{"id":22997,"date":"2026-06-05T22:00:00","date_gmt":"2026-06-05T22:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=22997"},"modified":"2026-05-29T13:03:11","modified_gmt":"2026-05-29T13:03:11","slug":"clauses-contrat-infogerance-2026","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/clauses-contrat-infogerance-2026\/","title":{"rendered":"Contrat d’infog\u00e9rance : les 8 clauses indispensables"},"content":{"rendered":"


Par\u00a0<\/em>David Joseph Atias<\/em><\/a>, avocat au Barreau de Paris \u00b7\u00a0<\/em>LinkedIn<\/em><\/a>\u00a0\u00b7 Juin 2026<\/em><\/em><\/p>\n\n\n\n

\n

Les clauses contrat infog\u00e9rance sont parmi les plus d\u00e9terminantes du portefeuille contractuel d’une entreprise. L’infog\u00e9reur tient quotidiennement la continuit\u00e9 d’activit\u00e9 du syst\u00e8me d’information : ses d\u00e9faillances peuvent paralyser l’entreprise et exposer aux sanctions RGPD, NIS2 et sectorielles. Pourtant, beaucoup d’entreprises signent encore des contrats d’infog\u00e9rance largement pr\u00e9format\u00e9s par les prestataires, sans n\u00e9gociation des clauses essentielles. En 2026, avec l’entr\u00e9e en application de la directive NIS2 et la maturit\u00e9 du RGPD, ce niveau de risque n’est plus tenable. Cet article expose les huit clauses indispensables, leur cadre juridique et leurs pi\u00e8ges classiques.<\/p>\n<\/blockquote>\n\n\n\n

SOMMAIRE<\/p>\n\n\n\n

    \n
  1. Pourquoi les clauses contrat infog\u00e9rance sont devenues strat\u00e9giques<\/a><\/li>\n\n\n\n
  2. Le cadre juridique applicable<\/a><\/li>\n\n\n\n
  3. Les 8 clauses indispensables<\/a><\/li>\n\n\n\n
  4. Tableau de synth\u00e8se des clauses et criticit\u00e9<\/a><\/li>\n\n\n\n
  5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/a><\/li>\n\n\n\n
  6. Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n
  7. FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n

    1. Pourquoi les clauses contrat infog\u00e9rance sont devenues strat\u00e9giques<\/h2>\n\n\n\n

    Les clauses contrat infog\u00e9rance ont longtemps \u00e9t\u00e9 per\u00e7ues comme un sujet purement technique, sign\u00e9 sous la responsabilit\u00e9 de la DSI. En 2026, elles sont remont\u00e9es au niveau des comit\u00e9s de direction. Trois transformations expliquent pourquoi les clauses contrat infog\u00e9rance ont chang\u00e9 de niveau de priorit\u00e9.<\/p>\n\n\n\n

    1.1 La centralit\u00e9 du SI dans l’activit\u00e9 \u00e9conomique<\/h3>\n\n\n\n

    Aucune entreprise ne peut d\u00e9sormais fonctionner sans son syst\u00e8me d’information. Vente, production, RH, comptabilit\u00e9, communication : tous les processus passent par des outils num\u00e9riques. L’infog\u00e9reur tient cette infrastructure quotidiennement. Une d\u00e9faillance peut paralyser l’entreprise pendant des heures, voire des jours. La qualit\u00e9 des clauses contrat infog\u00e9rance conditionne directement la continuit\u00e9 d’activit\u00e9.<\/p>\n\n\n\n

    1.2 L’entr\u00e9e en application compl\u00e8te de NIS2<\/h3>\n\n\n\n

    La directive UE 2022\/2555 (NIS2) impose d\u00e9sormais aux entit\u00e9s essentielles et importantes des obligations cyber strictes. Une grande partie de ces obligations doit \u00eatre r\u00e9percut\u00e9e sur l’infog\u00e9reur, qui est en premi\u00e8re ligne de la s\u00e9curit\u00e9 op\u00e9rationnelle. Sans clauses contrat infog\u00e9rance d\u00e9di\u00e9es \u00e0 NIS2, le client porte seul des obligations qu’il ne ma\u00eetrise pas techniquement.<\/p>\n\n\n\n

