26 Juil 2021
Ce n’est pas moi qui l’affirme mais Jean-Paul Sartre… on a les références que l’on peut. Mais cette expression prend tout son sens dans le monde de l’IT, où un prestataire fait souvent appel à d’autres prestataires pour répondre à un besoin client.
Me Éric BARBRY
On peut identifier un grand nombre de cas possibles :
- la sous-traitance au sens classique du terme, qui consiste à demander à un prestataire d’intervenir sur une partie de la prestation rendue auprès du client final ;
- la sous-traitance d’inclusion, lorsque vous voulez proposer une solution à un client et avez besoin d’inclure le service d’un tiers dans votre offre finale. Le cas le plus connu est celui de l’hébergement ou des télécoms. Vous achetez un service que vous incluez dans votre offre finale au client. La plupart du temps ce « sous-service » n’est pas identifié par le client ;
- la sous-traitance d’intégration, dans laquelle vous intégrez dans votre propre service les services de tiers (en marque blanche ou non). C’est souvent le cas des prestataires spécialisés dans la dématérialisation ou dans la GED qui proposent un service composé, mode bouquet de services.
Quelle que soit la forme de cette sous-traitance, elle apporte son lot de difficultés.
- Première difficulté : la responsabilité. Qui est responsable de quoi si la prestation rendue par le sous-traitant n’est pas au rendez-vous ? Et bien dans 99,99 % des cas, cette responsabilité retombera sur vos frêles épaules. Pourquoi ? Essentiellement pour des raisons légales, mais aussi très souvent pour des raisons contractuelles. Les clauses de sous-traitance classique validées par les clients conditionnent la possibilité de recourir à des sous-traitants moyennant le fait que le primo prestataire assume l’intervention du sous-traitant. Cela paraît au demeurant assez normal surtout quand le sous-traitant est inconnu du client final.
Quelles sont les solutions pour maîtriser ce premier risque :
-
- Faire signer les contrats des tiers intervenants directement avec le client final… solution rare mais pourquoi pas.
- Rédiger un « bon » contrat avec vos sous-traitants. La plupart du temps vous acceptez des contrats (quand il y en a) de piètre qualité où les clauses de responsabilité et de plafond de réparation ne sont pas à votre avantage. Il faut sur ce point s’assurer de ce qu’on appelle le « back to back ». Ne pas accepter avec un prestataire un contrat ou les engagements sont inférieurs à ceux que vous avez signés avec votre propre client.
- Enfin s’assurer sur les risques des tiers intervenants et exiger de vos prestataires des niveaux d’assurance compatibles avec votre intervention auprès du client final.
- Seconde difficulté : le RGPD. Vous allez penser que je suis obsédé par ce texte et que je ne suis pas capable d’écrire un article sans parler du RPGD…. Mais non, je ne fais que traduire une réalité juridique. Comme vous le savez, dans bon nombre de cas, vous intervenez en tant que « sous-traitant » (Cf ma précédente chronique - lien ci-dessous), et à ce titre, vous devez garantir à votre client votre propre conformité.
Mais il y a mieux : le RGPD prévoit le cas de ce que l’on appelle la « sous-traitance ultérieure ». Un sous-traitant au sens du RGPD (qui traite directement ou non la donnée d’un client telle que : hébergement, maintenance, supervision, administration ….) fait appel à un prestataire pour une partie de cette prestation. On parle alors de « sous-traitance ultérieure ». Or, dans ce cas, le RGPD est très clair :
→ Règle 1 - « Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement ». Dans le cas, par une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.
→ Règle 2 – « Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat entre le responsable du traitement et le sous-traitant sont imposées à cet autre sous-traitant par contrat, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. »
Et la sentence est irrévocable : « Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations ».
- Troisième difficulté, et non des moindres : la protection du prestataire principal contre les pratiques « contestables » de son sous-traitant. On peut identifier 3 types de pratiques contestables :
- La pire : détourner le client à son profit.
- Détourner les salariés du prestataire principal (qui va souvent de pair avec le détournement de clientèle)
- « Pomper » ou s’approprier les méthodes et savoir-faire du prestataire principal.
Ici, il n’y a qu’un seul rempart : le contrat, le contrat et encore le contrat. Trop souvent, la relation s’inscrit dans un environnement de confiance. Mais comme disait notre ami Lénine « La confiance n’exclut pas le contrôle ».
L’anticipation passera par des clauses de non concurrence, clause d’interdiction de prospecter ou entrer en contact avec le client, clause de non débauchage, clause de respect de la propriété intellectuelle ou du savoir-faire, … La clause de contrôle passera pas une clause d’audit permettant au prestataire principal de contrôler le bon respect de ses engagements par son prestataire et espérons-le néanmoins ami… enfin espérons-le.