Relations avec les ESN et gouvernance contractuelle
Identifier les principaux contrats de prestation informatique : régie, forfait, infogérance et prestations associées. La leçon aborde les SLA, la confidentialité, le RGPD, les clauses d’audit et le pilotage de la relation client-prestataire.
Objectifs d’apprentissage
À l’issue de cette leçon, vous devez être capable de :
- analyser le rôle stratégique du système d’information dans l’organisation lorsqu’une partie des services numériques est confiée à un prestataire ;
- gérer les relations contractuelles et opérationnelles avec les ESN ;
- concevoir, négocier et sécuriser des relations contractuelles avec des prestataires de services numériques ;
- accompagner le client dans son pilotage de la performance globale des SI à travers des mécanismes de gouvernance contractuelle ;
- distinguer les principaux contrats de prestation informatique : régie, forfait, infogérance et prestations associées ;
- comprendre la place des SLA, de la confidentialité, du RGPD, des clauses d’audit et des indicateurs de suivi dans le pilotage de la relation client-prestataire.
Cette leçon prolonge les leçons 89 à 92 sur le rôle stratégique du SI, l’alignement stratégique, la gouvernance des SI et l’urbanisation. Ici, l’enjeu n’est plus seulement de concevoir le SI en interne, mais de sécuriser l’externalisation partielle de sa conception, de son exploitation ou de sa maintenance.
1. Pourquoi les relations avec les ESN sont un sujet stratégique
Une ESN (entreprise de services du numérique) est un prestataire qui fournit à ses clients des services informatiques : développement, intégration, maintenance, infogérance, assistance, conseil, exploitation, support, cybersécurité, hébergement applicatif ou accompagnement à la transformation numérique.
Dans une organisation, le recours à une ESN ne relève pas d’un simple achat technique. Il s’agit d’un choix de gouvernance du système d’information. En effet, externaliser une activité numérique modifie :
- la répartition des responsabilités entre la DSI, les métiers et le prestataire ;
- la maîtrise des coûts, des délais et de la qualité ;
- l’exposition aux risques juridiques, opérationnels et de conformité ;
- la capacité de l’entreprise à faire évoluer son SI ;
- parfois même la dépendance stratégique à l’égard d’un fournisseur.
1.1 Le lien avec le rôle stratégique du SI
Le système d’information soutient les processus métiers, la circulation des données, le contrôle interne, la production d’information de gestion et, plus largement, la création de valeur. Dès lors, un contrat avec une ESN doit être lu non comme un document isolé, mais comme un instrument de mise en œuvre de la stratégie SI.
Autrement dit :
- si le SI est stratégique, le contrat l’est aussi ;
- si le prestataire intervient sur des processus critiques, la relation doit être gouvernée ;
- si les données traitées sont sensibles ou à caractère personnel, la conformité doit être intégrée dès la contractualisation.
1.2 Pourquoi la gouvernance contractuelle est indispensable
La gouvernance contractuelle désigne l’ensemble des dispositifs permettant d’organiser, piloter, contrôler et faire évoluer la relation entre le client et le prestataire dans la durée.
Elle ne se limite pas à signer un contrat. Elle comprend notamment :
- la définition du besoin ;
- le choix du mode contractuel adapté ;
- la répartition des obligations ;
- les mécanismes de suivi de performance ;
- les circuits d’escalade et de décision ;
- les clauses de sécurité, de confidentialité et de conformité ;
- les modalités de contrôle, d’audit, de réversibilité et de sortie.
Sans gouvernance contractuelle, le risque est double :
- risque opérationnel : retards, dérive budgétaire, qualité insuffisante, indisponibilité ;
- risque stratégique : perte de maîtrise du SI, dépendance fournisseur, rigidité technologique, difficulté à faire évoluer le modèle d’affaires.
2. Les principaux contrats de prestation informatique
Le programme vise la typologie des contrats de prestation informatique : régie, forfait, infogérance, ainsi que les prestations associées. L’objectif n’est pas de faire un cours exhaustif de droit des contrats informatiques, mais de comprendre les conséquences de chaque formule sur la stratégie SI et sur la gouvernance de la relation.
