Récupérer ses données, est-ce suffisant ? Une jurisprudence récente nous rappelle l’importance de la rédaction précise des contrats en matière de réversibilité. L’occasion de faire le point sur cette clause essentielle, et pourtant parfois négligée, dans les contrats informatiques.
Lorsque vous externalisez des prestations informatiques, vous devez pouvoir reprendre l’exploitation en interne ou changer de prestataire, parce que le contrat arrive à son terme, pour accompagner une nouvelle stratégie ou une nouvelle orientation technique, ou encore parce que le prestataire n’est plus en capacité d’assurer ses activités, ou que la relation ne vous satisfait plus.
Le guide publié en 2010 par l’ANSSI 1 en faisait un point d’attention, rappelant « la question de la réversibilité doit être une préoccupation permanente du donneur d’ordres. Quelles que soient les évolutions du système, il doit être en mesure d’en reprendre l’exploitation à son compte, ou de la confier à un autre tiers de son choix, et ce, à tout moment et sans difficulté particulière ».
De même dans le référentiel d’exigences pour les prestataires de services d’informatique en nuage (SecNumCloud) 2, l’agence nationale indique que « Le prestataire doit inclure dans la convention de service une clause de réversibilité permettant au commanditaire de récupérer l’ensemble de ses données ».
Qu’est-ce que la réversibilité et pourquoi l’organiser en amont ?
L’objectif de la maitrise d’ouvrage est la poursuite de son activité, sans perte ni altération de ses données, en récupérant autant que possible ses investissements et ce qui est réutilisable, et en permettant à ses équipes ou à celles du nouvel intervenant de capitaliser sur les livrables, processus et le savoir-faire acquis.
Tous les projets informatiques sont concernés. On pense naturellement au traitement externalisé d’une gestion (de type paie ou CRM), mais tout prestation telle que l’intégration d’un logiciel, confiée à un tiers, pose également la question des conditions de poursuite du projet si elle est interrompue.
Le client doit s’assurer de maitriser cette sortie de contrat, d’un point de vue opérationnel, en limitant les risques de dépendance au prestataire en place, en sécurisant l’ensemble du processus, ce qui implique de définir précisément les rôles, les responsabilités, les éléments à remettre, les coûts.
Du côté du prestataire, quand sa mission s’achève, il a également tout intérêt à savoir à quoi il est tenu, ce qu’il doit faire, à quel prix et dans quel délai. Un périmètre flou peut le conduire à répondre à des sollicitations complexes et consommatrices, des exigences de format de données ou d’assistance, alors qu’il a déjà démobilisé ses équipes et qu’il n’a plus les ressources adéquates à disposition. Et ce d’autant plus que sa responsabilité pourra être engagée en cas de clause imprécise.
Ces enjeux importants s’inscrivent dans un contexte de mise en œuvre qui est, par définition, celui d’une fin de la relation. Les deux parties ne disposent plus alors des leviers commerciaux qui les ont aidées à s’accorder avant ou pendant l’exécution du contrat.
Plus encore, lorsque vous n’êtes plus en bons termes, que le repreneur est potentiellement un concurrent du prestataire, toutes les conditions pour les complications sont réunies, et l’esprit de collaboration peut manquer.
Un exemple
Un arrêt récent 3 est une parfaite illustration des difficultés opérationnelles rencontrées et blocages possibles.
Une société avait confié en externe le traitement de ses salaires et déclarations sociales. Le contrat ne prévoyait qu’une clause lacunaire prévoyant que le client pourrait « récupérer les données contenues dans nos systèmes par voie de réversibilité ». Le prestataire restitue ces données mais elles ne permettent pas au client, faute d’inclure les paramétrages, de reprendre correctement sa gestion.
Les juges prennent acte des motifs techniques et de confidentialité qui empêchaient de transmettre tous les éléments mais ils vont reprocher au prestataire la rédaction imprécise de la clause. Elle n’était pas de nature à garantir la réversibilité de données justes, intègres et exploitables. Le client n’avait pas été pas alerté des difficultés qui allaient apparaître lors du transfert et le prestataire est condamné pour défaut d’information et de conseil lors de la conclusion du contrat, sur les méthodes à employer pour réintégrer les données restituées sans dégradation.
Tout différend peut trouver une solution judiciaire, mais quid de la continuité d’activité ? Combien de temps, d’argent et d’énergie perdus ?
L’encadrement clair et en amont de cette phase est absolument essentiel.
Les bonnes questions à se poser
Soyez vigilants lors de la rédaction de vos clauses de réversibilité, récupérer ses données est nécessaire, encore faut-il savoir lesquelles précisément ! Seront-elles exploitables, comment les réintégrer, aurez-vous besoin de l’assistance du prestataire sortant ? Une clause vague pourra certes être interprétée par un juge mais la solution judiciaire semble peu adaptée aux difficultés opérationnelles que vous aurez rencontrées.
Nous mettons à votre disposition une « check-list », outil à télécharger ici pour vous permettre de structurer votre réflexion et de ne rien oublier lors de la rédaction et négociation de la clause contractuelle.
Une partie des questions peut ne pas trouver de réponse à la date de signature du contrat, et certaines décisions initiales ne seront plus forcément pertinentes à la date de sortie. C’est pour cela que nous conseillons pour les projets complexes, au-delà d’une clause claire, d’établir un « plan de réversibilité » durant l’exécution du contrat : les impératifs et les bases seront posés ainsi que les modalités de mises à jour pendant la durée du projet, qu’il s’agisse d’actualiser la documentation applicable, le périmètre concerné ou encore les prérequis techniques. Le jour J, vous déroulerez la version la plus récente du plan en toute sérénité.
Voyez la réversibilité comme un projet à part entière et organisez-la avec le même soin !
————————————————————————————————————————-
1 Agence Nationale de la Sécurité des Systèmes d’Information « Maitriser les risques de l’infogérance – Externalisation des systèmes d’information »
2 Version 3.2 actualisée le 21 septembre 2021
3 Cour d’appel de Pau, 2ème Chambre, Section 1, Arrêt du 25 novembre 2021, Répertoire général nº 19/03573
