Un vieil proverbe conseille que « le sage attend quand les insensés se précipitent ». Face aux extraordinaires défis posés par le COVID-19, de nombreuses organisations ressentent une pression intense pour se précipiter dans l'implantation du télétravail, du commerce électronique, des services de nuage et d'autres moyens pour faciliter la continuité des activités et respecter les règles de distanciation sociale et d'isolement physique en temps de pandemie. Bien que ces initiatives soient urgentes, les organisations doivent toutefois effectuer une vérification diligente de base en matière de technologies de l'information avant de conclure ces contrats. La centralité même de ces nouveaux services informatiques renforce la nécessité de s'assurer que les contrats sous-jacents sont acceptables à court et à long terme.
Dans le contexte de la présente crise, nous présentons ici certains des principaux enjeux juridiques liés aux contrats de technologies de l'information à aborder même lorsque le temps presse. Pour chaque enjeu, nous offrons des conseils qui s'ajoutent aux points soulevés dans la publication COVID-19 et numérisation accélérée : conseils quant à l'acquisition de technologies émergentes portant sur la numérisation accélérée découlant de l'adoption de technologies émergentes et nous examinons, dans une perspective de contrat et d'approvisionnement, des enjeux similaires qui se manifestent même avec des technologies déjà bien connues.
L'évolutivité d'échelle
En raison de la pandémie, de nombreux systèmes informatiques doivent répondre à une demande d'une ampleur inédite. Auparavant, les systèmes de télétravail accueillaient peut-être 10 % du personnel d'une entreprise. Désormais, cette proportion avoisine 100 % dans bien des cas. Les nouveaux systèmes informatiques doivent être en mesure de répondre aux évolutions soudaines de la demande. Mais ils doivent aussi pouvoir se contracter une fois la crise passée. Par exemple, il serait illogique d'engager des frais pour maintenir une niveau de capacité propre au période pandémique pendant cinq ans si l'utilisation risque de revenir aux niveaux antérieurs dans un an. Les entreprises devraient viser une variabilité d'échelle vers le haut et vers le bas, assortie d'une garantie de stabilité des prix.
Niveaux et crédits de service
La croissance continue de la demande imposée aux systèmes de télétravail en temps de pandémie a causé des problèmes de performance chez certains fournisseurs de services. Les entreprises clientes seraient donc bien avisées d'effectuer les vérifications nécessaires afin de veiller au respect des niveaux de service durant la pandémie. Elles peuvent notamment communiquer avec d'autres clients du fournisseur et obtenir des renseignements concernant la capacité de son système et l'état de ses services. Idéalement, les entreprises chercheront à obtenir des niveaux de service adéquats, assortis de crédits de service suffisamment importants pour inciter le fournisseur à les respecter. Les entreprises devraient également décider si elles doivent pouvoir résilier le contrat rapidement et changer de service si le fournisseur n'est pas en mesure de maintenir un niveau de service minimal. Toutefois, les fournisseurs de service sont eux aussi confrontés à d'importantes difficultés, auxquelles ils cherchent à remédier en toute légitimité, notamment en obtenant le droit, sans pénalité, d'éliminer temporairement les fonctions non essentielles du service, de réguler la bande passante, de limiter les heures de service ou encore de réguler l'utilisation du service ou de moduler le rendement du système afin de gérer le fonctionnement du réseau.
Nature de la relation juridique
Bon nombre de services informatiques sont offerts par des revendeurs et d'autres intermédiaires. Dans ces cas, il est crucial de comprendre la relation entre votre entreprise et le fournisseur final. S'agit-il d'une relation contractuelle directe ou d'une relation indirecte qui passe nécessairement par le revendeur (ce qui risquerait de limiter vos recours en cas d'enjeux)? Est-ce qu'un compte ou des données de connexion seront créés au nom de votre entreprise ou du revendeur (avec tous les risques que cela implique)? Ce sont des questions élémentaires, mais qu'il est important de ne pas négliger. Il vaut mieux, par conséquent, étudier les dispositions contractuelles en envisageant le pire, c'est-à-dire une éventuelle faillite du revendeur.
Intégration et développement
Un élément clé dans de nombreux contrats de TI est le travail d'intégration et de développement visant à adapter des modules ou des solutions commerciales. Dans ce contexte, les changements dans la composition de l'équipe du fournisseur de services posent souvent un problème. En effet, des retards et des erreurs risquent de survenir lorsque les nouveaux membres ne sont pas encore habitués à leurs fonctions. Or, dans les circonstances actuelles, pour les implantations critiques, il pourrait être nécessaire de prévoir des dispositions contractuelles qui empêcheraient la réaffectation des membres de l'équipe et, éventuellement, d'investir pour avoir une équipe de réserve plus nombreuse au cas où certains employés tomberaient malades. Si le fournisseur de services doit entrer dans les installations du client, l'entreprise devrait s'assurer contractuellement que le fournisseur respectera les politiques et les pratiques du client lorsqu'il s'y trouvera. En temps normal, les politiques et les pratiques entourant la confidentialité et la sécurité des données sont considérées comme les plus importantes, mais compte tenu de la pandémie, la santé et la sécurité risquent de passer au premier plan. En outre, pour évaluer la viabilité des activités du fournisseur de services, il se peut que les clients soient tenus d'étudier les mesures prises par ce dernier pour protéger son personnel de la COVID-19 (notamment les politiques et les pratiques concernant la pandémie) et qu'ils soient dans l'obligation de négocier des dispositions contractuelles pour rendre ces mesures obligatoires.
Obligations de soutien
Un contrat de TI bien rédigé indique quels services de soutien sont couverts, en précisant les garanties relatives au délai de réponse (et les crédits s'y rapportant) et les heures de soutien (portez une attention particulière aux fuseaux horaires et aux jours fériés en tenant compte de votre emplacement géographique). Comme le soutien informatique non couvert est souvent facturé à l'heure, le fait de préciser à l'avance la portée des obligations de soutien permet d'éviter des coûts considérables à long terme. Il est également important d'examiner les exclusions aux obligations de soutien et les exclusions de responsabilité plus générales pour déterminer si le fournisseur peut facilement se dégager de sa responsabilité en la rejetant sur les manquements de ses propres fournisseurs de services tiers. Pour les applications critiques, le fournisseur devrait prévoir une certaine redondance dans sa chaîne d'approvisionnement, et le manquement occasionnel d'un seul fournisseur ne saurait servir de justification valable à un bris de continuité dans les services informatiques et le fonctionnement des systèmes informatiques.
Résiliation et stratégie de retrait
Paradoxalement, c'est au tout début du processus contractuel qu'il convient de réfléchir à la résiliation et au retrait. Voici certaines questions fondamentales à considérer : 1) Le fournisseur de services peut-il résilier le contrat, ou est-ce seulement le client? 2) Quels avertissements doit fournir chacune des parties avant que la résiliation prenne effet? 3) Quelles mesures seront prises pour retourner au client ses données, ses documents et le reste de son matériel? 4) Le client est-il en droit d'obtenir une copie du code informatique créé dans le cadre d'activités de développement ou de programmation, le cas échéant? 5) Faut-il obtenir certaines licences concernant la propriété intellectuelle du fournisseur ou de tiers avant de passer à un autre fournisseur? 6) Les activités de résiliation et de retrait entraîneront-elles des frais supplémentaires pour le client?
Force majeure et planification de la continuité des activités
La clause de force majeure doit être examinée attentivement. Elle exclut probablement les manquements indépendants de la volonté raisonnable du fournisseur de services, et pourrait exclure expressément les manquements causés par une pandémie. Or, ces exclusions ne sont plus acceptables dans le contexte actuel, d'autant plus que de nombreux contrats de TI sont signés justement pour gérer les perturbations causées par la pandémie. Les entreprises voudront obtenir la garantie du fournisseur de services que son plan de continuité des activités tient compte des conséquences prévisibles de la pandémie actuelle, qui ne doivent pas constituer un cas de force majeure. De plus, les clients seraient bien avisés de vérifier la justesse de cette garantie en consultant le plan de continuité des activités du fournisseur.
Conclusion
En matière de contrats de TI, les questions qui précèdent ne sont pas les seules à examiner, mais ce sont celles qu'il faut absolument régler, quelle que soit l'urgence de la situation. Plus un contrat est important et urgent, plus il serait insensé de s'y précipiter sans quelques vérifications contractuelles élémentaires.
Cet avertissement vaut même pour un contrat de services infonuagiques présenté sous forme de contrat type à négociabilité limitée. Vu les circonstances extraordinaires, les fournisseurs pourraient être disposés à négocier certaines clauses ou à signer un « avenant COVID-19 » qui complément l'accord type. À défaut d'une telle souplesse, le client devrait user de prudence en exigeant une durée contractuelle plus courte dans le but de signer un autre accord dans un contexte moins pressant. Autrement, pour éviter de retarder l'implantation, l'entreprise devrait envisager de signer un accord à court terme pour les livrables les plus urgents, tout en continuant de négocier les modalités de l'accord pour les autres livrables et servicest.
Avant d'apposer sa signature au bas d'un contrat, toute entreprise avertie devrait s'assurer d'avoir au moins tenté de régler les points abordés ci-dessus.
