L'audit des contrats informatiques

Alexandre Menais présente les grands principes d’analyse des contrats informatiques et fait le point sur les différents contrats régissant la préparation et l’acquisition d’une solution informatique.

Alexandre Menais, Juriste spécialisé en droit de l'informatique

Nous proposons, à 6 mois de l'échéance fatidique, une méthode susceptible de répondre aux besoins des entreprises qui n'auraient pas encore, ou mal, débuté leur plan d'action an 2000.

Cette méthode ne saurait être appliquée arbitrairement et ne doit pas alourdir les projets en cours ni la prise de décision.

La présente étude a pour but de structurer la réflexion des entrepreneurs et/ou des responsables informatiques dans leur approche de la problématique an 2000.

La démarche proposée dans cet article s’articule autour de trois étapes :

1. Une méthode permettant l’identification des équipements potentiellement affectés et la hiérarchisation des priorités ;

2. Une présentation sommaire des principes de droit régissant les contrats informatiques ;

3. Une typologie des différents contrats s’attachant aux services informatiques, aux équipements et logiciels : conseil, audit, vente, location, crédit bail…

I. Identifier et hiérarchiser les problèmes

Pour déterminer les contrats susceptibles d'être impactés par l'an 2000, encore faut-il pouvoir identifier les éléments potentiellement affectés.

Par souci pédagogique et afin de ne pas rentrer dans des considérations trop techniques, nous proposons ci-après une liste des différents matériels et produits qui seront directement ou indirectement affectés par le changement de millénaire.

A partir de ces éléments, il conviendra de répondre à la question suivante : quelles sont les machines et/ou les logiciels déterminants pour la continuité de mon appareil de production ?

C’est cette approche par risque qui permettra d’établir une hiérarchie des priorités.

S’en tenir à ces priorités permettra au chef d’entreprise de mieux visualiser l'effort à fournir pour mettre en place une politique de remplacement, et, le cas échéant, pour concevoir des solutions d’urgence.

Les systèmes d'information

Les matériels d’exploitation

II. La problématique juridique

La particularité des contrats informatiques tient à la diversité des produits et à celle de leurs objets (licence, vente, location, etc.).

A cela s'ajoute l’imbrication de produits d'essence diverse (biens meubles, créations immatérielles) dont l'interaction est nécessaire (notamment lorsqu’un matériel est composé ou ne fonctionne que par l'intermédiaire d'un logiciel ou lorsqu’un logiciel est la compilation de plusieurs autres logiciels…).

C’est en particulier cette imbrication de produits et de services complexes qui rend difficile l'analyse des liens juridiques.

La présence de plusieurs contrats soulève de nombreux problèmes de qualification juridique de  relations contractuelles. Dans cette hypothèse de contrats complexes, soit on retiendra une qualification unitaire du contrat, soit une qualification distributive.

De plus, rappelons que le droit de l’informatique n'opère plus de distinction entre logiciel standard et logiciel spécifique ou encore entre logiciel de base et logiciel d'application.

Pour autant un logiciel d'exploitation reste bien un logiciel propre à la machine et le logiciel d'application est généralement un logiciel complémentaire du matériel. Enfin, le logiciel standard (ou progiciel) se distingue du logiciel spécifique qui sera conçu pour répondre aux besoins de l'entreprise.

Par ailleurs, des règles complexes, continuent à s'appliquer et à évoluer.

C’est notamment le cas des règles supplétives, c'est à dire des règles qui s’appliquent lorsque les parties n'ont rien prévu au contrat.

A titre d'exemple, si le contrat n'interdit pas la correction des erreurs, l'utilisateur y est autorisé, ce qui lui donne le droit de modifier le programme et de réclamer l'accès au code source.

Enfin, malgré leurs singularités, les contrats informatiques empruntent également aux règles générales du droit des obligations, à travers le contrat de vente, de louage ou d'entreprise (1).

III. Les principaux types de contrats

Pour établir une typologie exhaustive des différents contrats informatiques, il convient de distinguer les différentes prestations qui entourent la solution informatique (software et/ou hardware) choisie par l'entreprise.

Tout d'abord la prestation informatique peut se présenter sous la forme d’une aide à la décision (1), permettant par exemple de choisir un nouveau système en procédant à un audit du système en place.

Puis la prestation peut également consister en la fourniture d'une solution informatique (2) : vente, crédit bail, location, fourniture, développements spécifiques, facilites management.

En outre, nous examinerons les contrats relatifs à l’utilisation (3) des solutions informatiques. Ces contrats revêtent des formes différentes en fonction des besoins : licence d'utilisation, édition de progiciel, contrat d'assistance technique…

Enfin, les contrats relatifs aux prestations de maintenance et de soutien, qui assurent la pérennité et le caractère évolutif des solutions (4).