2.1 Le contrat en régie
Le contrat en régie est un contrat par lequel le prestataire met à disposition du client des compétences, généralement facturées au temps passé (jour/homme, mois, taux journalier moyen).
Caractéristiques
- obligation principalement centrée sur la mise à disposition de moyens humains ;
- facturation selon le temps consommé ;
- forte implication du client dans le pilotage quotidien ;
- besoin souvent évolutif ou insuffisamment spécifié au départ.
Avantages
- souplesse ;
- adaptation rapide aux changements ;
- utile lorsque le périmètre fonctionnel n’est pas totalement stabilisé ;
- permet de renforcer ponctuellement les équipes internes.
Limites et risques
- dérive des coûts si le pilotage est faible ;
- difficulté à apprécier la performance si les livrables sont mal définis ;
- confusion possible entre assistance technique et véritable engagement de résultat ;
- dépendance à certaines ressources clés du prestataire.
Quand choisir la régie ?
La régie est pertinente lorsque :
- l’organisation conserve une forte maîtrise de la conception ;
- le besoin évolue rapidement ;
- le projet nécessite une coopération étroite avec les équipes internes ;
- la priorité est la flexibilité plus que la prédictibilité budgétaire.
Point de vigilance de gouvernance
Dans un contrat en régie, il faut éviter une erreur fréquente : croire que la simple présence de consultants garantit l’atteinte du résultat. En réalité, la régie exige un pilotage interne fort : cadrage, priorisation, validation, suivi des charges et contrôle de la qualité.
2.2 Le contrat au forfait
Le contrat au forfait est un contrat par lequel le prestataire s’engage à réaliser une prestation définie, pour un prix convenu à l’avance, selon un périmètre, un calendrier et des livrables déterminés.
Caractéristiques
- définition préalable du besoin ;
- prix global ou forfaitaire ;
- engagement plus marqué sur le résultat ;
- importance centrale du cahier des charges et des spécifications.
Avantages
- meilleure visibilité budgétaire ;
- responsabilisation du prestataire sur les livrables ;
- cadre plus clair pour le contrôle de l’exécution ;
- utile pour des besoins stabilisés.
Limites et risques
- rigidité si le besoin évolue ;
- conflits possibles sur le périmètre exact de la prestation ;
- tentation de sous-qualité si le prestataire cherche à préserver sa marge ;
- inflation d’avenants si le cadrage initial est insuffisant.
Quand choisir le forfait ?
Le forfait est adapté lorsque :
- le besoin est suffisamment spécifié ;
- les livrables attendus sont identifiables ;
- les critères de recette peuvent être définis ;
- l’organisation souhaite sécuriser coût et délai.
Point de vigilance de gouvernance
Le forfait n’élimine pas le besoin de pilotage. Il déplace simplement le centre de gravité vers :
- la qualité du cahier des charges ;
- la procédure de gestion des changements ;
- la recette ;
- le traitement des non-conformités.
2.3 L’infogérance
L’infogérance est une forme d’externalisation par laquelle une organisation confie à un prestataire tout ou partie de l’exploitation, de l’administration, du support ou de la maintenance de son système d’information.
Caractéristiques
Elle peut porter sur :
- l’infrastructure ;
- les postes de travail ;
- les applications ;
- le support utilisateurs ;
- la supervision ;
- l’exploitation quotidienne.
L’infogérance s’inscrit souvent dans la durée. Elle implique donc une relation plus structurée, avec des engagements de service, des procédures d’escalade, des tableaux de bord et des mécanismes de réversibilité.
Avantages
- accès à des compétences spécialisées ;
- mutualisation de moyens ;
- amélioration potentielle de la disponibilité et de la qualité de service ;
- recentrage de l’entreprise sur ses activités cœur.
