L’ASP se développe : tour d’horizon des obligations du prestataire

Publié le par - 0 vues

Plutôt que d’acquérir les moyens matériels, logiciels et humains nécessaires à leur informatisation, les entreprises peuvent faire appel à un prestataire unique (le prestataire ASP) qui, dans le cadre d’un abonnement, se chargera d’héberger leurs données et de leur donner accès, à distance et le plus souvent via internet, à un certain nombre d’applications, en…

Plutôt que d’acquérir les moyens matériels, logiciels et humains nécessaires à leur informatisation, les entreprises peuvent faire appel à un prestataire unique (le prestataire ASP) qui, dans le cadre d’un abonnement, se chargera d’héberger leurs données et de leur donner accès, à distance et le plus souvent via internet, à un certain nombre d’applications, en plus de services spécifiques (maintenance, protection anti-virus, firewall, backup, archivage, helpdesk…).

Les avantages de cette solution sont bien réels : les besoins du client sont rencontrés rapidement, les coûts sont connus, échelonnés et souvent moindres que dans le cadre d’une informatisation traditionnelle. Par ailleurs, grâce à l’ASP, l’entreprise peut se concentrer sur son core business et déléguer à des spécialistes la gérance des fonctions non-essentielles.

Malgré ces avantages, le développement de ce modèle n’a pas connu la rapidité qu’on lui prédisait à l’époque. Néanmoins d’aucuns s’accordent à dire qu’il représente une évolution irréversible dès lors qu’il “correspond à la principale solution offerte aux entreprises pour leur permettre de tirer partie des bénéfices des nouvelles technologies de l’information, tout en évitant les dérives d’une informatique souvent envahissante et non maîtrisée”.

Sur le plan juridique, le modèle ASP soulève certaines questions auxquelles il convient d’être attentif lors de la conclusion du contrat.

L’ASP : un concept à cerner

L’ASP, traduit textuellement comme étant la “Fourniture d’Applications Hébergées” (FAH) est un concept assez flou. En effet, toute fourniture d’information en ligne proposant une interaction avec l’utilisateur peut être considérée comme une application en ligne et donc répondre à la définition d’ASP (à titre d’exemple, Yahoo peut être considéré comme un prestataire ASP).

Cette définition se devait d’être précisée pour répondre à la réalité recouverte par le modèle ASP. Dans ce cadre, L’ASP Forum, qui regroupe les acteurs du marché ASP français, propose de définir le prestataire ASP comme étant un “Fournisseur de Services Applicatifs Loués en Ligne” dont l’activité consiste à (i) proposer (offrir, fournir et mettre à disposition, distribuer et délivrer, assurer la gestion et administrer) (ii) des services applicatifs (des solutions logicielles et services informatiques) (iii) en ligne (à distance, depuis des serveurs centraux au travers de réseaux sécurisés) (iv) en mode locatif (grâce à un droit d’accès à l’usage ou au mois).

La qualification juridique

La qualification juridique de la relation nouée entre le client et le prestataire ASP dépendra avant tout des obligations contractuelles pesant sur le prestataire ASP. Dans ce cadre, un modèle ASP traditionnel se construit autour d’un noyau de prestations de mise à disposition de ressources logicielles applicatives.

Traditionnellement, trois types de qualification juridique peuvent être proposés: la vente, le louage de chose et le louage d’ouvrage.

La vente doit être rejetée car elle implique que le client soit propriétaire de l’application. Or, dans le modèle ASP, le client loue un droit d’accès à l’usage et n’est donc pas propriétaire de l’application mais seulement des données.

La qualification de contrat de location, si elle convient mieux, ne peut cependant être retenue. S’il est vrai que le client bénéficie effectivement d’un droit d’utilisation de l’application contre le paiement d’une redevance, cette qualification ne prend pas en compte l’ensemble des services fournis autour de cette application.

Partant, il apparaît que la qualification qui convienne le mieux soit celle du louage d’ouvrage, ou contrat d’entreprise. Ceci correspond par ailleurs à la volonté affichée par le secteur des ASP puisque ceux-ci insistent sur la notion de service contenue dans la définition.

L’importance de la phase pré-contractuelle

Tout comme dans le cadre de la conclusion de contrats informatiques “traditionnels”, la phase pré-contractuelle d’un contrat ASP revêt un caractère primordial.