1. Les contrats d'aide à la décision :

Il est souhaitable de distinguer ici le contrat de conseil et le contrat d'audit.

Le contrat de conseil

Dans ce cadre, le fournisseur conseille son client dans le choix d'un matériel informatique. Ce dernier doit acquérir un matériel satisfaisant ses besoins et compatible avec son environnement au moment de la fourniture.

Les échanges préalables et l’établissement d'un cahier des charges précis sont les éléments déterminants normalement répertoriés dans le contrat de conseil au titre de documents contractuels.

Le contrat devra également stipuler :

• que le fournisseur a pris connaissance des besoins du client et de leur évolution prévisible ;

• que le fournisseur s'engage à céder un matériel informatique conforme à ces besoins.

Ici, l'étendue des obligations du fournisseur varie selon que le client a participé, activement ou non, au choix de son matériel.

Si le client souhaite acquérir un matériel appartenant au fournisseur, alors celui-ci doit exiger que son client reconnaisse avoir opté pour ce matériel en pleine connaissance de cause, par exemple en ayant assisté à une démonstration.

Dans le cas contraire, le fournisseur a tout intérêt à faire stipuler au contrat qu'il n'a pas été sollicité pour apporter ce type de conseils.

Le contrat d'audit

A la différence du contrat de Conseil, le contrat d’audit s’applique aux besoins d’un client déjà informatisé.

Il recouvre différentes formes de missions qui peuvent être distinguées selon leur nature stratégique, tactique ou opérationnelle : définition d’une stratégie pour atteindre des objectifs préétablis, détermination de choix objectifs sur l’équipement informatique et son environnement et analyse des solutions informatiques installées chez le client.

Généralement, le travail de l’auditeur se fait sur la base d’objectifs définis avec précision.

L’auditeur, dans le cadre de sa mission se trouve généralement dans une obligation de moyen. Plus exactement, c'est une obligation de moyen" renforcée ": L'auditeur se doit d’appliquer une méthodologie adaptée aux objectifs recherchés avec en cas de manquements à ses obligations dans le cadre de la prestation d'audit, une charge de la preuve qui repose sur le client.

A titre d'exemple, si l’auditeur n’a pas alerté son client des obligations de déclaration d'un traitement automatisé d'informations nominatives auprès de la CNIL, lors de la mise en place d'une solution informatique collectant des données nominatives, il y a manquement de la part de l’auditeur.

Ces contrats sont généralement adoptés pour la partie " logiciel " des systèmes d’information (cf. tableau).

Le contrat de vente

Les contrats de vente sont généralement liés à la partie " machine " et relèvent du droit général des contrats. C’est une solution simple, qui constitue peu ou prou le contrat "parfait" à la fois pour le vendeur et pour l'acheteur.

Cependant, le régime général de la vente ne s'applique pas systématiquement.

Ainsi, dans le cadre de la vente de matériel, le fournisseur est soumis à l’exécution d'une démonstration préalable satisfaisante, établissant la compatibilité du matériel vendu avec l'environnement de son client (par exemple pour un système de détection incendie).

Si le matériel vendu comporte un logiciel d'exploitation (par exemple pour un centre d'appels du type PABX) la qualification de vente peut encore être retenue.

Dans ce cas, le client doit avoir exprimé ses besoins dans un cahier des charges établi par lui-même, lequel cahier sera validé par le fournisseur comme correspondant aux besoins du client.

Tout comme dans le contrat d'aide à la décision, ce contrat doit stipuler que le fournisseur, après avoir pris connaissance des besoins du client et de son type de configuration, s'engage à fournir un système conforme au cahier des charges et adapté à sa configuration.

Très peu utilisé pour la partie " logiciel ", ce type de contrat s’applique plus volontiers s'agissant de matériel (un photocopieur par exemple).

Ce genre de contrat n'appelle pas de remarques particulières si ce n'est que le bailleur sera généralement obligé de maintenir le bien en l'état.

Par conséquent, ces contrats ne sont généralement pas couplés d'un contrat de maintenance spécifique.

C’est un type de contrat très répandu. Rappelons que le crédit bail consiste en la location d'un bien, assortie d'une promesse unilatérale de vente, réalisable moyennant un prix d'acompte, constitué en partie des versements effectués au titre du loyer.

Le matériel fourni est la propriété exclusive du Crédit-bailleur. En conséquence, le Crédit-preneur s'interdit d'en disposer et d'en conférer des droits à des tiers, à titre onéreux ou gratuit, à moins d'une autorisation expresse et préalable du Crédit-bailleur.

