Para transformar el contrato en palanca para un proyecto sostenible, el departamento de TI y el abogado deben primero trabajar juntos, el primero para identificar los escenarios de riesgo que pueden ocurrir, el segundo para formalizar la solución elegida para afrontar mejor este riesgo y sus consecuencias.

Un buen contrato de TI debe proporcionar un método operativo para cada etapa del proyecto y anticipar las dificultades y proporcionar una solución prenegociada. Para ello deberá ser compartido por todos los actores implicados en el proyecto. Cuanto más preciso sea, mayor será la ley entre las partes.

Entre los puntos de vigilancia que habitualmente se mantienen, cuatro merecen especial atención.

El primero tiene como objetivo garantizar la continuidad del servicio.. Se trata de anticipar una posible interrupción del servicio prestado por el proveedor de servicios TI o de la solución proporcionada por este, que puede tener consecuencias directas en la actividad operativa del cliente, por ejemplo en una línea de procesamiento (fábrica), o incluso una desaceleración en tiempos de respuesta brindados a los clientes. El daño puede ser importante (pérdida de facturación, desorganización dentro de la empresa, daño reputacional, etc.).

Para evitar una valoración subjetiva de esta depreciación o interrupción del servicio, procede definir contractualmente los niveles de servicios y prestaciones a los que se compromete el proveedor del servicio. Por tanto, es necesario ser preciso: ¿en qué plazo interviene el proveedor del servicio? ¿Cómo se calculan estos plazos? ¿Cuál es su punto de partida? Si se trata de una solicitud de cliente, ¿cómo podemos acreditar la solicitud de intervención? ¿Por correo electrónico? ¿Mediante una herramienta de gestión de incidencias proporcionada por el proveedor del servicio? Pero, en este caso, en caso de litigio, ¿cómo podemos preservar la prueba de estos intercambios? ¿Cuál es el tiempo de recuperación? ¿Cuáles son los plazos para implementar una solución duradera? De hecho, un parche (solución alternativa) puede permitir que se reanude el servicio, pero ¿qué pasa en el caso de parches superpuestos? No olvidemos que la competitividad pasa por evolucionar estos estándares, para tener en cuenta la evolución tecnológica y también la evolución de la empresa.

Estos detalles evitarán debates estériles y tediosos durante el proyecto o, peor aún, ante los tribunales. Porque si podemos ganar el caso basándose en el principio de responsabilidad del proveedor de servicios, la indemnización debe ser proporcional al daño. Por ejemplo, esta decisión del Tribunal de Apelación de Versalles (1) que consideró que el cliente no demostró ni la indisponibilidad reiterada del servicio de su servidor Saas ni su daño estimado en 569.000 euros y finalmente condenó al proveedor del servicio únicamente a "pagarle la suma de 18.000 euros.

El segundo tiene como objetivo regular los métodos de recuperación de datos.. Durante la vida de una empresa, es normal cambiar de proveedores, productos y servicios. Para garantizar la continuidad del servicio durante este cambio, aún es necesario asegurar que podremos recuperar nuestros datos como parte de un plan de reversibilidad o transferibilidad. Por tanto, es prudente prestar especial atención a la fase inicial del contrato y a la fase de salida del contrato. Algunos contratos con proveedores prevén la eliminación de datos al vencimiento del contrato, otros permiten un período de tiempo definido, en promedio entre 30 y 60 días, para permitir que los datos se recuperen antes de su eliminación.

A este respecto, es necesario, por tanto, prestar especial atención a los métodos de recuperación o restitución de los datos (2), y negociar con precisión el alcance de esta restitución, el plazo de aplicación y sus métodos para que los datos se restablezcan de forma estándar. formato. , legible y fácilmente reutilizable en una nueva solución.

El tercer punto se refiere al RGPD.. Desde su entrada en vigor hace casi cinco años, Cumplimiento de la normativa en materia de datos personales. se ha convertido en un problema importante que deben anticipar los departamentos de TI, particularmente en términos de seguridad y transferencias internacionales de datos. Por tanto, es fundamental evaluar correctamente el cumplimiento por parte de los proveedores del RGPD y, según los ámbitos de intervención (banca, salud en particular) de normas específicas de seguridad y confidencialidad.

Entre los controles que deben realizarse, conviene, por ejemplo, prever medidas de copia de seguridad efectivas y periódicas para los datos de la empresa, así como un control de la validez de dichas copias de seguridad, y garantizar que los proveedores de servicios hayan implementado procedimientos adecuados para recuperar los datos en en caso de catástrofe (3) o avería.

En particular, en lo que respecta a las transferencias de datos personales fuera de la Unión Europea, la invalidación del régimen de transferencias de datos entre la Unión Europea y los Estados Unidos (Privacy Shield) por parte del TJUE (4) exige una reevaluación urgente de la legalidad de determinadas transferencias de datos personales fuera de la Unión Europea. datos personales. De hecho, la mayoría de los datos están alojados en nubes en Estados Unidos. En general, es prudente favorecer el almacenamiento de datos en el territorio de la UE, firmar cláusulas contractuales tipo actualizadas con las últimas modificaciones de la Comisión Europea (5) o ofrecer garantías equivalentes.

Finalmente, el cuarto punto tiene como objetivo anticipar la inflación de precios así como las cambiantes necesidades de los clientes. SaaS es un modelo de distribución de software que tiene distintas especificidades, como el hecho de que su uso se realiza de forma remota. El coste del servicio debe entonces corresponder a su uso real. Atención ! Este tipo de contrato se ofrece a menudo en forma de contrato de adhesión.

Un enfoque negociado debería conducir a la negociación de límites de precios o, en caso de variación del nivel de actividad de la empresa, a ajustes controlados.

Básicamente, es prudente ofrecer una opción para salir del contrato.

El enfoque basado en el riesgo es sin duda la mejor manera de controlar un proyecto informático, ya que el contrato pretende anticipar las soluciones que deben implementarse: para cada riesgo, un escenario contractual debe permitir a las partes encontrar un modus operandi. Por tanto, conviene invertir en la fase contractual, pero también garantizar que el proyecto se ejecute de conformidad con el contrato.

(1) Tribunal de Apelación de Versalles 13º cap., 2 de octubre de 2014, RG n°12/05834.
(2) Ver Cass. Com., 22 de noviembre de 2016 núm. 15-17.743: el Cliente estaba convencido de que el proveedor de outsourcing buscaba imposibilitar la correcta ejecución de la reversibilidad al negarse a entregar las claves del sistema de información. Sin embargo, el Tribunal consideró que el Cliente no había cumplido con los términos de implementación de la cláusula de rescisión prevista en el contrato y por lo tanto rechazó su solicitud.
(3) Tribunal de Comercio de Lille Métropole, sentencia de 26 de enero de 2023, SAS FRANCE BATI COURTAGE / SAS OVH
(4) TJUE 16 de julio de 2020 Schrems II, C 311/18 - https://www.cio-online.com/actualites/lire-l-affaires-schrems-n-en-finit-pas-de-faire-des-vagues-13793.html
(5) CIO Online, 27 de febrero de 2023, https://www.cio-online.com/actualites/lire-transferts-de-donnees-hors-ue-mise-a-jour-vos-nouvelles-clauses-contractuelles-types-14769.html