Définition
Qu'est-ce que l'entiercement logiciel ?
L'entiercement logiciel est un dispositif contractuel par lequel un éditeur confie ses codes sources à un tiers de confiance indépendant. Ces codes sont conservés de façon sécurisée et ne sont transmis au client que si des conditions précises, définies à l'avance, sont réunies.
Le mécanisme repose sur une logique de séquestre : les sources ne changent pas de main sauf événement déclencheur. Entre-temps, leur existence, leur intégrité et leur horodatage sont garantis par le tiers de confiance, ici par la blockchain.
Les événements déclencheurs les plus courants : liquidation judiciaire de l'éditeur, arrêt de maintenance sans successeur, départ de compétence clé, ou toute condition librement négociée.
L'éditeur dépose ses codes sources sur la plateforme Exaechain, horodaté et certifié en blockchain.
Éditeur, client et Exaechain cosignent. Les conditions de libération y sont stipulées.
En cas d'événement déclencheur, Exaechain vérifie et libère les sources au bénéficiaire.
Clause d'accès, contrat bipartite ou contrat tripartite ?
Il existe trois niveaux de formalisation. Le choix a des conséquences directes sur la solidité juridique de la protection et sur le rôle effectif du tiers de confiance.
|
Critères |
NIVEAU 1 Clause d'accès Dans le contrat principal |
NIVEAU 2 Contrat bipartite Éditeur + tiers de confiance |
NIVEAU 3 Contrat tripartite Exaechain Éditeur + client + Exaechain |
|
Qui signe ? |
Éditeur + client. Le tiers est nommé, non signataire. | Éditeur + tiers. Le client est listé comme bénéficiaire. | Les trois parties cosignent un contrat dédié. |
|
Engagement du tiers |
Aucun envers le client. | Envers l'éditeur uniquement. | Envers l'éditeur et le client. |
|
Visibilité sur le dépôt |
Aucune, l'éditeur informe seul. | Le client accède à la plateforme. | Suivi assuré par Exaechain en continu. |
|
Vérification du dépôt |
Non prévue. | Possible selon les termes. | Systèmatique - horodatage blockchain. |
|
Sécurité juridique |
Faible, recours limité à l'éditeur. | Moyenne, pas de levier sur le tiers. | Élevée, recours possible contre Exaechain. |
Pour qui ?
Deux perspectives, un seul enjeu
L'entiercement protège simultanément les deux parties d'un contrat logiciel.
- Débloquer des ventes complexes auprès de grands comptes, collectivités et secteurs réglementés
- Constituer une preuve d'antériorité horodatée, opposable en cas de litige ou contrefaçon
- Imposer des conditions d'utilisation strictes sur les sources libérées
- Valoriser l'actif logiciel lors d'une levée de fonds ou d'une cession
- Garantir le PCA (plan de continuité d'activité) en cas de défaillance de l'éditeur pour récupérer et exploiter les ressources
- Répondre aux exigences réglementaires (DORA, marchés publics, secteur santé)
- Sécuriser un investissement pluriannuel contrat la disparition du fournisseur
- Disposer d'un levier contractuel en cas de litige, sans procédure judiciaire longue
Dans quels secteurs l'entiercement s'impose ?
L'entiercement s'applique à tous les secteurs où un logiciel joue un rôle opérationnel critique. Certains secteurs en ont fait un standard, voire une obligation.
Le règlement DORA impose aux entités financières de démontrer un plan de continuité en cas de défaillance des prestataires IT critiques. L'entiercement tripartite avec vérification technique est l'une des réponses directes à ces obligations de résilience opérationnelle.
Les cahiers des charges publics intègrent régulièrement des clauses de continuité de service. L'entiercement formalisé avant un appel d'offres renforce la position de l'éditeur et peut constituer un critère de sélection lors des procédures de mise en concurrence.
Énergie, manufacturier, logistique, défense, la dépendance au logiciel est totale et la tolérance à l'interruption nulle. Dans ces environnements, l'entiercement est attendu, pas négocié. La vérification de reconstruction est inséparable du contrat.
