Par Sophie Haddad et Antoine Casanova, Avocats.
 
 

Pandémie Covid-19 : vos contrats d’infogérance informatique sont-ils prêts ?

Concilier obligation de sécurité du prestataire vis-à-vis de ses salariés et obligation de respect des engagements contractuels en termes de niveaux de service et de sécurité.

La pandémie que subit actuellement la Planète amène de nombreuses interrogations sur les modalités de la poursuite de l’exécution des contrats en cours. Les contrats de prestations de services informatiques (maintenance, infogérance...) ne font pas exception.

Une des principales questions qui se pose est la conciliation par le prestataire de son obligation de préservation de la santé de ses collaborateurs et de son obligation de délivrance d’une prestation en conformité avec les niveaux de services (SLA) et les engagements de sécurité contractuellement convenus avec son client.

Certains prestataires peuvent être tentés de demander à leurs clients d’accepter pendant un temps un service dégradé et de le justifier par les mesures extraordinaires, notamment la généralisation du télétravail et/ou de l’activité partielle qu’ils ont été contraints de mettre en œuvre.

Une telle demande peut apparaître légitime à première vue.

Le contexte particulier et la nécessité de s’adapter rapidement aux mesures de confinement ordonnées par le gouvernement ne doivent cependant pas faire oublier que les contrats informatiques (en tout cas ceux qui ont été bien négociés et bien rédigés) contiennent des stipulations permettant de gérer cette situation.

Il relève ainsi des bonnes pratiques en la matière que le contrat compte parmi ses annexes techniques un document dénommé « Plan d’Assurance Sécurité » (souvent dénommé « PAS »).

Ce document, dont la trame de base est généralement fournie par le prestataire, recense les règles mises en place afin de garantir la sécurité informatique du système d’information et des données du client.

Concrètement, le PAS détaille les mesures adoptées par le prestataire dans son architecture technique et dans son organisation afin de prévenir les risques informatiques (intrusion, corruption de données…).

De nos jours, l’intervention à distance des prestataires sur un système est loin d’être exceptionnelle. Elle est même souvent la norme, les contrats prévoyant souvent que la prestation sera effectuée par priorité à distance et que les interventions sur site n’auront lieu que si cela s’avère nécessaire.

Le PAS doit donc normalement déjà contenir les règles de sécurité relatives à l’accès à distance au système d’information du client.

Le PAS convenu avec le prestataire devrait donc permettre sans trop de difficultés de gérer la généralisation du travail à distance des collaborateurs du prestataire dans la situation particulière que nous vivons, sans pour autant donner lieu à une dégradation des engagements contractuels.

Il convient donc de se référer au PAS et de s’assurer que le prestataire le respecte dans le cadre du travail à distance de ses collaborateurs.

La seule adaptation qui pourrait éventuellement s’avérer nécessaire concerne le cas où le prestataire n’est pas en mesure d’appliquer les règles de sécurité (protocoles, technologies…) définies au PAS dans le cadre de la généralisation du télétravail de ses salariés.

Dans un tel cas, il est recommandé au client de convoquer en urgence l’instance de suivi de l’exécution du contrat (par exemple, le comité de pilotage ou le comité en charge des questions de sécurité s’il en existe un) afin de déterminer d’un commun accord avec le prestataire les adaptations temporaires nécessaires pour la poursuite de la délivrance de la prestation.

S’il s’avère que le prestataire n’est pas en mesure de garantir le respect des mesures prescrites au PAS du fait de la généralisation du recours au télétravail de ses collaborateurs, il est recommandé au client, s’il en a la possibilité, de suspendre toute activité sur les applications ou les infrastructures infogérées traitant des données critiques ou sensibles tant que le prestataire ne peut garantir le respect des mesures prévues au PAS ou d’un niveau équivalent.

Le PAS, s’il a été établi dans les règles de l’art, doit également inclure des dispositions relatives à la poursuite de l’activité en période de crise.

