Contractualiser avec un freelance hors UE : l'architecture juridique complète
Dos-à-dos, contrat-cadre et bons de commande, NDA, propriété intellectuelle, RC Pro, RGPD : comment bâtir une chaîne contractuelle sans zone grise avec un freelance hors UE.
Vous avez identifié le bon freelance tech hors UE, mais votre ESN ne peut pas se permettre de signer une sous-traitance avec une chaîne contractuelle incomplète, une cession de droits floue ou un transfert de données mal cadré.
Un contrat de sous-traitance freelance hors UE ne se limite pas à un devis, un NDA et un bon de commande. Il doit reproduire les contraintes du client final, qualifier correctement la prestation, organiser les livrables, sécuriser la propriété intellectuelle, encadrer le RGPD et répartir les responsabilités.
L’enjeu est simple : éviter qu’une mission apparemment opérationnelle laisse une zone grise juridique au moment où le client final demande un audit, conteste un livrable, réclame la titularité du code ou questionne l’accès aux données.
Le risque principal : une chaîne contractuelle qui ne se répond pas
Dans une mission ESN classique, la chaîne documentaire comprend souvent trois niveaux :
- le contrat entre le client final et l’ESN ;
- le contrat entre l’ESN et son sous-traitant ;
- les documents opérationnels qui décrivent la prestation : bon de commande, statement of work, cahier des charges, annexes sécurité, règles projet.
Le problème apparaît lorsque ces niveaux ne sont pas alignés.
Le client final impose une confidentialité stricte, mais le NDA signé avec le freelance est minimal. Le contrat client exige une cession complète de propriété intellectuelle, mais le contrat avec le freelance ne couvre que le droit d’usage. Le client interdit la sous-traitance hors UE sans accord écrit, mais le bon de commande ne le mentionne pas. Le DPA client exige des garanties RGPD, mais aucun document ne couvre l’accès aux données depuis un pays hors UE.
Le risque n’est pas seulement d’avoir un mauvais contrat. Le risque est d’avoir plusieurs documents corrects isolément, mais incohérents entre eux.
C’est précisément le rôle du dos-à-dos : faire descendre les obligations du contrat client vers le contrat de sous-traitance, sans créer d’obligations impossibles à exécuter. Pour approfondir cette logique, vous pouvez vous référer à le dos-à-dos contractuel expliqué pour aligner client final et sous-traitance.
La base : qualifier la relation comme une prestation de services
Un contrat de sous-traitance freelance hors UE doit d’abord qualifier la relation correctement.
L’ESN ne doit pas documenter une relation qui ressemble à une simple fourniture de temps homme. Elle doit cadrer une prestation de services, avec un périmètre, des livrables, des modalités d’acceptation et une responsabilité de réalisation.
Cette distinction est structurante.
Elle permet de montrer que le fournisseur intervient pour produire un résultat déterminé, dans un cadre contractuel maîtrisé, sans confusion avec une relation de travail. Elle réduit aussi les ambiguïtés en cas de contrôle interne client, de litige ou de revue juridique.
Les éléments à formaliser
Le contrat ou le bon de commande doit préciser :
- l’objet de la prestation ;
- les livrables attendus ;
- les technologies concernées ;
- les jalons et critères d’acceptation ;
- les prérequis fournis par l’ESN ou le client final ;
- les modalités de correction des anomalies ;
- les limites de périmètre ;
- les règles de changement de scope ;
- les obligations de confidentialité, sécurité et conformité associées.
La mission doit être décrite comme une contribution technique encadrée, pas comme une affectation informelle à une équipe client.
Plus la mission est sensible, plus le bon de commande doit être précis. Un contrat-cadre solide ne compense pas un périmètre opérationnel vague.
L’architecture documentaire recommandée
Une architecture contractuelle propre repose rarement sur un document unique. Elle combine plusieurs briques, chacune avec une fonction précise.
Le NDA
Le NDA intervient en amont ou en parallèle du contrat-cadre.
Il couvre les échanges précontractuels, les informations techniques, les accès, la documentation projet, les secrets d’affaires, les éléments d’architecture, les données client et les informations commerciales.
Il doit être cohérent avec le NDA ou la clause de confidentialité signée entre le client final et l’ESN.
Points à vérifier :
- définition large des informations confidentielles ;
- durée de confidentialité adaptée ;
- interdiction de divulgation à des tiers non autorisés ;
- obligation de protection des accès ;
- restitution ou suppression des informations en fin de mission ;
- exceptions usuelles : information déjà publique, reçue licitement d’un tiers, exigence légale.
