Contrat de sous-traitance IT en Suisse : comment éviter la chaîne de sous-traitants non déclarée
Développement, intégration, data et maintenance : quand un prestataire délègue sans transparence, la qualité, la confidentialité et les délais peuvent vite partir en vrille. Voici une checklist contractuelle concrète et un modèle de questions à envoyer avant signature, avec un focus pratique pour la Suisse romande et, notamment, dans le canton de Vaud et dans le canton de Fribourg.

Équipe JuriUp
Contenu préparé par JuriUp, en collaboration avec des avocats partenaires en Suisse romande, habitués aux contrats IT et aux questions de protection des données.
Risque principal
Perte de contrôle
Impact typique
Qualité et délais
Levier contractuel
Transparence + audit
Bon à savoir
En Suisse, un contrat IT peut être structuré comme un contrat d’entreprise, un contrat de mandat, ou un montage mixte. La manière dont vous encadrez la sous-traitance et la responsabilité dépend beaucoup de cette qualification et des prestations attendues.
1. Identifier la chaîne réelle avant de signer
Si vous voulez éviter les surprises, le premier réflexe est de demander une visibilité complète avant la signature. Dans la plupart des cas, un prestataire sérieux peut vous indiquer qui va réellement intervenir, à quel niveau, et avec quelles garanties. Si la réponse est floue, ou change toutes les semaines, c’est un signal d’alerte.Les signaux qui doivent vous faire réagir
- Refus de nommer les sous-traitants ou explications du type « nous verrons plus tard ».
- Changements fréquents d’équipe sans justification claire.
- Promesses de délais très ambitieux, mais sans plan de delivery réaliste.
- Accès demandés à des environnements ou des données qui ne semblent pas nécessaires.
Votre objectif côté client
Vous voulez une réponse simple à trois questions. Qui fait quoi, depuis où, et sous quelle responsabilité. Ensuite, vous transformez ces réponses en obligations contractuelles vérifiables, pas en simples déclarations commerciales. Dans les projets menés dans le canton de Vaud ou dans le canton de Fribourg, le risque n’est pas différent. Ce qui change, c’est souvent votre organisation interne, par exemple une DSI plus petite, ou un achat qui signe vite. D’où l’intérêt d’un cadrage écrit dès le départ.Astuce JuriUp
Si votre prestataire refuse de vous fournir une liste de sous-traitants ou un schéma de flux, demandez au minimum un engagement écrit sur le fait qu’aucun sous-traitant ne pourra intervenir sans votre accord préalable. Ensuite, faites valider la formulation par un avocat spécialisé via JuriUp.
2. Les clauses à intégrer pour garder le contrôle
Un bon contrat de sous-traitance IT ne se limite pas au périmètre technique. Il pose des garde-fous sur la délégation, la qualité et la responsabilité. L’idée est simple : si le prestataire délègue, vous voulez que cela ne dégrade ni vos exigences, ni vos droits, ni votre capacité à auditer.Clause d’autorisation de sous-traiter
- Principe : sous-traitance interdite sauf autorisation écrite préalable de votre part, ou autorisée uniquement pour une liste nominative jointe au contrat.
- Obligation d’information en cas de changement, avant toute intervention du nouveau sous-traitant.
- Droit de refuser un sous-traitant pour des raisons objectives, notamment sécurité, conflit d’intérêts, localisation, compétences.
Clause de responsabilité
- Responsabilité du prestataire principal pour les actes et omissions de ses sous-traitants, comme s’il exécutait lui-même.
- Interdiction de limiter la responsabilité d’une manière qui vous laisse sans recours effectif si une partie du travail est déléguée.
- Alignement clair avec votre modèle de gouvernance, par exemple un responsable unique côté prestataire, avec pouvoirs de décision.
Clause d’audit et de traçabilité
- Droit de recevoir une liste à jour des intervenants et des sociétés impliquées dans l’exécution.
- Droit d’audit raisonnable, sous réserve de proportionnalité et de confidentialité, sur les mesures de sécurité et les accès.
- Journalisation des accès aux environnements, et conservation des logs selon une durée définie contractuellement.
Clause de localisation et d’accès
- Définition des lieux d’exécution et, si pertinent, des pays depuis lesquels l’accès à distance est autorisé.
- Encadrement des accès administrateurs, des droits sur dépôts Git, CI/CD et outils de ticketing.
- Exigence d’outils approuvés, ou interdiction d’utiliser des outils personnels non maîtrisés.
Attention aux clauses trop vagues
« Le prestataire peut sous-traiter librement sous sa responsabilité » est souvent insuffisant en IT, surtout si votre projet touche à des données personnelles, à des secrets d’affaires ou à des environnements critiques. Une formulation plus stricte vous évite de découvrir tardivement une chaîne de prestataires que vous n’auriez jamais acceptée.
