Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juin 2026
Les clauses contrat infogérance sont parmi les plus déterminantes du portefeuille contractuel d’une entreprise. L’infogéreur tient quotidiennement la continuité d’activité du système d’information : ses défaillances peuvent paralyser l’entreprise et exposer aux sanctions RGPD, NIS2 et sectorielles. Pourtant, beaucoup d’entreprises signent encore des contrats d’infogérance largement préformatés par les prestataires, sans négociation des clauses essentielles. En 2026, avec l’entrée en application de la directive NIS2 et la maturité du RGPD, ce niveau de risque n’est plus tenable. Cet article expose les huit clauses indispensables, leur cadre juridique et leurs pièges classiques.
SOMMAIRE
- Pourquoi les clauses contrat infogérance sont devenues stratégiques
- Le cadre juridique applicable
- Les 8 clauses indispensables
- Tableau de synthèse des clauses et criticité
- Les 5 pièges à éviter
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi les clauses contrat infogérance sont devenues stratégiques
Les clauses contrat infogérance ont longtemps été perçues comme un sujet purement technique, signé sous la responsabilité de la DSI. En 2026, elles sont remontées au niveau des comités de direction. Trois transformations expliquent pourquoi les clauses contrat infogérance ont changé de niveau de priorité.
1.1 La centralité du SI dans l’activité économique
Aucune entreprise ne peut désormais fonctionner sans son système d’information. Vente, production, RH, comptabilité, communication : tous les processus passent par des outils numériques. L’infogéreur tient cette infrastructure quotidiennement. Une défaillance peut paralyser l’entreprise pendant des heures, voire des jours. La qualité des clauses contrat infogérance conditionne directement la continuité d’activité.
1.2 L’entrée en application complète de NIS2
La directive UE 2022/2555 (NIS2) impose désormais aux entités essentielles et importantes des obligations cyber strictes. Une grande partie de ces obligations doit être répercutée sur l’infogéreur, qui est en première ligne de la sécurité opérationnelle. Sans clauses contrat infogérance dédiées à NIS2, le client porte seul des obligations qu’il ne maîtrise pas techniquement.
1.3 Une vague de cyberattaques visant les chaînes d’externalisation
Les attaquants ciblent de plus en plus les prestataires d’infogérance, sachant qu’ils détiennent les accès à de nombreux SI clients. Cette « attaque par la chaîne logistique numérique » a transformé le risque. Une cyberattaque sur l’infogéreur peut affecter simultanément des dizaines d’entreprises clientes. Soigner les clauses contrat infogérance est devenu une condition de survie économique. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
2. Le cadre juridique applicable
Maîtriser les clauses contrat infogérance suppose une compréhension fine du cadre juridique. Cinq corpus principaux se superposent et structurent la rédaction.
2.1 Le droit commun des contrats
Le Code civil reste le socle. L’article 1102 consacre la liberté contractuelle, l’article 1104 impose l’exécution de bonne foi, l’article 1170 répute non écrites les clauses qui privent de leur substance les obligations essentielles (jurisprudence Chronopost). L’article 1231-1 fixe le régime de la responsabilité contractuelle. L’article L.442-1 du Code de commerce sanctionne le déséquilibre significatif entre professionnels et reste un levier précieux face à un infogéreur en position dominante.
2.2 Le RGPD et l’article 28
L’article 28 du Règlement UE 2016/679 (RGPD) impose un DPA (Data Processing Agreement, accord de sous-traitance) dès que l’infogéreur traite des données personnelles, ce qui est presque systématique. L’article 32 impose des mesures de sécurité techniques et organisationnelles, et l’article 33 organise la notification des violations sous 72 heures. Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel.
2.3 La directive NIS2
La directive UE 2022/2555 (NIS2) impose aux entités essentielles et importantes des obligations renforcées : gestion des risques, mesures techniques et organisationnelles, gouvernance, formation, notification des incidents significatifs sous 24 heures (alerte précoce) et 72 heures (notification complète). Une part importante de ces obligations doit être documentée contractuellement avec l’infogéreur. Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires pour les entités essentielles.
2.4 L’AI Act et la cybersécurité
Si l’infogéreur déploie ou exploite des systèmes d’intelligence artificielle pour le compte du client, le Règlement UE 2024/1689 (AI Act) s’applique. Il impose la qualification du système, la supervision humaine (article 14), la transparence (article 50). Cette articulation est devenue, en 2026, un point d’attention pour les infogéreurs déployant des outils d’observabilité ou de détection automatisée. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
3. Les 8 clauses indispensables
Des clauses contrat infogérance solides se structurent autour de huit dimensions indispensables. Chacune couvre une dimension précise et conditionne la maîtrise réelle de l’externalisation. Ensemble, elles forment la colonne vertébrale juridique du contrat.
