Culture Numérique

Quel cadre juridique pour le contrat du MSP ?

Hey ! Bonjour à toutes et tous !

Nous voilà de nouveau ensemble pour continuer à en apprendre un peu plus sur le modèle MSP.

Pour rappel, nous avons vu jusqu’à présent ce qu’est un MSP, les différents services qu’il peut proposer à ses clients ainsi que les outils qu’il doit utiliser afin de répondre efficacement aux différents besoins de ses clients, pour ce faire, il a notamment le PSA et le RMM.

Si vous souhaitez vous rafraîchir la mémoire ou simplement rattraper votre retard de lecture de mes précédents articles, ils sont tous disponibles ci-dessous :

Aujourd’hui, nous allons aborder le cadre juridique qui entoure un contrat MSP. Et pour ça, nous allons le faire sous une forme que nous n’avons pas l’habitude de voir sur Tech2Tech. En effet, il s’agira d’une interview !

Qui dit interview, dit une personne à interviewé et pour ça, j’ai le plaisir d’accueillir notre invité maître Éric Le Quellenec !

L’interview

Kevin Engel : Bonjour, Maître, merci de votre présence sur Tech2Tech ! Je vous invite à vous présenter auprès de nos différents lectrices et lecteurs afin de commencer cette interview.

Éric Le Quellenec : Bonjour à l’ensemble de la communauté Tech2Tech ! Je suis Éric Le Quellenec avocat à la cour d’appel de Paris depuis maintenant 15 ans, spécialisé dans les technologies et télécoms. Au sein du cabinet Lexing Alain Bensoussan Avocats

J’accompagne mes différents clients, aussi bien des prestataires de services que des clients utilisateurs, dans leurs différents projets numériques ainsi que la définition de leurs offres de services contractuellement parlant.

Cette double vision (côté prestataire et côté client) me permet de trouver le meilleur équilibre du point de vue du client, en matière de qualité de service attendu et du point de vue du prestataire concernant le retour sur investissement, qualité de service, etc.

Cela étant mon cœur d’activité, je l’ai prolongé au-delà de la rédaction de contrat, dans une activité de « Contract Management ». Ceci est une démarche provenant des États-Unis, qui arrive petit à petit en France et même en Europe plus largement, ceci consiste à aller plus loin que la simple rédaction d’un contrat.

Il y a un accompagnement de la mise en place du contrat entre les deux parties. Et bien entendu, si nécessaire, l’accompagnement au contentieux avec des expertises judiciaire, même si je privilégie la négociation et la conclusion de transaction.

De mon point de vue, si nous allons devant le juge, c’est que nous avons déjà échoué, qu’importe, la difficulté de l’affaire, nous devons laisser la place au dialogue.

Merci de cette présentation. Je rappelle également que vous avez publié avec Alain Bensoussan un ouvrage sur le « Contract management, outils et bonnes pratiques de la fonction » (collection Minilex, édition Bruylant, éd. 2019).

Nous allons donc aller dans le vif du sujet directement avec notre première question : En France, il y a-t-il des lois qui encadre correctement les types de contrats que peuvent proposer les MSP ?

ELQ : Oui, tout à fait depuis que le Code civil existe nous savons que tout ce qui concerne la prestation de service relève du contrat d’entreprise et rare principe de base et dont le principal est méconnu, c’est que le prix n’est pas déterminant dans ce type de contrat.

En effet, ce que vient chercher le client du point de vue du Code civil, c’est un service. De ce fait, tout travail méritant salaire, si un prestataire a travaillé 132 jours, on lui doit 132 jours. À partir de là, nous comprenons vite que par rapport à un contrat de vente, il faudra être très vigilant au périmètre défini et au budget qui lui est associé.

Plus basiquement, le contrat d’entreprise peut se traduire pour un MSP par un contrat de fourniture de mains-d’œuvre. Dans l’esprit de « Je mets à disposition des personnes pour rendre les services », de là nous avons de nouveau le fait que si j’ai une personne qui travaille 139h, je lui dois 139h (tout travail méritant salaire).

À partir de ce constat-là, une logique est vite venue dans les années 60/70 quand les premiers infogéreurs sont apparus, qui était de sortir de cette approche de service pour aller vers une logique de livrable

 

Il ne s’agit plus d’avoir une vision jour/Homme, mais plus une logique de service qui est lié à des machines, à un périmètre bien défini qui permet de ce fait d’objectiver le prix ainsi que la qualité de service attendu.