Le contrat-cadre
Le contrat-cadre organise la relation dans la durée.
Il doit traiter les conditions générales applicables à toutes les prestations : responsabilité, confidentialité, propriété intellectuelle, sous-traitance, sécurité, conformité, droit applicable, litiges, résiliation, audit documentaire, assurances.
Il évite de renégocier les mêmes clauses à chaque mission.
Pour structurer cette relation avec des bons de commande cohérents, l’approche détaillée dans la bonne architecture contrat-cadre et bons de commande pour sous-traiter proprement est la bonne base documentaire.
Le bon de commande ou Statement of Work
Le bon de commande décrit la mission précise.
Il ne doit pas se contenter d’un intitulé de poste ou d’un TJM. Il doit rattacher le prix à une prestation identifiée, à des livrables ou à un périmètre technique.
Il peut prévoir :
- le contexte projet ;
- le périmètre fonctionnel ou technique ;
- les livrables ;
- les dates ou jalons ;
- les modalités de recette ;
- les interlocuteurs projet ;
- les contraintes client final applicables ;
- les annexes sécurité ou RGPD ;
- les modalités de modification du périmètre.
Le bon de commande est aussi le bon endroit pour intégrer les contraintes spécifiques du client final : environnement fermé, règles de dépôt de code, interdiction d’outils non approuvés, exigences de documentation, restrictions d’accès aux données.
Les annexes spécialisées
Certaines clauses ne doivent pas être noyées dans un contrat général.
Pour les missions sensibles, ajoutez des annexes dédiées :
- annexe sécurité ;
- annexe RGPD ou accord de traitement des données ;
- annexe propriété intellectuelle ;
- annexe assurance et responsabilité ;
- annexe réversibilité ou restitution ;
- annexe conformité fournisseur.
Ces annexes permettent de rendre chaque obligation vérifiable.
L’alignement avec le contrat client final
Le contrat client final est le document de départ. Le contrat de sous-traitance doit être construit à partir de lui.
L’ESN doit identifier les obligations qui doivent descendre vers le sous-traitant.
Clauses à faire descendre
Les clauses les plus fréquentes concernent :
- la confidentialité ;
- la sécurité informatique ;
- la protection des données personnelles ;
- la propriété intellectuelle ;
- les restrictions de sous-traitance ;
- les règles d’audit ;
- les délais d’intervention ou de correction ;
- la conformité aux politiques client ;
- la continuité ou réversibilité ;
- la responsabilité en cas de faute, fuite, contrefaçon ou violation contractuelle.
L’objectif n’est pas de copier mécaniquement le contrat client. Certaines obligations ne sont pas transposables telles quelles à un freelance hors UE. Il faut les adapter, tout en conservant leur effet utile.
Clauses à surveiller dans le contrat client
Avant de signer avec un freelance hors UE, l’ESN doit relire certaines clauses du contrat client :
- le client autorise-t-il la sous-traitance ?
- exige-t-il une autorisation préalable écrite ?
- interdit-il certains pays ou certaines zones géographiques ?
- impose-t-il que les prestations soient réalisées depuis l’Union européenne ?
- impose-t-il une localisation des données ?
- exige-t-il une liste nominative des intervenants ?
- prévoit-il un droit d’audit ?
- impose-t-il une cession de droits complète ?
- limite-t-il les accès à certains environnements ?
Ces points doivent être traités avant le démarrage, pas lors d’un audit de conformité.
Une sous-traitance hors UE non déclarée peut devenir un sujet contractuel majeur, même si la mission technique se déroule correctement.
La propriété intellectuelle : verrouiller la titularité des livrables
La propriété intellectuelle est l’un des risques les plus sous-estimés dans une mission freelance hors UE.
En développement logiciel, l’ESN doit pouvoir démontrer qu’elle dispose des droits nécessaires pour livrer au client final. Le client final, lui, attend souvent une titularité complète ou un droit d’exploitation très large sur le code, la documentation et les éléments créés.
Une clause vague du type “les livrables appartiennent au client” peut être insuffisante.
Ce que la clause doit couvrir
La clause de propriété intellectuelle doit préciser :
- les livrables concernés ;
- les droits cédés ;
- le territoire ;
- la durée ;
- les modes d’exploitation ;
- le droit de modifier, maintenir, adapter et intégrer les livrables ;
- le traitement des composants préexistants ;
- l’usage éventuel de bibliothèques open source ;
- les garanties d’absence de contrefaçon ;
- les obligations en cas de revendication d’un tiers.
