Besoin de conseil ?
Prendre rdv sur Teams
01 89 70 78 00 [email protected] L-V: 9:00 - 19:00 | S-D: 10:00 - 17:00
axorys 02
Contact

Clause de réversibilité en infogérance : checklist + modèle PME

  • Par Léo Dugué
  • Le 25-02-26
clause reversibilite contrat infogerance
Table des matières

Externaliser son informatique (infogérance) est souvent une bonne décision… jusqu’au jour où vous devez changer de prestataire.

La “clause de réversibilité” sert précisément à éviter les sorties chaotiques : elle organise la restitution des accès, des données, des configurations et de la documentation, pour continuer sans rupture.

L’administration française résume bien l’idée : à l’expiration du contrat, la réversibilité vise la poursuite des services sans discontinuité ni perte d’information (si la clause existe). (Service Public Entreprendre)

Dans ce guide :

  • une checklist de ce que vous devez récupérer,
  • un plan de réversibilité type,
  • un modèle de clause,
  • et quoi faire si un prestataire ralentit / bloque.

🔗 Pour tout savoir sur l’infogérance, voir: principes et présentation de l’infogérance.

Clause de réversibilité : définitions

La clause de réversibilité est une clause contractuelle qui décrit comment vous “reprenez la main” en fin de contrat :

  • soit vous internalisez (vous reprenez),
  • soit vous transférez à un nouveau prestataire.

Dans le CCAG-TIC (référence public), la réversibilité est définie comme des opérations de retour de responsabilité, et ses modalités figurent dans un plan de réversibilité. (Légifrance)

clause reversibilite contrat infogerance

Glossaire

  • Plan de réversibilité : annexe “mode opératoire” de la clause (étapes, calendrier, liste d’actifs, formats d’export, validations, preuves).
  • Transférabilité : organisation du passage à un nouveau prestataire (reprise des services par un tiers), avec une période de transition cadrée.
  • Tenant (Microsoft 365) : environnement “client” Microsoft (domaine, comptes, paramètres, sécurité) dont il faut rester propriétaire.
  • Entra ID : annuaire d’identités Microsoft (ex Azure AD) qui gère comptes, droits, accès et politiques de sécurité.
  • Intune : outil Microsoft de gestion des postes et mobiles (configuration, conformité, déploiement, politiques de sécurité).
  • Administrateur global / super-admin : compte avec les droits maximums sur un environnement (ex. Microsoft 365), indispensable pour reprendre la main.
  • Délégation d’administration : mode où le prestataire intervient avec des droits délégués, sans être propriétaire des comptes et de l’environnement.
  • RBAC : gestion des droits par rôles (qui peut faire quoi), pour limiter les accès et tracer les actions.
  • Runbook : procédure opérationnelle “pas à pas” (restauration, onboarding poste, incident critique) exploitable par une équipe entrante.
  • Co-exploitation : période où l’ancien et le nouveau prestataire (ou l’équipe interne) opèrent ensemble pour sécuriser la bascule.

Clause vs plan de réversibilité : la différence qui change tout

  • La clause = l’engagement contractuel (obligations, délais, responsabilités, coûts, sécurité, livrables attendus).
  • Le plan = le mode opératoire annexé : étapes, liste d’actifs, formats d’export, calendrier, preuves.

Dans les textes “marchés” (utile comme inspiration), le “plan de réversibilité” décrit la durée et les conditions de mise en œuvre. (Marche Public)

👉 Pour une PME, le bon réflexe : exiger un plan concret (même simple) dès la signature, et le tester au moins une fois pendant le contrat.

🔗 Consultez notre article, clauses clés du contrat d’infogérance

Réversibilité vs transférabilité

Dans le CCAG-TIC, on distingue :

  • Réversibilité : retour de responsabilité (vous reprenez, ou un tiers désigné). (Légifrance)
  • Transférabilité : transfert vers un nouveau titulaire (nouveau prestataire). (Marche Public)
SituationCe que ça veut direRisque si mal cadré
RéversibilitéVous récupérez l’exploitationVous récupérez… mais sans doc/accès
TransférabilitéUn nouveau prestataire reprendChangement lent + “zone grise” des responsabilités

Fin de contrat : ce que vous devez récupérer

Objectif : sortir avec des actifs exploitables, pas juste “un zip”.

A) Accès admin & identités (le point n°1)

À récupérer le jour 1 (sinon vous êtes dépendant) :

  • Comptes administrateur global / super-admin (selon environnements)
  • Accès aux consoles : M365/Entra, Intune, sauvegarde, EDR, RMM, firewall, DNS/registrar, hébergeur/cloud, ticketing
  • Coffre de secrets / gestion mots de passe (ou export)
  • Liste des comptes techniques / service accounts / API keys + procédure de rotation
  • Preuve que les accès du prestataire sortant seront révoqués à la fin (et quand)

Bon standard : le client est propriétaire des tenants et des comptes admin, le prestataire opère en délégation (quand c’est possible).

B) Données (pas seulement “les fichiers”)

  • Données métier (partages, SharePoint/OneDrive, boîtes mail, archives si prévu)
  • Données applicatives (bases, exports, sauvegardes exploitables)
  • Journaux nécessaires à l’exploitation (dans la limite du contrat)

Formats : exiger des exports standards (ou documentés) + une arborescence claire.

C) Configurations & automatisations

  • Paramétrages (policies Intune, CA/Entra, règles mail, MFA, RBAC)
  • Config firewall/VPN/Wi-Fi, inventaire réseau
  • Scripts, automatisations, jobs, intégrations, connecteurs
  • Documentation des dépendances (ex : “cette sauvegarde dépend de…”, “cet agent EDR est géré par…”)

D) Documentation & preuves (“testable”)

Là où beaucoup de clauses deviennent floues : vous voulez des livrables utilisables.

  • Inventaire parc + schéma réseau (même simple)
  • Runbooks (procédures : onboarding poste, restauration, ajout utilisateur, incident critique)
  • Liste des licences + qui paye quoi + où sont les comptes fournisseurs
  • Historique des changements majeurs (ou à défaut : état des lieux)

Et surtout : preuves de restitution/suppression selon le périmètre (voir RGPD ci-dessous).

🔗 Consultez notre article, SLA infogérance : pièges à éviter

RGPD : la réversibilité touche aussi à la restitution/suppression des données

En infogérance, votre prestataire peut agir comme sous-traitant au sens RGPD. À la fin de la prestation, les obligations “fin de sous-traitance” sont un point de risque classique : selon les instructions du client, il faut supprimer ou renvoyer les données et détruire les copies, sauf obligation légale de conservation. (CNIL)

👉 Ici, on ne refait pas tout le RGPD : dans votre article dédié “infogérance & RGPD / art. 28”, vous développez. Dans cet article “réversibilité”, on met juste le garde-fou : “restitution/suppression + preuve”.

🔗 Consultez notre article, infogérance & RGPD (article 28)

Plan de réversibilité PME : un déroulé simple

Un plan utile tient sur 1–2 pages. Exemple :

T-60 à T-30 jours (préparation)

  • Inventaire complet des actifs concernés (liste “à restituer”)
  • Validation des formats de sortie (exports, accès consoles, docs)
  • Plan de continuité pendant la transition (qui fait quoi en cas d’incident)

T-30 à T-7 jours (pré-migration / co-exploitation)

  • Création/validation des accès du prestataire entrant (ou équipe interne)
  • Transfert de connaissance (réunions + runbooks)
  • Test d’un point critique : restauration (backup) / réinitialisation accès admin

J0 (fin de contrat)

  • Restitution finale (accès + exports + docs)
  • Révocation des accès du prestataire sortant (MFA/roles/agents)
  • PV de sortie (checklist signée)

J+1 à J+15 (stabilisation)

  • Support “post-bascule” limité (ex : 5–10h) si prévu
  • Correction des “petits manques” documentés au PV

Coûts & délais : comment éviter la facture surprise

Dans le public, la logique est cadrée par des dispositifs contractuels. (Légifrance)
En PME, il faut l’écrire. Deux mécanismes simples :

  1. Forfait inclus : ex. “jusqu’à X heures de réversibilité incluses par année de contrat”.
  2. Plafond : au-delà, TJM/THM connu + plafond maximum (ou accord préalable obligatoire).

Et vous exigez une règle : “pas de livraison ‘inexploitables’” (ex : exports non documentés).

🔗 Consultez notre article, prix de l’infogérance à Paris

Modèle de clause de réversibilité

Important : exemple informatif (à adapter à votre contexte et, si besoin, à faire valider).