3.1 Le périmètre détaillé du SI infogéré
La première clause définit précisément le périmètre : serveurs, environnements, applications, bases de données, postes de travail, réseau, sites concernés, plages horaires de service. Une annexe technique exhaustive est indispensable. Une formulation floue ouvre la porte à toutes les exclusions ultérieures du prestataire. Le périmètre conditionne ensuite tout le contrat : SLA, sécurité, responsabilité.
3.2 Les SLA chiffrés et les pénalités automatiques
La deuxième clause organise les SLA. Ils doivent comporter des indicateurs chiffrés (disponibilité 99,5 % ou 99,9 %, temps de réponse, temps de résolution), une méthode de mesure, des fenêtres de maintenance encadrées, des pénalités automatiques applicables sans formalité supplémentaire. Un SLA déclaratif sans sanctions effectives n’est qu’un affichage marketing. La crédibilité du contrat dépend de l’effectivité de ces pénalités.
3.3 La cybersécurité et les engagements de moyens
La troisième clause détaille les engagements de sécurité : chiffrement, gestion des accès, journalisation, sauvegardes, plan de continuité (PCA — plan de continuité d’activité), plan de reprise (PRA — plan de reprise d’activité), tests d’intrusion réguliers, gestion des vulnérabilités. Les engagements doivent être mesurables (RTO et RPO chiffrés, fréquence des sauvegardes, durée de conservation, fréquence des audits de sécurité). Sans cette précision, la sécurité reste théorique.
3.4 Le DPA et la conformité RGPD
La quatrième clause intègre un DPA conforme à l’article 28 du RGPD. Le DPA précise les instructions documentées, les mesures techniques et organisationnelles (article 32), les sous-traitants ultérieurs et leur encadrement, la gestion des violations (notification sous 72 heures à l’article 33), les droits des personnes concernées, la suppression ou restitution en fin de contrat, le droit d’audit. Une attention particulière doit être portée aux transferts hors UE, conformément à l’arrêt Schrems II.
3.5 La conformité NIS2
La cinquième clause répercute les obligations NIS2 du client sur l’infogéreur. Elle impose la mise en œuvre des mesures techniques et organisationnelles de l’article 21 de la directive, la notification des incidents significatifs sous 24 heures (alerte précoce) et 72 heures (notification complète), la coopération en cas de contrôle de l’ANSSI ou de l’autorité compétente. Sans cette clause, le client supporte juridiquement les obligations sans pouvoir les faire respecter techniquement.
3.6 La propriété intellectuelle sur outils et développements
La sixième clause clarifie la propriété intellectuelle. Les outils standards de l’infogéreur restent sa propriété, avec une licence d’usage au client. Les développements spécifiques réalisés pour le client doivent faire l’objet d’une cession conforme à l’article L.131-3 du Code de la propriété intellectuelle. Les configurations et paramétrages spécifiques constituent un actif du client et doivent être expressément rappelés comme tels, pour éviter toute contestation lors de la sortie.
3.7 La responsabilité et les plafonds adaptés au risque
La septième clause encadre la responsabilité. Un plafond limité à quelques mois d’honoraires face à une cyberattaque potentiellement à plusieurs millions d’euros est presque toujours inopposable, mais sa simple présence dissuade le client d’agir. La clause doit prévoir un plafond cohérent avec l’exposition, distinguer les types de dommages, traiter spécifiquement les violations RGPD et NIS2, et exclure la faute lourde ou le dol. L’articulation avec l’assurance cyber de l’infogéreur doit être précisée.
3.8 La réversibilité opérationnelle
La huitième clause organise la sortie. Elle prévoit la durée de réversibilité (généralement 6 à 12 mois), les modalités opérationnelles (restitution des configurations, paramétrages, scripts d’exploitation, documentation, accès, comptes administrateurs), la formation des équipes du repreneur, la facturation encadrée. Sans cette clause, le client devient captif de son infogéreur, ce qui dégrade le rapport de force pendant toute la durée du contrat.