    1.3 Une vague de cyberattaques visant les cha\u00eenes d’externalisation<\/h3>\n\n\n\n

    Les attaquants ciblent de plus en plus les prestataires d’infog\u00e9rance, sachant qu’ils d\u00e9tiennent les acc\u00e8s \u00e0 de nombreux SI clients. Cette \u00ab attaque par la cha\u00eene logistique num\u00e9rique \u00bb a transform\u00e9 le risque. Une cyberattaque sur l’infog\u00e9reur peut affecter simultan\u00e9ment des dizaines d’entreprises clientes. Soigner les clauses contrat infog\u00e9rance est devenu une condition de survie \u00e9conomique. Pour aller plus loin, consultez nos services en mati\u00e8re de contrats informatiques<\/strong><\/a>.<\/p>\n\n\n\n

    2. Le cadre juridique applicable<\/h2>\n\n\n\n

    Ma\u00eetriser les clauses contrat infog\u00e9rance suppose une compr\u00e9hension fine du cadre juridique. Cinq corpus principaux se superposent et structurent la r\u00e9daction.<\/p>\n\n\n\n

    2.1 Le droit commun des contrats<\/h3>\n\n\n\n

    Le Code civil reste le socle. L’article 1102 consacre la libert\u00e9 contractuelle, l’article 1104 impose l’ex\u00e9cution de bonne foi, l’article 1170 r\u00e9pute non \u00e9crites les clauses qui privent de leur substance les obligations essentielles (jurisprudence Chronopost). L’article 1231-1 fixe le r\u00e9gime de la responsabilit\u00e9 contractuelle. L’article L.442-1 du Code de commerce sanctionne le d\u00e9s\u00e9quilibre significatif entre professionnels et reste un levier pr\u00e9cieux face \u00e0 un infog\u00e9reur en position dominante.<\/p>\n\n\n\n

    2.2 Le RGPD et l’article 28<\/h3>\n\n\n\n

    L’article 28 du R\u00e8glement UE 2016\/679 (RGPD) impose un DPA (Data Processing Agreement, accord de sous-traitance) d\u00e8s que l’infog\u00e9reur traite des donn\u00e9es personnelles, ce qui est presque syst\u00e9matique. L’article 32 impose des mesures de s\u00e9curit\u00e9 techniques et organisationnelles, et l’article 33 organise la notification des violations sous 72 heures. Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel.<\/p>\n\n\n\n

    2.3 La directive NIS2<\/h3>\n\n\n\n

    La directive UE 2022\/2555 (NIS2) impose aux entit\u00e9s essentielles et importantes des obligations renforc\u00e9es : gestion des risques, mesures techniques et organisationnelles, gouvernance, formation, notification des incidents significatifs sous 24 heures (alerte pr\u00e9coce) et 72 heures (notification compl\u00e8te). Une part importante de ces obligations doit \u00eatre document\u00e9e contractuellement avec l’infog\u00e9reur. Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires pour les entit\u00e9s essentielles.<\/p>\n\n\n\n

    2.4 L’AI Act et la cybers\u00e9curit\u00e9<\/h3>\n\n\n\n

    Si l’infog\u00e9reur d\u00e9ploie ou exploite des syst\u00e8mes d’intelligence artificielle pour le compte du client, le R\u00e8glement UE 2024\/1689 (AI Act) s’applique. Il impose la qualification du syst\u00e8me, la supervision humaine (article 14), la transparence (article 50). Cette articulation est devenue, en 2026, un point d’attention pour les infog\u00e9reurs d\u00e9ployant des outils d’observabilit\u00e9 ou de d\u00e9tection automatis\u00e9e. Pour aller plus loin, consultez nos services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n

    3. Les 8 clauses indispensables<\/h2>\n\n\n\n

    Des clauses contrat infog\u00e9rance solides se structurent autour de huit dimensions indispensables. Chacune couvre une dimension pr\u00e9cise et conditionne la ma\u00eetrise r\u00e9elle de l’externalisation. Ensemble, elles forment la colonne vert\u00e9brale juridique du contrat.<\/p>\n\n\n\n

    3.1 Le p\u00e9rim\u00e8tre d\u00e9taill\u00e9 du SI infog\u00e9r\u00e9<\/h3>\n\n\n\n

    La premi\u00e8re clause d\u00e9finit pr\u00e9cis\u00e9ment le p\u00e9rim\u00e8tre : serveurs, environnements, applications, bases de donn\u00e9es, postes de travail, r\u00e9seau, sites concern\u00e9s, plages horaires de service. Une annexe technique exhaustive est indispensable. Une formulation floue ouvre la porte \u00e0 toutes les exclusions ult\u00e9rieures du prestataire. Le p\u00e9rim\u00e8tre conditionne ensuite tout le contrat : SLA, s\u00e9curit\u00e9, responsabilit\u00e9.<\/p>\n\n\n\n