En effet, c’est durant cette phase que le client communique au prestataire ses besoins et que celui-ci lui propose les solutions pour y répondre. S’il est vrai que dans le cadre de la fourniture d’applications simples, le contrat d’ASP ne pose pas de problèmes majeurs, il en est tout autrement dans le cadre d’applications complexes (de type ERP par exemple).

On insistera dès lors sur la rédaction, par le client, d’un cahier des charges précis et complet détaillant les applications et les services attendus, l’interfaçage personnalisé, le paramétrage spécifique, les modalités de transfert des données, le reporting, l’accessibilité, l’évolution de la solution…

Ceci est d’autant plus important qu’à la base, le modèle ASP se veut de type “one to many” : il s’adresse à de multiples entités via une connexion à distance à partir d’un serveur de données. Un paramétrage poussé adapté pour chaque client n’est donc pas un de ses objectifs principaux. Néanmoins, par l’expression de ses besoins au sein du cahier des charges, le client évite ainsi les déconvenues.

Un tel cahier des charges est par ailleurs particulièrement utile au prestataire ASP dans le cadre du respect de son obligation d’information envers son client. Cette obligation ne se résume pas à la fourniture d’informations objectives sur l’application fournie et revêt un caractère renforcé en fonction de la complexité de l’application. Ainsi, dans le cadre de la fourniture d’application complexes, de type ERP, le prestataire ASP sera tenu d’informer son client des répercussions possibles sur son organisation et sa gestion internes. A défaut du respect de cette obligation, le prestataire ASP pourrait se voir durement sanctionné (résolution ou résiliation du contrat assortie de dommages et intérêts).

La définition des services

De la définition des services offerts dépendra l’étendue des prestations devant être accomplies par le prestataire ASP.

Ces prestations porteront notamment sur le droit d’accès à l’application et ses modalités, le traitement, l’hébergement et la sauvegarde des données, les modalités d’archivage des données, la fourniture de services annexes parmi lesquels la mise à disposition d’une assistance téléphonique, le paramétrage de l’application, la maintenance (correctrice, évolutive et adaptative) de l’application, la formation des utilisateurs, la fourniture des infrastructures de télécommunication…

On veillera, à cet égard, à préciser le plus possible les prestations attendues du prestataire ASP. En effet, cette précision conditionne le type d’obligation pesant sur le prestataire. L’idéal étant, pour le client, d’obtenir du prestataire ASP un engagement de résultat sur certains points. On constatera cependant qu’en matière informatique, les engagements du prestataire sont le plus souvent des obligations de moyens. Le client ne peut dès lors engager la responsabilité du prestataire que pour autant qu’il apporte la preuve d’une faute de la part de ce dernier. En matière d’ASP, les Services Level Agreements (SLA, voir ci-après) apporteront, dans une certaine mesure, un correctif à ce problème.

Une pluralité d’intervenants mais une offre agrégée

On l’a vu ci-dessus, les services offerts au client par le prestataire ASP sont nombreux et divers. La particularité du modèle ASP réside dans le fait que, dans la majorité des cas, le prestataire ASP n’exécute pas personnellement les prestations auxquelles il s’engage envers le client final.

Ainsi, en amont de sa relation avec le client final, le prestataire ASP est amené à conclure des partenariats avec des éditeurs de logiciels en ce qui concerne l’application, des fournisseurs d’accès (à internet ou à d’autres types de réseaux); des centres informatiques qui se chargeront de l’hébergement de l’application, des données du client et qui assureront la mise en place de toutes les garanties techniques nécessaires; des tiers archiveurs qui s’occuperont des sauvegardes à plus long terme des données du client; des intégrateurs qui assureront l’interopérabilité de l’application avec d’autres logiciels, les interfaçages, les paramétrages; des opérateurs de télécommunications…

Idéalement, le contrat d’ASP doit constituer une agrégation de toutes ces relations existant en amont. Le prestataire ASP constitue dès lors l’unique contractant du client final et, dans ce cadre, assume l’ensemble des responsabilités découlant de l’interaction avec les différents partenaires. On conseillera donc au client d’être particulièrement attentif aux clauses du contrat d’ASP qui stipuleraient un partage de responsabilité avec les autres partenaires ou des causes d’exonération de responsabilité du prestataire ASP liées aux autres intervenants.

Dans cette optique, le contrat d’ASP doit organiser et faire converger harmonieusement l’ensemble des applications et services vers le client final.

