Il est souvent considéré que l’externalisation de fonctions estimées non essentielles ou à faible valeur ajoutée est un gage de bonne gestion : elle permet de concentrer l’attention du management sur les activités constituant le cœur d’expertise de l’entreprise. En général, la discussion managériale et académique porte sur la délimitation entre ce qui peut être externalisé et ce qui doit rester internalisé. Si la problématique d’appréciation puis de maîtrise des risques associés aux fonctions externalisées est moins attrayante, elle est pourtant essentielle. En effet, l’entreprise qui sous-traite demeure – quels que soient les engagements de résultats de ses sous-traitants et leur couverture en assurance –, responsable en première ligne des activités externalisées, tant vis-à-vis de ses distributeurs et clients, de ses collaborateurs, que des régulateurs de tout ordre. Et, ne l’oublions jamais, cette responsabilité engage sa réputation. C’est la leçon de l’épreuve que traversent, par exemple, Toyota et Total, affréteur de l’Erika.

 

Les principes applicables à la maîtrise des risques

L’externalisation peut prendre de nombreuses formes : la sous-traitance, mais aussi les contrats de mandat, les missions d’assistance technique de SSII ou d’autres consultants, etc. Peu importe la forme juridique, la substance prime. Peu importe également que le prestataire soit interne, mutualisé avec des pairs, ou totalement externe, qu’il opère dans les murs ou depuis l’autre bout du monde, ou encore qu’il s’agisse des risques attachés aux contrats d’externalisation en cours ou en projet : les principes applicables à la maîtrise des risques sont les mêmes, seule diffère leur mise en œuvre.

Premier principe : les activités externalisées demeurent dans le périmètre de la gestion des risques de l’entreprise. Ce principe est souvent oublié et l’un des mérites de l’externalisation (la diminution des coûts) est souvent surestimé car on oublie qu’il faut continuer à gérer les risques découlant d’une activité externalisée.

Deuxième principe : l’entreprise doit conserver les compétences lui permettant de suivre ses fournisseurs, leur prestation effective et leur facturation voire de mettre en œuvre une réversibilité en cas de décision managériale de réinternaliser… Ces compétences sont essentielles pour le pilotage opérationnel du contrat et le maintien d’une appréciation et d’une gestion des risques afférents aux activités concernées.

Troisième principe : un contrat d’externalisation nécessite une formalisation contractuelle particulièrement professionnelle fixant de manière précise les prestations attendues et leur niveau de qualité (le fameux Service Level Agreement – SLA) ainsi que les devoirs et obligations respectifs du donneur d’ordre et du prestataire, les modalités de gestion – souvent conjointe – d’incidents voire de crise et les obligations en matière de continuité d’activité. Une telle contractualisation a pour prérequis un travail considérable de formalisation des prestations attendues de la part des opérationnels qui va bien au-delà de ce qui est fait en général en contexte interne ; or le prestataire ne réalisera lui – au mieux – que ce à quoi il est engagé. Par ailleurs, le contenu et les modalités de reporting du prestataire sur le fonctionnement de ses processus de production, les incidents intervenus, le résultat de ses contrôles et les modalités de contrôle par le donneur d’ordre – y compris éventuellement chez le prestataire – sont des pans essentiels du contrat. Le contrat doit également contenir les clauses nécessaires en matière de confidentialité, de secret professionnel, de propriété intellectuelle…

Quatrième principe : le dispositif de gestion des risques doit être adapté aux différents cas et proportionné aux risques ; ainsi une externalisation offshore dans un pays offrant une culture, une langue, un créneau horaire, etc. différents mérite plus de suivi qu’une externalisation auprès d’un fournisseur installé dans les murs !

Due diligence réglementaire et approche en risques

Les projets d’externalisation présentent des aspects critiques relevant de deux problématiques.
D’une part, la due diligence réglementaire, c’est-à-dire l’étude complète des dispositions réglementaires applicables au projet, au niveau des entités clientes comme au niveau de l’entité prestataire, est souvent décisive pour la détermination du cahier des charges d’un projet. En effet, une contrainte réglementaire mal identifiée peut se traduire par des coûts et des délais supplémentaires voire par l’impossibilité de mettre en œuvre tout ou partie d’un projet, notamment en matière de droit du travail, de respect des données personnelles et du secret professionnel, de droit de l’économie numérique ou de réglementation concernant la profession du donneur d’ordre (réglementation de l’externalisation en matière bancaire, par exemple).
D’autre part, l’approche en risques, c’est-à-dire la prise en compte, dans le bilan des coûts et avantages du projet, des risques — notamment opérationnels — en découlant, devra couvrir trois dimensions d’analyse.

Les risques « intrinsèques » de l’activité à externaliser sont supposés avoir été identifiés par l’entreprise avant le projet – et si ce n’est pas tout à fait le cas, il est urgent de le faire en amont, et l’objectif, dans le cadre du projet, est de réduire cette catégorie de risques ou a minima de les contenir à un niveau équivalent dans le nouveau contexte opérationnel.

Les risques spécifiques résultent du modèle opérationnel cible, notamment du fait que tout ou partie de l’activité serait réalisée par un tiers : défaillance du prestataire et risque juridique lié à la contractualisation, risque de concentration, risque de l’externalisation en chaîne, risques liés aux pays (risque politique, turn-over de personnel, inflation et dérapage salarial, fluctuation monétaire, risque télécoms – y compris leurs aspects continuité d’activité et secours informatique –, perte de compétence, difficulté à suivre l’exécution de la prestation par le fournisseur et, partant, risque de non-réversibilité.

Ces risques pourront être appréhendés par des procédures et contrôles adaptés, par des diligences spécifiques (contrat, due diligence sur le fournisseur et son processus de production, plan de continuité d’activité) ou des coûts spécifiques (infrastructure, télécoms), ou encore par un taux d’actualisation adapté pour la préparation du bilan économique (risque pays, turnover, variations monétaires ou salariales).

Le risque de conduite de projet comprend principalement :

  • le risque de dérapage du projet en coût et/ou délais (l’évaluation ex ante des coûts et délais s’avère souvent difficile, et les coûts d’interface avec le prestataire sont souvent minorés) ;
  • le risque de modification du schéma cible, par l’introduction de nouvelles réglementations par exemple, ou une déficience dans le contrôle des évolutions de spécifications du projet ;
  • les risques liés à la transition opérationnelle (risque de dégradation des performances et de dysfonctionnement ; sous-estimation des surcoûts de doublonnement résultant du fonctionnement en parallèle de l’ancien et du nouveau dispositif, ou des coûts et délais liés au « décommissionnement »de systèmes IT, par exemple) ;
  • les risques « ressources humaines » liés au projet : non-respect des obligations de consultation des représentants du personnel, dégradation du climat social, impact des obligations de reclassement des personnes concernées par un projet.

Ces deux aspects critiques sont à analyser dès le début des projets, c’est-à-dire la phase de conception générale, et à approfondir dans le cadre de la conception détaillée, de façon à être entièrement couverts lors de la mise en œuvre du projet. La « gouvernance » de projet est ainsi un facteur essentiel de la gestion des risques afférents aux contrats d’externalisation, de même que l’exercice de post mortem, toujours prévu, et si peu mis en œuvre.

 

1. Arrêt des anciens systèmes IT, ndlr.