Synthèse KLC-Solucom group (dernière partie)
Les pratiques contractuelles en externalisations, projets et infogérances

lundi 29 octobre 2007

NOUVEAUTES ET TENDANCES

Les nouvelles formes contractuelles

L'émergence du « contract management »

Le suivi de l'exécution du contrat a pour objectifs :

- De vérifier le respect des conditions d'exécution du contrat

- De s'assurer de la bonne application des conditions financières

Ce suivi est assuré par la DSI, mais aussi par la Direction juridique et le contrôle de gestion : ceci signifie que l'existence d'un référent juridique dans l'entreprise est importante non seulement au moment de la contractualisation mais de façon régulière ensuite. Ce suivi régulier se révélera particulièrement utile pour faire valoir ses droits en cas de litige. Côté Client, ce n'est pas encore une habitude répandue, alors que, côté Prestataire, ce mécanisme est souvent mis en place (au moins pour vérifier la rentabilité du contrat).

Utiliser les normes et référentiels des SI

Nous avons vu que s'inspirer des référentiels peut faciliter la contractualisation. Il est également utile de s'y référer pour définir par exemple des indicateurs clés de performances (les PKI de Cobit).

- Traductions contractuelles :

Nous pensons qu'il n'est pas forcément utile de demander qu'un prestataire soit certifié ITIL ou ISO pour l'ensemble de ses activités : cependant, on peut faire figurer dans les contrats qu'il devra détenir ou obtenir un niveau de maturité donné, sur des activités importantes pour le client.

Enfin, ces référentiels permettent d'unifier les processus de la relation client fournisseur : par exemple, les processus de gestion d'incident ou de gestion des demandes. Un des grands intérêts est que cela simplifie le changement de prestataire : si l'ancien et le nouveau sont tous deux conformes ITIL pour ces processus, le changement doit pouvoir se réaliser avec un impact minimum chez le client, déjà organisé selon ITIL depuis le premier contrat.

La spécificité offshore

Les précautions : anticiper les difficultés

L'offshore c'est moins cher, mais cela demande quelques précautions, notamment sur le plan juridique, et le contrat doit être dans l'ensemble très détaillé, en particulier sur les modalités de gouvernance.

Première précaution, autant que possible, faire un contrat de droit français (ce qui suppose qu'il soit également écrit en Français, ce qui est une contrainte). Mieux vaut ne pas avoir besoin de défendre ses intérêts à l'autre bout du monde...

Préciser dans le contrat la langue (ou les langues de travail).

Les domaines à étudier

Avant d'utiliser l'offshore, voici quelques points à étudier. Remarquons que cela reste vrai pour une contractualisation avec un Prestataire présent en France, qui aurait recours à l'offshore y compris dans ses propres filiales. Tous les pays n'offrent pas la même stabilité politique et économique. Les services IT ne demandent en général pas d'investissements lourds et peuvent être rapidement rapatriés en cas d'instabilités locales, mais quand même...

On constate que la productivité des équipes offshore n'est pas équivalente à celle obtenue en local : il est possible que cela découle de problèmes de compréhension liés plus à un éloignement culturel qu'au niveau de formation des personnes. Faites aussi attention aux conditions de travail des personnels offshore, voire au travail dissimulé : proposer une charte d'éthique peut être une bonne idée.

Autre point important : les transferts de données (leur exportation n'est pas libre) vers des pays hors UE, et le traitement de la sécurité et de la confidentialité des données et des programmes. La contrefaçon n'existe pas que dans l'industrie.

- Offshore : exemples d'Impacts sur le contrat

Conditions Générales

- Que devient la Force Majeure ?

- Attention particulière sur les litiges

Annexe financière :

- Penser aux frais de déplacements

- Penser aux aspects Taxes

Annexe Gouvernance

- Prévoir précisément les modalités d'escalade et de gestion de crise

- Modalités assurant la traçabilité des échanges

Annexe Sécurité

- Décrire les exigences, surtout en matière de données (transferts de données) : obligation d'expliciter ces transferts

Annexe Réversibilité

- Indispensable, à décrire en détail (rarement fait dans les contrats France)

La sécurité

- Le champ concerné

La réglementation et son respect
Les actes malveillants
Les accidents

- Les contraintes réglementaires :

Les contraintes qui s'appliquent à toutes les entreprises :

CNIL : elle établit la réglementation concernant la protection des données à caractère personnel. Respecter cette réglementation est obligatoire en France.

LSF compléments/SOX/Europe : c'est une réglementation qui a pour but la fiabilisation de l'information comptable et financière. Pour le moment en France, ce n'est pas une obligation, mais le deviendra probablement dans les années à venir.

LCEN : réglementation concernant, le respect des correspondances privées, l'usage « abusif/malveillant » d'Internet et/ou de la messagerie (et le non-stockage de contenus protégés : musiques...)

Un domaine important est celui de la propriété intellectuelle : destinée à protéger les droits liés aux logiciels écrits par vous ou des tiers, il faut également se protéger de l'utilisation par un prestataire de logiciels « piratés ».

L'annexe sécurité

Les aspects sécurité donnent de plus en plus souvent lieu à la rédaction d'une annexe spécifique ; cette annexe décrit le partage des tâches entre le client et le prestataire en matière de sécurité physique et logique.

Sécurité Physique

Points à aborder :

Locaux du Client - Gestion des accès
Locaux du Prestataire (bureaux et salles informatiques) - accès, traçabilité, conservation des informations.

Expression de besoin de locaux dédiés ou mutualisés.

Sécurité logique

Points à aborder

Gestion des accès serveurs, et aux applications

Administration des accès (aux systèmes, aux applications...)