Limites et risques
- perte partielle de maîtrise opérationnelle ;
- dépendance au prestataire ;
- difficulté de réinternalisation ;
- risque sur les données, la sécurité et la continuité de service ;
- asymétrie d’information entre client et prestataire.
Point de vigilance de gouvernance
L’infogérance exige une gouvernance de service : comités, indicateurs, SLA, audits, gestion des incidents, plan de continuité, réversibilité. Plus la prestation est critique, plus la gouvernance doit être formalisée.
2.4 Les prestations associées
Autour de ces grands modèles existent des prestations associées :
- maintenance corrective et évolutive ;
- assistance au déploiement ;
- intégration de progiciels ;
- support et centre de services ;
- conseil et assistance à maîtrise d’ouvrage ;
- formation des utilisateurs ;
- prestations de sécurité ou de supervision.
L’enjeu n’est pas de multiplier les catégories, mais de vérifier que la forme contractuelle retenue correspond bien :
- au niveau d’engagement attendu ;
- au degré de variabilité du besoin ;
- au caractère critique du service ;
- au niveau de dépendance acceptable.
3. Concevoir une relation contractuelle adaptée au besoin
Concevoir une relation contractuelle, ce n’est pas remplir un modèle standard. C’est traduire un besoin stratégique et opérationnel en obligations claires, pilotables et sécurisées.
3.1 Première étape : qualifier le besoin
Avant toute négociation, l’organisation doit répondre à plusieurs questions :
- Que veut-on externaliser exactement ?
- Pourquoi externaliser : expertise, capacité, rapidité, coût, transformation ?
- Le besoin est-il stable ou évolutif ?
- Quels processus métiers sont concernés ?
- Quelles données seront traitées ?
- Quelles conséquences en cas d’indisponibilité ?
- Quelle maîtrise souhaite-t-on conserver en interne ?
Cette étape est essentielle car un mauvais choix contractuel provient souvent d’un mauvais cadrage du besoin.
3.2 Deuxième étape : choisir le bon modèle
On peut résumer ainsi :
- régie : besoin évolutif, forte maîtrise interne, recherche de flexibilité ;
- forfait : besoin cadré, livrables définis, recherche de visibilité ;
- infogérance : exploitation durable d’un service ou d’un périmètre SI.
Le choix n’est pas purement juridique. Il a un impact sur :
- l’organisation du pilotage ;
- la structure des coûts ;
- les indicateurs de performance ;
- la gestion des risques ;
- la relation entre DSI et métiers.
3.3 Troisième étape : formaliser les responsabilités
Une relation avec une ESN doit préciser :
- qui décide ;
- qui exécute ;
- qui valide ;
- qui contrôle ;
- qui supporte le risque en cas de défaillance.
Une matrice des responsabilités peut être utile, même si le programme ne l’impose pas formellement. L’idée est d’éviter les zones grises, par exemple :
- le prestataire développe, mais qui homologue ?
- le prestataire héberge, mais qui définit les exigences de sécurité ?
- le prestataire traite des données personnelles, mais qui détermine les finalités du traitement ?
4. Négocier avec une ESN : logique et points clés
La négociation contractuelle ne se réduit pas au prix. Elle vise à équilibrer la relation entre les parties et à rendre la prestation gouvernable.
4.1 Les grands objets de négociation
Les principaux objets de négociation sont :
- le périmètre de la prestation ;
- les livrables ;
- les délais ;
- les niveaux de service ;
- les modalités de recette ;
- les conditions financières ;
- la confidentialité ;
- le traitement des données à caractère personnel ;
- les droits d’audit ;
- les conditions de sortie ou de réversibilité.
4.2 Pourquoi le prix ne suffit jamais
Un contrat peu cher peut coûter très cher si :
- le périmètre est ambigu ;
- les incidents ne sont pas traités dans les temps ;
- les données ne sont pas protégées ;
- la sortie du prestataire est impossible sans rupture de service.
Le bon raisonnement consiste donc à arbitrer entre :
- coût apparent ;
- niveau de maîtrise ;
- niveau de risque ;
- capacité d’évolution.
