Contrat MSP : les 5 notions clés à établir dans les contrats

D'une part, les entreprises ont de plus en plus recours à des services IT externalisés et d'autres part, leurs partenaires informatiques historiques évoluent de plus vers un mode de services managés pour répondre à cette demande. Face à leur responsabilité qui ne cesse d'augmenter, voici 5 points à ne pas négliger lors de la rédaction des contrats des services managés.

Depuis plusieurs années, les services managés à distance se développent. Une tendance qui s’est installée aussi en France avec déjà plus de 5000 MSP dans l’Hexagone (source : Compubase 2020). Cette tendance s’est accélérée avec la crise sanitaire du coronavirus dans le monde. Pendant des semaines, les salariés et les entreprises se sont habitués à travailler à distance tout en continuant à utiliser leurs appareils informatiques et à partager leurs documents. Des besoins qui nécessitent plus que jamais pour les entreprises de pouvoir tout paramétrer et piloter à distance. Le portefeuille des services d’infogérance ne cesse de se développer, ce qui engendre davantage de responsabilités pour les revendeurs et les MSP, mais également une attente proportionnelle de la part des clients. Afin de favoriser la stabilité de ce lien de part et d’autre de l’écran, l’établissement d’un contrat précis aux limites clairement définies apparaît crucial.

En effet, dans le cadre d’une gestion externe, les problèmes informatiques sont parfois attribués aux MSP même lorsque cela ne relève pas de leur fait ou de leur fonction. Il est donc primordial de réguler les attentes des clients et de situer les responsabilités de chacun dès le début, afin d’éviter de potentiels conflits à l’avenir.

Ces éléments sont assurés par le contrat établi entre les deux parties et c’est pour cela qu’il est important d’en connaître les points principaux qui doivent y apparaître. Ces derniers sont présentés et listés ci-dessous.

1. Les parties concernées

La principale relation induite par le contrat est bien sûr celle unissant le fournisseur de services gérés d’une part et le client d’autre part. Cependant, afin de répondre à certaines demandes, le MSP peut avoir recours à des tiers comme par exemple des éditeurs de logiciels de sécurité tel Eset ou des fournisseurs de cloud pour assurer certaines tâches.

Afin de ne pas être tenu pour responsable d’éventuels accrocs avec ces sous-traitants, il est important que ces derniers apparaissent dans le contrat. Ainsi, le MSP est présenté en tant que médiateur et non pas comme gérant de toutes les fonctionnalités qu’il apporte indirectement au client. En ce sens, qu’il s’agisse de prestataires de services ou de matériel, les éventuels problèmes techniques ne sauraient dépendre du MSP.

2. Les services proposés

Concernant la prestation du MSP, il est fondamental que le périmètre de ses services apparaisse dans le contrat et y soit clairement délimité. Pour ce faire, son rôle et ses différentes fonctions (maintenance, service de cloud, cybersécurité ou spécialisation unique comme le “managed printing”…) et son champ d’action (terminaux fixes et/ou mobiles…) doivent explicitement y figurer.

En effet, un périmètre trop restreint pourrait signifier un pouvoir d’action limité et donc un manque d’indépendance pour le fournisseur, tandis qu’un potentiel trop vaste ne le protégerait pas suffisamment en cas de litige. Si la rédaction du contrat n’est pas dénuée de toute ambiguïté, le client pourrait par exemple tenir le MSP pour responsable d’un problème de sécurité même si celui-ci n’était censé s’occuper que de la maintenance.

C’est donc grâce à la définition de ce périmètre que le fournisseur et le client pourront s’accorder sur le degré de responsabilité du premier envers le second, et ce de manière officielle.

3. Horaires et temps de réponse

En plus de définir les missions qui lui sont confiées, le MSP se doit également de préciser son niveau de disponibilité afin de ne pas devenir l’unique point d’appui de ses clients. Ce dernier doit souvent gérer plusieurs demandes à la fois et ne peut donc être présent de manière constante ou immédiate. 

Pour cela, il est possible de décider d’un Service Level Agreement (SLA) qui peut comporter des indications telles que les horaires d’activité, le temps de réponse, le temps d’intervention et le temps de résolution de problème. Par la suite, un système de tickets pourra être mis en place, associé à un ordre de priorité qui orientera la valeur de ces modalités. Ainsi, le client sera officiellement informé des conditions dans lesquelles il peut formuler ses besoins.

Cependant, afin de rester compétitif, le fournisseur doit aussi faire preuve d’une certaine flexibilité. Il peut par exemple se montrer disponible en dehors des horaires habituels pour les opérations urgentes et à condition de pouvoir apposer des frais supplémentaires.

L’adoption de cette politique permettra de rappeler le caractère externe du prestataire et de poser des limites face aux exigences de ses clients.

4. La confidentialité des données

De par ses fonctions, le MSP a parfois accès à la totalité des données du système informatique de ses clients. Il peut même entrer en contact avec des informations dont la diffusion pourrait leur porter préjudice. Dans un cadre où il profite d’une indépendance quasi-totale quant à cette gestion, le respect de la confidentialité apparaît capital.

En effet, même si selon la loi la personne responsable de ses données est bien le client lui-même, il existe un Règlement Général sur la Protection des Données (RGPD) que chaque organisme concerné doit respecter. Ce dernier rappelle d'ailleurs dans son article 28 qu'un tiers responsable du traitement de l’information, même de manière indirecte comme le MSP, se doit de “présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité”.

En ce sens, le fournisseur doit pouvoir justifier des raisons, de la durée et de la destination du traitement de ces données personnelles. Il est également de son devoir de les protéger et d’avertir le client de toute brèche ou menace qui seraient en opposition aux règles en vigueur.

5. Les employés

Les techniciens en charge des services du MSP apportent des ressources considérables et participent à forger l’image du savoir-faire de l’entreprise. En outre, étant en communication directe avec les clients, ils peuvent réveiller l’attention de ces derniers qui par la suite pourraient tenter de les recruter dans leur propre intérêt.

Ainsi, il est primordial d’assurer ses arrières en faisant apparaître une clause de non-débauchage ou de non-sollicitation dans le contrat. En cas de non-respect de cette clause, le client s’exposerait au risque de payer une indemnité compensatoire.

Voici donc les 5 points essentiels à intégrer à un contrat MSP et qui garantissent le bon déroulement de la relation avec le client, que ce soit sur des aspects techniques, juridiques ou économiques. Si cela s’avère nécessaire, d’autres critères peuvent figurer sur le contrat, tant que cela permet de renforcer le lien de confiance et d’apposer des limites claires dans l’intérêt des 2 parties.