    3.2 Les SLA chiffr\u00e9s et les p\u00e9nalit\u00e9s automatiques<\/h3>\n\n\n\n

    La deuxi\u00e8me clause organise les SLA. Ils doivent comporter des indicateurs chiffr\u00e9s (disponibilit\u00e9 99,5 % ou 99,9 %, temps de r\u00e9ponse, temps de r\u00e9solution), une m\u00e9thode de mesure, des fen\u00eatres de maintenance encadr\u00e9es, des p\u00e9nalit\u00e9s automatiques applicables sans formalit\u00e9 suppl\u00e9mentaire. Un SLA d\u00e9claratif sans sanctions effectives n’est qu’un affichage marketing. La cr\u00e9dibilit\u00e9 du contrat d\u00e9pend de l’effectivit\u00e9 de ces p\u00e9nalit\u00e9s.<\/p>\n\n\n\n

    3.3 La cybers\u00e9curit\u00e9 et les engagements de moyens<\/h3>\n\n\n\n

    La troisi\u00e8me clause d\u00e9taille les engagements de s\u00e9curit\u00e9 : chiffrement, gestion des acc\u00e8s, journalisation, sauvegardes, plan de continuit\u00e9 (PCA \u2014 plan de continuit\u00e9 d’activit\u00e9), plan de reprise (PRA \u2014 plan de reprise d’activit\u00e9), tests d’intrusion r\u00e9guliers, gestion des vuln\u00e9rabilit\u00e9s. Les engagements doivent \u00eatre mesurables (RTO et RPO chiffr\u00e9s, fr\u00e9quence des sauvegardes, dur\u00e9e de conservation, fr\u00e9quence des audits de s\u00e9curit\u00e9). Sans cette pr\u00e9cision, la s\u00e9curit\u00e9 reste th\u00e9orique.<\/p>\n\n\n\n

    3.4 Le DPA et la conformit\u00e9 RGPD<\/h3>\n\n\n\n

    La quatri\u00e8me clause int\u00e8gre un DPA conforme \u00e0 l’article 28 du RGPD. Le DPA pr\u00e9cise les instructions document\u00e9es, les mesures techniques et organisationnelles (article 32), les sous-traitants ult\u00e9rieurs et leur encadrement, la gestion des violations (notification sous 72 heures \u00e0 l’article 33), les droits des personnes concern\u00e9es, la suppression ou restitution en fin de contrat, le droit d’audit. Une attention particuli\u00e8re doit \u00eatre port\u00e9e aux transferts hors UE, conform\u00e9ment \u00e0 l’arr\u00eat Schrems II.<\/p>\n\n\n\n

    3.5 La conformit\u00e9 NIS2<\/h3>\n\n\n\n

    La cinqui\u00e8me clause r\u00e9percute les obligations NIS2 du client sur l’infog\u00e9reur. Elle impose la mise en \u0153uvre des mesures techniques et organisationnelles de l’article 21 de la directive, la notification des incidents significatifs sous 24 heures (alerte pr\u00e9coce) et 72 heures (notification compl\u00e8te), la coop\u00e9ration en cas de contr\u00f4le de l’ANSSI ou de l’autorit\u00e9 comp\u00e9tente. Sans cette clause, le client supporte juridiquement les obligations sans pouvoir les faire respecter techniquement.<\/p>\n\n\n\n

    3.6 La propri\u00e9t\u00e9 intellectuelle sur outils et d\u00e9veloppements<\/h3>\n\n\n\n

    La sixi\u00e8me clause clarifie la propri\u00e9t\u00e9 intellectuelle. Les outils standards de l’infog\u00e9reur restent sa propri\u00e9t\u00e9, avec une licence d’usage au client. Les d\u00e9veloppements sp\u00e9cifiques r\u00e9alis\u00e9s pour le client doivent faire l’objet d’une cession conforme \u00e0 l’article L.131-3 du Code de la propri\u00e9t\u00e9 intellectuelle. Les configurations et param\u00e9trages sp\u00e9cifiques constituent un actif du client et doivent \u00eatre express\u00e9ment rappel\u00e9s comme tels, pour \u00e9viter toute contestation lors de la sortie.<\/p>\n\n\n\n