4.3 Exemple de négociation
Une PME souhaite externaliser le support utilisateurs et l’administration de son ERP.
Deux options lui sont proposées :
- Option A : prix faible, peu d’engagements de service, pas de clause d’audit, réversibilité peu détaillée ;
- Option B : prix plus élevé, SLA précis, comité de pilotage mensuel, journalisation des incidents, clause de réversibilité et engagement RGPD détaillé.
Un choix strictement budgétaire conduirait vers l’option A. Un raisonnement de gouvernance SI conduit souvent à préférer l’option B, car elle réduit le risque d’interruption d’activité et la dépendance fournisseur.
5. Sécuriser la relation contractuelle
Le programme mentionne explicitement le cadre juridique applicable : responsabilité, confidentialité, SLA, RGPD, ainsi que la gouvernance de la relation client-prestataire avec pilotage de la prestation, indicateurs de suivi et clauses d’audit.
5.1 Les SLA : Service Level Agreement
Le SLA est un engagement sur le niveau de service rendu. Il constitue un élément central de la gouvernance contractuelle, surtout en infogérance et dans les services récurrents.
Ce qu’un SLA peut couvrir
- disponibilité d’une application ;
- délai de prise en charge d’un incident ;
- délai de rétablissement ;
- temps de réponse ;
- taux de résolution au premier niveau ;
- plage de service ;
- qualité du support.
Pourquoi les SLA sont essentiels
Ils permettent de :
- transformer une attente vague en obligation mesurable ;
- objectiver la performance du prestataire ;
- alimenter les tableaux de bord SI ;
- déclencher, si nécessaire, des mesures correctrices.
Comment bien concevoir un SLA
Un bon SLA doit être :
- pertinent : lié aux besoins métiers réels ;
- mesurable : indicateurs calculables ;
- compréhensible : définitions non ambiguës ;
- réaliste : compatible avec le service acheté ;
- pilotable : intégré aux comités de suivi.
Exemple
Pour une application de facturation critique, un engagement de disponibilité de 99,8 % sur les heures ouvrées peut être pertinent. En revanche, le même niveau de service n’a peut-être pas de sens pour un outil interne secondaire.
Le SLA doit donc être cohérent avec la criticité du service.
5.2 La confidentialité
La confidentialité protège les informations auxquelles le prestataire a accès : données métier, données financières, informations commerciales, procédures internes, documentation technique, secrets d’affaires.
Pourquoi la confidentialité est stratégique
Le prestataire peut accéder à des éléments sensibles qui dépassent la simple technique. Une faille de confidentialité peut :
- nuire à la compétitivité ;
- exposer l’entreprise à des risques juridiques ;
- fragiliser la confiance des clients et partenaires ;
- compromettre des opérations stratégiques.
Ce qu’il faut encadrer
Le contrat doit préciser :
- les informations couvertes ;
- les personnes autorisées à y accéder ;
- les finalités de l’accès ;
- la durée de l’obligation ;
- les mesures de protection attendues ;
- le sort des informations en fin de contrat.
Point de gouvernance
La confidentialité ne doit pas être une clause décorative. Elle doit être reliée à des pratiques effectives : habilitations, traçabilité, cloisonnement, sensibilisation des équipes du prestataire.
5.3 Le RGPD dans la relation client-prestataire
Dès lors qu’une ESN traite des données à caractère personnel, la relation contractuelle doit intégrer les exigences du RGPD. La question centrale est de savoir qui agit comme responsable du traitement et qui agit comme sous-traitant.
Logique générale
- le responsable du traitement détermine les finalités et les moyens essentiels ;
- le sous-traitant traite les données pour le compte du responsable du traitement.
Dans de nombreux contrats de services numériques, le client est responsable du traitement et l’ESN intervient comme sous-traitant. Mais cela doit être vérifié au cas par cas.
