Comme on fait inspecter une maison par un expert avant son achat pour déceler les vices cachés, une entreprise qui en achète une autre a intérêt à inspecter ses actifs TI et la façon qu’elle les gère.
Quand une compagnie en achète une autre, il est toujours préférable de savoir exactement ce qu’on achète, peu importe le secteur d’activités. Quand cette entreprise commercialise des produits ou des services en technologies de l’information et des communications (TIC), ou dont une unité se spécialise dans ce secteur d’activité, on doit répertorier ses actifs technologiques et les droits qui y sont associés, ce qui n’est pas une mince affaire. On effectue alors ce qu’on appelle un contrôle diligent (due diligence en anglais) des actifs informatiques ou encore un audit informatique.
C’est du moins ce qu’affirme Bernice Karn, associée du groupe du droit corporatif au cabinet Cassels Brock de Toronto, lors d’une conférence sur le sujet à l’événement Legal IT 3.0 qui a eu lieu cette semaine à Montréal (Cet événement a fait l’objet d’un article publié lors d’un bulletin précédent).
Il existe au Canada un cadre réglementaire, nommé Règlement 52-109 (Multilateral Instrument 52-109 ou MI 52-109 en anglais), qui constitue une référence intéressante pour effectuer un audit informatique. Contenu dans la Loi 198 qui a été adoptée en 2005, ce règlement s’inspire de la Loi Sarbanes-Oxley et concerne plus particulièrement les processus de contrôle interne reliés à la divulgation de l’information financière.
En effectuant un tel audit, on cherchera plus particulièrement à connaître la valeur réelle des actifs informatiques que possède l’entreprise afin d’établir le prix de la transaction et orienter les négociations en conséquence. Tout au long du processus, on verra à départager les actifs que détient légalement l’entreprise de ceux qu’elle utilise sans en posséder les droits. Ces actifs incluent les logiciels utilisés sous forme de services et ceux qui ont été installés illégalement, sans en avoir payé les droits, à l’insu ou non de la direction. En ce qui concerne les logiciels utilisés sous forme de service, on vérifiera la validité des contrats de service.
On cherchera donc à savoir si l’entreprise ou l’unité visée par la transaction a le droit d’utiliser les technologies qu’elle utilise, mais aussi à savoir s’il y a des différends en cours concernant l’utilisation ou la propriété de certaines technologies. On cherchera aussi à savoir s’il y a d’autres entreprises qui possèdent des droits en copropriété sur les technologies commercialisées par l’entreprise, ce qui peut nécessiter une enquête sur les différents marchés géographiques que dessert l’entreprise convoitée.
Agir en amont
Le contrôle diligent des actifs informatiques est évidemment un processus fastidieux, mais qui peut l’être moins si l’entreprise a mis en place un cadre de gestion du processus d’acquisition de logiciels, qui agit en amont du processus. Intégrant les meilleures pratiques, ce cadre structure le processus et atteste de son excellence. De cette façon, l’acquéreur connaît la valeur exacte des actifs logiciels de l’entreprise qu’elle convoite et surtout si cette entreprise utilise des logiciels qui ont été « acquis » de façon illégale. Il peut s’agir d’un logiciel piraté ou d’un logiciel installé en plusieurs exemplaires pour lequel une seule licence a été payée.
« Le taux de piratage au Canada est de 33 %, ce qui veut dire qu’un logiciel sur trois est utilisé sans que les droits aient été payés, rappelle Peter Beruk, le directeur du marketing et des communications pour la lutte contre le piratage de logiciels au Business Software Alliance (BSA). Ça arrive parce que les entreprises n’ont pas de programme de surveillance et de contrôle sur les logiciels qui sont installés par leurs employés. Et pourtant, il y a des amendes pour les entreprises coupables de piratage. »
Pour remédier à cette lacune, le BSA introduira bientôt un programme de gestion des actifs appelé SAM (Software Asset Management). Il s’agit, en fait, d’une procédure, d’une méthode répétitive pouvant être appliquée à toutes les installations de logiciels survenant dans l’entreprise, à la manière d’une procédure ISO. Elle permet de contrôler les logiciels qui sont installés par les employés et, par conséquent, de contrôler le problème à la source. Pour être efficace, le programme devra être administré de façon centralisée dans l’entreprise, alors que les demandes d’acquisition seront faites par écrit et acheminées au département responsable de l’administration du programme.
Mis sur pied conjointement avec l’Organisation internationale de normalisation (ISO), plus particulièrement avec le groupe de travail ISO/IEC, le programme permet de réaliser des économies de 30 % en frais opérationnels dès la première année, aux dires de Peter Beruk.
Protection des renseignements nominatifs
L’acquéreur aura aussi intérêt à vérifier que l’entreprise qu’elle prévoit acheter protège adéquatement les renseignements nominatifs dont elle dispose, en respect de la législation en vigueur dans les pays où elle fait affaire. L’entreprise dont les processus ne respectent pas les lois qui s’appliquent est évidemment passible d’amendes. Il faut notamment s’assurer que les informations sont utilisées aux fins pour lesquelles elles ont été colligées.
Au Canada, il y a la Loi sur la protection des renseignements personnels et les documents électroniques (Personal Information Protection & Electronic Documents Act ou PIPEDA en anglais), adoptée en 2000, alors qu’au Québec, il y a la Loi sur la protection des renseignements personnels dans le secteur privé, adoptée six ans plus tôt.
Il faut accorder une attention particulière au niveau de protection qui est accordé aux informations sensibles qui sont transférées à des entreprises partenaires situées à l’étranger, ce qui pose un problèlme lorsque le partenaire est situé dans un pays où la législation est très permissive. Soulignons, à titre d’exemple, que le Canada et les pays d’Europe sont beaucoup moins permissifs que les États-Unis quant à l’utilisation des données nominatives.
Les échanges de renseignements entre des organisations situées dans des pays différents tombent sous le coup des Conventions de La Haye. Le Bureau du surintendant des institutions financières Canada (Office of the Superintendent of Financial Institutions Canada ou OSFI en anglais) propose, en outre, aux entreprises ayant recours à l’impartition internationale un modèle d’encadrement des échanges appelé B-10.
« Les gens ne sont pas toujours conscients de leurs obligations en ce qui concerne la protection des renseignements personnels et vont simplement téléverser les données sur un disque et l’expédier à l’étranger via Fedex, déplore Dominic Jaar, conseiller juridique chez Conseils Ledjit de Montréal. Peu de gens savent aussi qu’ils doivent détruire les données nominatives après que la relation d’affaires avec l’individu concerné par les données soit terminée. »
« Tout ça nécessite de connaître l’histoire de l’entreprise, ainsi que ses façons de faire, conclut Bernice Karn. Ça demande une enquête approfondie. Ça représente beaucoup de travail, mais ça permet de mieux connaître ce qu’on achète et d’avoir l’esprit tranquille. »
Alain Beaulieu est adjoint au rédacteur en chef au magazine Direction informatique.