Accueil Revues Revue Numéro Article

Documentaliste-Sciences de l'Information

2014/3 (Vol. 51)

  • Pages : 80
  • DOI : 10.3917/docsi.513.0040
  • Éditeur : A.D.B.S.

ALERTES EMAIL - REVUE Documentaliste-Sciences de l'Information

Votre alerte a bien été prise en compte.

Vous recevrez un email à chaque nouvelle parution d'un numéro de cette revue.

Fermer

Article précédent Pages 40 - 42 Article suivant

1

L’externalisation (outsourcing) est devenue en quelques années un phénomène incontournable que toutes les entreprises ont envisagé ou ont mis en œuvre. Mais ces pratiques sont quelquefois très risquées, allant jusqu’à mettre en péril l’entreprise elle-même ou une branche de son activité. Elles doivent donc rechercher les solutions leur permettant de se préserver des risques pouvant impacter leur activité, leur rentabilité et leur image.

2

Les activités déployées sous la forme de l’externalisation sont fréquemment liées à la création de valeur et, surtout, s’accompagnent systématiquement d’un transfert d’information vers l’extérieur de l’entreprise, qu’il s’agisse de savoir-faire, de données informatiques ou de process. Aussi, l’externalisation ne peut être comprise comme de la simple sous-traitance. De fait, ces transferts importants de ressources que sont la technologie, le savoir-faire, une certaine image de l’entreprise ne peuvent pas être pris en défaut. La restitution et les travaux réalisés autour de toute externalisation ne doivent en aucun cas nuire à l’entreprise, si des irrégularités étaient commises ou si les travaux ne correspondaient pas à la conformité globale, voire étaient totalement décalés par rapport à la vision extérieure des marques de l’entreprise.

3

Au cœur de cette activité se trouve désormais une complexité qui intègre plusieurs prestations : les prestations techniques (Information Technology Outsourcing ou ITO) telles que l’informatique et les télécommunications, les prestations métiers (Business Process Outsourcing ou BPO) et les prestations à haute valeur ajoutée (Knowledge Process Outsourcing ou KPO). Les évolutions récentes ont vu aussi apparaître le cloud computing, une nouvelle forme de sourcing et de fourniture de services. Toutes ces pratiques mettent en œuvre des ensembles de moyens ou de services visant à améliorer sensiblement les coûts, à répondre aux évolutions technologiques et, avec le cloud computing, à intégrer l’utilisation des réseaux à la demande.

4

Parmi les nombreux secteurs qui font appel à l’externalisation, ceux de la banque et de l’assurance représentent près de 40 % du total. L’offre se traduit par des centres performants essentiellement localisés en Asie-Pacifique (Inde, Chine, Ceylan, Île Maurice, etc.) pour 55 % d’entre eux, en Europe de l’Est (Pologne, Hongrie, Slovaquie, Tchéquie, Roumanie, Estonie, etc.) pour 20 %, en Amérique latine (Brésil, Argentine, Mexique) pour 12 % et en Afrique (Maroc, Tunisie, Afrique du Sud, etc.) pour 8 %.

Éric NOSAL

Pourquoi externaliser ?

5

Externaliser est une décision stratégique. Dans un projet de sourcing traditionnel, différentes directions de l’entreprise se trouvent impliquées, en particulier la Direction des systèmes d’information et, à ses côtés, la Direction générale, la Direction juridique et la Direction financière. D’autres sont parties prenantes de fait, comme la Direction des ressources humaines et la Direction des achats.

6

Dans un projet de cloud, la prise de décision n’est plus forcément collégiale, chaque direction s’émancipant des autres, conduisant son propre projet, créant de fait des risques souvent importants (voir ci après). L’externalisation est un processus assez complexe, donc consommateur de temps pour les directions générales. Ce type de projet sera donc réservé aux fonctions pour lesquelles le gain potentiel est important.

7

Le recours à l’externalisation est fondé sur trois points essentiels : une rentabilité accrue liée principalement à la réduction des coûts (de 20 à 50 %) ; le recentrage sur le cœur de métier de l’entreprise (activités stratégiques, capacité à innover, adaptation au changement et au management interactif) ; une réduction des délais opérationnels, des processus de fabrication, de la chaîne de livraison (sans aucun temps mort).

8

Il ne faut pas négliger l’importance des risques face à des bénéfices immédiats, des anticipations de gains parfois balayées par des surcoûts dont les conséquences les plus saillantes sont une facturation qui dérape, mettant ainsi en péril le projet dans sa totalité. Ce sont de nombreuses questions qu’il faut à l’évidence se poser pour rendre pérenne un modèle économique qui n’est pas le modèle traditionnel de l’entreprise : Quel est mon besoin ? Qui fait quoi ? Quels sont les différents aspects, social, industriel, économique ? Qui sont et qui seront les acteurs ? Suis-je en phase avec mon prestataire ?

9

C’est avant de décider d’externaliser qu’il faut se pencher sur la cartographie des risques pour pouvoir les anticiper (voir encadré).

La cartographie des risques de l’externalisation
  • Manque de préparation dans la construction du projet (alors qu’une équipe projet structurée à cet effet s’impose).

  • Manque de coordination des expertises en corrélation avec la refonte du modèle opérationnel.

  • Défaut dans la prestation délivrée (implications internes et externes, emploi local, normes).

  • Non-respect des engagements.

  • Perte de contrôle de l’activité due à la distance géographique et culturelle.

  • Défaut dans les choix techniques et humains du prestataire et dans la pérennité du service.

  • Risques industriels à moyen ou long terme.