4. Tableau de synthèse des clauses et criticité
Le tableau ci-dessous synthétise les huit clauses, leur rôle structurant et leur niveau de criticité dans la rédaction d’un contrat d’infogérance.
| Clause | Rôle | Criticité |
|---|---|---|
| 1. Périmètre détaillé du SI | Délimite la prestation | 🔴 Critique |
| 2. SLA chiffrés et pénalités | Effectivité du service | 🔴 Critique |
| 3. Cybersécurité opérationnelle | Maîtrise du risque cyber | 🔴 Critique |
| 4. DPA et RGPD | Conformité données | 🔴 Critique |
| 5. Conformité NIS2 | Répercussion d’obligations | 🔴 Critique |
| 6. PI et développements | Propriété des actifs | 🟠 Élevée |
| 7. Responsabilité et plafonds | Couverture du risque | 🔴 Critique |
| 8. Réversibilité opérationnelle | Sortie maîtrisée | 🟠 Élevée |
5. Les 5 pièges à éviter
Au-delà du modèle, plusieurs pièges récurrents fragilisent les clauses contrat infogérance. Les identifier permet d’éviter les erreurs les plus coûteuses lors de la signature.
5.1 Le périmètre par catalogue de services standard
Le premier piège est l’acceptation d’un périmètre défini par renvoi au catalogue standard de l’infogéreur. Ces catalogues sont rédigés dans l’intérêt du prestataire, avec des exclusions larges et des conditions évolutives unilatéralement. Le périmètre doit être annexé sous forme matricielle précise, environnement par environnement, sans renvoi générique externe.
5.2 Le SLA déclaratif sans pénalités automatiques
Le deuxième piège concerne les engagements de service. Un SLA promettant 99,9 % de disponibilité mais sans pénalités automatiques en cas de défaillance n’a aucune portée contractuelle réelle. La pénalité doit être calculée automatiquement sur la base des indicateurs mesurés, payable sans démarche supplémentaire du client. Sans cela, le client doit prouver la défaillance, le préjudice et engager un recours pour obtenir réparation, ce qui dissuade en pratique toute action.
5.3 L’absence de PCA et de PRA chiffrés
Le troisième piège concerne la continuité. De nombreux contrats mentionnent un PCA et un PRA sans préciser les RTO (Recovery Time Objective, objectif de temps de reprise) et RPO (Recovery Point Objective, objectif de point de reprise). Sans ces chiffres, le client ignore en pratique combien de temps il sera bloqué et combien de données il perdra en cas d’incident majeur. Ces indicateurs doivent être négociés et adaptés à la criticité.
5.4 L’absence d’articulation NIS2 explicite
Le quatrième piège est l’absence ou la superficialité de la clause NIS2. Beaucoup de contrats d’infogérance signés avant 2026 ne traitent pas cette directive. Or, si le client relève des entités essentielles ou importantes, il porte seul juridiquement les obligations alors que l’infogéreur les exécute techniquement. Cette asymétrie est intenable et doit être corrigée par avenant pour les contrats anciens.
5.5 La réversibilité limitée à « restitution sur demande »
Le cinquième piège concerne la sortie. Une clause de réversibilité réduite à une phrase générique laisse le client captif. Les modalités doivent être détaillées : durée d’accompagnement, restitution des configurations et scripts, formation des équipes du repreneur, encadrement des frais, attestation de suppression des données. Sans cette précision, la réversibilité reste théorique et la sortie devient un blocage opérationnel.
6. Pourquoi faire appel à Atias Avocats
Sécuriser les clauses contrat infogérance à la hauteur des enjeux exige une combinaison rare de compétences : maîtrise des contrats IT et du droit commun des contrats, expertise du RGPD et de la directive NIS2 articulés dans la rédaction, compréhension opérationnelle des architectures SI et des modèles d’externalisation, pratique de la négociation avec les grands infogéreurs (Sopra Steria, Capgemini, Atos, Accenture, IBM, Orange Business). Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique avec une pratique active des contrats IT.
Atias Avocats accompagne entreprises, ETI et grands comptes sur l’ensemble du sujet : audit d’un contrat d’infogérance existant, rédaction sur mesure d’un nouveau contrat, négociation avec l’infogéreur, articulation RGPD et NIS2, accompagnement à la mise en place et au pilotage, défense en cas d’incident ou de contentieux, conduite d’opérations de réversibilité. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
Conclusion
Les clauses contrat infogérance sont le pacte juridique qui conditionne la continuité quotidienne du système d’information de l’entreprise. En 2026, avec l’application complète de NIS2 et la maturité du RGPD, leur niveau d’exigence a fortement augmenté. Les huit clauses indispensables présentées dans cet article, combinées à la vigilance sur les cinq pièges classiques, offrent un référentiel directement utilisable par les DSI, RSSI, juristes et directions des achats.
