La messagerie électronique est incontestablement aujourd’hui une application critique pour toutes les entreprises. Logiquement, le Cloud Computing aidant, la question de l’externaliser dans les « nuages » est une offre qui se généralise sur le marché. Les coûts sont souvent très compétitifs, l’investissement en matériels et logiciels est mineur voire quasi nul, la lutte anti-virus et anti spam est prise en charge par le prestataire quand elle n’est pas une obligation juridique à sa charge insérée aux conditions générales de services, enfin les engagements en qualité de services sont souvent pris par le prestataire à la convention liant les parties.
Bien évidemment, lorsqu’il est envisagé une externalisation de son système de messagerie, il est impératif d’organiser contractuellement les relations entre l’entreprise, le donneur d’ordre, et le prestataire externe. A titre préalable, le client devra s’enquérir de la bonne santé financière et de la pérennité de son prestataire, car si le prestataire trépasse, par exemple par un dépôt de bilan conduisant à une liquidation judiciaire, c’est bien souvent la pire des situations pour le client qui veut reprendre la main sur son système et surtout ses données. Pour faire face à ce risque, il existe des solutions efficaces de type organisationnel et / ou technique, qui sont souvent de meilleure sécurité qu’un vague engagement juridique sur un papier dont on se rend compte qu’il est difficile à exécuter le moment venu. Parmi ces solutions et par exemple, il y a le fait d’imposer des sauvegardes très régulières et externes au système d’information du prestataire, auquel le client peut avoir facilement accès et que celui-ci contrôlera très régulièrement ou faire le choix d’un prestataire qui recourt à des outils standards qui puissent facilement accueillir la messagerie de l’entreprise en cas de changement de prestataire, pour qu’il n’y ait aucune rupture dans l’utilisation de la messagerie de l’entreprise ou encore conserver le contrôle de la gestion DNS (noms de domaine internet) de façon à rediriger demain et en quelques clicks la messagerie vers un nouveau prestataire en cas d’absence ou de défaillance.
Au titre du contrat, le rêve habituel des clients est d’imposer à leur prestataire une « obligation de résultat », débat qui donne lieu à d’infinies discussions entre client et prestataire. Il n’est pas nécessaire, et même il ne suffit pas, de faire figurer la formule choc de « l’obligation de résultat » pour qu’un prestataire y soit soumis contrairement à ce qu’on croit. Il suffit pour le client de définir de façon très précise les besoins spécifiques de l’entreprise et ses attentes en terme de qualité de services, de disponibilité et que le prestataire s’y engage dans le contrat. Cet engagement est bien de résultat sans qu’il soit nécessaire de faire figurer au contrat le mot controversé.
Pour le reste, le contrat devra comporter une obligation spécifique pour assurer la protection du système de messagerie. Autrement dit, il faut que cette question soit traitée de manière particulière dans le contrat conclu avec le prestataire. C’est une obligation du … client qui est issue de la Loi informatique et libertés. Les adresses email de l’entreprise, celles de ses correspondants (clients, fournisseurs, partenaires) sont des données à caractère personnel, de même que le contenu des messages échangés peuvent revêtir cette qualification, qui restent sous la responsabilité juridique du client donneur d’ordre même sous-traitées à un tiers prestataire. L’article 34 de la Loi de 1978 réformée en 2004, ayant créé la Cnil fait dès lors obligation au client, appelé responsable du traitement, de prévoir dans le contrat écrit, des dispositions spécifiques pour interdire à un tiers non autorisé d’accéder à de telles données. En d’autres termes, le client doit montrer qu’il s’est enquis de la sécurité des données que lui ont confié ses clients, fournisseurs, partenaires. Le contrat devra également prévoir une clause dite de réversibilité par laquelle le prestataire s’engage à restituer les données au client au terme du contrat, qu’elle qu’en soit la cause. Pour cela, le prestataire devra s’engager à conserver l’intégralité des données reçues, sous la forme et le format convenu avec l’entreprise. Il est prudent pour le client de prévoir la mise en jeu de cette clause plusieurs mois avant la fin du contrat bien sur et même avant la date limite de renouvellement du contrat, car le prestataire pourrait être tenté de trainer les pieds s’il a la certitude que le contrat ne sera pas renouvelé. En revanche, s’il a encore des espoirs …
Enfin, qui dit messagerie, dit courriels ou emails, qui peuvent demain être produits comme preuve dans un contentieux commercial ou prud’hommal. La preuve est depuis Mars 2000 en droit français libre de ce point de vue, dans la mesure où un courriel est bien, de manière général et sauf quelques exceptions, l’égal d’un courrier papier même recommandé devant les tribunaux. L’article 1316-1 du code civil précise cependant : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Le prestataire devra donc être en mesure de garantir la traçabilité de tous les messages que ses machines ont enregistrées, stockées et conservées, de façon à ce qu’il puisse répondre à toute demande de la justice sur les conditions de conservation de ces messages pour se conformer à l’article du code civil précité.