De plus, le Crédit preneur s'interdit toute modification sauf autorisation préalable et écrite.

Ces obligations ne vont pas sans poser de difficultés notamment lorsqu’il s’agit de développer des fonctionnalités complémentaires.

Très répandus pour les grosses machines (trieuses, affranchisseuses ou encore photocopieurs), ces contrats comprennent généralement l’obligation que le matériel soit entretenu par le Crédit-preneur et reste en bon état.

A cet effet, le Crédit-preneur doit justifier auprès du Crédit-bailleur de la signature d'un contrat de maintenance.

A titre subsidiaire, la garantie de vices cachés ne s'applique dans ce genre de contrat.

Dans le contrat d'édition de logiciel, le client souhaite disposer d'un logiciel d'application remplissant des fonctionnalités qu'il aura précisées au fournisseur et qui sont conformes aux besoins spécifiques de son exploitation, exprimés dans un cahier des charges.

Ce n’est qu’après avoir pris connaissance de ce cahier et validé son contenu, que le fournisseur peut s’engager à développer et délivrer un logiciel spécifique satisfaisant aux besoins du client.

Les logiciels spécifiques sont souvent intégrés à des équipements complexes (centres d’appels…). Dans ce cas, il n’est pas rare que l’analyse fonctionnelle de l’équipement, qui est un élément clef du cahier des charges, soit effectuée par un tiers (le plus souvent le fabricant ou vendeur de l’équipement).

Dans un tel cas de figure, il importe de s’assurer que le fournisseur de matériel garantisse au développeur de logiciel la conformité de son analyse avec le cahier des charges initial.

Dans la fourniture d'une solution clé en main, le client peut souhaiter développer son outil logistique. Il cherchera alors une solution technique permettant de satisfaire à ses objectifs, étant entendu que la solution doit être globale, et notamment établir le lien avec son système d’information préexistant.

Pour ce faire, le client (maître d’ouvrage) fera appel aux services d’un spécialiste (maître d'œuvre), capable de lui fournir une solution d’ensemble en ayant recours ou non à une série de sous-traitants.

La difficulté de ce type de contrat réside dans le caractère indissociable de prestations hétérogènes. Des contrats portant sur des prestations de natures différentes (éditions de logiciel, fournitures de matériel, prestations de conseils) forment une convention unique, qui engage le maître d’œuvre sur l’ensemble de la prestation.

C’est pourquoi, la seule qualification de contrat clef en main ne suffit pas à déterminer l'étendue des obligations du maître d'œuvre.

C'est en examinant l’objet principal du contrat que l'on pourra définir la nature des engagements du maître d'œuvre, nonobstant la pluralité des contrats.

Parmi ceux ci figure le contrat majeur dans le domaine informatique à savoir la licence.

Par souci d’exhaustivité, nous présentons aussi les contrats de régies également appelés contrat d'assistance technique.

Les contrats portant sur un logiciel ou un progiciel doivent être distingués des contrats portant sur le support matériel sur lequel ils opèrent.

Les contrats portant sur le support ne posent aucun problème de qualification juridique, puisque s'agissant de matériel, ils adopteront sans difficultés les qualifications de vente ou de location. Le transfert de propriété du support enregistré aura pour effet d'accorder à l'utilisateur le droit d'utiliser le programme qui figure sur le support sans qu'aucune licence ni cession sur le logiciel lui soit accordée.

La licence de logiciel s'entend de tout contrat conférant à un utilisateur un simple droit d'usage d'un logiciel, sans transfert des droits de propriété.

En pratique, la licence recouvre des structures très variées, allant de la licence d'un progiciel grand public à la concession d'un droit d'usage particulier sur un logiciel réalisé pour une seule entreprise et comportant parfois un droit de reproduction ou d'adaptation limité. Les prévisions contractuelles sont donc différentes d’un contrat à l’autre.

Le fournisseur peut rester titulaire de tous les droits de propriété sur le logiciel et ne transférer au client que des prérogatives limitées, notamment lorsqu’il concède la licence d’utilisation. Mais les tribunaux ont considéré que l’utilisateur devait pouvoir disposer d’une solution lui permettant d’adapter le logiciel a ses besoins personnels (remise du code source).

En matière de progiciel, il faut distinguer le contrat passé entre l’auteur du progiciel et le distributeur, qualifié de licence de commercialisation et le contrat passé entre le distributeur et l’utilisateur final, qualifié de licence d’utilisation.

