Vous êtes éditeur et venez tout juste de lancer votre logiciel ? Avez-vous pensé à bien définir vos engagements contractuels de disponibilité et continuité de vos services vis-à-vis de vos clients ?
Il s’agit pourtant d’une étape indispensable : les exigences des entreprises sont en effet de plus en plus grandes, et la concurrence est particulièrement rude dans le secteur des prestations informatiques.
Disposer d’un contrat encadrant la commercialisation de votre logiciel n’est souvent plus suffisant pour répondre aux attentes spécifiques des clients, notamment lorsqu’il s’agit d’une offre en SaaS.
La mise en place d’accords de niveaux de services dits “SLA” (service level agreement) et plans de continuité d’activité dits “PCA” ou “BCP” (business continuity plan) font désormais partie des prérequis attendus et incontournables demandés aux éditeurs et prestataires informatiques.
Ces documents ont également pour but d’encadrer tout événement imprévu mettant en cause le fonctionnement de votre service, et de mesurer par la même vos capacités de “résilience” en période de crise, telle que par exemple la récente crise du covid.
Maître Benjamin Znaty, avocat spécialisé en droit des nouvelles technologies, décrypte le sujet pour vous.
Rappel : Les différents types de contrats de prestations de services informatiques
Le contrat de prestations de services informatiques est le contrat par lequel une personne ou une société (le prestataire) s’engage à exécuter pour une autre personne ou société (le client) une prestation informatique, de façon indépendante et moyennant rémunération. Ce contrat vient souvent compléter les conditions de licence et d’utilisation d’un logiciel.
Ce contrat de prestations de services a pour particularité de s’exécuter dans le secteur de l’informatique. Il doit donc contenir, outre les obligations classiques du contrat de prestations de services, des engagements propres au domaine de l’informatique.
Il existe aujourd’hui différents types de contrats de prestations de services informatiques, comme par exemple :
- Le contrat de maintenance informatique : généralement lié à un contrat de vente de matériel informatique ou à une licence de logiciel, il oblige le prestataire à assurer l’entretien de l’outil informatique ou logiciel de son client ;
- Le contrat de développement de logiciel informatique spécifique : il permet à un client, qui éprouve des besoins spécifiques, de commander auprès d’un prestataire un logiciel conforme à ses critères convenus dans un cahier des charges ;
- Le contrat d’outsourcing : appelé également contrat d’externalisation, l’outsourcing permet au client de confier la gestion et l’exploitation de son système informatique à un prestataire ;
- Le contrat Saas (software as a service) : le contrat SaaS combine la licence de logiciel et le contrat de prestations, le prestataire fournit au client un accès à distance à un applicatif et aux services associés à l’utilisation de cet applicatif.
Ces contrats s’accompagnent généralement de documents opérationnels et d’annexes au sein desquelles il est très important de faire figurer deux documents : le Service Level Agreement (SLA) et le Plan de Continuité d’Activité (PCA).
Pourquoi mettre en place un Service Level Agreement (SLA) ?
Qu’est-ce que le SLA ?
Le SLA - ou accord de niveau de services - est un document qui a vocation à définir et mesurer les engagements de niveaux de services pris par le prestataire.
Ce document devient incontournable quand le client dépend de la continuité des services du prestataire pour pouvoir exercer son activité, notamment dans le cadre de l’outsourcing ou d’une offre de logiciel en SaaS.
Le SLA a pour objectif de définir plusieurs types d'engagements tels que :
- Les engagements au titre de la disponibilité, de la qualité et de la performance du service attendu ou logiciel mis à disposition : Quel est le niveau du service du prestataire ? Quel est le taux de disponibilité des services ? Quel est le taux de disponibilité du logiciel mis à disposition ? Quelle performance est attendue ? Pour quelle volumétrie ? Quels sont les engagements pris en terme de scalabilité en cas de montée en charge ? etc.
- Les engagements au titre de la maintenance et/ou du support : il s’agit de décrire précisément la manière dont le prestataire assiste son client. Comment s’engage t-il à résoudre les problèmes en cas de bug ou d’incident ? Quels sont les délais d’intervention et de résolution ? Pour cela, le SLA prend classiquement en compte le niveau de criticité du bug ou de l’incident rencontré. Il prévoit également les modalités du dédommagement du client en cas de manquement de la part du prestataire à ses engagements (de manière générale, il s’agit d’un avoir).
Le contenu du SLA varie en fonction du type de logiciel utilisé ou prestations de services informatiques attendues. Il est toutefois généralement recommandé d’y faire apparaître notamment les informations suivantes :
- la nature et l’étendue des services fournis ;
- la définition des niveaux de services et leurs indicateurs de performance : disponibilité, fiabilité, temps de réponse en cas d’incident, qualité, etc ;
- les critères de mesurabilité des indicateurs choisis ;
- les modalités de suivi et de reporting des indicateurs ;
- les modalités de notification des incidents ;
- le calendrier des interventions ;
- les différents types de dédommagements applicables ;
Il est essentiel d’avoir un SLA qui réponde aux besoins et aux attentes de vos clients tout en reflétant de manière appropriée les actuelles capacités de votre organisation. Véritable plus-value dans la cadre d’une procédure d’appel d’offres, ce document permet également d’établir une véritable relation de confiance entre l’éditeur et son client tout au long de la durée du contrat et d’anticiper les éventuels conflits qui pourraient naître entre les parties. Ce document constitue un gage de transparence, de sérieux et de crédibilité vis-à-vis de vos clients, à condition toutefois de prendre des engagements que vous serez capable d’honorer. Il peut par exemple être préférable pour un prestataire de s’engager sur des délais d’intervention et de propositions de solution de contournement en cas de bugs plutôt que de s’engager sur des délais de résolution qui ne pourront être tenus.
