Discussion :

[cdm1024]

Bonjour,

J'ai une question dont je ne sais pas dans quel rubrique la posée.

Comment pour une entreprise de petite et de grande taille se prémunir du vol de son code source par ses employés ?

Supposons que je développe un site web. Je devrai a un moment ou un autre employé des personnes pour aider au développement. Il serait alors facile pour une de ses personnes de faire une copie du code source du site sur clé usb ou par envoie d'archive par mail.

Cette personne pourrait faire un fake du site ou tout simplement diffuser le code source dans tous les cas le mal est fait même si l'on retrouve le coupable.

Merci.

[nouknouk]

salut,

il n'y amha aucun moyen de protéger son code source pour ce genre de cas.

Mais la loi est jusement la pour ça. Et quand on retrouve le coupable, c'est pour non seulement condamner l'intéressé mais également (et surtout, vu de l'employeur) pour réclamer au voleur des dommages et intérêt couvrant l'ensemble du préjudice commis.

Dans les faits, ce genre de cas est plus qu'exceptionnel: le risque (notamment financier) pris par un employé qui volerait et diffuserait le code source est tel que -mis à part un tordu totalement inconscient- il ne voudra pas risquer de devoir rembourser une somme si grande qu'il en fera les frais le reste de sa vie.

[LooserBoy]

Il peut être intéressant de faire signer lors de l'acceptation du règlement intérieur de l'entreprise, qu'aucune source ne doit, sous quelque forme que ce soit, sortir de l'entreprise sans un accord préalable.

Normalement, tout ce que l'employé fait avec les outils mis à disposition par l'entreprise appartiennent par conséquent à cette dernière. Malheureusement, beaucoup l'oublient, souvent sans conséquence pour les deux parties...
Une petite piqure de rappel ne fait pas de mal.

[gl]

Supposons que je développe un site web. Je devrai a un moment ou un autre employé des personnes pour aider au développement. Il serait alors facile pour une de ses personnes de faire une copie du code source du site sur clé usb ou par envoie d'archive par mail.

Cette personne pourrait faire un fake du site ou tout simplement diffuser le code source dans tous les cas le mal est fait même si l'on retrouve le coupable.

D'un point de vu technique : restriction des accès mails et internet, désactivation des ports USB, verrouillage des lecteur externe, utilisation de compte utilisateur sans privilège, gestions des droits stricte, etc.

[j.peg]

un contrat de travail standard comporte généralement des clauses pour éviter ça...
- propriété des logiciels, méthodes de l'entreprise
- clause de non concurrence.

pas besoin de loi spécial pour toi: s'il part avce du code c'est tout simplement du vol

[nouknouk]

D'un point de vu technique : restriction des accès mails et internet, désactivation des ports USB, verrouillage des lecteur externe, utilisation de compte utilisateur sans privilège, gestions des droits stricte, etc.

Certes, mais d'un autre côté:

- tu pourras toujours essayer de limiter les possibilités, un employé déterminé à voler le code source trouvera toujours un moyen pour y arriver. Une idée parmi 1000 autres: il pourrait par exemple intentionnellement coder dans une des pages du site web un faille pas facilement détectable à première vue, mais qui lui laisserait l'opportunité de 'rentrer' sur le serveur pour pomper l'ensemble des soruces du site tranquillement depuis chez lui, le jour où le site est en prod. Bref, c'est comme les virus ou le hacking: un jeu permanent du chat et la souris où le chat ne gagne jamais définitivement la guerre s'il a en face des souris déterminées à mal agir.

- quels surcoûts engendrés par une politique de sécurité aussi restrictive ? entre les admins du parc informatique qui doivent en permanence surveiller et mettre à jour les machines pour parer à toute éventualité et les requêtes incessantes des développeurs parce qu'ils ne peuvent pas installer leur petit outil en freeware pour faire ceci ou cela.
Autant il me paraît envisageable de limiter les droits du poste de travail d'une secrétaire qui utilise uniquement Word ; autant un développeur a régulièrement besoin d'un accès admin sur son propre poste de travail.

- quelle perte de productivité si les dév. ne peuvent pas utiliser le formidable outil qu'est internet pour trouver des ressources, des solutions à leurs problèmes, etc... plus rapidement ?

Et pire encore, l'aspect humain:

- comment des employés pourront-ils jamais faire confiance à un patron qui lui-même les considère comme des possible voleurs en puissance ?

- Quel impact aurait cette ambiance de 'flicage permanent' sur l'implication de chacun dans son travail, et donc de sa productivité ?

- Comment inciter les employés à prendre chacun leur part de responsabilité dans n'importe quel aspect de leur travail si on les infantilise à ce point ?

- Quid du turn-over de la boite ? un employé qui se sent 'en prison' dans sa boite aura plus facilement tendance à vouloir changer d'entreprise. Et dans ces cas là, c'est souvent les meilleurs éléments qui partent en premier (parce qu'ils ont plus confiance dans leurs compétences et donc dans leur capacité à trouver une autre entreprise où ils se sentiront mieux).

Bref, ce n'est pas pour rien amha que les entreprises n'emploient quasiment jamais ce genre de mesures extrêmes. Elles ont sûrement beaucoup plus à perdre qu'à y gagner.

