Les projets d’implémentation ou de refonte d’un ERP sont souvent des projets à dimensions multiples : multi-technologiques et hybridation, multi-acteurs, multi-règlementaires, multi-contrats et parfois même multi-territoriaux avec une gouvernance qui se doit d’être à la fois agile, transverse et globale.

L’implémentation des ERP donne ainsi lieu à des schémas contractuels de plus en plus complexes en particulier lorsqu’ils doivent s’intégrer avec des CRM, SIRH ou encore avec des innovations, des robots, objets connectés, une intelligence artificielle, etc …

Comment rédiger les contrats pour sécuriser vos projets ERP ?

A – Gérer la complexité

1/ Des schémas contractuels complexifiés

Les ERP nécessitent d’être intégrés dans un Système d’Information souvent hybride composé d’une multitude de technologies, d’acteurs, de fournitures et de prestations (prestataires, éditeurs, fournisseurs, entités bénéficiaires…), parfois déployées dans plusieurs pays.
Se pose alors la question de la sécurisation contractuelle de ces interactions.
Les acteurs étant dépendants les uns des autres, il est impératif, pour assurer le succès du projet, que l’architecture contractuelle choisie soit cohérente avec cette nécessaire interaction entre les différents acteurs, tout en respectant la responsabilité de chacun sur son propre périmètre.

2/ Penser à gérer les données

Les risques et enjeux autour de ces données sont de plusieurs natures dont ceux liés au RGPD. Ces données s’inscrivent dans un environnement complexe où il conviendra, en amont, d’identifier les différents acteurs et leur responsabilité, d’autant que le Data Act ainsi que le Data Governance Act viennent apporter de nouvelles obligations. Qui est responsable de traitement, qui est sous-traitant, y aura-t-il co-responsabilité ? Comment gérer les flux de données hors UE ?
Le RGPD impose la rédaction de certaines clauses, notamment en matière de confidentialité, de sécurité et de collaboration à l’égard du responsable de traitement ; il faut penser à rédiger les clauses pertinentes en cohérence avec l’ensemble et l’objectif de partage des données.
La question de la propriété de la donnée et de sa valeur pour l’entreprise (hors données à caractère personnel) est également un enjeu important : y a-t-il une propriété multiple ? Peut-on rendre les données accessibles à des tiers ?

3/ La sécurité

L’évolution de la règlementation en matière de sécurité crée des enjeux forts en matière de sécurité, par exemple quels sont les impacts des tests d’intrusions ? Des sauvegardes ? Une faille sur le réseau qui impacte « en cascade » plusieurs applications, jusqu’à l’ensemble du SI, etc…

4/ La maitrise du coût financier

L’impact financier est également un enjeu fort tant les coûts indirects (métriques, maintenance des interfaces, des développements spécifiques, coûts des évolutions, montées de versions…) voire les coûts cachés peuvent s’avérer importants. Exemple : des interfaces peuvent mettre le client dans une architecture de flux entrainant une requalification de ses droits d’usage tel que nous pouvons déjà le constater avec certains éditeurs qui requalifient certains usages en « accès indirects ».

B – Comment gérer ces risques ?

1/ Anticiper & s’organiser

Lorsqu’une entreprise se lance dans l’implémentation d’un ERP il est primordial qu’elle anticipe les risques spécifiques à ce projet, auxquels elle devra ajouter les risques liés à la complexité et aux particularités des projets à dimensions multiples.
Nous recommandons notamment de cartographier ces risques, mettre en place des équipes pluridisciplinaires, instaurer une méthodologie projet robuste prenant en compte cette complexité.
Enfin, et pour certains projets hybrides, il faudra mener des audits juridiques, notamment pour répondre aux questions structurantes : « Ai-je le droit de faire cela » ? « Faut-il renégocier mon/mes contrats » ? « Mettre à jour mes DPA » ? …

2/ Utiliser les bons outils juridiques : le contrat

Lorsque le contrat est adapté au projet et à ses interactions avec le SI, il devient un véritable levier de gestion des risques.
En effet, dans le cas contraire, le contrat peut, lui-même, devenir un facteur de risque lorsqu’il est inadapté au projet. Par exemple, certains contrats éditeurs actuellement proposés sur le marché ne prévoient rien et ne gèrent pas cette dimension complexe et multiple qu’engendre l’intégration de leur produit avec d’autres, notamment des innovations telles que l’IA. Les contrats des intégrateurs ne traitent pas non plus de cette nécessaire collaboration avec l’éditeur et la prise en compte des interactions avec les autres composants du SI client.
C’est pourquoi, nous recommandons d’insérer des clauses spécifiques pour prendre en compte les spécificités de ces projets, notamment en termes de responsabilité, de durée, de résiliation et de réversibilité, ainsi que pour assurer une gouvernance globale et transversale.

En conclusion, il est essentiel de s’assurer que les contrats portant vos projets stratégiques soient adaptés aux enjeux de ces derniers dans leur ensemble et leur complexité multiple, tout en s’inscrivant dans une dynamique d’évolution et d’amélioration continue notamment en termes de conformité aux nouvelles réglementations, de sécurité et d’intégration avec des innovations existantes/à venir, telles que l’IA, les robots, chatbots …

Cliquez ici pour lire l’article publié dans le nouvel économiste en octobre 2023 sous format PDF ou le télécharger 

Article rédigé par Claudia Weber, Avocat Associé Fondateur ITLAW Avocats

 

Nous contacter