Les contrats d'infogérance connaissent un développement constant avec l'essor du cloud computing et la multiplication des offres Software-as-a-Service, Infrastructure-as-a-Service et Platform-as-a-Service. L'accompagnement d'un professionnel du droit dans la rédaction et la négociation d'un contrat d'infogérance est indispensable compte tenu des nombreux risques juridiques qui entourent ces opérations, notamment en termes de sécurité du système d'information.
Avocat expert en infogérance
L'infogérance est une prestation de services informatiques susceptible de revêtir des formes très diverses : elle peut se limiter par exemple à une sauvegarde en ligne qui ne donne lieu qu'à peu d'interactions entre le prestataire informatique et son client utilisateur, mais elle peut à l'inverse porter sur l'externalisation de l'ensemble du système d'information d'une grande entreprise, constitué de très nombreux serveurs et d'une architecture logicielle complexe, qui implique de la part de l'infogérant des compétences, une disponibilité et une réactivité considérables.
Quelle que soit l'étendue du périmètre externalisé dans le cadre de l'infogérance, ce service informatique a généralement une importance stratégique pour l'entreprise : externaliser tout ou partie du SI du groupe ou de la société et en confier la gestion, même de façon limitée, à un prestataire tiers, comporte presque toujours un risque majeur pour l'entreprise compte tenu du rôle vital que joue le système d'information dans les opérations de production.
Dans ce contexte, le contrat d'infogérance, qui régit les relations entre le client et le prestataire infogéreur ou hébergeur, mérite de faire l'objet d'un soin particulier lors de sa rédaction et de sa négociation.
Etonnamment, il n'est pourtant pas rare que les clients se bornent presqu'exclusivement à négocier les conditions financières du contrat, et éventuellement les clauses relatives à la sécurité des données, sans se soucier des questions juridiques telles que :
- Que se passera-t-il si le système d'information n'est pas aussi performant, en termes de temps de réponse ou de disponibilité, que le prétend le prestataire en avant-vente ?
- Quelle sera la sanction financière pour le prestataire si les niveaux de service annoncés ne sont pas atteints ? Si cette sanction existe, est-elle réellement de nature à inciter le prestataire à améliorer la qualité de service ?
- Dans quelles conditions l'entreprise pourra-t-elle récupérer ses données à la fin du contrat, notamment dans l'hypothèse où l'entreprise prononcerait la résiliation du contrat ?
- La prestation de réversibilité (restitution des données notamment) fait-elle l'objet d'une facturation ?
- Comment est garantie la sécurité des données, la sécurité du système d'information, contre les intrusions extérieures, ou en cas de panne s'il faut reconstituer la base de données à partir d'une sauvegarde ?
- Quels sont les engagements de l'infogérant en termes de correction des anomalies et de rétablissement du système en état opérationnel ?
- Quel est le montant-plafond de responsabilité civile professionnelle dans le contrat et ce montant est-il couvert par le contrat d'assurance du prestataire ?
Au-delà des aspects purement techniques, il est fondamental de s'interroger sur les clauses contractuelles de nature à prémunir le client contre les risques juridiques que comporte l'externalisation. Les questions juridiques à poser et à se poser requièrent une certaine habitude de ce type d'opérations et de ces contrats.
Les principales clauses du contrat d'infogérance
La première clause à étudier lors de l'audit d'un contrat d'externalisation informatique est probablement la clause de limitation de responsabilité. Tous les engagements pris par l'infogérant en termes de niveaux de service, de disponibilité de la solution informatique, aussi élevés soient-ils, resteront lettre morte si la responsabilité financière du prestataire n'est pas exposée et si la clause prévoit non seulement un plafond bas de responsabilité (typiquement : les sommes effectivement versées par le client pendant l'année précédant la survenance du dommage) mais aussi l'exclusion des préjudices préqualifiés d'indirects tels que « perte de chiffre d'affaires, perte de bénéfices, perte de clientèle, perte de données, préjudice d'image », etc.
Or, la très grande majorité des contrats proposés par les infogérants comportent ce type de clause.
En cas de dommage causé par l'infogérant, les recours du client dans ce genre de situation sont souvent voués à l'échec et toute négociation transactionnelle devient nécessairement difficile, même si le prestataire est toujours exposé au risque de voir sa clause limitative écartée par le juge, particulièrement si elle est « trop » limitative.
Les clauses relatives à la sécurisation du système informatique et des données, ainsi qu'à la sauvegarde et à la confidentialité des données doivent également faire l'objet d'une vigilance particulière, notamment en ce qui concerne la protection des données à caractère personnel, qui a été renforcée par le RGPD entré en vigueur le 25 mai 2018 et par la nouvelle loi n° 78-17 dite loi informatique et libertés, modifiée par la loi n°2018-493 du 20 juin 2018.
Ces textes imposent en effet de nombreuses contraintes nouvelles, notamment dans la rédaction du contrat (article 28 du RGPD, en particulier, relatif à la sous-traitance des traitements de données personnelles, qui s'applique dans les relations entre le client, responsable du traitement, et l'infogérant en sa qualité de sous-traitant au sens de cette réglementation.
La clause de réversibilité qui devrait garantir au client qu'il pourra récupérer l'intégralité de ses données sur un support et sous une forme facilement exploitable est souvent négligée (voire inexistante) et donne lieu à un abondant contentieux.
Bien entendu, il faut veiller à ce que les prestations d'infogérance elles-mêmes soient définies et décrites aussi précisément que possible, et que le périmètre du système infogéré soit clair. Que l'infogérance porte sur la maintenance d'un parc informatique ou d'une infrastructure informatique, qu'il s'agisse de l'externalisation d'une application SaaS ou d'un business process, le contrat doit prévoir la gestion des incidents et des dysfonctionnements, par des outils informatiques de supervision, de monitoring et de reporting. Le contrat d'infogérance doit également comporter des mécanismes d'assurance qualité, et des modalités de mesure des niveaux de services (SLA) au moyen d'indicateurs clés de performance (KPI) et prévoir des mécanismes de pénalités ou de crédit de service. Les contrats d'infogérance dans le cloud (cloud privé, cloud public ou cloud hybride) ou de virtualisation de serveurs doivent décrire précisément les modalités d'hébergement des données.
Dans tous les cas, il faut également être attentif aux interruptions de service et prévoir un plan de continuité d'activité (PCA) ou un plan de reprise d'activité (PRA) / disaster recovery plan (DRP). Le contrat doit aussi comporter des garanties destinées à assurer la flexibilité, la haute disponibilité de la solution et le maintien en conditions opérationnelles, ainsi que des garanties en ce qui concerne les droits de propriété intellectuelle.