Externalisation ou ASP : quels risques pour quels enjeux ?

Face aux difficultés soulevées par l'évolution constante des nouvelles technologies et à l'obsolescence des systèmes d'informations, les entreprises recourent de plus en plus à des prestataires extérieurs, par la voie de l'externalisation ou celle de l'ASP (Application Service Provider) pour la gestion de tâches qui ne font pas partie de leur activité principale. Beaucoup d'entreprises ont fait les frais de trop nombreux et trop lourds investissements qui ont souvent consisté à acquérir des solutions gourmandes en ressources humaines, financières et matérielles et dont le retour sur investissement n'était pas toujours à la hauteur des perspectives escomptées. De surcroît, les solutions mises en œuvre se dépréciaient dès la fin de leur déploiement. Aujourd'hui, aussi bien l'externalisation que l'ASP - qui permet d'accéder à distance à une application hébergée, gérée et maintenue chez un prestataire - offrent aux entreprises la possibilité de bénéficier avec plus de souplesse des nouveaux outils proposés sur le marché, tout en limitant leurs investissements. Dans ces deux hypothèses, l'objectif est double : d'une part il s'agit de maîtriser et donc de réduire les coûts, et d'autre part l'entreprise peut se recentrer sur son corps de métier.

Sécuriser la relation contractuelle

Toutefois, si ces deux solutions présentent de nombreux avantages, elles recèlent également quelques risques qu'il convient de bien appréhender pour mieux les maîtriser. Il faut en effet prendre conscience que ces deux formules contractuelles entraînent une certaine dépréciation de la valeur interne de l'entreprise, notamment car elles s'accompagnent d'une perte évidente de savoir-faire. Par ailleurs, selon l'importance du recours à ces procédés, l'entreprise peut se retrouver dépendante d'un prestataire informatique dont la survie peut conditionner la santé financière et économique de l'entreprise qui a externalisé ou choisi la voie de l'ASP. Enfin, confier la gestion d'une fonction interne à l'entreprise à un tiers extérieur n'est pas sans risque quant à la sécurité et au respect de la confidentialité des données qui y sont traitées. Ces deux formules contractuelles restent avantageuses à une condition essentielle : celle de bien sécuriser la relation contractuelle entre l'entreprise et le prestataire au travers du contrat qui les lie. Il convient d'être particulièrement attentif à la rédaction de ce contrat, car dans ces nouveaux domaines où tout repose sur la liberté contractuelle, cet accord sera le document-clé fixant leurs obligations respectives.

Etre vigilant sur trois points

Si de nombreuses clauses contractuelles doivent réclamer la plus grande attention, il est fondamental d'être particulièrement vigilant quant à trois points : la continuité du service, la convention de services (Service Level Agreement), et la réversibilité en fin de contrat.La clause relative à la continuité du service sera d'autant plus importante que les informations traitées par le prestataire sont essentielles au bon fonctionnement de l'entreprise. En effet, toute interruption dans la continuité du service peut alors entraîner un préjudice financier considérable, car l'arrêt du système d'informations de l'entreprise se traduira inévitablement par une perte de chiffre d'affaires. Seule une bonne définition des obligations relatives à la continuité du service permettra de définir des responsabilités à la hauteur des prestations attendues, et du risque potentiel. La rédaction de la convention de services est, pour la même raison, tout aussi fondamentale. Il convient d'être extrêmement précis sur la nature des services attendus par l'entreprise, sur leur niveau d'exigence et bien entendu sur la fiabilité et la sécurité requises. Dans le cadre de l'ASP, il conviendra notamment d'encadrer les conditions d'accès et d'utilisation de l'application, à savoir : le nombre d'utilisateurs, les modalités d'authentification et de contrôle d'accès, la disponibilité des applications, mais également la nature et la périodicité des sauvegardes, le format et la durée d'archivage des données, la prise en charge de l'infrastructure télécoms, ou encore la fourniture d'une hot-line. En pratique, plus la définition des services attendus sera précise, plus leur mise en œuvre sera facilitée, tant pour l'entreprise utilisatrice que pour le prestataire. Enfin, il convient dès l'origine de bien maîtriser les conséquences de la fin du contrat, en particulier en cas de sortie anticipée de la relation contractuelle, afin d'organiser au mieux les conditions de reprise par l'entreprise de la fonction externalisée ou gérée par l'intermédiaire d'un ASP, c'est ce que l'on appelle couramment la clause de réversibilité. En conclusion, il faut retenir que ces nouvelles formules contractuelles sont très séduisantes, mais qu'elles impliquent de bien appréhender, pour mieux les maîtriser, les difficultés éventuelles pouvant survenir lors de leur exécution.