Pourquoi c’est crucial
Le traitement des données personnelles ne peut pas être laissé dans l’ombre du contrat principal. En effet, une défaillance du prestataire peut exposer l’organisation à :
- une violation de données ;
- un non-respect des droits des personnes ;
- une mauvaise gestion des durées de conservation ;
- un défaut de sécurité ;
- un risque de sanction par la CNIL.
Éléments à encadrer contractuellement
Sans entrer dans un niveau de technicité non prévu ici, il faut au minimum prévoir :
- l’objet et la durée du traitement ;
- la nature des opérations réalisées ;
- les catégories de données et de personnes concernées ;
- les obligations de sécurité ;
- les conditions de recours à des sous-traitants ultérieurs ;
- l’assistance du prestataire au client ;
- la restitution ou suppression des données en fin de contrat.
Les principes RGPD ont été présentés en leçon 4. Ici, l’enjeu spécifique est leur traduction contractuelle dans une relation avec une ESN.
5.4 La responsabilité
La responsabilité contractuelle du prestataire doit être pensée en lien avec la nature de la prestation.
Pourquoi la responsabilité doit être calibrée
Si un prestataire intervient sur un service critique, l’impact d’une défaillance peut être élevé : arrêt d’activité, perte de données, retard de production, atteinte à l’image, coûts de remédiation.
Le contrat doit donc éviter deux excès :
- une responsabilité totalement floue ;
- une responsabilité théorique impossible à mettre en œuvre.
Bonne logique de sécurisation
Il faut relier la responsabilité :
- au périmètre réel de la mission ;
- aux obligations assumées ;
- à la criticité des actifs ou processus concernés ;
- aux mécanismes de preuve (journalisation, tickets, comités, rapports).
5.5 Les clauses d’audit
Les clauses d’audit permettent au client de vérifier que le prestataire respecte ses engagements, notamment en matière de sécurité, de conformité, d’organisation des contrôles et de qualité de service.
Pourquoi elles sont importantes
Dans une relation d’externalisation, le client délègue une activité, mais ne délègue pas totalement le risque. Il doit pouvoir s’assurer que le prestataire agit conformément aux engagements convenus.
Ce que peut viser une clause d’audit
- vérification des processus de sécurité ;
- contrôle du respect des engagements de confidentialité ;
- examen des mesures RGPD ;
- vérification de la qualité des journaux d’incidents ;
- contrôle du respect des niveaux de service.
Intérêt managérial
La clause d’audit a aussi une fonction disciplinaire : elle incite le prestataire à maintenir un niveau de documentation et de maîtrise compatible avec les attentes du client.
6. Piloter la relation client-prestataire
Le programme insiste sur la gouvernance de la relation client-prestataire : pilotage de la prestation, indicateurs de suivi, clauses d’audit.
6.1 Le pilotage ne s’arrête pas à la signature
Un contrat bien rédigé mais mal piloté produit souvent de mauvais résultats. La relation avec une ESN doit faire l’objet d’un pilotage opérationnel et stratégique.
Deux niveaux de pilotage
- pilotage opérationnel : incidents, demandes, délais, qualité de service, planning ;
- pilotage stratégique : évolution du périmètre, alignement avec les besoins métiers, dépendance fournisseur, trajectoire de transformation.
6.2 Les instances de gouvernance
Sans imposer un schéma unique, une gouvernance efficace peut comprendre :
- un comité opérationnel régulier ;
- un comité de pilotage périodique ;
- des points d’escalade pour les incidents majeurs ;
- des revues de performance.
Rôle des instances
Elles servent à :
- suivre les indicateurs ;
- arbitrer les priorités ;
- traiter les écarts ;
- décider des actions correctrices ;
- préparer les évolutions contractuelles.
6.3 Les indicateurs de suivi
Les indicateurs de suivi doivent être cohérents avec la nature de la prestation.
Exemples d’indicateurs
- taux de disponibilité ;
- nombre d’incidents par période ;
- délai moyen de résolution ;
- taux de respect des engagements de service ;
- volume des demandes en attente ;
- taux de conformité des livrables ;
- satisfaction des utilisateurs.
