Recourir à l’externalisation (outsourcing), autrement dénommée infogérance, permet à une entreprise de confier la gestion et l’exploitation de tout ou partie de son système informatique (parcs, réseaux, hébergement, help-desk, maintenance applicative, évolution, …) à un prestataire et de se recentrer ainsi sur son cœur d’activité, tout en bénéficiant d’une technologie évolutive et d’une réduction des coûts relatifs à son système d’information.
Cette stratégie d’entreprise connaît un grand succès, tout particulièrement dans le secteur bancaire qui la pratique depuis longtemps. Néanmoins, les avantages de l’opération d’infogérance ne doivent pas occulter le risque majeur, pour le client, de se retrouver en situation de dépendance à l’égard de son prestataire. En effet, sa compétitivité, son image dépendent de la capacité de l’infogérant à répondre aux critères de qualité du service attendu et aux exigences d’évolutivité au regard tant des technologies que des besoins exprimés.
1. TRANSFERER LES RESSOURCES TECHNIQUES ET HUMAINES DU CLIENT
Le prestataire formule sa proposition de services le plus souvent sur la base du cahier des charges mais la reprise des éléments concernés par l’infogérance peut révéler quelques difficultés.
(i) Sur le plan technique, il n’est pas rare de constater que certains éléments logiciels sont insuffisamment documentés ou que certains progiciels sont exploités dans une version obsolète, en tous les cas non garantie par un contrat de maintenance ou d’assistance.
Ces constats ont conduit les prestataires à émettre leur proposition sous réserve d’un audit de contrôle et de vérification, ayant pour objet de procéder à un inventaire contradictoire des éléments concernés par l’opération d’infogérance.
D’un point de vue juridique, il permet de vérifier les contrats associés (contrats de licence ou de support, clauses de cessibilité des droits relatifs aux logiciels). En effet, le transfert des ressources techniques du client peut être assujetti à des formalités juridiques, par exemple pour les contrats de licence ou de maintenance : l’accord préalable du donneur de licence ou encore du mainteneur, voire le paiement d’une redevance complémentaire.
Cette étape liminaire doit conduire à stabiliser le périmètre concerné par l’infogérance. Deux cas de figure sont à prévoir :
– soit l’audit confirme les éléments d’information communiqués par le client, au besoin avec quelques aménagements complémentaires mais sans remise en cause de l’offre du prestataire,
– soit l’audit révèle un écart qui peut conduire à une remise en question des termes de la proposition du prestataire.
Il est donc prudent d’anticiper cette difficulté en prévoyant que, dans le premier cas, le résultat de l’audit emporte engagement des deux parties pour la phase subséquente, que, dans le deuxième cas, à défaut de trouver un accord, chacune des parties reprendra sa liberté.
Dans tous les cas, il sera utile de prévoir dès cette étape, un engagement de confidentialité et les conséquences de la fin de contrat.
(ii) Sur le plan des ressources humaines, la décision de confier la gestion du système informatique à un prestataire suppose de s’interroger sur le sort du personnel affecté antérieurement audit système. Lorsque le transfert de tout ou partie de l’équipe informatique du client intervient, en cas d’infogérance délocalisée, les dispositions impératives du droit social peuvent avoir vocation à s’appliquer.
L’article L. 122-12 du Code du travail impose au prestataire de reprendre l’ensemble des salariés si l’infogérance constitue le transfert d’une entité économique autonome conservant son identité et poursuivant son activité. En pratique, il convient d’analyser minutieusement les conditions et les modalités du transfert. Les tribunaux avaient traditionnellement tendance à appliquer largement l’article L. 122-12 dans un souci de protection de l’emploi. Mais depuis quelques temps, certaines juridictions écartent l’application de l’article précité lorsque l’opération pénalise les salariés, auquel cas le transfert du personnel doit faire l’objet de libres négociations entre les parties sur chaque transfert individuel qui correspondra alors à une réembauche.
Dans l’hypothèse où l’infogérance est réalisée sur le site du client, il convient de prendre garde à ce que l’opération ne puisse pas être requalifiée en délit de marchandage ou de prêt illicite de main d’œuvre. L’enjeu se passe de commentaires. Les personnes physiques qui se rendent coupables de marchandage ou de prêt illicite de main-d’œuvre encourent une peine d’emprisonnement de deux ans et une amende de 30.000 euros. Les peines encourues par les personnes morales sont du quintuple de l’amende applicable aux personnes physiques, soit 150.000 euros et les peines s’appliquent aussi bien au prestataire qu’au client !