Dans le premier contrat, le distributeur a non seulement le droit d’utiliser le progiciel mais surtout de l’exploiter en usant de son droit de reproduction et de représentation.

Dans le second contrat, seul un droit d’utilisation est transféré à l’utilisateur, qui ne peut faire des copies du programme sauf des copies de sauvegarde. Ce droit d'utilisation est limité par le contrat à un nombre prévu de machine, de site et à une destination précises. Par ailleurs, il faut savoir que c’est le contrat principal qui primera généralement. Ainsi, lorsque vous achetez un progiciel standard chez un distributeur, le contrat de vente passé avec ce dernier l’emporte sur le contrat de licence passé quasi automatiquement avec le fabricant du logiciel. C'est principalement les hypothèses de licences de progiciels qui seront visées. (applications bureautiques de type Windows par exemple).

Votre rapport de droit étant avec le distributeur, c'est vers ce dernier en premier lieu que vous vous retourner sans vous intéressez au fabricant de ce même produit.

Utilisé sous diverses appellations, ce contrat est un contrat d'entreprise qui a pour objet l'exécution d'un travail défini, réalisé par des salariés d'un prestataire de service et sous sa responsabilité, dans ou hors les locaux du client.

Il se distingue du contrat de maintenance et de facilities management (FM) .

La maintenance vise à prévenir et corriger la dégradation et envisager l'évolution d'un matériel informatique. L'assistance technique ne se limitera pas à ces prestations.

Dans le contrat de FM, le client ne conserve pas la maîtrise d'oeuvre de la gestion de son informatique et généralement la prestation ne s'effectue ni chez le client ni sous sa responsabilité.

Dans la régie, Le client fait appel à un prestataire pour l'exécution d'une prestation.

Lorsqu'un client confie son système d’information à un prestataire il ne mesure pas toujours l’opportunité de protéger ses données, de prévenir l’acquisition d’un savoir- faire par un tiers à l’aide de son propre matériel, de se garder du débauchage de ses salariés, etc… C’est pourquoi, plus que jamais le client comme le prestataire devront apporter un maximum de précautions dans la formalisation de leur relation.

Autrement dit, c’est un contrat qui doit être rédigé avec un soin tout particulier et adapté à la prestation. La précaution dans la gestion du lien contractuel est une chose, mais plus important sera le mode d’intervention de la prestation choisi par l’entreprise. Ces derniers sont nombreux et plus ou moins licites (2 ).

4. Les contrats d’entretien et de suivi

On examinera le contrat de maintenance de la solution informatique, le contrat de soutien et enfin le contrat de facilities management.

La maintenance de la solution informatique

Le contrat de maintenance est certainement l'un des contrats les plus complexes en droit de l’informatiques.

Cette complexité s'explique par la nature des prestations exécutées mais aussi par l'étendue de ces dernières. Le contrat de maintenance définit les conditions selon lesquelles un client confie à un prestataire l'entretien et la réparation de son équipement informatique.

La plupart des entreprises choisissent de recourir à la prestation de maintenance proposée par le fournisseur de logiciel et/ou de matériel.

Le contrat de maintenance peut être inclus dans le contrat de licence. Mais il peut aussi être distinct du contrat principal , il sera alors le plus souvent considéré comme un accessoire dudit contrat tout en ayant un régime juridique distinct. De sorte que, ce dernier ne prospérera que si rien n'est venu compromettre l'exécution du contrat principal.

En informatique, le terme de maintenance peut correspondre à des niveaux distincts d’intervention, conditionnés par le degré d'implication du prestataire. La maintenance peut en effet s’effectuer de différentes manières : chez le fournisseur, sur le site d’exploitation, avec ou sans déplacement du prestataire. Les modalités, les délais et les coûts différents considérablement d’un type de maintenance à l’autre. En pratique on différencie :

La maintenance préventive La maintenance préventive qui se caractérise par une intervention spontanée du prestataire auprès de son client, périodiquement mais selon des modalités contractuelles, pour vérifier que les matériels et logiciels du client sont en bon état de fonctionnement.

La maintenance corrective ou curative, La maintenance corrective ou curative, a pour objet le traitement des pannes ou dysfonctionnement. En pratique, elle constitue la forme la plus fréquente de maintenance.

Enfin, on peut également avoir recours à une maintenance évolutive qui garantie la pérennité des logiciels et des systèmes et leur " interopérabilité " (c'est à dire leur capacité à échanger des informations et à utiliser mutuellement les informations échangées tout en permettant le fonctionnement de l’ensemble des éléments du système avec d'autres logiciels et matériels). La maintenance évolutive consiste également à fournir au client les mises à jour ou nouvelles versions des logiciels. 