Ce type de contrat a toutefois évolué et est devenu plus souple, avec l’apparition de contrat type « HelpDesk » où un support d’assistance est à disposition pour porter « secours » aux utilisateurs. De ce fait, nous sommes plus sur une facturation à l’intervention où à l’inverse l’infogéreur interviendra sur le Si de manière globale (serveurs, machine, applications, etc.).

Néanmoins, un entre-deux existe et celui-ci répond aux besoins d’un MSP qui grâce à ses outils de supervision, de suivi (PSA et RMM) et d’autocorrection (proactif), permet d’avoir un niveau de service performant et ceci dans une tarification tout à fait raisonnable.

Ceci est la genèse et la structuration du marché sur 40 ans ! Ce qui n’est pas mal du tout de mon point de vue ! De plus, celui-ci va continuer à grandir avec l’arrivée de l’IA dans les outils du prestataire informatique.

KE : Il y a-t-il des clauses indispensables à inclure dans les contrats que propose les MSP en France ?

ELQ :  Oui, tout à fait. Nous retrouvons des clauses spécifiques telles que celle concernant le périmètre d’intervention, celle de la tarification ou encore celle de la responsabilité prise.

Il faudra d’ailleurs être très vigilant sur cette clause de responsabilité, car le MSP sera à la fois délégataire, mais aussi mandataire de son client auprès de certains éditeurs.

En effet, il y a souvent le cas où ceci est seulement dit sans vraiment être juridiquement encadré. Si du point de vue du client c’est au prestataire de faire les démarches nécessaires auprès de l’éditeur et que ce dernier ne le fait pas de manière proactive, ceci va créer une insécurité dans l’esprit du client, car la confiance ne sera pas vraiment là.

KE : Je vais rebondir sur la clause de tarification. Nous le savons, le MSP à un modèle économique où il a un revenu récurrent par mois de la part de ses clients. De ce fait, quelles sont les bonnes pratiques afin de définir correctement le périmètre d’intervention ainsi que le forfait ?

ELQ : Question intéressante en effet. Dans un monde idéal, il y a toujours une phase de cadrage, dans laquelle nous retrouvons tout d’abord un cahier des charges, néanmoins celui-ci n’est pas suffisant. Une phase d’audit de la part du prestataire sera également nécessaire afin de faire un point sur l’existant du client et d’indiquer clairement ce qui rentre ou non dans le périmètre du contrat MSP.

À partir de là, si vous arrivez à obtenir cet ensemble, vous aurez des fondations solides et pérennes pour la bonne exécution du contrat.

Cependant, si vous n’avez pas la possibilité d’obtenir le monde idéal. Vous serez dans une relation de confiance où vous aurez le risque que le périmètre soit trop petit ou trop grand. Et que lorsqu’une situation de conflit arrivera (perte de données à la suite d’une cyberattaque, arrêt de production, etc.), la relation avec le client n’en sera que plus compliquée et pourra même finir devant la justice.

Dans la pratique, ce que nous voyons le plus régulièrement sur des clients types TPE/PME. Le prestataire MSP réalise l’audit et si le contrat est signé par la suite, l’audit sera offert au client. Sur des clients plus importants, il serait toutefois risqué au MSP d’y aller aveuglément sans audit préalable.

KE : Une des questions que doivent se poser régulièrement les MSP doit certainement être au sujet de sa responsabilité et de ses obligations auprès de son client. S’agit-il d’une obligation de moyens ou de résultat qu’il devra avoir auprès de ce dernier ?

ELQ : En effet, il s’agit là d’une bonne question. Toutefois il faut se mettre d’accord sur une notion juridique qui est derrière tout ça. Si nous prenons l’ensemble des livres de droits et autres décisions de justices (« la jurisprudence »), ils sont d’accord sur une chose, c’est qu’il s’agit de la charge de la preuve.

C’est-à-dire que le jour où il y a un problème et que c’est au client de démontré ce qui ne va pas et qui doit apporter la preuve nécessaire au manquement du prestataire, nous sommes dans une obligation de moyens. Nous sommes dans le cas du droit commun, c’est celui qui demande quelque chose qui doit apporter la preuve.

Ou à l’inverse, si le client indique seulement comme quoi ça ne fonctionne pas. La charge de la preuve incombera alors le prestataire qui devra faire la justification du

pourquoi ça ne fonctionne pas (non-respect des bonnes pratiques indiquées, manque de formation des utilisateurs, modification du système sans l’accord préalable du prestataire, cas de force majeur, etc.). Ceci sera donc une obligation de résultat.

