Les projets d’implémentation ou de refonte d’un ERP sont souvent des projets à dimensions multiples : multi-technologiques et hybridation, Cloud, multi-acteurs (éditeurs, intégrateur, hyperscaler, TMA …), multi-règlementaires (RGPD, l’IA et le Cloud Act), multi-contrats et parfois même multi-territoriaux avec une gouvernance qui se doit d’être à la fois agile, transverse et globale.

L’implémentation des ERP donne ainsi lieu à des schémas contractuels de plus en plus complexes en particulier lorsqu’ils doivent s’intégrer avec des CRM, SIRH ou encore avec des innovations, des robots, objets connectés, une intelligence artificielle, etc …

Comment rédiger les contrats pour sécuriser vos projets ERP ?

A – Gérer la complexité

1/ Des schémas contractuels complexifiés

Les ERP nécessitent d’être intégrés dans un Système d’Information souvent hybride composé d’une multitude de technologies, d’acteurs, de fournitures et de prestations (prestataires, éditeurs, fournisseurs, entités bénéficiaires…), parfois déployées dans plusieurs pays.
Se pose alors la question de la sécurisation contractuelle de ces interactions.
Les acteurs étant dépendants les uns des autres, il est impératif, pour assurer le succès du projet, que l’architecture contractuelle choisie soit cohérente avec cette nécessaire interaction entre les différents acteurs, tout en respectant la responsabilité de chacun sur son propre périmètre.

2/ Penser à gérer les données

Les risques et enjeux autour de ces données sont de plusieurs natures dont ceux liés au RGPD, au secret des affaires et à la propriété intellectuelle. Ces données s’inscrivent dans un environnement complexe où il conviendra, en amont, d’identifier les différents acteurs et leur responsabilité, d’autant que le Data Act ainsi que le Data Governance Act viennent apporter de nouvelles obligations. Qui est responsable de traitement, qui est sous-traitant, y aura-t-il co-responsabilité ? Comment gérer les flux de données hors UE ?

Le RGPD impose la rédaction de certaines clauses, notamment en matière de confidentialité, de sécurité et de collaboration à l’égard du responsable de traitement ; il faut penser à rédiger les clauses pertinentes en cohérence avec l’ensemble et l’objectif de partage des données.
La question de la propriété de la donnée et de sa valeur pour l’entreprise (hors données à caractère personnel) est également un enjeu important : y a-t-il une propriété multiple ? Peut-on rendre les données accessibles à des tiers ?

Et pour finir la question de l’usage de vos données : votre éditeur Cloud s’arrange t-il le droit d’utiliser vos données pour enrichir son IA ? pensez à soit refuser cet usage, soit le cadrer strictement pour ne pas vous mettre en risque et protéger votre patrimoine informationnel.

3/ La sécurité

L’évolution de la règlementation en matière de sécurité crée des enjeux forts en matière de sécurité, par exemple quels sont les impacts des tests d’intrusions ? Des sauvegardes ? Une faille sur le réseau qui impacte « en cascade » plusieurs applications, jusqu’à l’ensemble du SI, etc… Jusqu’où accepter une suspension des services par votre éditeur cloud ?

4/ La maitrise du coût financier

L’impact financier est également un enjeu fort tant les coûts indirects (métriques, maintenance des interfaces, des développements spécifiques, coûts des évolutions, montées de versions, interopérabilité, réversibilité,…) voire les coûts cachés peuvent s’avérer importants. Exemple : des interfaces peuvent mettre le client dans une architecture de flux entrainant une requalification de ses droits d’usage tel que nous pouvons déjà le constater avec certains éditeurs qui requalifient certains usages en « accès indirects ». Prévoir l’usage de l’IA et ces effets sur les métriques…

5/ La souveraineté et dépendance technologique

La souveraineté est un sujet d’actualité. Les risques liés à la dépendance aux fournisseurs non souverains sur le plan IT sont multiples et souvent sous-estimés.

Sur le plan juridique et réglementaire, une entreprise dont les données sont accessibles via le Cloud Act ou le FISA peut se retrouver en violation du RGPD sans le savoir, avec les sanctions qui en découlent.

Sur le plan économique, la dépendance à un fournisseur/éditeur crée des coûts de sortie et de migration élevés, une perte de levier en négociation et une exposition aux décisions unilatérales de l’éditeur, notamment sur les prix.

Sur le plan stratégique, secrets industriels, données clients, résultats financiers, projets R&D, etc. toutes ces informations peuvent théoriquement être accessibles à des autorités étrangères, sans que l’entreprise en soit informée.

Nous recommandons d’évaluer votre exposition aux lois étrangères : la première étape est d’identifier si vos fournisseurs sont soumis au Cloud Act ou au FISA ou autres lois extraterritoriales et vérifier si l’une de vos filiale œuvre dans un pays sous embargo. Cette exposition ne dépend pas de la localisation du datacenter, et ne se limite pas à la nationalité juridique de l’entreprise qui opère les services.

Ensuite, identifier les données et leur niveau de sensibilité pour évaluer vos risques et faire des choix en connaissance de cause.

B – Comment gérer ces risques ?

1/ Anticiper & s’organiser

Lorsqu’une entreprise se lance dans l’implémentation d’un ERP il est primordial qu’elle anticipe les risques spécifiques à ce projet, auxquels elle devra ajouter les risques liés à la complexité et aux particularités des projets à dimensions multiples.
Nous recommandons notamment de cartographier ces risques, mettre en place des équipes pluridisciplinaires, instaurer une méthodologie projet robuste prenant en compte cette complexité.
Enfin, et pour certains projets hybrides, il faudra mener des audits juridiques, notamment pour répondre aux questions structurantes : « Ai-je le droit de faire cela » ? « Faut-il renégocier mon/mes contrats » ? « Mettre à jour mes DPA » ? …

2/ Utiliser les bons outils juridiques : le contrat

Lorsque le contrat est adapté au projet et à ses interactions avec le SI, il devient un véritable levier de gestion des risques.
Dans le cas contraire, le contrat peut, lui-même, devenir un facteur de risque lorsqu’il est inadapté au projet. Par exemple, certains contrats éditeurs actuellement proposés sur le marché ne gèrent pas cette dimension complexe et multiple qu’engendre l’intégration de leur produit avec d’autres, ou encore l’usage d’IA de tiers, l’interopérabilité, de la souveraineté et encore moins des conséquences en cas de volonté de sortir du contrat (durée de la réversibilité, interopérabilité et portabilité des données portant exigée par le Data Act). Les contrats des intégrateurs ne traitent pas non plus de cette nécessaire collaboration avec l’éditeur et la prise en compte des interactions avec les autres composants du SI client.

C’est pourquoi, nous recommandons d’insérer des clauses spécifiques pour prendre en compte les spécificités de ces projets, notamment en termes de protection des données, d’usage de l’IA, souveraineté, maitrise des métriques d’usage, responsabilité, durée, résiliation et réversibilité, ainsi que pour assurer une gouvernance globale et transversale.

 

📌 En conclusion, il est essentiel de s’assurer que les contrats portant vos projets stratégiques soient adaptés aux enjeux de ces derniers dans leur ensemble et leur complexité multiple, tout en s’inscrivant dans une dynamique d’évolution et d’amélioration continue notamment en termes de conformité aux nouvelles réglementations, de sécurité et d’intégration avec des innovations telles que l’IA, les robots, chatbotset vous permettre de basculer vers une infrastructure souveraine …

Claudia Weber, Avocat associé fondateur ITLAW Avocats.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des  données personnelles, de projets informatiques  complexesde  contrats, d’innovation et de  propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes. 
Nous contacter