    3.7 La responsabilit\u00e9 et les plafonds adapt\u00e9s au risque<\/h3>\n\n\n\n

    La septi\u00e8me clause encadre la responsabilit\u00e9. Un plafond limit\u00e9 \u00e0 quelques mois d’honoraires face \u00e0 une cyberattaque potentiellement \u00e0 plusieurs millions d’euros est presque toujours inopposable, mais sa simple pr\u00e9sence dissuade le client d’agir. La clause doit pr\u00e9voir un plafond coh\u00e9rent avec l’exposition, distinguer les types de dommages, traiter sp\u00e9cifiquement les violations RGPD et NIS2, et exclure la faute lourde ou le dol. L’articulation avec l’assurance cyber de l’infog\u00e9reur doit \u00eatre pr\u00e9cis\u00e9e.<\/p>\n\n\n\n

    3.8 La r\u00e9versibilit\u00e9 op\u00e9rationnelle<\/h3>\n\n\n\n

    La huiti\u00e8me clause organise la sortie. Elle pr\u00e9voit la dur\u00e9e de r\u00e9versibilit\u00e9 (g\u00e9n\u00e9ralement 6 \u00e0 12 mois), les modalit\u00e9s op\u00e9rationnelles (restitution des configurations, param\u00e9trages, scripts d’exploitation, documentation, acc\u00e8s, comptes administrateurs), la formation des \u00e9quipes du repreneur, la facturation encadr\u00e9e. Sans cette clause, le client devient captif de son infog\u00e9reur, ce qui d\u00e9grade le rapport de force pendant toute la dur\u00e9e du contrat.<\/p>\n\n\n\n

    4. Tableau de synth\u00e8se des clauses et criticit\u00e9<\/h2>\n\n\n\n

    Le tableau ci-dessous synth\u00e9tise les huit clauses, leur r\u00f4le structurant et leur niveau de criticit\u00e9 dans la r\u00e9daction d’un contrat d’infog\u00e9rance.<\/p>\n\n\n\n

    Clause<\/th>R\u00f4le<\/th>Criticit\u00e9<\/th><\/tr><\/thead>
    1. P\u00e9rim\u00e8tre d\u00e9taill\u00e9 du SI<\/td>D\u00e9limite la prestation<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    2. SLA chiffr\u00e9s et p\u00e9nalit\u00e9s<\/td>Effectivit\u00e9 du service<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    3. Cybers\u00e9curit\u00e9 op\u00e9rationnelle<\/td>Ma\u00eetrise du risque cyber<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    4. DPA et RGPD<\/td>Conformit\u00e9 donn\u00e9es<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    5. Conformit\u00e9 NIS2<\/td>R\u00e9percussion d’obligations<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    6. PI et d\u00e9veloppements<\/td>Propri\u00e9t\u00e9 des actifs<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    7. Responsabilit\u00e9 et plafonds<\/td>Couverture du risque<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    8. R\u00e9versibilit\u00e9 op\u00e9rationnelle<\/td>Sortie ma\u00eetris\u00e9e<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n\n\n\n

    Au-del\u00e0 du mod\u00e8le, plusieurs pi\u00e8ges r\u00e9currents fragilisent les clauses contrat infog\u00e9rance. Les identifier permet d’\u00e9viter les erreurs les plus co\u00fbteuses lors de la signature.<\/p>\n\n\n\n

    5.1 Le p\u00e9rim\u00e8tre par catalogue de services standard<\/h3>\n\n\n\n

    Le premier pi\u00e8ge est l’acceptation d’un p\u00e9rim\u00e8tre d\u00e9fini par renvoi au catalogue standard de l’infog\u00e9reur. Ces catalogues sont r\u00e9dig\u00e9s dans l’int\u00e9r\u00eat du prestataire, avec des exclusions larges et des conditions \u00e9volutives unilat\u00e9ralement. Le p\u00e9rim\u00e8tre doit \u00eatre annex\u00e9 sous forme matricielle pr\u00e9cise, environnement par environnement, sans renvoi g\u00e9n\u00e9rique externe.<\/p>\n\n\n\n