[Cassios]

Une autre question un peu dérivée. Là on part du principe qu'il n'y pas eu vol de code source.
Mettons que le salarié travaille au développement de logiciel d'un domaine particulier (exemple à 2 balles, la comptabilité).As t-il le droit, le jour où il a quitté son entreprise, de travailler au développement d'un autre logiciel du même domaine (par exemple redévelopper un nouveau logiciel de comptabilité) dans une autre entreprise ou pour lui même?
Et s'il n'a pas le droit cela dure combien de temps cette interdiction?

[nouknouk]

As t-il le droit, le jour où il a quitté son entreprise, de travailler au développement d'un autre logiciel du même domaine (par exemple redévelopper un nouveau logiciel de comptabilité) dans une autre entreprise ou pour lui même? Et s'il n'a pas le droit cela dure combien de temps cette interdiction?

Par défaut, l'employé a le droit de réutiliser son expérience dans une autre entreprise.

Si la société veut imposer une durée pendant laquelle il n'aura pas le droit de travailler dans le même domaine, il faut que ce soit stipulé en clair dans le contrat de travail: la clause de non concurrence.

En tout état de cause, si mes souvenirs sont bons:

- la clause de non concurrence ne peut s'étendre que sur une durée bien définie (et pas ad vitam eternal).

- la clause de non concurrence doit prévoir une compensation pour le salarié (typiquement une rétribution), sinon la clause peut-être considérée comme nulle par un tribunal (clause abusive).

Par exemple on m'a déjà proposé un contrat prévoyant qu'en cas de rupture dudit contrat, une clause de non concurrence m'interdisait de travailler dans le domaine pendant 1 an. En contrepratie, on me versait 700€ par mois pendant l'année.

Reste qu'en règle générale ce genre de clause est très peu utilisé sauf lorsque l'employé touche à une connaissance critique et secrète (le 'fond de commerce') de l'entreprise.

EDIT: le texte du contrat qu'on m'a proposé (j'ai bien évidemment enlevé le nom de la boite):

Compte tenu de la spécificité de vos fonctions vous donnant accès aux plans, études, conceptions, projets, réalisations, logiciels, étudiés dans le Groupe, dont la divulgation ou l’utilisation porterait préjudice au groupe xxxxx, vous vous engagez, en cas de cessation du contrat de travail, pour quelque cause que ce soit, à l’exception de la rupture pendant la période d’essai quelle que soit la partie à l’origine de la rupture pendant la dite période, à :
- ne collaborer sous aucune forme, comme salarié ou à quelque autre titre que ce soit à une entreprise d’édition logicielle exerçant une activité directement concurrente à celle du groupe xxxxx, notamment xxxxx, xxxxx, xxxxx, xxxxx, xxxxx, et xxxxx,,
- ne collaborer sous aucune forme, comme salarié ou à quelque autre titre que ce soit, sur des projets de clients ou prospects du Groupe xxxxx, pour le compte d’une société de conseil ou de service,
- ne collaborer sous aucune forme, comme salarié ou à quelque autre titre que ce soit à une société cliente du xxxxx,
- à ne pas créer directement ou indirectement, par personne interposée, d’entreprise ayant une activité directement concurrente à celle du Groupe xxxxx,
Dans le cas des [domaine d'activité], les expressions « clients du Groupe xxxxx», « prospects du Groupe xxxxx» et « société cliente du Groupe xxxxx» mentionnées dans ce paragraphe désignent les départements prospects ou utilisateurs des solutions xxxxx dans ces banques et institutions.

S’agissant des activités directement concurrentes à celle du Groupe xxxxx cet engagement est limité à une durée d’un an et s’étend sur le territoire mondial. En ce qui concerne les clients du Groupe xxxxxcet engagement est limité à une durée d’un an et au territoire européen.

En contrepartie de cet engagement, la Société vous versera, pendant la durée d’application de la présente clause, une indemnité mensuelle brute de 700 €.

La Société se réserve toutefois le droit de réduire la durée d'application de la présente clause ou de renoncer au bénéfice de la présente clause en vous informant au plus tard 30 jours après votre départ effectif.

Il est convenu qu'en cas de violation de votre fait de la présente clause de non-concurrence, vous acceptez de régler à la Société et à la première demande de sa part, sans autre formalité, une indemnité forfaitaire de 11 500 € à titre de dommages et intérêts. Ce paiement forfaitaire ne portera pas préjudice au droit de la Société de faire cesser ladite violation par tout moyen et de vous poursuivre pour demander réparation du préjudice réel subi.

Vous déclarez qu'à la date de début de vos fonctions au sein de la Société, vous serez libéré de tout engagement. Vous déclarez n'être lié par aucune clause de non-concurrence avec un précédent employeur qui vous empêcherait de vous engager dans un contrat de travail avec la Société.

[ash.ice.loky]

Le mieux reste de dépôt de codes sources au prêt d'une société privée. Après enregistrement, en cas de problème, la société peut faire valoir son dépôt pour prouver qu'elle est détentrice de la propriété intellectuelle.

Par contre empêcher un développeur de voler le code source de l'appli sur laquelle il développe est légèrement Utopique

[Cassios]

Et c'est encore plus utopique d'essayer d'empêcher le mec de tout redévelopper de 0 grâce à la connaissance acquise dans l'entreprise.
Ou alors ça s'appelle les brevets logiciels mais cela a d'autres effets pervers.

[Matthieu2000]

Découpe ton site en plusieurs couches, puis bouchonne les différents services. Les plus importants sont les données et non les codes sources.
Il y a assez d'open source pour satisfaire les développeurs.