Pour transformer le contrat en levier d'un projet durable, il faut d'abord que le DSI et le juriste travaillent conjointement, le premier pour identifier les scénarios à risque susceptibles de se produire, le second pour formaliser la solution retenue pour traiter au mieux ce risque et ses conséquences.
Un bon contrat IT doit fournir un mode opératoire pour chaque étape du projet et anticiper les difficultés et leur prévoir une solution prénégociée. Pour cela, il doit être partagé par tous les acteurs impliqués dans le projet. Plus il sera précis et plus il fera la loi entre les parties.
Au nombre des points de vigilance habituellement retenus, quatre méritent une attention particulière.
Le premier vise à garantir la continuité du service. Il s'agit d'anticiper une potentielle interruption du service fourni par le prestataire IT ou la solution fournie par celui-ci, laquelle peut avoir des conséquences directes sur l'activité opérationnelle du client, par exemple sur une chaîne de traitement (usine), ou même un ralentissement des délais de réponse apportés aux clients. Les préjudices peuvent être importants (perte de chiffre d'affaires, désorganisation au sein de l'entreprise, atteinte réputationnelle...).
Pour éviter une appréciation subjective de cette dépréciation ou interruption de service, il convient de définir contractuellement les niveaux des services et de performances auxquels le prestataire s'engage. Il faut donc être précis : dans quels délais le prestataire intervient-il ? Comment ces délais sont-ils calculés ? Quel est leur point de départ ? Si c'est une demande du client, comment établir la preuve de la demande d'intervention ? Par courriel ? Par un outil de gestion des incidents fournis par le prestataire ? Mais, dans ce cas, en cas de contentieux, comment préserver la preuve de ces échanges ? Quel est le délai de rétablissement ? Quels délais pour mettre en place une solution pérenne ? En effet, un patch (solution de contournement) peut permettre la reprise du service, mais quid en cas de patchs superposés ? N'oublions pas que la compétitivité exige de faire évoluer ces référentiels, pour tenir compte des évolutions technologiques et également de l'évolution de l'entreprise.
Ces précisions éviteront des débats stériles et fastidieux en cours de projet ou, pire, devant les juridictions. Car si l'on peut obtenir gain de cause sur le principe de la responsabilité du prestataire, encore faut-il que la réparation soit à la hauteur du préjudice. Pour illustration, cette décision de la Cour d'appel de Versailles (1) qui a considéré que le client ne démontrait ni les indisponibilités répétées du service de son hébergeur Saas ni son préjudice évalué 569 000 euros et n'a finalement condamné le prestataire qu'à lui payer la somme de 18 000 euros.
Le deuxième vise à encadrer les modalités de récupération des données. Au cours de la vie d'une entreprise, il est normal de changer de prestataires, de produits, de services. Encore faut-il, pour garantir la continuité du service lors de cette bascule, s'assurer que l'on va pouvoir récupérer ses données dans le cadre d'un plan de réversibilité ou de transférabilité. Il est donc prudent de veiller tout particulièrement à la phase initiale du contrat et à la phase de sortie du contrat. Certains contrats de fournisseurs prévoient la suppression des données à l'expiration du contrat, d'autres accordent un laps de temps défini, en moyenne entre 30 et 60 jours, pour permettre la récupération des données avant la suppression.
Il faut donc sur ce point être particulièrement attentif aux modalités de récupération ou de restitution des données (2), et négocier précisément le périmètre de cette restitution, le délai de mise en oeuvre et ses modalités pour que les données soient restituées dans un format standard, lisible et facilement réexploitable dans une nouvelle solution.
Le troisième point concerne le RGPD. Depuis son entrée en vigueur il y a bientôt 5 ans, le respect de la règlementation autour des données personnelles est devenu un enjeu majeur à anticiper pour les DSI, notamment en matière de sécurité et transferts internationaux de données. Il est donc indispensable d'évaluer correctement la conformité des fournisseurs au RGPD et, selon les domaines d'intervention (banque, santé notamment) aux normes de sécurité et de confidentialité spécifiques.
Au nombre des vérifications à faire, il convient par exemple de prévoir des mesures de sauvegarde efficaces et régulières des données de l'entreprise ainsi qu'un contrôle de la validité de ces sauvegardes, et de s'assurer que les prestataires ont mis en place des procédures adéquates pour récupérer les données en cas de sinistre (3) ou de panne.
S'agissant plus particulièrement des transferts de données à caractère personnel hors Union européenne, l'invalidation du régime de transferts de données entre l'Union européenne et les États-Unis (Privacy Shield) par la CJUE (4) exige une réévaluation urgente de la légalité de certains transferts de données personnelles. En effet, la majorité des données sont hébergées dans des clouds aux États-Unis. Il est généralement prudent de favoriser un stockage des données sur le territoire de l'UE, de signer des clauses contractuelles types à jour des dernières modifications de la Commission européenne (5) ou bien de prévoir des garanties équivalentes.
Enfin, le quatrième point vise à anticiper l'inflation des prix ainsi que l'évolution des besoins du client. Le Saas est un modèle de distribution de logiciels qui présente des spécificités distinctes, comme le fait que son utilisation se fasse à distance. Le coût du service doit alors correspondre à son usage effectif. Attention ! ce type de contrat est souvent proposé sous la forme d'un contrat d'adhésion.
Une approche négociée devrait conduire à négocier le plafonnement des prix, ou, en cas de variation du niveau d'activité de l'entreprise, à des ajustements contrôlés.
Pour l'essentiel, il est prudent de prévoir une faculté de sortie du contrat.
L'approche par les risques est certainement le meilleur moyen de contrôler un projet IT, le contrat ayant vocation à anticiper les solutions à mettre en oeuvre : à chaque risque, un scénario contractuel doit permettre aux parties de trouver un modus operandi. Il convient donc d'investir dans la phase contractuelle, mais aussi de veiller à ce que le déroulement du projet se fasse en phase avec le contrat.
(1) Cour d'appel de Versailles 13ème ch., 2 octobre 2014, RG n°12/05834.
(2) Voir Cass. Com., 22 novembre 2016 n° 15-17.743 : le Client était convaincu que le prestataire d'infogérance cherchait à rendre impossible la bonne exécution de la réversibilité en refusant de lui remettre les clés du système d'information. Néanmoins, la Cour a estimé que le Client n'avait pas respecté les modalités de mise en oeuvre de la clause résolutoire prévues au contrat et a donc rejeté sa demande.
(3) Tribunal de commerce de Lille Métropole, jugement du 26 janvier 2023, SAS FRANCE BATI COURTAGE / SAS OVH
(4) CJUE 16 juillet 2020 Schrems II, C 311/18 - https://www.cio-online.com/actualites/lire-l-affaire-schrems-n-en-finit-pas-de-faire-des-vagues-13793.html
(5) CIO Online, 27 février 2023, https://www.cio-online.com/actualites/lire-transferts-de-donnees-hors-ue-mettez-a-jour-vos-nouvelles-clauses-contractuelles-types-14769.html
Commentaire