L’ensemble des dispositions définissant les modalités visant à permettre la poursuite de l’activité en cas d’évènement important perturbant la délivrance normale des services, comme par exemple une pandémie, sont appelées Plan de Continuité d’Activité (« PCA ») ou parfois Plan de Continuité Informatique (« PCI »).

Dans certains secteurs d’activités, la mise en place d’un PCA est indispensable. C’est notamment le cas du secteur bancaire ou encore du secteur pharmaceutique.

Le but du PCA est de prévoir les règles et les procédures devant être mises en œuvre afin de permettre la reprise et/ou la poursuite de l’activité du système d’information du client lorsque celui-ci est impacté par une situation de crise, un sinistre ou une défaillance majeure.

Dans l’idéal, le PCA doit avoir fait l’objet de tests et/ou de simulations au préalable afin de s’assurer de son bon fonctionnement en pratique, et doit être régulièrement réévalué au cours de l’exécution du contrat.

Le PCA peut être très fourni et contenir des dispositions détaillant précisément les mesures et mécanismes mis en œuvre afin que la prestation se poursuive pendant la période de crise.

Dans un tel cas, il convient bien évidemment de s’y référer et de demander au prestataire de déclencher sa mise en œuvre.

Toutefois, il arrive souvent que le PCA ou que la section du PAS consacrée à la gestion de crise ne contiennent que des règles très synthétiques, et qu’il soit renvoyé à un plan d’action à définir d’un commun accord avec le client.

Si tel est le cas, il convient alors pour le client de demander en urgence à son prestataire de lui fournir la première ébauche de ce plan et de saisir l’instance de suivi de l’exécution du contrat afin de convenir des modalités de mise en œuvre.

En conclusion, les réflexes salvateurs que les clients doivent avoir dans le contexte actuel sont tout d’abord de se référer au PAS prévu au contrat (et, s’il en existe un, au PCA). Le client ne doit également pas hésiter à saisir et utiliser les instances de suivi de l’exécution du contrat afin de pouvoir discuter avec le prestataire des adaptations éventuellement nécessaires au cours du contrat pendant cette période de pandémie. En aucun cas le client ne peut se voir imposer dans l’urgence et sous la contrainte des conditions de sécurité dégradées sans que des conséquences n’en résultent pour le prestataire.

Me Sophie Haddad, Me Antoine Casanova
Carler France

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

4 votes
Commenter cet article

Vos commentaires

  • Bravo pour cette analyse qui prend en compte l’interet Et les droits du client.
    si on regarde à présent la problématique du prestataire qui ne peut plus assurer son activité pour cause de fermeture des bureaux du client alors que le télétravail n’a pas été mis en place par le client pour l’activité complète du prestataire : dans quelle mesure le client peut il refuser le règlement total de la prestation totale mensuel déterminée par contrat signé par les 2 parties (aujourd’hui dans la situation de confinement) ???

    • par Casanova Antoine , Le 7 avril à 10:07

      Bonjour,

      Merci pour votre retour positif.

      Le cas que vous décrivez dans votre commentaire dépendra de plusieurs éléments.

      La première étape consistera à déterminer qui du client ou du prestataire avait l’obligation de fournir les éléments nécessaires à la mise en place du télétravail. Cela peut être réglé expressément par le contrat. Si le contrat ne le précise pas cela dépendra de la nature de la prestation et devra être déterminé au cas par cas en fonction des éléments de l’espèce.

      Si à l’analyse de ces éléments, il s’avère que le prestataire est fautif, le client pourra tenter de se prévaloir de l’exception d’inexécution (article 1219 du code civil) pour refuser de payer tout ou partie des redevances prévues au contrat.

      Dans tous les cas, la mise en oeuvre de l’exception d’inexécution nécessite une analyse préalable du contrat et des faits de l’espèce afin d’anticiper tous les risques.

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs