Le contenu et les enjeux des contrats d’externalisation du SI

Pourquoi s’attarder sur la rédaction d’un contrat d’infogérance ?

Décider qu’un prestataire externe va prendre en charge l’infogérance de son entreprise implique un grand nombre de précautions. Le système d’information intègre en effet toutes les ressources informatiques d’une entreprise (infrastructure, applications, bases de données, etc.), lui permettant de stocker des données, de communiquer en interne et avec ses partenaires, de réaliser les tâches administratives, etc. : en somme, c’est aujourd’hui un outil indispensable pour que l’entreprise fonctionne au quotidien.

Confier l’administration et la maintenance de ce SI à un tiers est donc facteur de risques divers, qu’il convient de maîtriser au mieux, en incluant au contrat toutes les clauses essentielles. Un contrat d’infogérance rédigé dans les règles de l’art a ainsi plusieurs objectifs :

• garantir la confidentialité des données dont dispose l’entreprise, que ce soit pour être en accord avec le cadre légal (RGPD par exemple) ou pour s’assurer que des informations stratégiques ne tombent pas entre de mauvaises mains;
• bénéficier d’une garantie sur la sécurité des procédures, des interventions, des serveurs, des accès, des solutions de sauvegarde, etc.
• éviter une trop grande dépendance vis-à -vis du prestataire et une perte de maîtrise trop importante (impossibilité de localiser les données stockées dans un Cloud ou de reprendre la gestion du parc informatique en interne par exemple);  
• définir les responsabilités de chacun et les garanties apportées par le prestataire en cas d’incident quelconque;
• s’assurer de la qualité de la prestation et d’une réponse appropriée aux besoins formulés par l’entreprise cliente.

Quelles sont les clauses standard d’un contrat d’externalisation ?

Comme tous les autres contrats de prestation, celui qui concerne l’infogérance dispose de nombreuses clauses obligatoires, qui permettent de définir les contours du service proposé.

Cela inclut dans un premier temps le périmètre d’action de la société qui prend en charge le SI. On distingue en effet plusieurs types d’infogérance : elle peut se concentrer sur l’infrastructure (maintenance du parc informatique entre autres), le développement et la gestion d’applications (mise en place de logiciels métier sur mesure par exemple), l’hébergement (ex. : mise à disposition d’un SaaS), ou tout cela à la fois. Il est primordial d’intégrer au contrat le champ d’intervention du prestataire, tout simplement pour qu’il sache ce qu’il a le droit et le devoir de faire, mais aussi pour définir les limites de la prestation, les équipements et services auxquels il n’est pas censé avoir accès, etc.

Cela va de pair avec les moyens utilisés pour réaliser les interventions : dans le cadre d’une maintenance à distance, il faudra effectivement mettre en place des procédures de sécurité particulières pour protéger le SI de l’entreprise.

Un autre élément important dans un contrat d’infogérance est la disponibilité et la réactivité du prestataire. Le client doit ainsi pouvoir s’assurer que le prestataire sera en mesure de répondre à ses demandes dans un délai jugé raisonnable par les 2 parties. Si cela paraît anodin, il s’agit en réalité d’une clause importante, car la moindre défaillance peut paralyser ou mettre en danger toute l’entreprise si l’assistance n’est pas suffisamment rapide.

L’engagement sur la qualité du service fourni entre également dans les dispositions d’un contrat d’externalisation. Si une entreprise décide de confier la gestion de son système informatique à un spécialiste, l’objectif est non seulement de pouvoir se concentrer sur le coeur de son activité, mais aussi d’atteindre un meilleur niveau de performance et de bénéficier de solutions d’experts. Le contrat peut ainsi contenir une clause sur l’obligation de moyens ou de résultats, qui va aussi définir la responsabilité du prestataire si les objectifs émis ne sont pas atteints. Cela peut être complété par un Service Level Agreement (SLA – Accord de Niveau de Service) avec la mise en place d’indicateurs pour mesurer les performances effectives et pouvoir les comparer aux objectifs.

Quelles sont les dispositions spécifiques à l’infogérance qui doivent figurer dans les contrats de prestation ?

La définition du périmètre d’intervention du prestataire ne peut évidemment pas suffire lorsqu’il s’agit de rédiger un contrat d’infogérance. Ce type de prestation bien particulier nécessite la définition et l’application de clauses additionnelles, parfois facultatives, mais toujours vivement recommandées.

La clause de confidentialité

Même si le fournisseur de service n’intervient qu’en infogérance partielle et limitée, la nature même de son travail le met en contact avec des informations sensibles, voire confidentielles. Pour se protéger, le client doit donc intégrer une clause de confidentialité au contrat, comprenant notamment :

• la portée des données jugées confidentielles;
• la dénomination des personnes qui sont soumises à l’obligation de confidentialité;
• les actions interdites ou obligatoires pour assurer la confidentialité;
• la mention que toute sous-traitance réalisée par le prestataire ne peut se faire sans l’accord de la société cliente.

En l’absence de cette clause, le prestataire sera tout de même soumis à certaines obligations de discrétion et de loyauté. Cependant, il reste préférable d’encadrer la confidentialité, au vu de l’importance des informations accessibles via le SI d’une entreprise.

Le Plan d’Assurance Sécurité (PAS)

Le PAS est un document indispensable pour que le client soit en mesure de déterminer toutes les garanties qu’il peut espérer sur les questions de sécurité, avant de signer un quelconque contrat. Il s’agit d’un plan présenté dès l’appel d’offres, qui répertorie tous les moyens mis en œuvre par l’entreprise de gestion des systèmes informatiques pour répondre aux impératifs de sécurité.

Ce Plan d’Assurance Sécurité peut ensuite évoluer pour satisfaire l’ensemble des exigences du client et aboutir à un accord. Toutefois, il faut savoir qu’un prestataire n’a pas toujours la possibilité de répondre totalement aux besoins d’une entreprise (incapacité technique, manque de ressources humaines ou financières, etc.). Le PAS n’est donc pas seulement une formalité, mais également une solution intéressante pour une entreprise cliente afin de comparer les différents prestataires, selon les garanties qu’ils peuvent ou non fournir.

La clause de réversibilité

En plus des conditions de durée, de renouvellement et de résiliation du contrat, il est d’une importance cruciale de penser à sa réversibilité. Effectivement, en cas d’insatisfaction, de difficultés financières à faire perdurer le contrat, ou pour toute autre raison jugée valable, le client et les utilisateurs doivent pouvoir entièrement reprendre la main sur le système d’information ou confier l’infogérance à un autre prestataire. Il en va de l’indépendance des entreprises et de leur capacité à gérer leur stratégie.

Pour que cela soit rendu possible, il est essentiel de mettre en place une clause de réversibilité. Elle énonce la possibilité de récupérer l’ensemble des données exploitées, des solutions applicatives et logicielles, mais aussi des équipements, ainsi que de la  forme prend cette rétrocession. 

Nous vous recommandons ces autres pages :

• Quels sont les avantages de l’infogérance ?
• Comment bien choisir son prestataire d’infogérance ?
• A quels services complémentaires faire appel en infogérance ?
• Comment réussir son infogérance ?
• Quels sont les risques liés à l’infogérance ?