Il va de soit que dans la détermination de la charge technique et financière due pour la correction du système d'information d'une entreprise en raison des nécessités liées au passage à l'an 2000, les contrats de maintenance seront amenés à jouer un rôle informationnel déterminant (3).

Contrat de back-up ou de soutien

Ce contrat est destiné à arrêter les conditions dans lesquelles un prestataire assure une assistance technique d'urgence permettant au client de ne pas interrompre son activité lors de la survenance d'événements tels qu'un incendie, un dégât des eaux, des troubles consécutifs à une occupation des lieux avec saccage, etc. Mais aussi trouvera toute sa raison d’être lors du changement de millénaire.

Cette assistance technique comprend notamment la mise à disposition du client des moyens en matériel et personnel ainsi que l'accès à une salle équipée d'un matériel compatible avec ses propres programmes (Centre de Secours).

Généralement, un interlocuteur privilégié sera désigné. Il correspond à la personne désignée par le client comme étant le correspondant exclusif du prestataire pour toutes questions relatives à un éventuel dysfonctionnement du système de soutien…

Le prestataire s'engage à mettre en œuvre les moyens humains, la logistique, les matériels et les logiciels nécessaires dans le cadre d'un Centre de Secours ou de soutien, pour assurer au client la continuité de son exploitation en cas de défaillance ou d'insuffisance quelconque de son système informatique, de panne grave et/ou prolongée de celui-ci ou lors de la survenance d'événements qui seront répertoriés dans le contrat par les parties.

Les gros systèmes nécessitent la mise en place d'un contrat de soutien. Des tests sont indispensables tout au long de la durée de vie du contrat.

Le contrat de " Facilities Management " (FM) que l’on dénomme aussi " outsourcing " (désormais traduit en français sous le terme de " Infogérance ") consiste pour une société à déléguer, tout en conservant la responsabilité, à une SSII ou tout autre société spécialisée en FM, la gestion de ses moyens et besoins informatiques.

Ce type de contrat est conclu par des sociétés ayant de très gros systèmes à gérer et qui préfèrent concentrer leurs ressources sur l’exécution de leur métier principal. Il importe de souligner qu’il ne s’agit pas d’un contrat de sous-traitance même s’il en a les aspects.

Autrement dit, c’est la prise en charge de tout ou partie de la gestion du système d’information d’une entreprise par un prestataire spécialisé et sous sa responsabilité.

On le comprend ce type d’opération est très sensible, c’est pourquoi la rédaction du contrat doit être fait avec les plus grandes précautions et la plus grande précision. On cherchera notamment à définir les points relatifs à la sécurité, aux délais d’exécution, à la propriété des informations. Enfin, c’est un des rares contrats où il faut obtenir du prestataire un engagement de résultat.

Dans le cadre du traitement informatique du changement de dates lié à l’an 2000, nombreuses sociétés ont recours à ce genre du contrat au prés de grands prestataires (Cap Gemini, IBM….).

A. M.

Paru dans le Bogue Légal n°1 et 2 – mai 1999

Notes

1. Alexandre MENAIS, "Passage an 2000 : Réflexions sur les aspects juridiques", Juriscom.net, mai 1998, http://www.juriscom.net/.

2. Alexandre MENAIS, "Le contrat d’assistance technique", Juriscom.net, juin 1998, http://www.juriscom.net/.

3. Alexandre MENAIS, "Commentaire du jugement du 16 juin 1998 du Tribunal de commerce de Créteil Appel 24/24 c/ Novatel et Sema Group", Juriscom.net, décembre 1998, http://www.juriscom.net/ et "Bug de l’an 2000 : première décision en faveur des utilisateurs – Tendance ou cas d’espèce ", Juriscom.net, mars 1999, http://www.juriscom.net/.

A consulter sur Juriscom.net :

- Réflexions sur les aspects juridiques du passage à l'an 2000
(Espace "Professionnels"), d'Alexandre Menais ;
- Cour d’appel de Dijon du 4 février 1999 : première décision en faveur des utilisateurs - Tendance ou cas d’espèce ? (Espace "Professionnels"), d'Alexandre Menais ;
- Bug de l'an 2000 : première décision en faveur des utilisateurs - Tendance ou cas d’espèce ?,
(Espace "Professionnels") d'Alexandre Menais ;
- Que faire à l'aube de l'an 2000 ? (Revue de presse), de Juliette Aquilina ;
- Texte du jugement du Tribunal de commerce de Créteil du 16 juin 1998 (affaire Novatel) ;
- Texte de l'arrêt de la Cour d'appel de Dijon du 4 février 1999 (affaire Bel Air Informatique).