Que contient un contrat d'infogérance ?

Ce qu'est (vraiment) un contrat d'infogérance

Un contrat d'infogérance — parfois appelé MSP Agreement ou contrat de services managés — est un engagement par lequel une PME délègue à un prestataire la gestion opérationnelle de son système informatique. Ce n'est pas un bon de commande ni un simple abonnement de maintenance : c'est un cadre qui définit qui fait quoi, dans quel délai, et dans quelles conditions.

Contrairement à un contrat de maintenance classique (réactif, déclenché par une panne), l'infogérance implique une posture proactive : surveillance, mises à jour, gestion des accès, reporting, anticipation des risques. Le prestataire est impliqué dans la continuité de votre SI, pas seulement dans sa réparation.

Un bon contrat d'infogérance protège les deux parties : il fixe les engagements du prestataire tout en délimitant ce qui n'est pas couvert, évitant les malentendus coûteux.

Les 8 clauses essentielles à vérifier

1. Le périmètre exact

C'est la clause la plus importante et la plus souvent mal rédigée. Le contrat doit lister précisément :

• Les équipements couverts (postes, serveurs, imprimantes, équipements réseau) et leur nombre
• Les sites concernés (adresses, accès distant compris ou non)
• Les logiciels inclus (systèmes d'exploitation, suites bureautiques, logiciels métiers)
• Les utilisateurs couverts et les conditions d'ajout ou de retrait

Tout ce qui n'est pas explicitement dans le périmètre est hors contrat. Un équipement non listé peut générer une facture surprise dès la première intervention.

2. Les SLA — niveaux de service

Les SLA (Service Level Agreements) définissent les délais auxquels le prestataire s'engage. Ils se décomposent généralement en deux mesures :

• Délai de prise en charge : temps entre votre signalement et la confirmation d'une prise en charge par le prestataire
• Délai de résolution : temps estimé pour résoudre l'incident, selon sa criticité

Un bon contrat distingue au minimum trois niveaux de criticité : critique (serveur principal hors ligne, impossibilité de travailler), majeur (impact partiel sur la production) et mineur (gêne sans blocage). Les délais doivent être chiffrés, pas formulés en termes vagues comme "dans les meilleurs délais".

Vérifiez également les plages horaires couvertes : 9h-18h du lundi au vendredi ne suffit pas si vous avez des équipes qui travaillent en dehors de ces horaires.

3. Les engagements de sécurité

L'infogérance implique que le prestataire a accès à vos systèmes, vos données et vos identifiants. Le contrat doit préciser :

• Comment sont gérés les accès techniques du prestataire (comptes nominatifs, MFA, traçabilité)
• Les obligations en cas d'incident de sécurité (notification, délai, procédure)
• La politique de traitement des données personnelles (RGPD) — le prestataire est sous-traitant au sens du RGPD
• Les mesures de sécurité mises en place sur votre SI (supervision, antivirus, mises à jour)

Un prestataire sérieux propose systématiquement une annexe de sous-traitance RGPD (DPA). Son absence est un signal d'alerte.

4. Les sauvegardes

Si les sauvegardes sont dans le périmètre, le contrat doit préciser : fréquence, rétention, localisation (sur site / hors site / cloud), et surtout la fréquence des tests de restauration. Une sauvegarde non testée n'est pas une sauvegarde.

Attention : beaucoup de contrats d'infogérance excluent les sauvegardes ou les traitent comme une option. Vérifiez ce point explicitement.

5. Les mises à jour et la supervision

Le contrat doit préciser si le prestataire assure :

• Les mises à jour de sécurité du système d'exploitation
• Les mises à jour des logiciels tiers (navigateurs, suites bureautiques)
• La supervision proactive (alertes avant panne, monitoring de l'espace disque, de la performance réseau)

La supervision est souvent ce qui distingue une infogérance de qualité d'un simple abonnement de dépannage réactif.

6. Les conditions de sortie

C'est la clause que les PME lisent rarement au moment de signer, et qu'elles regrettent quand elles veulent changer de prestataire. Vérifiez :

• Le préavis : 1 mois est raisonnable, 3 mois commence à être contraignant, 6 mois est excessif pour une PME
• La restitution des données : dans quel format, dans quel délai, à quelles conditions ?
• La restitution des accès : mots de passe administrateurs, licences, noms de domaine, hébergements — tout doit être listé
• Les pénalités de résiliation anticipée : sont-elles proportionnées ?

Un prestataire de confiance facilite la sortie. Méfiez-vous des contrats qui rendent la transition volontairement difficile.

7. La facturation et la gestion des évolutions

Le contrat doit préciser ce qui est inclus dans le forfait mensuel et ce qui génère une facturation complémentaire. Les zones grises les plus fréquentes :

• Les projets (migration, déploiement de nouveaux postes) sont-ils inclus ou facturés en régie ?
• L'ajout d'un utilisateur entraîne-t-il une révision automatique du tarif ?
• Les interventions hors SLA (urgences en dehors des heures ouvrées) sont-elles facturées en supplément ?

8. Les responsabilités et les exclusions

Tout contrat d'infogérance comporte des exclusions — c'est normal. Ce qui compte, c'est qu'elles soient lisibles. Les exclusions classiques incluent : les logiciels métiers développés sur mesure, les équipements appartenant à des tiers (copieurs en leasing, boîtiers opérateur), les dommages liés à des actes malveillants internes.

Vérifiez également les plafonds de responsabilité : en cas d'erreur du prestataire entraînant une perte de données ou une interruption prolongée, quelle est la limite d'indemnisation ?

Ce qu'il faut négocier avant de signer

Quelques points rarement négociés, mais qui font une vraie différence :

• Un délai de test (3 mois) avant engagement sur la durée complète — peu de prestataires le proposent spontanément, mais beaucoup l'accordent si on le demande
• Un inventaire contradictoire de votre SI réalisé avant démarrage — il devient la référence du périmètre
• Des rapports d'activité mensuels : nombre d'incidents traités, temps de résolution moyen, alertes de supervision
• Une clause d'évolution de périmètre sans renégociation annuelle : si vous ajoutez 3 postes en cours d'année, le processus doit être fluide

Les signaux d'alerte dans un contrat d'infogérance

Quelques formulations qui doivent vous alerter :

• "Dans les meilleurs délais" sans chiffre associé — non engageant
• "Selon disponibilité de nos équipes" — idem
• Absence de clause de restitution des données et des accès
• Préavis de résiliation supérieur à 3 mois sans contrepartie
• Responsabilité du prestataire plafonnée à 1 mois de facturation — trop faible pour couvrir une perte de données sérieuse
• Absence de sous-traitance RGPD (DPA) alors que le prestataire a accès à vos données

Ce que propose Evoir

Chez Evoir, notre contrat d'infogérance repose sur quelques principes simples :

• Périmètre écrit et signé avant démarrage, avec inventaire contradictoire
• SLA chiffrés avec distinction des niveaux de criticité
• Clause de sortie à 1 mois, avec restitution documentée de tous les accès
• Annexe RGPD systématiquement proposée
• Rapport mensuel d'activité inclus

Nous accompagnons des PME et des cabinets parisiens depuis plus de 20 ans. Notre modèle est fondé sur la transparence : ce qui est dans le contrat est fait, ce qui n'y est pas est discuté avant d'être facturé.