L’externalisation informatique crée une dépendance forte entre le client utilisateur et le prestataire car il rend le client tributaire d’un tiers pour le fonctionnement et la continuité de pans entiers de son activité. Pour encadrer cette dépendance et donner au client des leviers, une technique de contractualisation et une gestion de contrat bien spécifiques se sont développés au fil des expériences et ont atteint un grand niveau de maturité.

Ainsi, les contrats vont encadrer la question de la localisation des données pour être conforme à la législation européenne protectrice des données personnelles, et fixer un certain nombre de paramètres opérationnels qui font l’objet de conventions de service, ou SLA, à respecter par le prestataire : disponibilité, sécurité, confidentialité, temps de réponse, etc. Les contrats d’externalisation prévoient également de pouvoir auditer les prestataires (ce qui est d’ailleurs une obligation dans certains secteurs, comme le secteur bancaire pour des prestations essentielles). Ils prévoient, enfin, des modalités de réversibilité détaillées qui font même parfois l’objet de plans de réversibilité élaborés dès le début du contrat.

La gestion d’une externalisation classique relève de mécanismes de gouvernance sophistiqués où deux, voire trois comités vont assurer le suivi du contrat à des échelons hiérarchiques différents, parer ses éventuelles dérives et appliquer les pénalités si les SLA ne sont pas respectés.

Il n’y a pas vraiment de raison pour que les enjeux juridiques du cloud computing soient différents, puisque fondamentalement, le concept est le même : il s’agit toujours bien de confier à un tiers tout ou partie de son système d’information et des applications qu’il supporte.

Pourtant, force est de constater que les contrats de cloud des grands fournisseurs US n’ont rien à voir avec les contrats d’externalisation que nous venons de décrire, tant au niveau du contrat lui-même que de sa gestion. Il s’agit de contrats d’adhésion, sans aucune marge de négociation, par lequel le client achète un service standard plus ou moins décrit dans des SLA eux aussi standard. Plus ou moins, car la lisibilité de ce type de contrat, ou plutôt de « pseudo contrat » est pour le moins médiocre. L’empilement de conditions standard qui se renvoient les unes aux autres dans un enchevêtrement inextricable de liens hypertextes en rend quasiment impossible la vision d’ensemble.

S’il fallait définir ce qu’est le véritable enjeu juridique de ce type d’offre, nous dirions que c’est tout simplement de savoir ce qu’on achète. Avec, en corollaire, savoir s’il y aura un moyen efficace d’obtenir une réparation financière en cas de sinistre, sur la base de conditions contractuelles qui organisent le plus souvent une exonération totale de la responsabilité du prestataire.

C’est là que se situe la véritable valeur ajoutée de certains fournisseurs français de proximité qui, même s’ils font ensuite appel à de la sous-traitance auprès de fournisseurs de grande taille pour bénéficier de conditions commerciales liées à leur effet de masse, s’efforcent de proposer des contrats lisibles dont la forme et le fond se rapprochent beaucoup plus de ceux des contrats d’externalisation classique. On y retrouve notamment des éléments essentiels à une relation d’externalisation : le dialogue par la gouvernance, la transparence, et une véritable garantie de réversibilité assistée.

C’est certes un peu plus cher, car la valeur ajoutée se paye, mais cela permet de retrouver une saine liberté contractuelle et un minimum d’équilibre entre le client et son prestataire.

Par Isabelle RENARD

Avocat et ingénieur I.Renard Law Firm