sujette à des vulnérabilités technologiques. La CNIL a publié des recommandations pour les entreprises envisageant de souscrire au Cloud. Lors de la conclusion d'un contrat de licence SaaS, il est important de prévoir la réversibilité des données à la fin de l'engagement, d'avoir les moyens de récupérer les données placées sur la plate-forme en utilisant le service.
Il s'agit d'un point souvent oublié dans les contrats informatiques mais il est nécessaire que l'entreprise se pose la question sur les conséquences des données en cas de changement ou de défaillance du prestataire. La réversibilité est la réappropriation par l'utilisateur des éléments qu'il a confiés au prestataire de service. La faillite de ce dernier et l'inexécution du contrat sont des causes pouvant entraîner une interruption de la prestation. Il est donc important de prévoir une clause afin de garantir la réversibilité et la transférabilité des données. Il s'agit d'une opération mettant en relation l'utilisateur, l'ancien prestataire de SaaS et le nouveau prestataire de SaaS. Il est important de qualifier la réversibilité comme étant une obligation de résultat, dont le coût est à la charge du prestataire si la résiliation résulte d'un manquement à ses obligations contractuelles. Le prestataire doit également s'engager à détruire les données sauvegardées si l'entreprise souhaite changer de prestataire. L'entreprise doit être certaine que le prestataire les aura bien effacées de ses serveurs.
Chaque contrat informatique a ses spécificités. Les droits accordés, les limites, les contraintes, les avantages, les risques changent. L'entreprise doit nécessairement connaître à quoi elle s'engage afin de connaître son périmètre d'action, les potentiels risques dont elle peut en avoir la maîtrise mais également ceux qu'elle ne pourra pas maîtriser. Connaître la réglementation et les risques liés à la nature ou à l'environnement du logiciel offre à l'entreprise plus d'efficacité dans l'utilisation des logiciels informatiques.
Le risque 0 n'existe pas. Même si une solution a été trouvée pour un risque spécifique, il ne faut pas oublier qu'il est en constante évolution. En effet, avec le développement des technologies, la professionnalisation des pirates, la diminution des vigilances dans un monde où l'informatique est devenue banale et est présente quotidiennement dans la vie de chacun, les risques ne peuvent qu'accroître en se multipliant.
n cas de doutes ou de questionnements, notre équipe de juristes est disponible par chat, mail ou téléphone afin de vous renseigner et vous accompagner dans toutes vos démarches juridiques et administratives.