    5.2 Le SLA d\u00e9claratif sans p\u00e9nalit\u00e9s automatiques<\/h3>\n\n\n\n

    Le deuxi\u00e8me pi\u00e8ge concerne les engagements de service. Un SLA promettant 99,9 % de disponibilit\u00e9 mais sans p\u00e9nalit\u00e9s automatiques en cas de d\u00e9faillance n’a aucune port\u00e9e contractuelle r\u00e9elle. La p\u00e9nalit\u00e9 doit \u00eatre calcul\u00e9e automatiquement sur la base des indicateurs mesur\u00e9s, payable sans d\u00e9marche suppl\u00e9mentaire du client. Sans cela, le client doit prouver la d\u00e9faillance, le pr\u00e9judice et engager un recours pour obtenir r\u00e9paration, ce qui dissuade en pratique toute action.<\/p>\n\n\n\n

    5.3 L’absence de PCA et de PRA chiffr\u00e9s<\/h3>\n\n\n\n

    Le troisi\u00e8me pi\u00e8ge concerne la continuit\u00e9. De nombreux contrats mentionnent un PCA et un PRA sans pr\u00e9ciser les RTO (Recovery Time Objective, objectif de temps de reprise) et RPO (Recovery Point Objective, objectif de point de reprise). Sans ces chiffres, le client ignore en pratique combien de temps il sera bloqu\u00e9 et combien de donn\u00e9es il perdra en cas d’incident majeur. Ces indicateurs doivent \u00eatre n\u00e9goci\u00e9s et adapt\u00e9s \u00e0 la criticit\u00e9.<\/p>\n\n\n\n

    5.4 L’absence d’articulation NIS2 explicite<\/h3>\n\n\n\n

    Le quatri\u00e8me pi\u00e8ge est l’absence ou la superficialit\u00e9 de la clause NIS2. Beaucoup de contrats d’infog\u00e9rance sign\u00e9s avant 2026 ne traitent pas cette directive. Or, si le client rel\u00e8ve des entit\u00e9s essentielles ou importantes, il porte seul juridiquement les obligations alors que l’infog\u00e9reur les ex\u00e9cute techniquement. Cette asym\u00e9trie est intenable et doit \u00eatre corrig\u00e9e par avenant pour les contrats anciens.<\/p>\n\n\n\n

    5.5 La r\u00e9versibilit\u00e9 limit\u00e9e \u00e0 \u00ab restitution sur demande \u00bb<\/h3>\n\n\n\n

    Le cinqui\u00e8me pi\u00e8ge concerne la sortie. Une clause de r\u00e9versibilit\u00e9 r\u00e9duite \u00e0 une phrase g\u00e9n\u00e9rique laisse le client captif. Les modalit\u00e9s doivent \u00eatre d\u00e9taill\u00e9es : dur\u00e9e d’accompagnement, restitution des configurations et scripts, formation des \u00e9quipes du repreneur, encadrement des frais, attestation de suppression des donn\u00e9es. Sans cette pr\u00e9cision, la r\u00e9versibilit\u00e9 reste th\u00e9orique et la sortie devient un blocage op\u00e9rationnel.<\/p>\n\n\n\n

    6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n

    S\u00e9curiser les clauses contrat infog\u00e9rance \u00e0 la hauteur des enjeux exige une combinaison rare de comp\u00e9tences : ma\u00eetrise des contrats IT et du droit commun des contrats, expertise du RGPD et de la directive NIS2 articul\u00e9s dans la r\u00e9daction, compr\u00e9hension op\u00e9rationnelle des architectures SI et des mod\u00e8les d’externalisation, pratique de la n\u00e9gociation avec les grands infog\u00e9reurs (Sopra Steria, Capgemini, Atos, Accenture, IBM, Orange Business). Cette pluridisciplinarit\u00e9 est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d’un cabinet sp\u00e9cialis\u00e9 en droit du num\u00e9rique avec une pratique active des contrats IT.<\/p>\n\n\n\n

    Atias Avocats accompagne entreprises, ETI et grands comptes sur l’ensemble du sujet : audit d’un contrat d’infog\u00e9rance existant, r\u00e9daction sur mesure d’un nouveau contrat, n\u00e9gociation avec l’infog\u00e9reur, articulation RGPD et NIS2, accompagnement \u00e0 la mise en place et au pilotage, d\u00e9fense en cas d’incident ou de contentieux, conduite d’op\u00e9rations de r\u00e9versibilit\u00e9. Pour aller plus loin, consultez nos services en mati\u00e8re de contrats informatiques<\/strong><\/a>.<\/p>\n\n\n\n