3. Données, confidentialité et LPD : points de vigilance
Dans un projet dev, intégration ou data, la sous-traitance n’est pas seulement une question de qualité. C’est aussi une question de conformité. Dès que des données personnelles sont traitées, la transparence sur les intervenants et les accès devient centrale, en particulier quand plusieurs sociétés interviennent en cascade.Checklist protection des données à prévoir
- Définir précisément quelles données sont nécessaires, et appliquer un principe de minimisation dans la pratique.
- Interdire toute réutilisation des données à d’autres fins que le projet.
- Encadrer les transferts ou accès depuis l’étranger, si votre organisation veut éviter certains risques de juridiction.
- Prévoir un processus de gestion des incidents et une notification rapide côté client, selon la gravité.
- Assurer la restitution ou la suppression en fin de contrat, y compris chez les sous-traitants.
« Le point qui fait souvent mal, ce n’est pas la sous-traitance. C’est de le découvrir après une fuite, une mauvaise qualité ou un blocage de projet. Le contrat doit vous donner des droits concrets, pas uniquement des promesses. »
Équipe JuriUp
4. Modèle de questions à envoyer au prestataire (avant signature)
Envoyer un questionnaire avant la signature fait gagner du temps et évite les malentendus. Le but n’est pas de « piéger » le prestataire, mais de figer un niveau de transparence minimal, puis de s’en servir pour rédiger les clauses.Bloc A : qui intervient
Pouvez-vous confirmer l’identité des entités qui interviendront sur le projet, y compris tout sous-traitant direct ou indirect. Merci d’indiquer le rôle de chacun, et si des freelances sont impliqués.
Bloc B : localisation et accès
Depuis quels pays et quels sites les intervenants travailleront-ils. Qui aura des accès administrateurs, et comment sont gérés les droits, les clés et les logs.
Bloc C : données et sécurité
Quelles mesures organisationnelles et techniques appliquez-vous. Comment gérez-vous les environnements de test. Confirmez-vous l’absence de réutilisation des données et l’encadrement des exports.
Bloc D : maîtrise de la sous-traitance
Pouvez-vous vous engager à ne pas ajouter de sous-traitant sans autorisation écrite préalable. Quel est votre processus interne de sélection, et comment vérifiez-vous les compétences et la conformité.
Bloc E : responsabilité et remédiation
En cas de défaut de qualité, de retard ou d’incident de sécurité, quel est votre plan de correction. Confirmez-vous que vous assumez la responsabilité des sous-traitants, et comment vous traitez les escalades.
Conseil pratique
Gardez la réponse du prestataire comme pièce de votre dossier. En cas de litige, la cohérence entre la communication précontractuelle et le contrat signé peut compter. Si vous voulez sécuriser ces échanges, un avocat spécialisé peut vous proposer une formulation adaptée à votre projet et à vos risques.
Résumé rapide à retenir
Besoin de sécuriser un contrat de sous-traitance IT en Suisse romande ?
Décrivez votre projet en quelques lignes et JuriUp vous met en relation avec un expert juridique adapté à votre situation, notamment sur les clauses sous-traitants, la confidentialité et les enjeux LPD. Le service est confidentiel et conçu pour vous faire gagner du temps, que votre société soit dans le canton de Vaud, dans le canton de Fribourg ou ailleurs en Suisse romande.
Questions fréquentes
-
La sous-traitance est-elle forcément un problème dans un projet IT ?
Non. Elle peut être parfaitement maîtrisée si le contrat prévoit de la transparence, un cadre d’autorisation et une responsabilité claire du prestataire principal. Les problèmes arrivent surtout quand la chaîne de sous-traitants se construit sans validation et sans mécanismes de contrôle.
-
Comment imposer la transparence sans ralentir le projet ?
Vous pouvez demander une liste de sous-traitants autorisés au moment de la signature, puis prévoir une procédure simple d’autorisation écrite pour tout changement. Dans la plupart des cas, une clause courte mais ferme suffit, à condition qu’elle soit alignée avec votre gouvernance projet.
-
Que faire si je découvre après signature qu’un sous-traitant non déclaré intervient ?
Cela dépend du contrat, des faits et de la gravité de la situation. Souvent, la première étape est de documenter les éléments, puis d’exiger une clarification immédiate et, si nécessaire, la mise en conformité contractuelle. Si des données personnelles sont concernées ou si la confiance est rompue, il est prudent de consulter un avocat spécialisé via JuriUp pour définir la stratégie.
-
Quels points sont essentiels si le prestataire touche à des données personnelles ?
Selon la législation suisse, vous devez en général encadrer l’accès, la finalité, la sécurité, la confidentialité, la suppression et la gestion des incidents. La question de la localisation des accès et des transferts peut aussi être déterminante. Un avis personnalisé est recommandé, car les exigences varient selon la nature des données et votre rôle dans le traitement.
Textes officiels et ressources utiles