JURIDIQUE
PAR Me SYLVAIN STAUB
Mettre en place un projet informatique en mode ASP
Les logiciels d'entreprise sont aujourd'hui très largement proposés en mode locatif hébergé. Mais il reste à rassurer le client quant au sentiment de perte de contrôle, d'éloignement des données et d'opacité de la chaîne des responsabilités...  (17/03/2004)
 
Avocat à la Cour, cabinet Staub & Associés
 
   Le site
Lui écrire

Qu'il s'agisse d'applications standards, de modules spécifiques ou de solutions globales, les logiciels d'entreprise sont aujourd'hui très largement proposés en mode ASP. Cette solution, qui semble désormais arrivé à maturité, vise à permettre une meilleure flexibilité du parc informatique et une simplification de la gestion des licences, serveurs, infrastructures et personnels. Mais il reste à rassurer le client quant au sentiment de perte de contrôle, d'éloignement des données et d'opacité de la chaîne des responsabilités. Surtout lorsque l'ASP est utilisé dans le cadre de projets informatiques complexes.

Le principe de l'ASP ("Application Service Provider") consiste à proposer, dans le cadre d'un abonnement, l'utilisation à distance de logiciels et de services informatiques associés. Une prestation ASP met en relation un éditeur de logiciel, un prestataire ASP (qui est parfois l'éditeur lui-même) et un utilisateur final. Par ailleurs, pour les solutions plus globale, il est possible que le prestataire ASP externalise l'hébergement des données de ses clients et fasse intervenir un intégrateur de systèmes, un fournisseurs de services réseaux ou un opérateurs télécoms. L'ensemble du schéma contractuel est alors complexe et doit être précisément encadré.

Contrat de licence entre l'éditeur et le prestataire
Lorsque l'éditeur n'est pas lui-même le prestataire de services ASP, il est lié au prestataire par un contrat prévoyant les conditions de licence, de distribution et d'exploitation du logiciel.

Les parties pourront également conclure un contrat de formation du prestataire et un contrat de maintenance, l'éditeur intervenant généralement dans le cadre d'une maintenance de niveau 2 pour toute anomalie du logiciel que le prestataire n'a pas résolu dans le cadre de la maintenance de niveau 1. Il convient alors de prévoir les conditions dans lesquelles l'éditeur peut ou non contacter directement les utilisateurs pour lesquels il assure la maintenance. Il est particulièrement important d'organiser toutes les conséquences de la résiliation des contrats de licence ASP, afin que l'utilisateur final ne soit pas lésé. Deux options sont alors envisageables : soit l'éditeur reprend la gestion des utilisateurs, directement ou indirectement, soit le prestataire conserve les droits d'exploitation pour une période définie au-delà de la cessation des contrats.

Contrat d'entreprise entre le prestataire et l'utilisateur
Le contrat d'utilisation en mode ASP est un type de contrat d'entreprise qui tient à la fois des contrats de licence, de services, d'hébergement et d'infogérance. La formalisation d'un projet en mode ASP suppose donc de reprendre les points clés de chacun de ces contrats.

   Comme dans un contrat de licence, les parties devront prévoir les modalités de l'utilisation des applications, qui se limite souvent pour l'utilisateur à un droit de piloter à distance les fonctionnalités choisies. Il est pourtant important pour l'utilisateur que le prestataire garantisse la réalité et la pérennité des droits concédés, notamment au travers de clauses de jouissance paisible (garantie d'éviction) et de séquestre (permettant l'accès aux codes sources en cas de défaillance de l'éditeur).

   Comme dans les contrats de services informatiques, le prestataire doit s'engager sur la disponibilité et la fiabilité du service ASP. Le contrat ASP pourra comprendre des prestations telles que l'analyse préalable des besoins, les développements spécifiques ou le paramétrage de modules, la maintenance évolutive et corrective, la sauvegarde automatique, l'intégration de l'application informatique dans le système du client, la fourniture d'infrastructures ou les services télécoms associés… Le périmètre fonctionnel et technique souhaité, ainsi que le niveau de service à atteindre justifient que soient annexés au contrat ASP le cahier des charges de l'utilisateur, la proposition technique et commerciale, ainsi que le plan d'assurance qualité (PAQ) du prestataire. Avant tout contrat ASP, le client doit évaluer ses ressources informatiques, définir ses objectifs, et analyser les contraintes et les risques de l'opération. A cet égard, le prestataire a une obligation de conseil plus ou moins renforcée en fonction de la complexité des services et de son implication dans le projet.