Enfin, pour répondre à la question, quelle clause est la plus adaptée pour un MSP, je répondrai qu’il s’agit surtout du périmètre que couvre le MSP. S’il s’agit d’un périmètre assez large, il sera plus sur une responsabilité de résultat, car il aura la main sur l’ensemble du SI. A l’inverse, si son périmètre est très restreint, qu’une seule partie du SI en charge, il sera plus sur une responsabilité de moyens.

Pour résumer, une obligation de moyens, c’est au client d’apporter la preuve, une obligation de résultat c’est au MSP d’apporter la preuve.

KE : Qu’en est-il du RGPD pour le MSP ? Est-il le responsable du traitement des données de ses différents clients ?

ELQ : Avec le guide de la CNIL qui est sur la base de l’article 28 du RGPD concernant la sous-traitance, ainsi que le projet du Comité Européen sur la protection des données, nous avons une stabilisation juridique concernant le statut du prestataire à l’égard des données.

Nous considérons que celui-ci, même par incident, peut consulter les données du client. Car dans un sens ce dernier a donné l’accès à l’ensemble de son Système d’Information,

de ce fait, du moment que les données peuvent être seulement consultées, nous sommes dans l’article 4 du RGPD où son champ d’implication est indiscutable. De là, il faudra donc faire la rédaction de l’annexe de sous-traitance RGPD article 28 au sein du contrat. Ceci est une annexe indispensable au MSP afin d’éviter toute complication durant l’exécution du contrat.

Je rappelle toutefois qu’aux yeux de la CNIL, le responsable de traitement des données reste le client et non le prestataire.

KE : Enfin, il y a-t-il des limites de tarification concernant la responsabilité du MSP quand celui-ci est fautif ?

ELQ : De nouveau ceci dépend du périmètre que couvre le MSP. Plus celui-ci est large, plus les risques d’être fautif sont importants. Encore faut-il que ce qui relève de la responsabilité du MSP soit correctement défini au sein du contrat.

Toutefois, une fois que ceci est bien géré, le plafond total de responsabilité le standard du marché est sur 1 an de contrat maximum. Bien sûr, il y a des cas plus particuliers où ce plafond peut être négocié entre le MSP et le client en fonction du secteur d’activité de ce dernier.

KE : Je vous remercie maitre d’avoir mis en lumière certaines zones d’ombres concernant le contrat du MSP. Je vous propose maintenant de passer aux différentes questions de nos lectrices et lecteurs de la communauté Tech2Tech.

Questions / Réponses

Kevin Engel : « Nous avons une première question qui est la suivante : « Dans le cadre d’un contrat où il est proposé un support d’assistance illimité. Comment bien définir ce qui relève de l’assistance ou non ? » Question du membre : Pyrithe

Éric Le Quellenec : Il faut correctement faire la différence entre ce qui relève de l’assistance de type « hotline », support du système et également le maintient en fonctionnement de celui-ci.

Je vois régulièrement des contrats où le mélange entre ces trois types de supports est fait. Afin d’éviter ce type de mélange, il faut correctement mettre en place ses accords de services (SLA) au sein du contrat MSP.

L’idéal aussi, c’est d’avoir un référent chez chaque client qui soit le seul à être habilité à contacter le support d’assistance. Il servira également de « filtre » concernant les demandes.

Enfin, une autre possibilité qui est souvent oubliée, c’est de mettre à disposition des clients une FAQ qui 8 fois sur 10 répondra à une problématique de ce dernier et donc d’éviter un appel au support.

KE :  « Lorsque les contrats incluent une clause de tacite reconduction de celui-ci et qui mentionne également le délai de résiliation, le MSP doit-il faire un rappel systématique à son client ? De plus, ce délai de résiliation est-il libre ou normé ? » Question du membre : Caledonian988

ELQ : Ceci est une très bonne question. Sur un contrat de type MSP, nous sommes libres, aucun rappel n’est obligatoire. Toutefois, là où la question est vraiment intéressante, c’est sur le fait qu’elle est normée ou non.

Nous voyons généralement des résiliations à 3 mois de préavis dans les contrats, mais bien que ça soit mentionné au sein de celui-ci, cette clause est soumise au droit de la rupture des relations commerciales établie.