Clause – Réversibilité / Transférabilité (Infogérance)

Objet
La présente clause définit les modalités de réversibilité/transférabilité des prestations d’infogérance afin d’assurer la continuité d’exploitation et la restitution des actifs nécessaires.

Définitions

  • Réversibilité” : opérations de retour de responsabilité permettant au Client (ou à un tiers désigné) de reprendre les prestations. (Inspiration CCAG-TIC). (Légifrance)
  • “Transférabilité” : opérations permettant au nouveau prestataire désigné de reprendre les prestations.

Périmètre
Sont inclus : systèmes, comptes, configurations, scripts, documentation, données, sauvegardes, outils de sécurité, supervision, tickets et inventaires relatifs au périmètre décrit en Annexe A (Inventaire des actifs).

Livrables de réversibilité (obligatoires), le prestataire fournit au minimum :

  • a) Accès et identités : comptes admin, délégations, coffres, liste des comptes techniques, procédures de rotation.
  • b) Données : exports et/ou transferts des données du périmètre au format [préciser], avec arborescence et contrôle d’intégrité.
  • c) Configurations : exports/politiques/configurations documentés (M365/Entra/Intune, sauvegarde, EDR/RMM, réseau).
  • d) Documentation : runbooks, schémas, inventaires, liste licences, état des lieux.
  • e) Preuves : bordereau de restitution + (si applicable) preuves de suppression/destruction des copies selon instruction.

Plan de réversibilité
Le plan détaillé (Annexe B) précise : calendrier, responsabilités, formats de livrables, canaux de transfert, validations (PV), et modalités de co-exploitation.

Délais
La période de réversibilité est fixée à [X] jours à compter de la notification de fin de contrat / non-renouvellement.

Coûts
La réversibilité est :

  • incluse jusqu’à [X] heures, puis facturée [THM/TJM],
  • avec un plafond de [€] sauf accord écrit préalable du Client.

Sécurité
Les transferts s’effectuent via [canal sécurisé]. À l’issue, le Prestataire révoque ses accès (comptes, rôles, agents) selon une procédure convenue et remet une attestation de révocation.

Données personnelles (RGPD)
Au terme de la prestation et selon les instructions du Client, le Prestataire supprime ou restitue les données personnelles et détruit les copies existantes, sauf obligation légale de conservation. (CNIL)

Acceptation
Un procès-verbal de sortie (Annexe C) valide la complétude des livrables. Toute réserve est listée avec délai de correction.

🔗 Consultez notre article, risques & pièges en infogérance

Si le prestataire bloque (ou traîne) : plan d’action

Sans dramatiser… ça arrive.

Objectif : rester factuel, documenter, garder la continuité.

  1. Revenir au contrat + à la clause (et constater les manquements, par écrit)
  2. Demander les livrables minimaux en priorité : accès admin + inventaire + sauvegardes + docs d’exploitation
  3. Réduire la dépendance : récupérer DNS/registrar, comptes M365, consoles EDR/RMM
  4. Sécuriser la transition : rotation des secrets, révocation progressive, co-exploitation
  5. Tracer : PV, emails, checklist signée (utile en cas de litige)
  6. Escalader : direction → mise en demeure → conseil (si nécessaire)

La clause de réversibilité est aussi recommandée pour éviter la dépendance à une offre unique (logique anti lock-in). (cyber.gouv.fr)

Réponses à vos questions

Quel délai prévoir pour changer de prestataire informatique ?

Pour une PME “classique” (M365 + parc postes + sauvegarde + sécurité), prévoyez une phase de préparation (2–4 semaines) + bascule (1–2 semaines) selon la qualité de la doc et l’accès aux consoles.

Qu’est-ce qui doit être restitué à la fin d’un contrat d’infogérance ?

Au minimum : accès admin, données, configurations, documentation d’exploitation, inventaires, et, si applicable, preuves de suppression/restitution (RGPD). (Service Public Entreprendre)

Réversibilité vs transférabilité : c’est pareil ?

Non : réversibilité = vous reprenez ; transférabilité = un nouveau prestataire reprend. (Légifrance)

Le prestataire doit-il supprimer ou rendre les données personnelles ?

Oui, selon les instructions du client, avec destruction des copies sauf obligation légale de conservation. (CNIL)

Contenu informatif, ne remplace pas un conseil juridique. Les exemples doivent être adaptés à votre situation contractuelle.

Demander un devis d’infogérance