Pourquoi les indicateurs sont stratégiques
Ils permettent :
- d’objectiver la performance ;
- d’éviter les appréciations purement subjectives ;
- d’alimenter les tableaux de bord SI ;
- de relier la prestation à la performance globale de l’organisation.
7. Accompagner le client dans son pilotage de la performance globale des SI
Cette compétence est explicitement visée par le programme. La relation avec une ESN doit être analysée à l’aune de la performance globale des SI.
7.1 Que signifie performance globale des SI ?
La performance globale d’un système d’information ne se réduit pas au bon fonctionnement technique. Elle combine plusieurs dimensions :
- performance opérationnelle : disponibilité, fiabilité, continuité ;
- performance économique : maîtrise des coûts, visibilité budgétaire, efficience ;
- performance organisationnelle : qualité de service, fluidité des processus, satisfaction des utilisateurs ;
- performance de conformité : respect des exigences de sécurité, de confidentialité et de protection des données ;
- performance stratégique : capacité du SI à soutenir les objectifs métiers et l’évolution de l’organisation.
7.2 Comment la relation avec une ESN influence cette performance
Une mauvaise relation contractuelle peut dégrader la performance globale par :
- une qualité de service insuffisante ;
- des retards de transformation ;
- des coûts cachés ;
- des risques de non-conformité ;
- une rigidité empêchant l’évolution du SI.
À l’inverse, une gouvernance contractuelle bien conçue peut améliorer :
- la lisibilité des engagements ;
- la maîtrise des risques ;
- la qualité de service ;
- la capacité d’adaptation ;
- la coordination entre DSI, métiers et prestataire.
7.3 Démarche d’accompagnement du client
Étape 1 : cartographier la prestation
Identifier :
- le périmètre externalisé ;
- les processus métiers concernés ;
- les données manipulées ;
- les points de dépendance.
Étape 2 : qualifier la criticité
Évaluer :
- l’impact d’une indisponibilité ;
- l’impact d’un défaut de qualité ;
- l’impact d’une violation de confidentialité ;
- l’impact d’un manquement RGPD.
Étape 3 : vérifier l’adéquation du contrat
Contrôler la cohérence entre :
- le besoin ;
- le type de contrat ;
- les niveaux de service ;
- les indicateurs ;
- les mécanismes de contrôle.
Étape 4 : organiser le pilotage
Définir :
- les comités ;
- la fréquence des revues ;
- les tableaux de bord ;
- les circuits d’escalade ;
- les modalités d’audit.
Étape 5 : préparer l’évolution
Prévoir :
- les changements de périmètre ;
- l’ajout de nouvelles prestations ;
- la réversibilité ;
- la continuité de service en cas de sortie.
8. Étude de cas progressive
8.1 Situation
Une ETI industrielle confie à une ESN :
- la maintenance de son ERP ;
- le support utilisateurs ;
- l’hébergement d’une application RH ;
- certaines évolutions applicatives.
L’entreprise constate :
- des délais de résolution variables ;
- des désaccords sur le périmètre des évolutions ;
- des tableaux de bord peu exploitables ;
- une inquiétude sur le traitement des données RH.
8.2 Analyse
1. Nature des prestations
On observe en réalité plusieurs logiques contractuelles :
- support et hébergement : logique proche de l’infogérance ;
- évolutions applicatives : selon les cas, forfait ou régie.
2. Risques identifiés
- absence de distinction claire entre maintenance et projet ;
- SLA insuffisamment précis ;
- gouvernance inadaptée à la diversité des prestations ;
- enjeu RGPD élevé pour l’application RH ;
- risque de dépendance au prestataire.
3. Préconisations
- segmenter contractuellement les prestations ;
- définir des SLA distincts selon la criticité ;
- mettre en place un comité opérationnel mensuel et un comité de pilotage trimestriel ;
- formaliser des indicateurs de disponibilité, de résolution et de qualité ;
- renforcer les stipulations relatives à la confidentialité et au traitement des données à caractère personnel ;
- prévoir une clause d’audit et une procédure de réversibilité.