   Comme dans un contrat d'hébergement, il convient de prévoir non seulement les performances et les conditions d'accès, mais aussi les obligations de sécurité, de sauvegarde et de confidentialité relatives aux applications et aux données de l'utilisateur.
En cas de service complémentaire de tiers archivage, il est important de s'assurer du niveau de fidélité, d'intégrité, de traçabilité et de pérennité des données, en fonction de l'utilisation, notamment à titre de preuve, qui peuvent en être faites. En matière d'archivage électronique, la référence à la norme Afnor NF Z 42-013 permettra un référentiel de qualité. Enfin, que l'hébergement soit dédié ou mutualisé, il est primordial que l'utilisateur s'assure de toute les garanties techniques et contractuelle en cas d'altération de données ou d'intrusion par un tiers dans le serveur.

   Comme dans les contrats d'infogérance, le contrat ASP devra prévoir les conditions d'externalisation des données de l'utilisateur, sans oublier les modalités et conditions de retour (réversibilité) des données et des traitements de l'utilisateur en cas de cessation du contrat ou de défaillance du prestataire. Cette précaution est particulièrement importante et doit être discutée et formalisée soit dans le contrat de services ASP lui-même, soit dans un contrat spécifique de réversibilité, en fonction des particularités du projet et de l'utilisateur.
En revanche, à la différence d'un contrat d'infogérance, aucune externalisation de logiciels, de matériel ou de personnel n'est généralement à prévoir. En effet, et sauf exception, le principe de l'ASP est d'aller chercher chez un tiers ce qui s'y trouve et non de délocaliser ce que l'on hébergeait jusqu'alors.
En application de la loi "informatique et libertés" de 1978 et de la Directive communautaire du 24 octobre 1995, le client reste responsable de la collecte et du traitement des données. C'est à lui notamment de s'assurer que le prestataire assure un traitement des données respectant les termes de la loi et des déclarations de fichiers faites auprès de la CNIL, et assure un niveau adéquat de protection des données, surtout si elles doivent être transférées hors de France.

La responsabilité du prestataire ASP
Mettre en cause la responsabilité de l'une des parties est d'autant plus difficile que l'on a pas pris le soin de définir en détail les prestations, rôles et engagement de chacun. Comme dans tout contrat d'entreprise, il s'agira très généralement d'obligations de moyen, la preuve d'un manquement devant être rapportée par celui qui l'invoque. En matière informatique, l'utilisateur, très souvent profane, aura donc tout intérêt à se ménager des possibilités de mise en cause justifiée de la responsabilité du prestataire. Les parties pourront toutefois convenir pour certaines obligations (accessibilité de la solution, réactivité de la maintenance, disponibilité de l'espace disque …), d'un engagement de résultat.

Par ailleurs, le lien et le partage de responsabilité entre le prestataire principal et les autres prestataires (SSII, tiers archiveurs, routeurs, opérateurs…) devront être parfaitement clarifiés. Il conviendra notamment de définir si le prestataire ASP assume ou non une responsabilité de maîtrise d'œuvre. Compte-tenu du caractère souvent très sensible de l'externalisation des données pour un utilisateur, celui-ci peut estimer légitime de connaître le nom des prestataires et sous-traitants du prestataire ASP. Toutefois, un trop grand contrôle du client sur le choix et la direction des prestataires risque de transférer la responsabilité de maître d'œuvre du prestataire vers le client.

En cas de difficultés persistantes dans l'exécution d'un projet informatique en mode ASP, c'est vers un règlement judiciaire ou transactionnel, assorti au besoin d'une expertise technique, que les parties se tourneront. Tous les documents techniques, commerciaux et contractuel du projet seront alors analysés, ce qui justifie qu'ils aient été rédigés prudemment et qu'il aient été conservés.


Sylvain Staub
 
 

Accueil | Haut de page

 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters