Expertises des Systèmes d'information - Septembre 2019 - n°449 - Le mensuel du droit de l'informatique et du multimédia - 282

du résultat de leur chasse : le nombre
de licences vendues aux clients, ils
sont commissionnés sur le résultat
de leur activité.

L'absence d'indépendance
de l'auditeur : il dispose d'un
intérêt personnel et direct à la
maximisation des redevances
complémentaires à payer

Inutile de préciser qu'ils ne sont
donc ni indépendants, ni objectifs.

La plupart du temps, l'auditeur
est uniquement rémunéré sur le
nombre de licences supplémentaires qu'il arrive à faire acquérir à
l'utilisateur, au terme de l'audit.

L'ambiguïté des métriques
employées pour dénombrer
les licences, rend le
décompte incertain.
Le moyen de définir ce qu'est une
licence au sens du contrat est stipulé
dans plusieurs clauses distinctes
(clauses
définitions,
propriété
intellectuelle, bon de commande,
ou annexes, etc.) et même dans
plusieurs contrats distincts, ou
aussi, au sein de documents
extrinsèques aux contrats, qui ne
sont pas signés par les parties et qui
évoluent sans cesse.
L'importance, ne serait-ce que
quantitative, des documents de
référence à consulter et à rendre
cohérents entre eux pour leur
donner une portée pratique, ne
permet pas toujours de calculer avec
certitude le nombre des licences
acquises ou le nombre des licences
installées.
Comment dès lors invoquer un
écart entre ces deux chiffres, en
vue de demander un complément
de prix ?
Un contrat ambigu ne peut pas
être exécuté en l'état. Il doit être
interprété par le juge qui appliquera
les règles d'interprétation prévues
par le code civil. Le cas échéant,
compte tenu de la technicité de la
matière, une expertise judiciaire
sera ordonnée afin d'éclairer le
juge.
Cette procédure sera longue et
couteuse. En cas de décision
défavorable, l'éditeur aura fait
contre lui un précédent qui pourrait
être lourd de conséquences,
puisqu'il impactera tous les contrats
similaires en cours d'exécution.
Il n'est donc pas évident qu'il ira
jusqu'au contentieux si le client est
de bonne foi.

282

C'est une chasse qui s'organise,
avec de belles primes à la clé.
C'est pour cela que les éditeurs
de
logiciels
externalisent
l'audit ; finalement, ils n'ont rien à
faire d'autre qu'assurer la gouvernance du dispositif dans son
ensemble, et ensuite laisser agir les
cabinets d'audit.
Il y a là un véritable problème
d'indépendance des auditeurs, qui
sont juges et parties.

La nécessite d'assurer une
gestion de la confidentialité
Les composantes du système
d'information des clients, ne
serait-ce que l'architecture de ce
système, la typologie des équipements installés, leur puissance, leur
redondance, etc. sont des informations sensibles, qu'il convient de
garder secrètes.
Il en est ainsi de toutes les informations techniques et organisationnelles qui concernent le système
d'information d'une entreprise,
son savoir-faire, etc.
Or, il n'est pas rare que les clauses
de confidentialité prévues dans
les contrats (parfois anciens)
sur lesquelles l'audit se fonde,
ne suffisent pas. De plus, si
l'auditeur est une société tierce,
alors, un accord de confidentialité
s'imposera.
Négocier cet accord et ne pas se
contenter de signer le modèle
de contrat de confidentialité
émanant de ceux qui attendent
les utilisateurs au tournant, paraît
indispensable.

EXPERTISES Septembre 2019

Le respect des accords
existants avec l'infogérant
L'utilisateur peut avoir recours à un
infogérant. Dans ce cas, en fonction
de la nature et de l'ampleur de l'infogérance, le système d'information
du client peut être, en tout ou partie,
opéré par l'infogérant qui aura
établi les procédures d'exploitation
ad hoc, qui dans certains cas sera
le propriétaire des équipements
matériels et aura procédé lui-même
aux installations de licences.
Il est donc indispensable de s'assurer que rien ne s'oppose à l'audit
dans le contrat d'infogérance, et
que l'infogérant collaborera à la
démarche d'audit, lorsqu'elle est
fondée.
L'accord de confidentialité évoqué
ci-avant devra donc être proposé à
l'infogérant également.

La protection des données à
caractère personnel
Il ne fait aucun doute que les
données à caractère personnel
sont protégées par le secret et que
le responsable de traitement doit
prendre toutes les mesures utiles
à la protection de celles-ci. Il est
débiteur d'une obligation de sécurité contraignante dont le non-respect est fortement sanctionné par
le RGPD.
L'audité, qui souvent est responsable
de traitement, ne peut pas permettre
l'accès aux données relatives aux
utilisateurs, par exemple, afin de les
dénombrer au regard de l'étendue
de la licence qui lui a été concédée.
Il n'est pas rare que les scripts
fabriqués par les éditeurs ou leurs
auditeurs collectent les accès
(journalisation) qui sont réalisés
par les personnes physiques
utilisatrices, afin de déterminer si
le nombre des utilisateurs installé
n'est pas excessif au regard de ce
qui est prévu dans la ou les licences.
Le dispositif de gouvernance
RGPD doit donc être en mesure
d'absorber le sujet de l'audit, assurer

Expertises des Systèmes d'information - Septembre 2019 - n°449 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Septembre 2019 - n°449 - Le mensuel du droit de l'informatique et du multimédia