8.3 Enseignement du cas
Le problème n’est pas seulement technique. Il tient à une mauvaise articulation entre stratégie SI, typologie contractuelle et gouvernance opérationnelle.
9. Méthode pratique pour analyser un contrat ESN
Voici une méthode simple en 7 questions.
1. Quel est l’objet exact de la prestation ?
- Assistance ? Développement ? Exploitation ? Support ?
2. Le type de contrat est-il cohérent ?
- Régie, forfait, infogérance : lequel correspond au besoin réel ?
3. Les responsabilités sont-elles claires ?
- Qui fait quoi ? Qui valide ? Qui contrôle ?
4. Les engagements sont-ils mesurables ?
- Les SLA et indicateurs permettent-ils un suivi effectif ?
5. Les risques juridiques sont-ils couverts ?
- Confidentialité, protection des données, responsabilité, audit.
6. La gouvernance est-elle organisée ?
- Comités, reporting, escalade, revue de performance.
7. La sortie est-elle préparée ?
- Réversibilité, restitution des données, continuité.
Cette grille permet d’accompagner le client dans un diagnostic structuré de sa relation prestataire.
10. Erreurs fréquentes à éviter
10.1 Confondre achat informatique et gouvernance SI
Un contrat ESN n’est pas un simple achat. Il engage la performance du SI et parfois la continuité d’activité.
10.2 Choisir la régie pour éviter de spécifier le besoin
La régie est utile, mais elle ne doit pas servir à masquer l’absence de cadrage.
10.3 Croire que le forfait supprime tous les risques
Le forfait sécurise mieux le prix, mais pas automatiquement la qualité ni l’adéquation du livrable.
10.4 Négliger le RGPD
Dès qu’il y a traitement de données à caractère personnel, la conformité doit être contractualisée et pilotée.
10.5 Oublier les clauses d’audit
Sans droit de vérification, le client peut perdre la capacité de contrôler un prestataire pourtant critique.
10.6 Ne pas relier les indicateurs au métier
Des indicateurs purement techniques peuvent être insuffisants. Il faut relier le service rendu à l’impact métier.
11. Schéma de synthèse
Le schéma doit être lu ainsi :
- la stratégie SI détermine ce qui peut être externalisé ;
- le type de contrat traduit ce choix ;
- les clauses clés sécurisent la relation ;
- les SLA et indicateurs permettent le pilotage ;
- les audits et instances de gouvernance assurent le contrôle et l’amélioration continue ;
- l’ensemble contribue à la performance globale des SI.
12. Points à retenir
- Le recours à une ESN est un choix stratégique de gouvernance du système d’information.
- Les principaux contrats de prestation informatique sont la régie, le forfait et l’infogérance.
- Le bon contrat dépend du niveau de stabilité du besoin, du niveau d’engagement attendu et de la criticité de la prestation.
- La gouvernance contractuelle ne se limite pas à la signature : elle inclut le pilotage, les indicateurs, les comités, les audits et l’évolution de la relation.
- Les SLA rendent les engagements mesurables et pilotables.
- La confidentialité et le RGPD doivent être intégrés explicitement dans la relation contractuelle.
- Les clauses d’audit sont essentielles pour maintenir la capacité de contrôle du client.
- Accompagner le client, c’est relier le contrat à la performance globale des SI : coût, qualité, continuité, conformité et soutien aux objectifs métiers.
Mémo final
Typologie rapide
- Régie : souplesse, besoin évolutif, fort pilotage interne.
- Forfait : besoin cadré, prix défini, importance du cahier des charges.
- Infogérance : externalisation durable d’un service, gouvernance formalisée.
Clauses et mécanismes essentiels
- périmètre de prestation ;
- responsabilités ;
- SLA ;
- confidentialité ;
- RGPD ;
- indicateurs de suivi ;
- clause d’audit ;
- modalités de pilotage.
Question directrice du professionnel
Le contrat permet-il réellement de soutenir la stratégie SI et de piloter la performance globale du système d’information ?