Il faut aussi distinguer trois catégories :
- les éléments créés spécifiquement pour la mission ;
- les outils, frameworks, scripts ou briques préexistantes du prestataire ;
- les composants open source ou tiers.
Cette distinction évite de promettre au client final une cession que l’ESN ne peut pas obtenir.
Pour approfondir ce point, notamment lorsque le code est produit depuis un pays hors UE, consultez sécuriser la cession de la propriété intellectuelle du code livré par un freelance hors UE.
RGPD : traiter l’accès aux données depuis un pays hors UE
Dès qu’un freelance hors UE accède à des données personnelles européennes, la question RGPD doit être traitée de façon explicite.
Il ne suffit pas d’ajouter une clause de confidentialité. L’accès distant depuis un pays tiers peut constituer un transfert de données au sens du RGPD. Il faut donc identifier les rôles, documenter les flux et prévoir les garanties contractuelles adaptées.
Questions à documenter
L’ESN doit clarifier :
- quelles données sont accessibles ;
- si des données personnelles sont concernées ;
- qui est responsable de traitement ;
- qui agit comme sous-traitant ;
- si le freelance agit comme sous-traitant ultérieur ;
- depuis quel pays l’accès est réalisé ;
- quels environnements sont utilisés ;
- quelles mesures de sécurité sont exigées ;
- quelles obligations s’appliquent en cas d’incident ;
- quels mécanismes encadrent un éventuel transfert hors UE.
L’annexe RGPD doit être cohérente avec le DPA conclu entre le client final et l’ESN.
Mesures opérationnelles à prévoir contractuellement
Le contrat peut imposer :
- accès nominatif et limité ;
- authentification forte ;
- interdiction de copier les données en local ;
- usage exclusif des environnements approuvés ;
- journalisation des accès ;
- interdiction d’utiliser des outils non validés ;
- notification rapide de tout incident ;
- suppression ou restitution des données en fin de mission ;
- coopération en cas d’audit ou de demande client.
Ces mesures doivent être proportionnées au projet. Une mission sans accès à des données personnelles n’appelle pas les mêmes exigences qu’une mission sur un système de production contenant des données utilisateurs.
Pour un traitement dédié de ce sujet, référez-vous à faire travailler un prestataire extra-européen sur des données européennes avec le RGPD.
Responsabilité et RC Pro : éviter les trous de couverture
La responsabilité contractuelle doit suivre la réalité de la chaîne.
Le client final se retourne contre l’ESN. L’ESN doit donc pouvoir se retourner contre son sous-traitant lorsque le dommage provient de la prestation externalisée. Mais cette logique ne fonctionne que si les clauses sont cohérentes, opposables et assurables.
Les points à cadrer
Le contrat doit préciser :
- les obligations de moyens ou de résultat selon les livrables ;
- les cas de responsabilité du fournisseur ;
- les exclusions ;
- les plafonds éventuels ;
- la responsabilité en cas de violation de confidentialité ;
- la responsabilité en cas d’atteinte à la propriété intellectuelle ;
- la responsabilité en cas d’incident de sécurité ;
- les obligations d’assurance ;
- les justificatifs à fournir ;
- les modalités de gestion des réclamations.
La RC Pro du freelance hors UE doit être analysée avec prudence. Certaines polices ne couvrent pas les clients français, les prestations réalisées pour l’Europe, les cyber-risques, les litiges de propriété intellectuelle ou les montants attendus par une ESN.
Une clause d’assurance n’a de valeur que si elle correspond au risque réel de la mission et si les justificatifs sont vérifiables.
La répartition des risques entre client final, ESN, intermédiaire éventuel et prestataire est détaillée dans qui couvre quoi dans une chaîne de sous-traitance hors UE côté RC Pro et responsabilité.
Les clauses indispensables dans un contrat de sous-traitance freelance hors UE
Un contrat de sous-traitance freelance hors UE doit être lisible, mais complet. Les clauses suivantes forment le socle de protection.
Identification des parties et capacité à contracter
Le contrat doit identifier clairement les parties, leur forme juridique, leur adresse, leur représentant habilité et leur capacité à fournir la prestation.
Pour un prestataire hors UE, les documents d’identification doivent être cohérents avec le pays d’établissement, sans se limiter à une adresse de contact ou à un profil professionnel.
Objet de la prestation
L’objet doit être précis.
Il doit éviter les intitulés trop génériques comme “développeur backend” ou “renfort équipe”. Préférez une description de prestation : développement de modules, correction d’anomalies, intégration d’API, audit de code, automatisation de tests, documentation technique.
