La transformation digitale : des contrats IT pas comme les autres !
Les projets de transformation numérique sont souvent des projets à dimension multiple : multi-technologiques, multi-acteurs, multi-règlementaire, multi-contrats et parfois même multi-territoriaux avec une gouvernance qui se doit d’être à la fois agile, transverse et globale tout en privilégiant le collectif. Les contrats de transformation numérique sont différents des contrats IT « classiques ». La transformation vers une hybridation des SI devient une nécessité.
Mais quels sont les enjeux juridiques et quelles sont les solutions ?
"Un contrat adapté traite de la dynamique du projet, de sa transversalité avec les autres technologies et de l’humain, indispensable à sa réussite"
Des schémas contractuels complexifiés
Les programmes de transformation numérique comprennent en général plusieurs projets technologiques : les intégrations de systèmes, nationales ou internationales, le Cloud, public ou privé, les plateformes connectées, les plateformes d’intermédiation, les Saas, IasS (Infrastructure), Daas (Data), le PaaS (Plate-forme « « as a service », l’ubérisation, le collaboratif, les objets connectés, la réalité augmentée, l’intelligence artificielle, la blockchain, la dématérialisation, la 5G, etc
Se pose alors la question de comment sécuriser contractuellement cette multitude de projets destinés à un objectif commun qui est celui de la transformation numérique en présence d’une multitude de technologies, d’acteurs, de fournitures et de prestations (prestataires, éditeurs, fournisseurs, entités bénéficiaires…), parfois déployées dans plusieurs pays ?
Plusieurs organisations contractuelles sont possibles, par exemple :
-
un contrat par intervenant : prestataire, éditeur, constructeur
-
un contrat par groupe de services cohérents (conception, intégration, déploiement, maintenance / hébergement… )
-
un contrat par pays.
Plusieurs types de contrats sont possibles, par exemple :
-
contrat de référencement ;
-
contrat cadre + contrats d’application ;
-
contrat de co-traitance – conjointe ou solidaire ;
-
contrat d’achat global du projet, puis contrats de sous-traitance entre les différents intervenants.
Choisir l’architecture contractuelle est critique pour la bonne organisation et la sécurisation juridique de votre programme qui passe par la sécurisation de chacun des projets destinés à transformer l’entreprise.
En effet, pour assurer la réussite de votre programme il est indispensable d’assurer la qualité de chaque sous-ensemble et donc d’obtenir de chaque intervenant des obligations et des garanties cohérentes et croisées. Également, pour anticiper et bien gérer tout dérapage d’un ou plusieurs des acteurs impliqués il est nécessaire de disposer des droits utiles pour réagir de manière adaptée et efficace.
Les acteurs étant dépendants les uns des autres, pour assurer le succès du programme de transformation numérique, il est impératif que l’architecture contractuelle choisie soit cohérente avec cette nécessaire interaction entre les différents acteurs, tout en limitant la responsabilité de chacun sur son propre périmètre.
L’hybridation nécessite de gérer les interconnexions contrats
Le principe de l’autonomie des contrats conduit notamment :
-
à une dispersion des responsabilités, une absence d’implication globale au niveau individuel des acteurs ;
-
à ce que la résiliation d’un des contrats, en cas de pluralité de contrats, n’entraine pas la résiliation des autres contrats.
C’est pourquoi, nous recommandons d’insérer des clauses spécifiques pour lier les contrats pertinents entre eux, notamment en termes de responsabilité, de durée, de résiliation et de réversibilité, ainsi que pour assurer une gouvernance globale et transversale du programme par une gouvernance spécifique par projet.
Des difficultés à établir les responsabilités
Les programmes de transformation numérique entrainent une difficulté à établir une frontière claire entre les responsabilités des différents acteurs, d’autant que de plus en plus d’innovations viennent complexifier les enjeux de responsabilité comme par exemple l’utilisation de l’IA, des IOT ou encore l’intégration d’open sources, etc.…
L’hybridation des systèmes d’information va complexifier l’identification des responsabilités. Le client, s’il ne l’a pas anticipé, rencontrera des difficultés à identifier – et donc prouver – la responsabilité de tel ou tel prestataire, fournisseur, opérateur ou éditeur.