Le prestataire ASP veillera, bien entendu, à ne pas s’engager à des obligations plus contraignantes que celles dont il peut réclamer le respect auprès de ses partenaires (notamment dans le cadre du SLA le liant au client final).

Si le client final n’a, en principe, aucun lien avec les partenaires en amont, il lui sera cependant utile d’être informé de l’identité des autres intervenants aux fins de se renseigner et de s’assurer de leurs qualités.

L’engagement de qualité : le SLA

On l’a souligné ci-avant, les obligations pesant sur le prestataire ASP s’analysent généralement en termes d’obligations de moyens. Dans ce cadre, le Services Level Agreement accompagnant le contrat d’ASP constitue une garantie pour le client que le prestataire ASP satisfera à une certain niveau de qualité, niveau sur lequel il s’engage, cette fois-ci, en termes de résultat.

Les engagements contenus dans le SLA portent tant sur les services applicatifs que sur leur accès par le biais des liaisons télécoms.

De manière générale, le SLA établira des seuils garantis quant à la disponibilité de l’application et du réseau, la vitesse de transfert des données, les délais maximum d’interruption, la fréquence des backups, les délais de restauration des données et des applications, la performance et la sécurité du système, les procédures de contrôles de ces éléments.

En cas de non respect des seuils fixés au sein du SLA, des indemnités forfaitairement fixées sont automatiquement dues au client par le prestataire ASP. Le client n’a donc pas à apporter la preuve que le non respect du SLA est dû à un comportement fautif du prestataire ASP. En outre, en cas de persistance du non respect du SLA pendant un certain laps de temps, le client peut alors postuler la résiliation du contrat aux torts du prestataire ASP. Certains SLA prévoient, préalablement à cette sanction ultime, une procédure d'”escalation” qui a pour objectif de soumettre le problème rencontré aux différents niveaux hiérarchiques des deux parties. Si le problème n’a pu être solutionné à la fin de cette procédure, le contrat est alors résilié.

On notera enfin que le prestataire ASP conclut également des SLA’s avec l’ensemble de ses partenaires en amont. Dès lors, le SLA destiné au client final se devra d’être réaliste au regard des engagements de qualité des prestataires en amont.

Une question récurrente : le sort des données du client

Dans le cadre des services fournis, le prestataire ASP est très souvent amené à traiter, stocker, sauvegarder et archiver les données du client.

Parmi ces données, certaines sont des données sensibles dès lors qu’elles constituent des données commerciales particulièrement importantes et qui peuvent relever du secret d’affaire. Il sera alors tout à fait légitime de la part du client de s’assurer d’une sécurité et d’une confidentialité et partant, de veiller à l’insertion de clauses contractuelles spécifiques sur le traitement de telles données, les restrictions d’accès mises en place ainsi que la fourniture d’une liste mise régulièrement à jour des personnes autorisées à y accéder (employées du prestataire ASP ou de ses partenaires en amont).

Parmi ces données, certaines peuvent être des données à caractère personnel au sens de la loi de 1992 dite loi vie privée (par exemple, un fichier de clientèle du client final). Eu égard aux dispositions légales applicables, le client final revêt la qualité de responsable du traitement de ces données (il défini les finalités et les moyens du traitement de ces données). Dans ce cadre, le client veillera alors à s’assurer que le prestataire ASP n’héberge (ou ne fait héberger) ses données que dans des Etats membres de la Communauté européenne ou dans des Etats non-membres mais qui sont reconnus comme assurant un niveau de protection adéquat. A défaut, le client pourrait voir sa propre responsabilité engagée de ce fait. Dès lors, eu égard à ces dispositions légales, le prestataire ASP pourrait être amené à s’engager contractuellement à n’héberger de données que dans un territoire défini.

Outre ces aspects, il conviendra d’être particulièrement attentif au sort des données du client pendant la vie du contrat, en cas de terminaison de ce contrat ou encore en cas de faillite ou concordat du prestataire ASP. Dans les deux premiers cas, le client veillera à ce que le contrat prévoie l’obligation, pour le prestataire ASP de fournir l’intégralité des données du client et ce, à première demande de ce dernier. Dans le troisième cas, il conviendra d’être particulièrement prudent et précis sur la titularité des données hébergées auprès du prestataire ASP de manière à pouvoir les identifier et les revendiquer en tout temps et ce, pour le soustraire à la mainmise des créanciers.

Droit & Technologies

Publié dans

Thèmes

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK