Quand la confidentialité du contrat est de mise

Un principe général du contract management souvent évoqué est que le contrat est l’affaire de tous. C’est un principe fondamental pour mettre le contrat au centre des préoccupations. Néanmoins, certaines conditions peuvent nécessiter de prendre en compte des limitations liées à la confidentialité.

Nous avons retenu trois cas de figure classiques que nous avons rencontrés au cours de nos activités :

  • Le projet est confidentiel. 
  • Certains éléments affectant le contrat ne peuvent être transmis par le client. 
  • L’organisation de l’entreprise fait que certains aspects du contrat ne peuvent être diffusés à tous en interne.

Le projet est confidentiel

Lorsqu’un projet est confidentiel, les contrats et documents échangés le sont également. Il existe de nombreux cas de projets confidentiels, soit par ce qu’ils sont critiques pour l’entreprise (comme pour le développement d’un produit innovant), qu’ils touchent à des aspects de sécurité (comme certains projets militaires) ou pour tout autre raison. Dans cette situation, tout le projet est confidentiel. L’existence du projet elle-même peut être une information confidentielle et tous les éléments échangés sont de nature confidentielle.

La façon standard de prendre en compte cet aspect est de créer un groupe fermé de personnes qui sont autorisées à échanger entre elles les informations sur le projet. Seules les personnes qui ont été validées (on emploie souvent un terme en anglais francisé : les personnes ‘in-boardées’) accèdent aux documents et informations du projet. Ce groupe fermé peut se manifester sous la forme d’un moyen d’échange dédié au projet, inaccessible du monde extérieur, via un réseau privé virtuel (ou VPN) par exemple. Sur ce moyen d’échange, les communications du projet ne sont pas soumises à des contraintes supplémentaires, toutes les personnes accédant au sujet ayant le droit d’y avoir accès.

Cette contrainte de confidentiel est génératrice de risques spécifiques à cette situation particulière. Ainsi, la constitution de l’équipe doit prendre en compte le délai nécessaire à la validation de chaque individu. Cette validation est souvent de la responsabilité du client, alors que c’est au fournisseur de proposer les individus pressentis pour travailler sur le projet.. Par conséquent la durée du process de validation est sous la responsabilité du client. C’est bien sur ce point que demeurent des risques souvent non pris en compte, en particulier si le process nécessite la coopération de plusieurs agences gouvernementales.

En anticipation de problèmes potentiels, il peut être judicieux d’aborder ce sujet lors des négociations contractuelles initiales, de définir la durée acceptable du process d’inboarding et surtout l’impact du dépassement de ce délai sur la personne concernée (autorisée à accéder aux documents ou non) et sur le projet : un éventuel retard pourrait être de la responsabilité du client. 

Certains éléments affectant le contrat ne peuvent être transmis par le client

Il arrive que le client ne puisse communiquer certaines informations, alors qu’elles vont affecter le projet. C’est par exemple le cas de projets contenant une infrastructure réseau. Le donneur d’ordre doit pouvoir vérifier à distance le bon fonctionnement de ses équipements mais ne pourra éventuellement pas fournir d’informations qui pourraient être récupérées et employées par d’éventuels hackers. Il est probable alors que le projet emploiera un plan d’adressage ‘factice’, inspiré du véritable plan d’adressage. Ceci pose plusieurs questions contractuelles sur le nombre d’étapes de validation et de mise en place de ces différents plans d’adressage. Le RACI (descriptif des activités et devoirs de chaque partie) doit préciser les responsabilités lors de ces étapes. Il faut prévoir la situation où les résultats des diverses phases de validation ne sont pas les mêmes. Par extension, si le client ne peut pas transmettre certaines informations trop sensibles mais qu’il lui faudra impérativement valider le système une fois ces informations intégrées, il faut prévoir les étapes de validation intermédiaires et citer dans le contrat les limites de responsabilité et les impacts aux cours de ces phases de validation.

L’organisation de l’entreprise fait que certains aspects du contrat ne peuvent être diffusés

Les deux sujets précédents concernaient des limitations sur ce qui peut être échangé entre client et fournisseur. Il arrive parfois que le fournisseur restreigne lui-même la diffusion en interne de certaines informations, en particulier les informations financières. Pour peu que l’entreprise fonctionne en mode client-fournisseur interne, il n’est pas possible de transmettre l’information financière échangée avec le client final au fournisseur interne. La transmission des éléments contractuels en interne peut alors être réalisée : 

  • En se limitant à la proposition technique envoyée au client qui est un document sans éléments financiers. Ce n’est qu’un début de solution, qui risque de ne pas mettre en évidence à temps les écarts entre les termes de la proposition et ceux retenus par le contrat.
  • En créant un document extrait du contrat, qui ne mentionne pas les valeurs financières (et sans les signatures pour éviter toute confusion avec le contrat complet). Il faut alors prévoir la gestion de configuration d’un tel document car il doit être mis à jour à chaque amendement du contrat principal.

La gestion de la confidentialité du contrat et des communications n’est pas chose aisée. Les bonnes volontés des différents intervenants seront éventuellement nécessaires pour pallier certaines imprécisions du contrat. Néanmoins, cette gestion de confidentialité doit s’accompagner d’une analyse de risques et surtout être anticipée au plus tôt, dans la phase précontractuelle. 

Enfin, cet article voudrait rappeler une ‘évidence’, à savoir que le contract manager doit accéder à tous les éléments y compris à ceux nécessitant une habilitation pour pouvoir remplir intégralement son activité. Evident ? Sauf qu’il arrive que le contract manager fasse partie de ceux à qui on ne transmet qu’une partie des documents, en espérant ne pas être impacté par ceux qui lui sont masqués… mais la prière fait-elle partie des outils du contract manager ?

Merci à Jérôme Sokol, contract manager, pour sa participation à cet article.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.