Gestion de la traçabilité

Suivi des intrusions

Sauvegarde et archivage
Sortie des informations confidentielles
Mise en oeuvre des protections contre les virus, spam...
Veille, qualification, mise en oeuvre et recette des patches de sécurité
Secours, continuité de service
Réseau (cas particulier de fourniture d'accès Internet)

Règles et procédures Client et Prestataire applicables

Ces dernières doivent être explicitées dans le contrat (donner les références) ; il faut veiller à ce qu'elles soient opérationnelles et mises à jour. On voit régulièrement des règles trop générales (inapplicables ou obsolètes)

Focus sur les données ;

Exemple

La Loi Informatique et Libertés prévoit que :

"Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité et notamment empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès."

Le transfert des données à caractère personnel vers un état n'appartenant pas à la Communauté européenne est subordonné à la vérification que cet état assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet (donc, vérifier où sont les centres de traitement du candidat).

Les autres textes ne prévoient pas explicitement de critères impactant le choix du prestataire -néanmoins, les contraintes que vous avez quant à la sécurité/sécurisation/fiabilisation des informations... sont telles que les garanties présentées par les candidats sont là aussi un critère de choix.

Contrats de BPO

Dans un contrat de BPO, la partie concernant les prestations informatiques est incluse et parfois peu explicite. Les niveaux de service attendus sont exprimés par des indicateurs métier beaucoup plus que par des indicateurs de type IT.

La responsabilité transférée chez le Prestataire est bien sûr plus importante que dans le cadre de prestations uniquement informatiques. Pour le moment, ces contrats sont encore rares, ils existent dans le domaine de la comptabilité et de la « supply chain ».

On trouve plus facilement des contrats de type ASP (Applications Services Providing), par exemple pour la paie. Les clients de ce type de contrats partent souvent pour négocier, du contrat type du fournisseur : il ne faut pas hésiter à proposer ses propres rédactions et demandes de niveaux de service.

La « middle life crisis » des contrats : comment gérer cette crise

C'est très souvent constaté, au bout de deux à trois ans de vie commune sur une infogérance ou un grand projet, au mieux une certaine lassitude dans la relation s'instaure, au pire, les relations se tendent : c'est la crise du milieu de vie. Comment l'éviter et « relancer » la relation ?

On peut prévoir un Comité stratégique spécifique en milieu de contrat.

Ce comité sera précédé d'une revue du contrat : qu'est-ce qui marche bien dans ce contrat, quelles sont les difficultés rencontrées, quels ont été les moyens efficaces pour résoudre les problèmes rencontrés, les gains économiques sont-ils acquis...

Le résultat de la revue doit permettre d'éliminer les éléments inutiles dans la relation (par exemple, indicateurs non mesurés ou redondants), revoir les niveaux de service (ou le planning de déploiement) pour prendre en compte la réalité des deux années passées.

L'esprit de cette revue doit être collaboratif : inutile d'y croire si tous les efforts sont demandés uniquement au prestataire. Le client aussi doit être prêt à remettre en cause ses propres pratiques. Si malgré tous ces efforts, la relation reste médiocre, c'est alors le moment d'anticiper la remise en concurrence : une relation qui ne se rétablit pas à mi-parcours ne s'arrangera pas, autant le savoir.

Une ou plusieurs clauses qui permettront de gérer la mi-parcours sont donc à prévoir dans le contrat : attention à la réciprocité de ces clauses. En cas de difficultés, c'est aussi le prestataire qui peut préférer en rester là !

Les bonus

Nous avons longtemps défendu l'idée que les bonus étaient inutiles dans les contrats. En effet, ils étaient demandés par les Prestataires en compensation des malus ou pénalités éventuels qui pouvaient leur être appliqués. Alors, le bonus pour avoir une meilleure qualité des prestations, fausse bonne idée ou vrai levier ?

Le bonus ne doit pas récompenser une surqualité du service rendu, mais on peut l'utiliser comme un levier de motivation, par exemple :

Pour un contrat d'infogérance ; en fin d'année, pour récompenser une bonne qualité régulière des services
à la fin d'un projet, si les charges réalisées sont moindres que celles estimées, ou si les délais ont été tenus ou diminués

Comme pour les pénalités, il faut rester vigilant sur les effets pervers qui peuvent en découler : délais tenus mais au détriment d'une qualité des programmes, bonne qualité des services, mais hyperformalisation des échanges... comme toujours, il faut rester sur des montants faibles (par rapport à l'ensemble des prestations) et réussir à bâtir une relation de confiance entre Client et Prestataire.

C. Le Louarn est directeur associé à KLC qu'elle a rejoint en 1998. Depuis dix ans, elle conduit d'importantes missions d'appel d'offres, négociations ou audits pour des opérations d'externalisation, d'intégrations
et de TMA. Elle intervient régulièrement sur le thème de la contractualisation interne des services informatiques et sur la structuration des relations métier/informatique dans les entreprises.

_________________________________________________________________________________
KLC est une société de conseil avec une spécialité nettement affirmée : la rentabilité des SI. Depuis 14 ans, KLC réalise des missions de conseil opérationnel à la maîtrise d'ouvrage de grandes entreprises. Ses interlocuteurs sont aussi bien les directions générales et les directions utilisatrices que les DSI (ou "CIO").
KLC conduit des missions courtes et productives qui ont toujours pour objectif d'améliorer, de faire évoluer, de standardiser... et, en fait, de "rentabiliser" les SI de l'entreprise.
Ces missions s'articulent autour de trois domaines interdépendants :
- L'organisation des maîtrises d'ouvrage utilisateurs, des DSI, et de leurs relations avec les prestataires externes.
- Le management de grands projets informatiques.
- L'externalisation de fonctions standard et récurrentes (après arbitrage entre faire ou faire faire).