  • Risques liés à la mutualisation (un prestataire peut utiliser son personnel et éventuellement ses infrastructures pour plusieurs entreprises).

  • Moyens de traçabilité des produits et des données.

  • Transfert des données (dépossession, divulgation, sensibilité des données transférées à l’étranger).

  • Réglementation renforcée concernant notamment les données clients (obligations légales).

  • Risques juridiques liés aux contrats de travail, aux transferts de savoir-faire.

  • Risque accru de fraude.

  • Risques sociaux liés à la délocalisation d’emplois.

  • Risques d’assurances : pertes, contamination des données, piratage.

  • Risques liés à la propriété intellectuelle des logiciels et des brevets.

  • Risques de gouvernance et déconnexion par rapport aux habitudes de l’entreprise.

Réversibilité d’une externalisation et autres précautions

10

Dans un projet de cloud, d’autres risques apparaissent puisque les données migrent, sont copiées, sont échangées, sont accessibles dans le monde entier. En juin 2012, la Commission nationale de l’informatique et des libertés (Cnil) a publié des recommandations concrètes sur le cloud qui consistent à prêter attention aux points suivants :

  • Qualifications et agréments du prestataire

  • Adaptation des interfaces et évolution des plateformes de cloud

  • Performance et interopérabilité des systèmes.

  • Homogénéité de la sécurité et de la confidentialité des données.

  • Adaptabilité des outils du prestataire (ordonnancement, monitoring).

11

Les derniers risques importants sont, en dehors de la viabilité du projet, les conséquences à terme non seulement sur le plan humain mais aussi sur le plan de l’organisation et des processus de l’entreprise elle-même. Il faut donc aussi intégrer la possibilité de la réversibilité d’une externalisation et anticiper cette éventualité.

12

Ces risques évoluent en regard des principales tendances du marché définies par les pays donneurs d’ordres ou les pays offreurs de prestations. De multiples environnements législatifs et réglementaires viennent en outre complexifier les montages à réaliser pour bénéficier des effets de levier liés à de telles opérations. Des mesures émergentes, plus protectionnistes, telles que la loi Durbin-Grassley aux États-Unis [1][1] Affaire Oracle-Union pour un mouvement populaire. Ordonnance..., peuvent avoir un impact dans le futur. En France, une première jurisprudence a mis l’accent sur la récupération des données et les obligations du prestataire qualifiant le contrat de cloud de contrat d’intérêt commun [2][2] Cette loi restreint la délivrance de visas pour les.... On voit que des évolutions telles que le cloud computing affectent les modèles d’externalisation, la gestion des postes de travail, la gestion des centres de données, etc.

Externalisation et sécurité des systèmes d’information : un guide de l’ANSSI pour maîtriser les risques

Parce qu’il est indispensable, dans toute opération d’externalisation, de faire appel à des prestataires qui s’engagent sur la sécurité, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un guide de l’externalisation qui aide à maîtriser les aspects de sécurité dans les marchés d’infogérance. Elle souligne en particulier les risques spécifiques à l’informatique en nuage (cloud).

http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides

L’externalisation au service du développement de l’entreprise

13

Les cadres dirigeants doivent acquérir l’expérience nécessaire à l’accomplissement de leur métier dans un contexte de plus en plus évolutif, transfrontalier et multiculturel. Prendre des risques, c’est l’apanage de tout dirigeant. Encore faut-il que cela se fasse après une véritable réflexion stratégique, une évaluation correcte de l’ensemble des risques, et la prise en compte de nouveaux risques potentiels. Il faut aussi harmoniser les fonctions transverses (DSI, DRH, Direction juridique) et y intégrer les compétences nécessaires. Le potentiel de création de valeur de l’externalisation ne doit, quant à lui, jamais occulter les véritables capacités de l’entreprise. Les modèles d’externalisation ne sont plus fondés sur un simple transfert de ressources et de responsabilités. L’externalisation signifie désormais moins un arbitrage de coûts de main-d’œuvre que l’accès à un univers de compétences à l’échelle planétaire. L’externalisation est désormais au service de la mondialisation du marché et du développement des entreprises et on assiste à une plus grande spécialisation de marché et des niveaux d’échanges intra-entreprises, de plus en plus sophistiqués, fondés sur l’essor fantastique et le développement des nouvelles technologies d’information et de la communication.

Notes

[1]

Affaire Oracle-Union pour un mouvement populaire. Ordonnance de référé TGI de Nanterre, 30 novembre 2012, www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3794

[2]

Cette loi restreint la délivrance de visas pour les travailleurs indiens qui viennent pour un ou deux ans aux États-Unis, et dont le coût de travail est plus faible que certains homologues américains. La loi imposerait aussi les revenus de ces expatriés temporaires.

Résumé

Français

[Transfert] L’externalisation est pratiquée par toutes les entreprises. Mais elle est parfois très risquée. Des solutions permettent de se préserver des dangers pouvant impacter l’activité, la rentabilité ou l’image de la firme.

Plan de l'article

  1. Pourquoi externaliser ?
  2. Réversibilité d’une externalisation et autres précautions
  3. L’externalisation au service du développement de l’entreprise

Pour citer cet article

Couvois Georges, « Cloud, externalisation : quels risques pour la circulation des données hors de l'entreprise ? », Documentaliste-Sciences de l'Information, 3/2014 (Vol. 51), p. 40-42.

URL : http://www.cairn.info/revue-documentaliste-sciences-de-l-information-2014-3-page-40.htm
DOI : 10.3917/docsi.513.0040


Article précédent Pages 40 - 42 Article suivant
© 2010-2014 Cairn.info
back to top
Feedback