Penser à gérer les données
Les risques et enjeux autour de ces données sont de plusieurs natures dont ceux liés au RGPD qui s’inscrit de plus dans un environnement complexe où il conviendra, en amont, d’identifier les différents acteurs et leur responsabilité. En effet qui est responsable de traitement, qui est sous-traitant, y aura-t-il co-responsabilité ? Comment gérer les flux de données hors de l’UE ?
Le RGPD impose la rédaction de certaines clauses, notamment en matière de confidentialité, de sécurité et de collaboration à l’égard du responsable de traitement ; il faut penser à rédiger les clauses pertinentes en cohérence avec l’ensemble et l’objectif de partage des données.
La question de la propriété de la donnée et de sa valeur pour l’entreprise (hors données à caractère personnel) sont également un enjeu important : y a-t-il une propriété multiple ? Peut-on rendre les données accessibles à des tiers ?
La sécurité, la gouvernance et la maitrise du coût financier
L’évolution de la règlementation en matière de sécurité crée des enjeux forts en matière de sécurité, par exemple quels sont les impacts des tests d’intrusions ? des sauvegardes ? une faille sur le réseau qui impacte « en cascade » plusieurs applications, jusqu’à l’ensemble du SI, etc…
La gouvernance des projets de transformation numérique se construit souvent sur la méthode AGILE, ce qui va nécessiter de prendre en compte un management collectif, dynamique et organisé selon des principes inscrits dans les fondements de cette méthode.
L’impact financier est également un enjeu fort tant les couts indirects (maintenance des interfaces, couts des évolutions, montées de versions) voire les coûts cachés qui peuvent s’avérer importants. Exemple des interfaces qui peuvent mettre le client dans une architecture de flux entrainant une requalification de ses droits d’usages tel que nous pouvons déjà le constater avec certains éditeurs qui n’hésitent pas à, l’issue d’audit de licences de requalifier certains usages en « accès indirects ».
Comment gérer ces risques ?
Il est nécessaire d’anticiper et de s’organiser. Lorsqu’une entreprise se lance dans sa transformation numérique il est primordial qu’elle anticipe les risques habituels des projets IT auxquels elle devra ajouter les risques liés à la complexité et aux particularités des projets multiples.
Nous recommandons notamment de cartographier les risques, mettre en place des équipes pluridisciplinaires, instaurer des méthodologies projet robustes prenant en compte cette complexité.
Enfin, et avant chaque projet il faut mener des audits juridiques, notamment pour répondre à la question structurante de « est ce que j’ai le droit de faire cela » ? faut-il renégocier mon/mes contrats ?
Le contrat, est-il un facteur de risque ou un levier de gestion des risques ?
D’un côté, le contrat pourrait se révéler être un facteur de risque lorsqu’il est inadapté au programme de transformation numérique. Par exemple, à ce jour, les contrats éditeurs actuellement proposés sur le marché ne prévoient rien et ne gère pas cette dimension complexe et multiples qu’engendre l’hybridation des SI.
D’un autre côté, lorsque le contrat est adapté au programme de transformation et aux différents projets qui le composent, il devient un véritable levier de gestion des risques.
En conclusion, faites en sorte que les contrats qui portent votre transformation numérique soient adaptés au projet auquel il se rapporte et aussi au programme de transformation dans son ensemble et sa complexité multiple, tout en l’inscrivant dans une dynamique d’évolution et d’amélioration continue notamment en termes de conformité aux nouvelles réglementations et de sécurité.
Sur l'auteur. Depuis plus de 25 ans, Claudia Weber, Avocat fondateur du cabinet ITLAW Avocats accompagne ses clients sur les sujets du droit appliqué aux technologies. Son expérience combinée à son expertise juridique, ses connaissances du marché de l’IT, des achats IT, des technos et à ses qualités humaines apportent efficacité et pragmatisme dans ses conseils tout en répondant à des problématiques complexes.