Pour échapper aux risques de poursuites, il importe de ne pas laisser se créer un faisceau de présomption sur la nature de la sous-traitance. Le contrat devra donc être particulièrement explicite sur certains points (raisons du recours à la facturation en régie, le rattachement technique et hiérarchique au prestataire, le caractère prévisible et contrôlable de la durée des prestations…).
Indépendamment de ces éléments, la définition claire des prestations à accomplir reste l’unique et seul vrai rempart pour défendre la validité de son contrat. Il importe donc de vérifier que le contrat permet de mesurer et contrôler que ce qui devait être accompli ou livré l’a bien été et qu’il définisse les responsabilités en cas d’inexécution.
2. GARANTIR LA CONTINUITE DU SERVICE ET LA SECURITE
La continuité du service doit constituer une préoccupation majeure du client à toutes les étapes du projet d’infogérance.
(i) Lors de la bascule
Le contrat doit prévoir le basculement de l’ancien système au nouveau sans interruption de l’exploitation. Or, une telle opération exige le plus souvent un point d’arrêt.
C’est la raison pour laquelle, lorsqu’il n’est pas possible de prévoir une mise en exploitation progressive, il est impératif de convenir contractuellement non seulement des périodes pendant lesquelles pourra se faire le basculement et en cas de constat d’échec du projet, la mise en œuvre immédiate de la réversibilité (retour à l’ancien système) mais aussi la récupération de l’historique.
Il convient de plus d’anticiper les difficultés de récupération de l’intégralité des données de l’ancien système en désignant qui assumera la charge de cette opération, tout particulièrement dans l’hypothèse où une saisie manuelle s’imposerait.
(ii) En phase d’exploitation
La continuité du service est le plus souvent garantie par référence à des indicateurs (d’accessibilité aux services, de disponibilité et de temps de réponse). Les parties doivent se mettrent d’accord pour fixer les niveaux d’engagement du prestataire, assortis généralement de pénalités en cas de non-respect. Cependant, pour une mise en œuvre efficace, il importe de retenir des critères d’appréciation objectifs. Les obligations peuvent alors être de résultats.
Une période transitoire est généralement prévue pour permettre au prestataire d’atteindre progressivement le niveau de qualité exigé. Mais le contrat doit prévoir ses conditions d’intervention et les délais de remise en ordre de marche opérationnelle du système, en cas de dysfonctionnement ou de dégradation du service.
En matière bancaire, il est également prudent de prévoir une clause détaillant les mesures que le prestataire devra techniquement mettre en œuvre pour garantir la sécurité du système (par exemple sauvegardes physiques et logiques, archivages des logiciels et des données, activation de groupes électrogènes, etc.).
Cette obligation de sécurité est cruciale, notamment s’agissant des établissements bancaires puisqu’elle constitue une obligation légale. Visée par l’article 14 du règlement CRBF n° 97-02, la sécurité des systèmes d’information des Etablissements de crédit doit garantir aux clients l’intégrité et la confidentialité de leurs données bancaires, ainsi que de leurs données nominatives. Sur ce point, le prestataire peut être considéré comme le sous-traitant du maître du fichier, et partant soumis à l’obligation légale de sécurité des fichiers prévue par la loi du 6 janvier 1978, pénalement sanctionnée. Parallèlement, le prestataire doit s’engager par une clause de confidentialité à ne pas divulguer les informations et les données dont il aurait pu avoir connaissance au cours de l’exécution du contrat.
(iii) Réversibilité
Il faut encore se préoccuper de la fin de la relation avec l’infogérant, quelle qu’en soit la raison (disparition, défaillance…). Que le client opte pour la « transférabilité » (transfert vers un autre prestataire) ou la réversibilité (retour à une solution interne propre au client), il doit pouvoir accéder sans difficulté au système infogéré (attention aux clauses de non concurrence qui peuvent interdire à un autre prestataire d’intervenir sur le système) et récupérer l’intégralité des éléments du système ou, à défaut obtenir une liste à jour et exhaustive de ces éléments. Il convient donc de prévoir les conditions, notamment financières, d’assistance du prestataire, de transfert des équipements et/ou des logiciels … Cette clause mérite une attention particulière dans la mesure où elle constitue l’élément-clé permettant au client de retrouver la maîtrise de son système informatique soit directement, soit par l’intermédiaire d’un autre prestataire.
