L'univers des contrats d'infogérance est en pleine expansion, grâce à l'avènement du cloud computing et à la multiplication des offres Software-as-a-Service, Infrastructure-as-a-Service et Platform-as-a-Service. La collaboration d'un avocat spécialisé dans le domaine est essentielle lors de la rédaction et de la négociation d'un contrat d'infogérance. En effet, ces contrats présentent de nombreux défis juridiques, en particulier en ce qui concerne la sécurité des systèmes d'information.
Avocat expert en infogérance
L'infogérance prend diverses formes, allant de simples sauvegardes en ligne nécessitant peu d'interaction entre le prestataire informatique et le client, à l'externalisation complète du système d'information d'une grande entreprise, avec de multiples serveurs et une architecture logicielle complexe. Dans la plupart des cas, le client attend du prestataire des garanties d'expertise, de disponibilité et de réactivité.
Quelle que soit l'ampleur de l'externalisation de l'infogérance, ce service informatique revêt généralement une importance stratégique pour l'entreprise. Confier la gestion, même partielle, du système d'information à un tiers prestataire comporte presque toujours un risque majeur, compte tenu du rôle vital du système d'information dans les opérations de production.
Dans ce contexte, la rédaction et la négociation des contrats d'infogérance, qui régissent les relations entre le client et le prestataire infogéreur ou hébergeur, nécessitent une attention particulière.
Curieusement, il arrive fréquemment que les clients se concentrent principalement sur la négociation des aspects financiers du contrat, et éventuellement des clauses relatives à la sécurité des données, sans tenir compte d'autres questions juridiques importantes :
- Quelles seront les conséquences si le système d'information ne répond pas aux engagements du prestataire en termes de temps de réponse ou de disponibilité, tels qu'annoncés lors de la phase de vente ?
- Quelles sanctions financières le prestataire encourt-il si les niveaux de service convenus ne sont pas atteints ? Et ces sanctions sont-elles suffisamment incitatives pour garantir le respect des niveaux de services ?
- Comment l'entreprise peut-elle récupérer ses données en cas de résiliation du contrat, notamment si elle décide de mettre fin à celui-ci ?
- La prestation de réversibilité, y compris la restitution des données, fait-elle l'objet d'une facturation ? Au forfait ? En régie ?
- Comment la sécurité des données et du système d'information est-elle assurée contre les intrusions extérieures ou en cas de panne nécessitant une restauration de la base de données à partir d'une sauvegarde ?
- Quels sont les engagements de l'infogérant en ce qui concerne la résolution des anomalies et le rétablissement du système à un état opérationnel ?
- Quel est le plafond de responsabilité civile professionnelle prévu dans le contrat, et ce montant est-il couvert par l'assurance du prestataire ?
Au-delà des aspects techniques, il est crucial de s'interroger sur les clauses contractuelles destinées à protéger le client contre les risques juridiques liés à l'externalisation. Ces questions juridiques exigent une expertise spécifique dans ce domaine et une bonne connaissance de ce type de contrats.
Principales clauses des contrats d'infogérance
Lorsqu'on examine un contrat d'externalisation informatique, la première clause à scruter attentivement est certainement la clause de limitation de responsabilité. En effet, même les engagements les plus solides en matière de niveaux de service et de disponibilité de la solution informatique restent sans réelle valeur si la responsabilité financière du prestataire n'est pas bien définie. Cette clause doit non seulement établir un plafond de responsabilité relativement bas (généralement, les sommes payées par le client au cours de l'année précédant le dommage), mais elle ne doit pas exclure la réparation des préjudices indirects tels que la "perte de chiffre d'affaires, de bénéfices, de clientèle, de données ou de réputation", entre autres.
Malheureusement, la plupart des contrats proposés par les prestataires d'infogérance contiennent ce type de clause.
En cas de préjudice causé par le prestataire, les recours du client sont souvent limités, rendant toute négociation transactionnelle ardue, même si le tribunal peut potentiellement écarter une clause limitative jugée "excessive".
Les clauses concernant la sécurité des systèmes informatiques et des données, ainsi que celles relatives à la sauvegarde et à la confidentialité des données, exigent également une attention particulière. Cela est d'autant plus crucial en ce qui concerne la protection des données à caractère personnel, renforcée par le RGPD en vigueur depuis le 25 mai 2018 et la nouvelle loi n° 78-17, dite "loi informatique et libertés", modifiée par la loi n° 2018-493 du 20 juin 2018.
Ces réglementations imposent de nouvelles contraintes, notamment en ce qui concerne la rédaction du contrat, en vertu de l'article 28 du RGPD, qui traite spécifiquement de la sous-traitance des données personnelles et s'applique aux relations entre le client (responsable du traitement) et l'infogérant, considéré comme sous-traitant en vertu de cette réglementation.
La clause de réversibilité, garantissant au client la récupération complète de ses données sous une forme facilement exploitable, est souvent négligée, voire omise, ce qui entraîne fréquemment des litiges.
Il est essentiel de définir précisément les prestations d'infogérance et de clarifier le périmètre du système sous-traité, qu'il s'agisse de la maintenance d'un parc informatique, d'une infrastructure informatique, de l'externalisation d'une application SaaS ou d'un processus métier. Le contrat doit spécifier la gestion des incidents et des dysfonctionnements, ainsi que les outils de supervision, de monitoring et de reporting. Il doit également intégrer des mécanismes d'assurance qualité, des indicateurs clés de performance (KPI) pour mesurer les niveaux de service (SLA) et des dispositions relatives aux pénalités ou crédits de service. Pour les contrats d'infogérance dans le cloud (cloud privé, cloud public ou cloud hybride) ou de virtualisation de serveurs, les modalités d'hébergement des données doivent être minutieusement décrites.
Il est tout aussi important de prévoir un plan de continuité d'activité (PCA) ou de reprise d'activité (PRA) / disaster recovery plan (DRP) pour faire face aux interruptions de service. En outre, le contrat doit contenir des garanties pour assurer la flexibilité, la haute disponibilité de la solution et le maintien en conditions opérationnelles, ainsi que des dispositions pour protéger les droits de propriété intellectuelle.