Livrables et recette
La clause de recette doit prévoir :
- les livrables attendus ;
- les critères d’acceptation ;
- les délais de revue ;
- les réserves possibles ;
- les corrections attendues ;
- le moment où le livrable est réputé accepté.
Sans recette, il devient difficile de prouver si la prestation est terminée, conforme ou contestable.
Confidentialité
La confidentialité doit couvrir les informations du client final, de l’ESN et du projet.
Elle doit survivre à la fin du contrat. Elle doit aussi prévoir la restitution ou la suppression des éléments confidentiels.
Sécurité informatique
La clause sécurité doit être adaptée au projet.
Elle peut prévoir l’usage d’un VPN, l’interdiction des terminaux partagés, le chiffrement, l’authentification forte, les restrictions d’outils, la gestion des secrets, les règles de commit, l’interdiction de transférer du code vers des dépôts non autorisés.
Propriété intellectuelle
La clause doit organiser la cession ou la licence des droits sur les livrables, selon les exigences du contrat client.
Elle doit aussi traiter les composants préexistants, les briques open source et les garanties du prestataire.
Données personnelles
Si des données personnelles sont concernées, une annexe RGPD doit préciser les rôles, les traitements, les mesures de sécurité, les sous-traitants ultérieurs et les conditions de transfert hors UE.
Sous-traitance ultérieure
Le freelance ne doit pas pouvoir déléguer tout ou partie de la prestation sans accord écrit préalable, surtout si le client final encadre strictement la chaîne de sous-traitance.
Cette clause évite l’apparition d’un intervenant non identifié dans la chaîne.
Audit et coopération
L’audit doit rester proportionné, mais possible.
L’ESN doit pouvoir obtenir les justificatifs nécessaires en cas de demande client : attestation d’assurance, preuve de suppression de données, confirmation de non-divulgation, documentation de sécurité, éléments de traçabilité.
Résiliation
La clause de résiliation doit couvrir :
- manquement contractuel ;
- violation de confidentialité ;
- incident sécurité ;
- impossibilité de poursuivre la mission ;
- perte d’autorisation client ;
- non-respect des contraintes RGPD ;
- défaut de livraison ou refus de correction.
Elle doit aussi prévoir les effets de fin de contrat : restitution, suppression, transfert documentaire, livraison des travaux en cours, maintien de certaines obligations.
Droit applicable et règlement des litiges
Le choix du droit applicable et du mode de règlement des litiges doit être cohérent avec la chaîne client.
Un contrat soumis à un droit lointain, non aligné avec le contrat client, peut compliquer l’exécution des obligations. À l’inverse, imposer un droit français à un prestataire hors UE ne suffit pas si les clauses ne sont pas exécutables en pratique.
L’enjeu est de choisir une architecture réaliste, défendable et cohérente avec le niveau de risque.
Le rôle d’un fournisseur français intercalé dans la chaîne
Certaines ESN ne peuvent pas signer directement un freelance hors UE.
Les raisons sont souvent internes : politique achats, exigences compliance, impossibilité de référencer un fournisseur non européen, refus d’un contrat dans une juridiction étrangère, difficulté d’obtenir les documents attendus, ou risque juridique jugé trop élevé.
Dans ce cas, un acteur comme StelarWork s’insère contractuellement entre l’ESN française et le prestataire tech hors UE.
StelarWork contracte en son nom propre avec l’ESN, puis organise la relation contractuelle avec le prestataire. L’objectif est de transformer une sous-traitance difficile à signer directement en relation fournisseur française structurée, avec une documentation plus lisible pour l’ESN.
Cela ne dispense pas de cadrer la prestation. Au contraire, l’architecture documentaire reste centrale :
- contrat fournisseur avec l’ESN ;
- bon de commande par mission ;
- clauses dos-à-dos adaptées ;
- engagements de confidentialité ;
- traitement de la propriété intellectuelle ;
- annexes sécurité et RGPD si nécessaires ;
- responsabilité et assurances cohérentes avec la mission.
StelarWork ne doit pas être compris comme un substitut au cadrage contractuel. Sa valeur se situe dans l’interposition contractuelle propre, la réduction des frictions administratives et la structuration d’une chaîne plus exploitable pour une ESN française.
Les erreurs fréquentes à éviter
Signer un simple devis
Un devis ne suffit pas pour une mission tech sensible.
