Les achats IT se sont indéniablement complexifiés ces dernières années en raison de plusieurs facteurs : les innovations, la complexification des systèmes d’information et leur hybridation, la sécurité des SI, la compliance, la dépendance des entreprises vis-à-vis des écosystèmes numériques et parfois certains fournisseurs/éditeurs.

Face à cela, nous observons des spécificités et enjeux forts pour les Groupes de sociétés internationaux, en particulier en termes de cohérence technologique, de gouvernance devant prendre en compte des équipes de cultures différentes, etc…

Certains enjeux doivent impérativement être identifiés et pris en compte en amont dans le cadre des négociations contractuelles afin que l’achat IT corresponde aux besoins et à la structure du groupe et à sa politique interne.

Nous recommandons de cadrer l’achat IT en amont, par exemple en se posant les questions suivantes :

– Qui achète ? Pour qui ?
– Comment déployer le projet ?
– Quelle loi applicable en central ? En local ?
– Quel est l’impact des législations existantes, dans quel pays ?
– Et combien cela va-t-il coûter ? Comment puis-je maitriser la hausse des prix ? etc…

QUI ACHÈTE ? POUR QUI ? QUI PAIE QUI ?

Lorsqu’un projet IT implique l’ensemble des sociétés d’un groupe international, l’une des principales problématiques juridiques est d’appréhender la manière dont chacune d’entre elles pourra en bénéficier.

Au regard des objectifs du groupe et de la complexité du projet IT, plusieurs questions doivent être examinées :

– Quelle société du groupe sera la signataire du contrat ? Ou alors est-il préférable de recourir à un contrat cadre avec des contrats d’application propres à chaque société ?
– Comment fonctionne le paiement du prestataire pour l’ensemble des sociétés du groupe ?
– Le groupe est-il amené à évoluer (fusions, scissions, acquisitions de nouvelles sociétés, etc.) et si tel est le cas, comment anticiper cette évolution dans le contrat ?

Ainsi, il existe en droit français, des mécanismes juridiques qui peuvent être prévus contractuellement, en fonction des besoins du groupe tels que, par exemple, le régime du mandat ou la représentation.
Ces problématiques sont importantes à anticiper. À défaut, une renégociation contractuelle afin de faire évoluer le périmètre du contrat devra être envisagée et nous savons que ce type de négociation peut être difficile avec certains grands acteurs du marché.

QUELLE SERA LA LOI APPLICABLE ?

L’un des enjeux majeurs d’une négociation contractuelle incluant un ensemble de sociétés internationales, correspond à la loi qui s’appliquera au contrat, en particulier en cas de litige.
Naturellement, les parties devront respecter les lois de police et les règles d’ordre public du pays dans lequel les prestations et/ou services seront réalisés. Néanmoins, dans le cadre d’un contrat international, les parties disposent de la liberté de choisir le droit qui régira leurs relations contractuelles.

Cette problématique représente un caractère stratégique pour l’ensemble des sociétés du Groupe international impliquées dans le projet IT. En effet, il est pertinent pour le groupe de choisir la loi qui lui sera le plus favorable, étant souligné que les sociétés d’un groupe international peuvent ne pas être soumises à la même réglementation.
Avec le choix du droit applicable, en découle également la question du tribunal qui sera compétent pour juger d’un éventuel litige dans le cadre du projet IT. À ce titre, les parties sont également libres de choisir le mode de règlement de leurs différends.

Le tribunal compétent peut être une juridiction étatique. Les parties peuvent aussi opter pour un mode alternatif de règlement des litiges – tel que l’arbitrage, la médiation ou la conciliation – qui apparaît comme une stratégie intéressante pour gérer les dérapages de projets internationaux.

Il doit être noté qu’à défaut de choisir le droit applicable et la juridiction compétente, des conventions internationales auront vocation à s’appliquer pour identifier la loi qui sera alors applicable en fonction de nombreux critères.

QUEL EST L’IMPACT DES LÉGISLATIONS EXISTANTES SUR LE PÉRIMÈTRE GÉOGRAPHIQUE DES SOCIÉTÉS DU GROUPE CONCERNÉ ?

Une attention particulière doit être portée sur les législations qui seraient applicables à chaque société d’un groupe international. En effet, outre les réglementations sectorielles, des dispositions locales spécifiques pourraient se voir appliquer, dans le cadre de la mise en place d’un projet IT impactant l’ensemble du groupe.

