Les 16 risques juridiques des projets de dématérialisation
| Rédigé par Jean-Claude Streicher le Mercredi 24 juin 2009 |
Eric Barbry, avocat à la Cour d’appel de Paris et directeur du pôle droit du numérique au cabinet Bensoussan, a listé le 18 juin dernier, pour les adhérents de la Fédisa, les 16 erreurs à ne pas commettre dans la conduite des grands projets de dématérialisation.
Me Barbry est bien placé pour donner ce type de conseils, et en si grand nombre, aux directeurs de grands projets de dématérialisation. Il est consulté et intervient sur d’importants programmes dans le secteur bancaire et les administrations, notamment sur l’Espace numérique de travail du ministère de l’Education nationale, pour bien les sécuriser sur le plan juridique dans toutes leurs dimensions (protection des données personnelles, propriété intellectuelle, clauses contractuelles, gestion de la preuve…).
Par expérience, il sait que les projets de dématérialisation peuvent échouer plus souvent qu’on ne croit, pour des causes qui auraient pu être évitées. Voici donc, selon lui, les 16 erreurs à éviter :
1.partir sans étude juridique préliminaire, sans avoir bien identifié les obligations légales à respecter. Car il faut ni se surprotéger inutilement, ni se mettre en manquement légal, donc en risque absolu ;
2.ignorer l’existant, la qualité de la donnée existante, le stock des engagements contractuels, pour ne pas avoir à payer deux systèmes en même temps, l’ancien et le nouveau ;
3.partir sans carte, sans pré-politique d’archivage, sans objectif, pour ne pas tourner en rond, ne pas démobiliser les équipes ;
4.partir sans l’assistance d’un guide, qui engage sa responsabilité sur des objectifs et des résultats ;
5.prendre un mauvais prestataire. Il convient donc de le choisir sur la base de besoins finement exprimés et d’un cahier des charges juridique, avec des pénalités, car il est impossible de rattraper un marché dépourvu d’engagements contractuels ;
6.perdre le contrôle de son prestataire. On l’évitera en exigeant les dix garanties, désormais classiques, des contrats informatiques (pérennité, réversibilité, performance…) ;
7.ne pas voir les dérives du projet. Il faut donc contractualiser des métriques, des points de contrôle, des clauses d’audit ;
8.ne pas pouvoir changer de prestataire. « La réversibilité, insiste Me Barbry, doit être obsessionnelle. Il faut tester le plan de réversibilité avant, puis à intervalles réguliers pendant la durée du contrat. La réversibilité ne doit pas entamer l’intégrité des données, sinon c’est la catastrophe » ;
9.oublier de demander l’avis ou l’accord des autorités de tutelle (Cnil, Cour des comptes, DGI, préfecture…). Celles-ci peuvent en effet exiger de tout refaire ;
10.avoir trop de responsables et pas de coupables. Pour éviter la dilution du risque, il faut un leader prenant le risque juridique pour l’ensemble des partenaires. Il faut un contrat de gouvernance entre partenaires les obligeant à coopérer, à remonter les informations ;
11.croire que l’écrit n’a plus d’importance. Les solutions sans papier mises en place doivent en effet être encadrées par une convention de dématérialisation, une clause de retour arrière, une convention de preuve ;
12.ignorer le droit des données personnelles. Le traitement, leur export hors d’Europe est en effet soumis à conditions. La Cnil peut être longue à se prononcer ;
13.ignorer le droit du travail. La loi française oblige désormais de prévenir les institutions représentatives du personnel de l’introduction de nouvelles technologies ;
14.croire qu’on n’a pas besoin d’un juriste. Celui qui est son propre avocat a un fou pour client (dicton américain) ;
15.ne pas être couvert par un assureur spécialisé dans les TIC ;
16.penser qu’on est arrivé quand tout est arrivé. Après la mise en production, il faut en effet garantir le maintien en condition opérationnelle, continuer la veille sur les normes et la réglementation.
Nous sommes désolés, les commentaires pour cet article sont fermés.