En mode SaaS, le dépôt doit aller au-delà du code : documentation de déploiement, scripts d'infrastructure, données de configuration. Sans cela, les sources libérées ne permettent pas de reconstruire l'environnement d'exploitation.
Risques couverts
Ce que l'entiercement couvre et ce qu'il ne remplace pas
Un bon contrat d'entiercement est précis sur ce qu'il garantit.
Risques pris en charge
Liquidation judiciaire
Le cas fondateur : les sources sont libérées au bénéficiaire après vérification par Exaechain.
Départ de compétence clé
Fondateur, CTO, développeur principal :la maintenance peut être confiée à une équipe tierce.
Refus de maintenance
Arrêt unilatéral du support d'une version sans alternative satisfaisante.
Cession à un concurrent
Condition négociable dans le contrat : rachat par un acteur indésirable peut déclencher la libération.
Litige propriété intellectuelle
Les dépôts horodatés en blockchain constituent une preuve d'antériorité opposable.
Ce que ça ne remplace pas
Un plan de reprise d'activité complet
Récupérer le code ne garantit pas de pouvoir redéployer en 24h. La préparation opérationnelle reste côté client.
Un audit de qualité du code
Un dépôt contient ce que l'éditeur a déposé. Si le code est mal documenté, le problème subsiste à la libération.
La protection des données clients
Les données hébergées par l'éditeur relèvent d'un contrat de sous-traitance RGPD distinct.
Pourquoi choisir Exaechain
Une différence architecturale, pas seulement contractuelle
Le marché de l'entiercement compte plusieurs acteurs. Ce qui distingue Exaechain n'est pas qu'une question de tarif : c'est la façon dont la confiance est établie et est maintenue.
01
Cosignataire, pas simple dépositaire
Exaechain est cosignataire du contrat tripartite. Il engage sa responsabilité propre.
02
Blockchain : immuabilité technique
Une fois enregistré, le contenu du dépôt ne peut pass être modifié rétroactivement. Ni par l'éditeur, ni par Exaechain. Garantie technique qu'aucun contrat seul ne peut offrir.
03
Vérification de reconstruction
Les niveaux vérifiés et avancé incluent un test de reconstruction du logiciel. Un code déposé mais non vérifiable est une fausse sécurité.
Il n'existe pas de durée standard. Le contrat est généralement aligné sur la durée du contrat principal (licence, maintenance, abonnement). Il peut être reconduit tacitement ou révisé à chaque renouvellement. Les modalités de reconduction et de résiliation doivent être explicitement définies dans le contrat tripartite.
Cela dépend du rythme de développement. Pour un SaaS en évolution rapide, une mise à jour trimestrielle minimum est recommandée. Pour un logiciel stable, une mise à jour à chaque release majeure peut suffire. Un dépôt non mis à jour constitue un risque : les sources libérées pourraient correspondre à une version obsolète.
Le bénéficiaire notifie Exaechain de la réalisation de la condition, avec les preuves requises. Exaechain vérifie la conformité avec les termes du contrat tripartite. Si la demande est valide, les sources sont transmises dans les conditions et délais prévus contractuellement. L'éditeur est informé de la demande sauf disposition contraire.
Oui et c'est précisément là où l'entiercement SaaS doit être pensé différemment. En cas de défaillance, le client doit être capable de déployer lui-même l'application ou de mandater un tiers. Le dépôt doit donc inclure le code source, les scripts d'infrastructure, la documentation de déploiement et les données de configuration nécessaires à la mise en production.
Oui, sous forme d'avenant. Il est possible de compléter un contrat existant ou de signer un contrat tripartite dédié indépendamment du contrat principal. Cette situation est fréquente lorsqu'un client change de politique de sécurité ou qu'un audit révèle un risque non couvert sur un contrat en cours.
Vous avez des questions sur le dépôt de code source ou sur votre propriété intellectuelle ?
Remplissez le formulaire et notre équipe vous répondra dans les plus brefs délais. Nous serons ravis de vous accompagner dans la sécurisation et la protection de vos actifs logiciels.