Certaines d’entre elles peuvent même se révéler incompatibles. Tel peut être le cas en matière de données à caractère personnel. À titre d’illustration, la Cour de Justice a invalidé, le 16 juillet 2020, le régime relatif au transfert de données à caractère personnel entre l’Union Européenne et les Etats-Unis appelé « Privacy Shield ». Il s’agissait d’un mécanisme d’auto-certification offrant un niveau de protection adéquat dans l’hypothèse d’un transfert de données à caractère personnel.

Or, l’invalidation de ce bouclier a entraîné une incertitude concernant lesdits transferts. En effet, les Etats-Unis disposent d’une réglementation susceptible de porter atteinte au Règlement Général sur la Protection des Données (RGPD), régime spécifique de la protection des données à caractère personnel dans l’Union Européenne.
Il est alors essentiel de prévoir les mesures nécessaires, que ce soit en interne ou avec les prestataires IT impliqués, afin d’assurer ce type de transfert et de respecter les réglementations applicables dans un groupe international.

De même, une évolution constante des différentes réglementations doit être soulignée : par exemple au sein de l’Union Européenne avec le Data Act, le Digital Markets Act, le Digital Services Act et le règlement sur l’usage de l’Intelligence Artificielle, qui vont instaurer de nouvelles règles.

De ce fait, il est nécessaire de mettre en place une veille juridique permanente, afin de s’informer des évolutions réglementaires et les implémenter, le cas échéant.

ET EN MATIÈRE DE SÉCURITÉ ?

La gestion d’un groupe international demande la mise en place de processus internes spécifiques en matière de cybersécurité. En effet, en fonction de leur organisation, les sociétés du groupe sont amenées à interagir entre elles, d’un pays à un autre.

Les échanges d’informations et de données (personnelles ou non) doivent donc se faire dans le cadre d’un contexte sécurisé. Il est alors primordial pour le groupe d’instaurer une politique de sécurité groupe. La certification par une norme internationale peut également permettre de garantir le respect de certaines exigences de sécurité nécessaires pour assurer la protection des transactions à travers le groupe.

La question de la sécurité s’illustre également par le biais de la protection de ses droits, notamment en matière de propriété intellectuelle : dépôt de marques dans plusieurs pays, mettre en place une surveillance de ces marques afin d’éviter tout acte de contrefaçon par un tiers, etc.

QUE FAUT-IL RETENIR ?

Les projets IT deviennent de plus en plus complexes par leurs dimensions multiples : multi-acteurs, multi-technos, multi-territoires, multi-bénéficiaires, multi-réglementaire… En particulier du fait de l’interconnexion des projets.

Le contrat est l’outil parfait pour sécuriser ces projets sur tous les plans : financiers, techniques, organisationnels et juridiques et en particulier pour y intégrer la dimension internationale.

Un contrat inadapté à ce contexte multiple (en particulier la multi territorialité), aux usages du marché, non conforme à la réglementation, ou encore à un contexte de dépendance technologique, crée un risque majeur pour les entreprises.

 

Nos recommandations :

– Pour les groupes internationaux : définir vos besoins pour la gestion globale du projet, son exploitation et les interactions entre les différentes entités du groupe.
– Identifier les enjeux spécifiques au projet, au fonctionnement du groupe, aux spécifications des entités locales afin de les anticiper dans les contrats conclus au niveau groupe : qui signe ? Comment les entités vont-elles bénéficier des services achetés ? Quelle loi applicable à quel niveau ? Quelle gouvernance ? etc.…
– Identifier les politiques internes Groupe qui sont applicables, les compléter ou les créer, si besoin pour s’assurer du respect de l’ensemble des problématiques évoquées et prévenir toute difficulté.
– En raison des différentes réglementations pouvant s’appliquer dans le cadre d’un groupe international, l’instauration d’une veille juridique continue apparait indispensable.
– Enfin, s’assurer que le prestataire / éditeur que vous choisirez répond à tous les enjeux identifiés en amont, et, si ce n’est pas le cas, mettre en place les moyens pour répondre aux écarts.

Claudia Weber, Avocat Associé Fondateur ITLAW Avocats
Marine Hardy, Avocat Directeur des pôles Innovation & Sécurité ITLAW Avocats

 

Cliquez sur l’article pour le télécharger sous format PDF !

Cliquez ici pour avoir accès au Journal du Management Juridique : https://www.village-justice.com/articles/journal-management-juridique-entreprises-no92-est-paru-special-droit,45569.html

__________________________________________

Besoin d’aide pour sécuriser vos projets ?

ITLAW Avocats mobilise ses talents et son expertise en matière de contrats,  de sécurité, d’innovation, de projets informatiques complexes et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans vos projets, les sécuriser pour assurer leur succès et pérennité !

Nous contacter