    Conclusion<\/h2>\n\n\n\n

    Les clauses contrat infog\u00e9rance sont le pacte juridique qui conditionne la continuit\u00e9 quotidienne du syst\u00e8me d’information de l’entreprise. En 2026, avec l’application compl\u00e8te de NIS2 et la maturit\u00e9 du RGPD, leur niveau d’exigence a fortement augment\u00e9. Les huit clauses indispensables pr\u00e9sent\u00e9es dans cet article, combin\u00e9es \u00e0 la vigilance sur les cinq pi\u00e8ges classiques, offrent un r\u00e9f\u00e9rentiel directement utilisable par les DSI, RSSI, juristes et directions des achats.<\/p>\n\n\n\n

    L’investissement requis pour s\u00e9curiser s\u00e9rieusement un contrat d’infog\u00e9rance (g\u00e9n\u00e9ralement entre 3 000 et 50 000 \u20ac HT selon l’ampleur) est sans commune mesure avec le co\u00fbt d’un incident mal encadr\u00e9 \u2014 paralysie d’activit\u00e9, sanctions RGPD ou NIS2, perte de donn\u00e9es, contentieux pluriannuel. Pour les DSI, directions juridiques et fondateurs, le r\u00e9flexe doit \u00eatre clair : intervenir juridiquement en amont, d\u00e8s le cahier des charges et le choix de l’infog\u00e9reur, jamais apr\u00e8s la premi\u00e8re d\u00e9faillance. C’est pr\u00e9cis\u00e9ment \u00e0 ce moment que se construit la s\u00e9r\u00e9nit\u00e9 op\u00e9rationnelle et la libert\u00e9 contractuelle r\u00e9elle, indispensables \u00e0 la r\u00e9silience num\u00e9rique de l’entreprise.<\/p>\n\n\n\n

    FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n

    Qu’est-ce qu’un contrat d’infog\u00e9rance exactement ?<\/h3>\n\n\n\n

    Un contrat d’infog\u00e9rance est l’accord par lequel une entreprise confie tout ou partie de l’exploitation de son syst\u00e8me d’information \u00e0 un prestataire sp\u00e9cialis\u00e9 (l’infog\u00e9reur). Il peut couvrir l’h\u00e9bergement, l’exploitation des serveurs, la supervision, le maintien en conditions op\u00e9rationnelles, la cybers\u00e9curit\u00e9, le support utilisateurs, parfois la conduite applicative. \u00c0 la diff\u00e9rence d’un contrat SaaS (qui porte sur l’usage d’un logiciel) ou d’un contrat d’int\u00e9gration (qui d\u00e9ploie un progiciel), l’infog\u00e9rance porte sur l’exploitation r\u00e9currente du SI. Cette nature pluriannuelle, son impact direct sur la continuit\u00e9 d’activit\u00e9 et son interaction avec le RGPD, la NIS2 et l’AI Act en font l’un des contrats les plus structurants pour une entreprise. Sa solidit\u00e9 conditionne directement la disponibilit\u00e9 quotidienne du SI.<\/p>\n\n\n\n

    Quelles sont les clauses absolument indispensables d’un contrat d’infog\u00e9rance ?<\/h3>\n\n\n\n

    Huit clauses concentrent l’essentiel des enjeux. Le p\u00e9rim\u00e8tre d\u00e9taill\u00e9 du SI infog\u00e9r\u00e9 (machines, logiciels, processus). Les SLA (Service Level Agreement, accord de niveau de service) chiffr\u00e9s avec p\u00e9nalit\u00e9s automatiques. La cybers\u00e9curit\u00e9 et l’engagement de moyens techniques mesurables. Le DPA (Data Processing Agreement, accord de sous-traitance RGPD) conforme \u00e0 l’article 28 du RGPD. La conformit\u00e9 NIS2 (directive UE 2022\/2555) pour les entit\u00e9s essentielles et importantes. La propri\u00e9t\u00e9 intellectuelle sur les outils et d\u00e9veloppements. La responsabilit\u00e9 avec plafonds adapt\u00e9s au risque. La r\u00e9versibilit\u00e9 op\u00e9rationnelle en fin de contrat. Ces clauses sont les fondations sans lesquelles le contrat reste expos\u00e9.<\/p>\n\n\n\n