L’investissement requis pour sécuriser sérieusement un contrat d’infogérance (généralement entre 3 000 et 50 000 € HT selon l’ampleur) est sans commune mesure avec le coût d’un incident mal encadré — paralysie d’activité, sanctions RGPD ou NIS2, perte de données, contentieux pluriannuel. Pour les DSI, directions juridiques et fondateurs, le réflexe doit être clair : intervenir juridiquement en amont, dès le cahier des charges et le choix de l’infogéreur, jamais après la première défaillance. C’est précisément à ce moment que se construit la sérénité opérationnelle et la liberté contractuelle réelle, indispensables à la résilience numérique de l’entreprise.
FAQ — Questions fréquentes
Qu’est-ce qu’un contrat d’infogérance exactement ?
Un contrat d’infogérance est l’accord par lequel une entreprise confie tout ou partie de l’exploitation de son système d’information à un prestataire spécialisé (l’infogéreur). Il peut couvrir l’hébergement, l’exploitation des serveurs, la supervision, le maintien en conditions opérationnelles, la cybersécurité, le support utilisateurs, parfois la conduite applicative. À la différence d’un contrat SaaS (qui porte sur l’usage d’un logiciel) ou d’un contrat d’intégration (qui déploie un progiciel), l’infogérance porte sur l’exploitation récurrente du SI. Cette nature pluriannuelle, son impact direct sur la continuité d’activité et son interaction avec le RGPD, la NIS2 et l’AI Act en font l’un des contrats les plus structurants pour une entreprise. Sa solidité conditionne directement la disponibilité quotidienne du SI.
Quelles sont les clauses absolument indispensables d’un contrat d’infogérance ?
Huit clauses concentrent l’essentiel des enjeux. Le périmètre détaillé du SI infogéré (machines, logiciels, processus). Les SLA (Service Level Agreement, accord de niveau de service) chiffrés avec pénalités automatiques. La cybersécurité et l’engagement de moyens techniques mesurables. Le DPA (Data Processing Agreement, accord de sous-traitance RGPD) conforme à l’article 28 du RGPD. La conformité NIS2 (directive UE 2022/2555) pour les entités essentielles et importantes. La propriété intellectuelle sur les outils et développements. La responsabilité avec plafonds adaptés au risque. La réversibilité opérationnelle en fin de contrat. Ces clauses sont les fondations sans lesquelles le contrat reste exposé.
Quelle est la différence entre infogérance, cloud et SaaS ?
Les trois notions se chevauchent partiellement mais restent distinctes. Le SaaS (Software as a Service) est la mise à disposition à distance d’un logiciel standard, sur une infrastructure du fournisseur. Le cloud désigne plus largement la mise à disposition d’infrastructures (IaaS), de plateformes (PaaS) ou de logiciels (SaaS). L’infogérance est l’externalisation de l’exploitation du SI du client, qu’il soit sur site, en cloud privé ou en cloud public : l’infogéreur prend en main la gestion opérationnelle. Un contrat d’infogérance peut donc inclure une dimension cloud, mais sa nature propre est l’externalisation de la gestion, pas la mise à disposition d’une application. Cette distinction structure la rédaction et la responsabilité.
L’infogéreur est-il responsable en cas de cyberattaque ?
Selon le contrat, mais sa responsabilité est en principe importante. L’infogéreur exploite techniquement le SI : il est juridiquement tenu d’une obligation de sécurité au titre de l’article 32 du RGPD pour les données personnelles, d’une obligation de moyens renforcée pour le reste, et désormais des obligations NIS2 pour les périmètres concernés. En pratique, sa responsabilité dépend de la rédaction de la clause de responsabilité, des plafonds, de la qualification (faute lourde, dol), et de la définition contractuelle des mesures de sécurité. Une rédaction floue ou des plafonds dérisoires fragilisent fortement la position du client en cas d’incident. C’est précisément pourquoi les clauses contrat infogérance doivent être négociées avec rigueur avant signature.
Combien coûte la rédaction ou la sécurisation d’un contrat d’infogérance ?
Le coût varie selon l’ampleur du contrat. Pour la sécurisation juridique d’un contrat d’infogérance standard (audit + amendements ciblés), comptez 3 000 à 8 000 € HT. Pour la rédaction complète d’un contrat d’infogérance sur mesure avec articulation RGPD, NIS2 et AI Act, le budget se situe entre 8 000 et 20 000 € HT. Pour un contrat d’infogérance structurant (multi-sites, grands volumes, périmètre NIS2 entité essentielle), l’investissement peut atteindre 20 000 à 50 000 € HT. Pour une mission contentieuse (cyberattaque, dérive de service, contestation de pénalités), les coûts complémentaires démarrent à 15 000 € HT. Le retour sur investissement est généralement obtenu dès le premier incident évité ou correctement encadré.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, Contrats IT, Cybersécurité, NIS2 & RGPD