3. MAITRISER LES COUTS
En pratique, les contrats d’infogérance stipulent soit un prix global et forfaitaire correspondant à des services bien définis, soit un prix simplement déterminable fondé sur des unités d’œuvre, dépendant alors des prestations demandées par le client et des volumes traités.
(i) L’évolution du prix
La durée souvent longue du contrat d’infogérance pose le problème majeur de son évolution et celle corrélative du prix.
En effet, la technologie informatique s’améliore et les besoins du client peuvent évoluer. Cet aspect évolutif doit être pris en compte par le contrat par une clause d’évolutivité, définissant les initiatives que chacune des parties est libre de prendre (renouvellement par le prestataire du matériel ou mise à jour des logiciels…) et les conditions dans lesquelles le client pourra demander à bénéficier d’un nouveau service, de nouvelles fonctionnalités ou à réduire le périmètre des services du prestataire. Cette évolution a nécessairement un impact sur le prix. C’est pourquoi, il convient de stipuler une clause d’évolution de prix rendant celui-ci déterminable au cours de l’exécution du contrat, même en cas d’évolution de celui-ci.
En pratique, une actualisation mathématique et automatique est fréquemment stipulée au moyen d’une clause de révision du prix, correspondant à une indexation de celui-ci sur la base de l’indice Syntec.
En pratique, peut également être stipulée une clause de benchmarking prévoyant une procédure de comparaison entre les prix des services d’infogérance constatés en moyenne sur le marché. La finalité de cette disposition est de permettre une évolution du prix du contrat en cours d’exécution soit de façon automatique soit après une renégociation entre les parties.
(ii) Les imprévisions coûteuses
Les cocontractants peuvent également prévoir une clause de hardship (ou clause de déséquilibre économique) qui permet de gérer les conséquences d’imprévisions contractuelles. Cette clause pourra être mise en œuvre par la partie qui subit le déséquilibre économique, déclenchant une renégociation du contrat. A défaut de rééquilibrage, le contrat pourra être résilié.
Lorsqu’un projet informatique a pris une forte dérive, on doit reconnaître que les procédures contractuelles d’escalades, celles régissant les décisions de comité de pilotage ou de direction, ne suffisent pas toujours pour mettre fin à la dérive constatée et éviter l’arrêt du projet.. Pour éviter cet écueil, les cocontractants peuvent également prévoir dans le contrat la désignation d’un expert « médiateur », informé du projet et des objectifs des parties, prompt à intervenir. Cette clause de conciliation est d’autant plus efficace que la Cour de cassation l’a rendu obligatoire pour les parties, dans un arrêt du 14 février 2003.
La désignation d’un tel expert peut permettre de trouver des solutions rapides et satisfaisantes pour désamorcer d’éventuels litiges qui pourraient entraîner la mise en échec du projet d’externalisation après des mois, voire des années de travail et d’investissements. Cette médiation permettrait en outre d’éviter le risque d’un contentieux long où l’expertise judiciaire s’apparente à une autopsie. Certains projets peuvent justifier que soit prévu un collège d’experts ou bien des experts de spécialités différentes, d’autres contrats verront la reconnaissance d’un duo juriste et expert.. Quelle que soit l’organisation retenue, la clause définira l’objectif et l’esprit de la démarche de recherche de conciliation et détaillera la procédure applicable. La clause du contrat peut limiter la durée et le coût de son intervention ainsi que l’étendue de sa mission. La remise d’un rapport écrit sur les solutions possibles peut être prévue.
L’intervention très en amont d’un tiers expert avec la mission de proposer des solutions pour sauver le projet ne peut qu’entraîner une économie de temps et d’argent.
*
* *
En définitive, la réussite d’un projet d’infogérance exige une grande collaboration entre les parties et, en marge du contrat, une veille juridique et technologique. Le contrat d’infogérance est avant tout un mode opératoire visant à répondre, au quotidien, aux multiples incidents qui ont vocation à surgir.
Or le succès de l’infogérance conduisant de plus en plus à externaliser à l’étranger tout ou partie des services, cette figure contractuelle se complexifie, avec des conséquences fiscales et sociales qui en résultent.
Enfin, au delà de la transparence des relations qui constitue la meilleure garantie pour conduire à bonne fin de tels projets, c’est l’alliance du juriste et de l’opérationnel de terrain qui permettra de faire émerger les solutions les plus constructives ….