C’est-à-dire que depuis maintenant 25~30 ans, nous avons des lois spéciales qui disent qu’entre deux commerçants, mais plus généralement en BtoB. Si une des deux parties veut quitter l’autre, nous avons obligation de prendre en compte la durée de la relation commerciale établie. Juridiquement, ceci correspond généralement à 1 mois par année d’ancienneté du contrat. Le préavis légal maximum est de 18 mois.

KE : « Le MSP peut-il faire la demande d’intérêts si le client souhaite faire la résiliation de son contrat après la date de résiliation fixer par le contrat ? » Question du membre : TechSRVG

ELQ : La réponse est simple, si la date de résiliation est dépassée et que le client souhaite partir quand même après cette date, la totalité de l’année devra être due par celui-ci.

KE : « Quel est le recours disponible du MSP concernant les incidents de paiement récurrent ? Par exemple un client qui ne paie pas pendant deux mois de suite, qui règle l’ensemble des paiements le troisième mois qui suit, mais qui les deux mois suivants recommencent à ne pas payer ? »Question du membre : TechSRVG

ELQ : Ceci est un cas délicat à traiter, car il crée une relation assez tendue entre le client et le prestataire. Toutefois, le prestataire doit faire l’arrêt de ses services dans ce type de situation. C’est à dire couper l’accès au support d’assistance, ne plus maintenir le Système d’Information, les sauvegardes, etc.

Ceci est très radical et source de conflit auprès du client, mais le prestataire a également des frais à couvrir (agent RMM, sauvegarde, salaire, etc.) et si le paiement n’est plus effectué par le client,

les frais ne seront donc plus couverts. Néanmoins, il faut être très prudent dans ce genre de procédure, il faudra l’avoir prévu dans le contrat en amont, dans une clause de défaut de paiement en indiquant que les services seront suspendus et que la responsabilité du MSP ne pourra pas être engagée. De plus, le prestataire devra notifier par lettre recommandée son client de l’arrêt de ses services ainsi que les risques que ça représente pour son système d’information. Ceci est l’obligation de mise en garde.

KE : Les contrats une fois établie, doivent-ils être revenu régulièrement ? Si oui, à quelle fréquence ? Question du membre : Schwarzer

ELQ : Alors ceci est une très bonne question et la réponse est oui. En effet, il faut revoir régulièrement ses contrats. Déjà pour les mettre à jour par rapport aux lois qui changent, notamment le RGPD, ensuite pour y inclure peut-être de nouvelles offres de service que votre client prendra dans votre catalogue de services. La moyenne est généralement de 18 mois pour reprendre les contrats.

KE : Nous voici à la fin de notre interview. Au nom de l’ensemble de la communauté Tech2Tech, je vous remercie de votre présence et de votre temps pour avoir répondu à nos différentes interrogations autour du cadre juridique concernant les contrats pour les MSP.

Je rappelle que vous avez publié avec Alain Bensoussan un ouvrage sur le « Contract management, outils et bonnes pratiques de la fonction » (collection Minilex, édition Bruylant, éd. 2019) et que vous avez participé à la dernière édition du Mémento Francis Lefebvre « Informatique Télécoms Internet » (éd. 2017).

ELQ : Merci encore pour les nombreuses questions, c’est bien la preuve que le contrat MSP est au cœur des problématiques de transformation numériques. Je vous dis donc à très bientôt !

Conclusion

Nous voici à la fin de cet article concernant l’interview de Maître Éric Le Quellenec. Si vous souhaitez prendre contact avec lui, je vous communique ses coordonnées juste ci-dessous :

[email protected]

01.82.73.05.05

J’espère que cet article vous aura pleinement satisfait ! Je vous retrouve prochainement pour de futurs articles ! Alors pour ne rien louper, n’hésitez pas à vous inscrire à la newsletter de Tech2Tech.


Des questions, des remarques ou tout simplement, envie d’échanger sur le sujet de l’article ? L’espace commentaires est là pour ça !

Kevin ENGEL

Administrateur Système et Réseau de formation, dont cinq années au service de nombreux clients de tout type (TPE, PME, commerçants, artisans, etc.) au sein d'une SSII. Aujourd'hui, je suis à mon compte. J'apprécie également partager mes connaissances ainsi que porter assistance quand je le peux sur des problématiques techniques, mais aussi apprendre de nouvelles choses au quotidien. Je possède également un fort intérêt pour la sécurité informatique et le modèle MSP.

Articles similaires

Bouton retour en haut de la page