Le guide publié en 2010 par l’ANSSI 1 en faisant un point d’attention, rappelant « la question de la réversibilité doit être une préoccupation permanente du donneur d’ordres. Quelles que soient les évolutions du système, il doit être en mesure d’en reprendre l’exploitation à son compte, ou de la confier à un autre tiers de son choix, et ce, à tout moment et sans difficulté particulière ».
De même dans le référentiel d’exigences pour les prestataires de services d’informatique en nuage (SecNumCloud) 2, l’agence nationale indique que « Le prestataire doit inclure dans la convention de service une clause de réversibilité permettant au commanditaire de récupérer l’ensemble de ses données ».
Qu’est-ce que la réversibilité et pourquoi l’organiser en amont ?
L’objectif de la maîtrise d’ouvrage est la poursuite de son activité, sans perte ni altération de ses données, en récupérant autant que possible ses investissements et ce qui est réutilisable, et en permettant à ses équipes ou à celles du nouvel intervenant de capitaliser sur les livrables, processus et le savoir-faire acquis.
Tous les projets informatiques sont concernés. On pense naturellement au traitement externalisé d’une gestion (de type paie ou CRM), mais toute prestation telle que l’intégration d’un logiciel, appelée à un tiers, pose également la question des conditions de poursuite du projet si elle est interrompue .
Le client doit s’assurer de maîtriser cette sortie de contrat, d’un point de vue opérationnel, en limitant les risques de dépendance au prestataire en place, en sécurisant l’ensemble du processus, ce qui implique de définir précisément les rôles, les responsabilités, les éléments à remettre, les coûts.
Du côté du prestataire, quand sa mission s’achève, il a également tout intérêt à savoir à quoi il est tenu, ce qu’il doit faire, à quel prix et dans quel délai. Un problème flou peut le conduire à répondre à des sollicitations complexes et consommatrices, des exigences de format de données ou d’assistance, alors qu’il a déjà démobilisé ses équipes et qu’il n’a plus les ressources adéquates à disposition. Et ce d’autant plus que sa responsabilité pourra être engagée en cas de clause imprécise.
Ces enjeux importants s’inscrivent dans un contexte de mise en œuvre qui est, par définition, celui d’une fin de la relation. Les deux parties ne disposent plus alors des leviers commerciaux qui les ont aidées à s’accorder avant ou pendant l’exécution du contrat.
De plus, lorsque vous n’êtes plus en bons termes, que le repreneur est susceptible d’être un concurrent du prestataire, toutes les conditions pour les complications sont réunies, et l’esprit de collaboration peut manquer.
Un exemple
Un arrêt récent 3 est une illustration parfaite des difficultés opérationnelles rencontrées et des blocages possibles.
Une société avait nommé en externe le traitement de ses salaires et déclarations sociales. Le contrat ne prévoyait qu’une clause lacunaire prévoyant que le client pourrait « récupérer les données contenues dans nos systèmes par voie de réversibilité ». Le fournisseur restitue ces données mais elles ne permettent pas au client, faute d’inclure les paramètres, de reprendre correctement sa gestion.
Les juges prenant acte des motifs techniques et de confidentialité qui empêchaient de transmettre tous les éléments mais ils vont reprocher au prestataire la rédaction imprécise de la clause. Elle n’était pas de nature à garantir la réversibilité de données justes, intégrables et exploitables. Le client n’avait pas été alerté des difficultés qui allaient apparaître lors du transfert et le prestataire est condamné pour défaut d’information et de conseil lors de la conclusion du contrat, sur les méthodes à employeur pour réintégrer les données restituées sans dégradation.
Tout différend peut trouver une solution judiciaire, mais quid de la continuité d’activité ? Combien de temps, d’argent et d’énergie perdus ?
L’encadrement clair et en amont de cette phase est absolument essentiel.
Les bonnes questions à se poser
Soyez vigilants lors de la rédaction de vos clauses de réversibilité, récupérez ses données est nécessaire, encore faut-il savoir précisément ! Seront-elles exploitables, comment les réintégrer, aurez-vous besoin de l’assistance du prestataire sortant ? Une clause vague pourra certes être interprétée par un juge mais la solution judiciaire semble peu adaptée aux difficultés opérationnelles que vous aurez rencontrées.
Nous proposons à votre disposition une « check-list », outil à télécharger ici pour vous permettre de structurer votre réflexion et de ne rien oublier lors de la rédaction et de la négociation de la clause contractuelle.
Une partie des questions peut ne pas trouver de réponse à la date de signature du contrat, et certaines décisions initiales ne seront plus applicables à la date de sortie. C’est pour cela que nous conseillons pour les projets complexes, au-delà d’une clause claire, d’établir un « plan de réversibilité » durant l’exécution du contrat : les impératifs et les bases seront posés ainsi que les modalités de mises à jour pendant la durée du projet, qu’il s’agisse d’actualiser la documentation applicable, le périmètre concerné ou encore les prérequis techniques. Le jour J, vous déroulerez la version la plus récente du plan en toute sérénité.
Voyez la réversibilité comme un projet à part entière et organisez-la avec le même soin !
————————————————————————————————————————-
1 Agence Nationale de la Sécurité des Systèmes d’Information « Maîtriser les risques de l’infogérance – Externalisation des systèmes d’information »
2 Version 3.2 actualisée le 21 septembre 2021
3 Cour d’appel de Pau, 2ème Chambre, Section 1, Arrêt du 25 novembre 2021, Répertoire général nº 19/03573
