L’infogérance ou l’externalisation informatique (« outsourcing ») désigne le « résultat de l’intégration d’un ensemble de services élémentaires, visant à confier à un prestataire informatique tout ou partie du système d’information du client dans le cadre d’un contrat pluriannuel, à base forfaitaire avec un niveau de service et une durée définis » (norme AFNOR 67-801-1).
Concrètement, un prestataire intervient au bénéfice de l’entreprise cliente pour assurer la gestion et l’exploitation de son système informatique. Dans ce contexte, le client abandonne totalement ou partiellement la maîtrise de ses outils de traitement de l’information. L’infogérance recouvre un large éventail de prestations, de la gestion des infrastructures à la gestion des applications en passant par l’hébergement de services.
Juridiquement, les phases de la relation contractuelle de la prestation informatique doivent être sécurisées et nécessitent une rigueur accrue ; l’objectif étant de se prémunir de tout aléa. Il est donc fondamental d’avoir à l’esprit quelques points clefs avant de signer un contrat d’infogérance et se retrouver lié dans une relation contractuelle selon l’adage « les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits ».
1 – L’objet du contrat de prestations informatiques
L’objet d’un contrat informatique est une clause essentielle qu’il faut rédiger avec dextérité.
Plus précisément, le client peut choisir son schéma d’externationalisation de sorte que l’infogérance peut se décliner en différentes catégories.
D’une part, elle peut être globale (« global facilities management ») auquel cas le client confiera à un prestataire extérieur la prise en charge de l’intégralité de la gestion de son système d’information. Cela signifie que l’ensemble des fonctions seront externalisées.
D’autre part, elle peut être partielle c’est-à-dire qu’elle ne recouvrera qu’une partie du système d’information (infogérance d’exploitation, d’une infogérance matérielle ou une infogérance d’application, etc.).
En tout état de cause, les parties doivent s’entendre et énoncer de façon suffisamment précise le périmètre de l’infogérance c’est-à-dire les conditions d’intervention du prestaire en faveur du client (description des prestations, tâches confiées).
A l’occasion de la rédaction du contenu de l’engagement, des annexes au contrat de prestation informatique pourront être établies. Celles-ci ont vocation à décrire plus amplement les prestations d’infogérance et/ou digitales attendues.
2 – La nature de l’obligation du prestataire informatique dans le contrat
Il convient d’être prudent au moment de la formulation des obligations contractuelles qui pèsent sur le prestataire. En effet, le risque est que sa responsabilité soit engagée pour non-respect des obligations contractuelles. Cependant, cette responsabilité et son intensité dépendront de la nature de l’obligation contractuelle souscrite.
La liberté contractuelle permet de prévoir tantôt une obligation de résultat tantôt une obligation de moyens.
Si le prestataire s’est engagé à remplir une obligation de résultat, il sera obligé de réaliser la prestation demandée pour ne pas faire l’objet de sanctions pécuniaires venant dédommager le préjudice du client. En pratique, les parties d’un contrat de prestation informatique recourent à une clause dite de « niveau de service » ou « Service Legal Agreement » aux termes de laquelle elles prévoient des seuils de qualité c’est-à-dire la performance attendue, notamment en ce qui concerne les délais de traitement et la réversibilité des données du client.
A l’inverse, si le prestataire est débiteur d’une simple obligation de moyens, le cas échéant sa Responsabilité, ne sera pas automatiquement engagée et si elle l’est, se verra atténuée. Dès lors, il pourra être préférable de préciser que le prestataire informatique s’engagera à réaliser les prestations qui lui incombent dans les règles de l’art et de faire ses « meilleurs efforts » (« best efforts ») pour y parvenir. Une clause de « best efforts » permettra donc aux parties de fixer contractuellement les contours de l’engagement et de la limiter à une obligation de moyens. C’est le cas concernant l’assistance des collaborateurs du client, le conseil et recommandations ou encore en matière de formation.
Par ailleurs, il peut être opportun d’intégrer dans le contrat d’infogérance et de prestation informatique, une clause limitative de responsabilité qui pourra prévoir que le prestataire ne sera pas tenu de réparer les dommages indirects. Cette clause pourra également fixer un montant plafond d’indemnité en cas de retard ou de défaut de performance à titre d’exemple. L’avantage pour le prestataire est que l’allocation d’une telle indemnité pourra être couverte par une assurance de responsabilité civile professionnelle. Toutefois, il faut veiller à ce que la clause limitative de responsabilité ne contredise pas la portée de l’obligation essentielle souscrite par le débiteur.