Il ne traite pas correctement la propriété intellectuelle, la confidentialité, le RGPD, la responsabilité, la sécurité ni les obligations du client final.
Copier-coller le contrat client sans adaptation
Le dos-à-dos ne signifie pas reproduction mécanique.
Certaines obligations doivent être adaptées au rôle du fournisseur, au pays d’exécution, aux accès réels et au périmètre de la prestation.
Oublier l’autorisation de sous-traitance
Beaucoup de contrats client imposent une autorisation préalable.
Si l’ESN engage un freelance hors UE sans vérifier cette clause, elle crée un risque contractuel indépendant de la qualité de la prestation.
Traiter le RGPD trop tard
Le RGPD doit être traité avant l’accès aux environnements.
Une fois les accès ouverts, la relation de traitement existe déjà. La documentation doit donc précéder le démarrage effectif.
Négliger les composants open source
Le code livré peut intégrer des dépendances, bibliothèques ou snippets soumis à licence.
La clause de propriété intellectuelle doit obliger le prestataire à déclarer ces composants et à respecter les licences applicables.
Accepter une assurance non vérifiée
Une attestation générique peut être insuffisante.
Il faut vérifier le périmètre territorial, les risques couverts, les exclusions et la cohérence avec la mission.
Une grille de lecture avant signature
Avant de signer un contrat de sous-traitance freelance hors UE, l’ESN peut se poser les questions suivantes :
- Le contrat client autorise-t-il cette sous-traitance ?
- Les obligations client sont-elles reprises dans le contrat fournisseur ?
- Le bon de commande décrit-il une prestation avec livrables ?
- Les critères d’acceptation sont-ils écrits ?
- La confidentialité couvre-t-elle les informations du client final ?
- La cession de propriété intellectuelle est-elle complète et cohérente ?
- Les composants préexistants et open source sont-ils traités ?
- Le freelance accède-t-il à des données personnelles ?
- Le pays d’accès aux données est-il identifié ?
- Les mesures de sécurité sont-elles écrites ?
- La responsabilité est-elle alignée avec le risque projet ?
- Une RC Pro pertinente est-elle vérifiée ?
- La sous-traitance ultérieure est-elle interdite ou encadrée ?
- La fin de mission prévoit-elle restitution, suppression et réversibilité ?
- Les documents sont-ils cohérents entre eux ?
Cette grille ne remplace pas une revue juridique, mais elle permet d’identifier rapidement les zones grises.
FAQ
Un NDA suffit-il pour démarrer avec un freelance hors UE ?
Non. Un NDA protège les informations confidentielles, mais il ne couvre pas l’ensemble de la relation.
Il ne suffit pas à encadrer les livrables, la propriété intellectuelle, la responsabilité, le RGPD, la sécurité, la recette ou les obligations issues du contrat client final. Il peut être signé avant les échanges, mais il doit être complété par un contrat-cadre, un bon de commande et les annexes nécessaires.
Le contrat de sous-traitance doit-il reprendre exactement le contrat client ?
Pas exactement.
Il doit reprendre les obligations qui concernent réellement le sous-traitant, dans une logique dos-à-dos. Certaines clauses du contrat client doivent être adaptées pour être exécutables par le prestataire. L’objectif est d’éviter les écarts de protection, sans créer de clauses irréalistes ou impossibles à appliquer.
Que faire si le freelance hors UE accède à des données personnelles européennes ?
Il faut documenter cet accès avant le démarrage.
L’ESN doit identifier les rôles RGPD, les données concernées, le pays d’accès, les mesures de sécurité et les garanties applicables au transfert hors UE. Une clause de confidentialité ne suffit pas. Une annexe RGPD ou un accord de traitement des données peut être nécessaire selon la configuration.
La RC Pro du freelance hors UE protège-t-elle automatiquement l’ESN ?
Non.
Il faut vérifier le périmètre de la police : territoire couvert, nature des prestations, exclusions, cyber-risque, propriété intellectuelle, montants, clients étrangers, gestion des réclamations. Une assurance locale peut être pertinente dans son pays, mais insuffisante pour couvrir une mission réalisée pour une ESN française et un client final européen.
Disclaimer
Cet article est fourni à titre d’information générale pour aider les ESN à structurer leur réflexion contractuelle autour d’une sous-traitance freelance hors UE. Il ne constitue pas un conseil juridique, fiscal, social ou assurantiel personnalisé. Toute décision contractuelle doit être validée avec vos conseils habituels, en tenant compte de votre contrat client, du pays concerné, de la nature de la mission, des données traitées et de votre politique interne de conformité.