    Quelle est la diff\u00e9rence entre infog\u00e9rance, cloud et SaaS ?<\/h3>\n\n\n\n

    Les trois notions se chevauchent partiellement mais restent distinctes. Le SaaS (Software as a Service) est la mise \u00e0 disposition \u00e0 distance d’un logiciel standard, sur une infrastructure du fournisseur. Le cloud d\u00e9signe plus largement la mise \u00e0 disposition d’infrastructures (IaaS), de plateformes (PaaS) ou de logiciels (SaaS). L’infog\u00e9rance est l’externalisation de l’exploitation du SI du client, qu’il soit sur site, en cloud priv\u00e9 ou en cloud public : l’infog\u00e9reur prend en main la gestion op\u00e9rationnelle. Un contrat d’infog\u00e9rance peut donc inclure une dimension cloud, mais sa nature propre est l’externalisation de la gestion, pas la mise \u00e0 disposition d’une application. Cette distinction structure la r\u00e9daction et la responsabilit\u00e9.<\/p>\n\n\n\n

    L’infog\u00e9reur est-il responsable en cas de cyberattaque ?<\/h3>\n\n\n\n

    Selon le contrat, mais sa responsabilit\u00e9 est en principe importante. L’infog\u00e9reur exploite techniquement le SI : il est juridiquement tenu d’une obligation de s\u00e9curit\u00e9 au titre de l’article 32 du RGPD pour les donn\u00e9es personnelles, d’une obligation de moyens renforc\u00e9e pour le reste, et d\u00e9sormais des obligations NIS2 pour les p\u00e9rim\u00e8tres concern\u00e9s. En pratique, sa responsabilit\u00e9 d\u00e9pend de la r\u00e9daction de la clause de responsabilit\u00e9, des plafonds, de la qualification (faute lourde, dol), et de la d\u00e9finition contractuelle des mesures de s\u00e9curit\u00e9. Une r\u00e9daction floue ou des plafonds d\u00e9risoires fragilisent fortement la position du client en cas d’incident. C’est pr\u00e9cis\u00e9ment pourquoi les clauses contrat infog\u00e9rance doivent \u00eatre n\u00e9goci\u00e9es avec rigueur avant signature.<\/p>\n\n\n\n

    Combien co\u00fbte la r\u00e9daction ou la s\u00e9curisation d’un contrat d’infog\u00e9rance ?<\/h3>\n\n\n\n

    Le co\u00fbt varie selon l’ampleur du contrat. Pour la s\u00e9curisation juridique d’un contrat d’infog\u00e9rance standard (audit + amendements cibl\u00e9s), comptez 3 000 \u00e0 8 000 \u20ac HT. Pour la r\u00e9daction compl\u00e8te d’un contrat d’infog\u00e9rance sur mesure avec articulation RGPD, NIS2 et AI Act, le budget se situe entre 8 000 et 20 000 \u20ac HT. Pour un contrat d’infog\u00e9rance structurant (multi-sites, grands volumes, p\u00e9rim\u00e8tre NIS2 entit\u00e9 essentielle), l’investissement peut atteindre 20 000 \u00e0 50 000 \u20ac HT. Pour une mission contentieuse (cyberattaque, d\u00e9rive de service, contestation de p\u00e9nalit\u00e9s), les co\u00fbts compl\u00e9mentaires d\u00e9marrent \u00e0 15 000 \u20ac HT. Le retour sur investissement est g\u00e9n\u00e9ralement obtenu d\u00e8s le premier incident \u00e9vit\u00e9 ou correctement encadr\u00e9.<\/p>\n\n\n\n


    Contact :     david@atiasavocats.com<\/a> | LinkedIn: David Joseph Atias<\/em><\/a> | https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n

    Atias Avocats \u2014 Droit du num\u00e9rique, Contrats IT, Cybers\u00e9curit\u00e9, NIS2 & RGPD<\/em><\/p>","protected":false},"excerpt":{"rendered":"

    Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juin 2026 Les clauses contrat infog\u00e9rance sont parmi les plus d\u00e9terminantes du portefeuille contractuel d’une entreprise. L’infog\u00e9reur tient quotidiennement la continuit\u00e9…<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-22997","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/22997","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=22997"}],"version-history":[{"count":1,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/22997\/revisions"}],"predecessor-version":[{"id":22998,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/22997\/revisions\/22998"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=22997"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=22997"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=22997"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}