Rédaction du SLA : les points d’attention
La rédaction et la négociation du SLA peuvent s’avérer complexes. En effet, dans le cadre d’un appel d’offres, le client va présenter ses besoins et ses attentes à l’éditeur. Ce dernier va, quant à lui, délimiter le niveau de service et le niveau de maintenance qu’il est en mesure de proposer et d’honorer. Or les attentes et les moyens disponibles ne sont pas toujours alignés, raison pour laquelle l’intervention d’un tiers professionnel peut s’avérer utile au cours de la rédaction et de la négociation du SLA.
De même les indicateurs et les clauses délimitant le périmètre d’intervention du fournisseur de services IT, peuvent parfois manquer de clarté et être difficilement interprétables pour des non initiés. Par exemple, la disponibilité du service est souvent présentée au travers d’un pourcentage, un multiple compris entre 99% et 100% : “je vous garantis que le logiciel sera disponible 99,1% du mois”.
Mais comment mesurer ce taux ?
L’ensemble des indicateurs doivent régulièrement être mesurés et contrôlés. Le SLA doit clairement faire mention de la fréquence de ces reportings.
A l’inverse, le SLA doit également faire mention des obligations du client. En effet, ce dernier doit par exemple s’engager à respecter les règles “d’updating” du logiciel ou encore assurer la formation de son personnel sur l’utilisation de l’outil.
Les dédommagements et avoirs dus au client (les “services credits”) en cas de non respect des engagements pris est également un point crucial du SLA. Il est préférable pour le prestataire de prévoir au titre du SLA que l’octroi d’avoirs constitue le recours exclusif du client. Cette formulation très classique en matière de SLA n’est pour autant pas sans conséquences pour le client. En cas de manquement aux engagements pris au titre du SLA, le client ne pourra prétendre qu’aux avoirs proposés et ne pourra demander une réparation additionnelle au titre de tout préjudice pouvant être causé en cas d’indisponibilité des services. Ce point fait très souvent l’objet de longues négociations.
Avoir un SLA aligné avec les attentes de ses clients permet donc de les rassurer et atteste du sérieux de votre service et de votre capacité à poursuivre votre activité dans un contexte malmené, notamment en période de crise.
Mais dans un contexte de crise, le SLA ne suffit souvent pas pour garantir la capacité de “résilience” du prestataire. Encore faut-il être en mesure d’anticiper les éventuelles perturbations et conséquences d’une crise (telle que par exemple la crise du coronavirus) dans l’organisation de votre entreprise et d’être en capacité d’en limiter les impacts. Pour cela, il est fortement recommandé de mettre en place également un Plan de Continuité d’Activité (PCA).
L’importance d’établir un Plan de Continuité d’Activité (PCA)
Parallèlement au contrat de prestations de services informatiques et au SLA, il est également vivement recommandé de prévoir en interne un plan de continuité d’activité, le PCA.
Le PCA énonce toutes les règles et les procédures internes à mettre en en œuvre afin de permettre, en cas de situation exceptionnelle (par exemple, une panne de réseau, un incident informatique, une crise sanitaire), la reprise et/ou la poursuite de l’activité.. .
En tant que prestataire, il est indispensable d’être en mesure d’anticiper et de s’organiser en interne sur les moyens visant à poursuivre l’exécution des prestations en cas d’affectation du service.
Le PCA permet alors de décliner rapidement une véritable stratégie technique de continuité. Par exemple, il peut prévoir que le jour où les salariés ne pourront plus venir sur le lieu de travail, le télétravail sera appliqué. Ou encore, en cas de panne informatique, que les données seront sauvegardées et répliquées sur un autre serveur.
De manière générale, le PCA doit contenir des mesures propres à :
- L’organisation de l’activité : Quelles sont les activités qui doivent être impérativement maintenues en raison de leur criticité ? Comment les maintenir concrètement ? A quels salariés faut-il faire appel pour cela ?
- L’organisation du travail : mise en place et modalités d’organisation du travail en cas de crise, mise en place du télétravail, système de rotation des équipes etc ;
- La mise en place des alertes et notifications : mise en place des procédures venant déclencher les alertes et notifications en cas d’interruptions et dysfonctionnements ;
- La mise en place des procédures de reprise : mise en place des processus de gestion de crises, des objectifs de temps de reprise des services, de temps de récupération des systèmes et données ;
- La prise en compte des tests et évolution : afin que le PCA reste effectif en dans la durée, il conviendra également de prévoir les procédures de test du PCA en situation opérationnelle les processus d’évolution du PCA ;
Dernier point d’attention, si le PCA est bien un document incontournable, il dévoile néanmoins des informations stratégiques et sensibles sur votre organisation. Ainsi, il est recommandé ne pas non plus tout dévoiler de votre PCA à votre client, au risque de vous exposer en cas de fuite de ce document au public. Un simple résumé ou une version “allégée” du PCA est parfois suffisante en tant qu’annexe contractuelle.
Vous l’aurez compris, il est capital de bien définir en amont vos engagements en tant que prestataire vis-à-vis de vos clients. Les documents annexes tels que le SLA ou le PCA ne doivent absolument pas être négligés et deviennent même indispensables pour certains types de contrats informatiques pour lesquels la continuité des services du prestataire est indispensable au client, notamment lorsqu’il s’agit d’une offre en SaaS. Cet arsenal vous garantit en outre une crédibilité aux yeux de vos clients et donc une plus-value face à vos concurrents.