Il est également judicieux, dans une clause de force majeure, de définir les cas venant écarter sa responsabilité dans des situations particulières préalablement définies.
Pour vous aider à rédiger ce type de clause, vous devez faire appel à un professionnel avocat ayant l’habitude de traiter de ces questions techniques de droit.
3 – L’évolutivité du périmètre contractuel
Le contrat d’infogérance a vocation à durer dans le temps. Pour éviter que les prestations informatiques et d’infogérance soient figées, il est intéressant d’anticiper tout changement potentiel. En effet, il arrive souvent que prestataire informatique juge nécessaire de procéder à des modifications de tâches, de faire évoluer le système de son client et mettre en œuvre de nouvelles solutions.
Par conséquent, il apparaît nécessaire de stipuler que le prestataire aura la faculté d’opter pour une évolution du système.
Pour ce faire, il conviendra d’insérer une clause d’évolutivité autorisant de telles évolutions. Finalement, il incombera alors au prestataire informatique de respecter les niveaux de qualité pour ne pas se voir opposer d’éventuelles conséquences préjudiciables pour le client d’un point de vue technique, organisationnel voire financier.
4 – Le conditions de mise à disposition du personnel
L’une des caractéristiques essentielles de l’infogérance est le transfert de moyens humains d’une entreprise. En effet, puisque les prestations peuvent se dérouler aussi bien chez le client que chez le prestataire, il se peut que des salariés informaticiens de l’entreprise cliente soient transférés chez le prestataire infogérant. Inévitablement, se pose la question délicate du sort des contrats de travail des salariés et leur intégration chez le prestataire.
En droit social, le principe est que lorsque survient une modification dans la juridique de l’employeur, tous les contrats de travail en cours au jour de la modification subsistent de plein avec le nouvel employeur et le personnel de l’entreprise. Cela signifie que, dans le cadre d’une opération d’infogérance, le transfert des salariés s’opèrerait de plein droit et s’imposerait aux salariés dès lors qu’est caractérisée une entité économique autonome conservant son identité, disposant de moyens nécessaires, et dont l’activité est poursuivie ou reprise. L’inconvénient pour les salariés est que leurs nouvelles conditions de travail soient moins avantageuses.
Cependant, en contentieux, pour freiner les stratégies d’externalisation des entreprise, les juges peuvent parfois considérer que, d’un point de vue juridique, cette situation s’analyse en une sous-traitance et non pas en une externalisation : si cette hypothèse est retenue, les salariés restent sous la dépendance exclusive du client c’est-à-dire leur entreprise d’origine. C’est notamment le cas lorsque l’exercice de l’activité économique de l’entité ne peut être maintenue.
Ainsi, dans le contrat d’infogérance, il est préférable que les partes déterminent les modalités juridiques de mise à disposition du personnel. Le prestataire doit être prudent et vérifier si le client peut ou non reprendre son personnel affecté aux prestations. Ce cas de figure a des incidences non négligeables notamment en cas de licenciement.
5 – La confidentialité et le traitement de données à caractère personnel
Le prestataire doit être conscient des risques inhérents à la fuite d’informations et de données. Le prestataire devra en particulier alerter ses collaborateurs sur la confidentialité à laquelle ils seront soumis. Cette obligation de non-divulgation couvre en général les informations, connaissances, données et documents sur le client. Le contrat pourra bien entendu moduler l’étendue de cette obligation et pourra même prévoir que le prestataire devra prendre certaines précautions pour préserver ce caractère confidentiel.
Temporellement, cette obligation peut également être susceptible de perdurer après l’extinction du contrat c’est-à-dire que le prestataire et son personnel ne seront libérés de cette obligation qu’après un certain nombre d’années.
Par ailleurs, le prestataire ne doit pas oublier qu’au titre d’un contrat d’infogérance il peut être amené à traiter des données à caractère personnel c’est-à-dire portant sur toute personne physique susceptible d’être identifiée directement ou indirectement. Or, même si le prestataire agit exclusivement pour le compte du client, il s’engage à ne pas exploiter ou utiliser les données de ce dernier pour ses propres besoins ou pour le compte de tiers. A cette fin, il peut être attendu de lui qu’il mette en œuvre certaines mesures visant à assurer la protection de ces données.
***